深信服云安全资源池解决方案_图文.pptx安全是云计算重要环节安全是云计算发展最大担忧44.349.250.050.455.861.163.163.174.6Notenoughmajor…Regulatoryrequirements…MaycostmoreBringbackin-housemay…Notenoughabilityto…Hardtointegratewithin-…AvailabilityPerformanceSecurity云计算所面临的挑战中,安全问题排在首位75%用户在安全性上犹豫不决Source:IDCEnterprisePanel(国际数据公司IDC)安全权责划分与合规的需求10/23/2024云安全不再是平台技术提供方或是平台运营方的事情A.B.C.D.E.技术提供方平台运营方租户监管机构ISV为租户提供可选择的安全方案。运营安全生态云平台技术对网络、数据等提供安全保障保证平台物理层安全通过使用平台提供的安全服务,保证自身业务安全为云环境下平台、租户安全提供指导,通过制度保证平台、租户安全云平台技术对网络、数据等提供安全保障保证平台物理层安全减少租户上云顾虑、满足业务安全的需求10/23/2024在以上流程中,亟需平台方去解决的是:1.现有应用架构,特别是数据库能否正常运行2.安全如何保障,平台方能否提供与线下原有数据中心匹配的安全能力上云前咨询云上基础架构规划安全架构规划迁云实施租户上云流程为租户提供安全可视、可自定义配置的需求10/23/2024线下原有数据中心租户云上数据中心安全可配置安全可视“黑盒”1.平台层打包“安全服务”,租户只管上云。2.所有安全服务打包在“黑盒”中,无法提供租户个性化配置界面??安全不可视流量路径不可视持续增值和安全生态运营的需求10/23/20241.硬件设备提供的安全能力,如何以增值服务的方式提供给租户?2.平台运营方如何快速掌握安全能力,并交付用户?3.租户的安全需求是持续的、不断更新的,如何通过安全生态运营满足不断变化的安全需求基本安全需求安全增值服务安全运营持续对抗新威胁现有云安全方案实现云安全建设现状10/23/2024010302紧耦合方案:•平台自带安全组件•安全镜像方案部分解耦合:•硬件一虚多完全解耦合:•DNS引流方案•虚拟机引流方案硬件一虚多方案10/23/2024Cloud硬件一虚多设备VM1VM2VM2租户A购买的套餐需要提供防火墙、IPS和负载功能,保证处理能力的10%租户B购买的套餐需要提供防火墙、LB功能,保证处理能力5%其他租户购买的套餐需要提供防火墙功能,限制处理能力5%租户与VLAN关联,入站出站流量需经过该硬件进行清洗。当前能够支持一虚多的硬件云安全解决方案,支持功能较少,大多数仅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100(租户A)Vlan200(租户B)vlan500(租户C)应用背景实现过程设备镜像化交付方案10/23/2024互联网省级管理平台ECS省安全组B业务ECSB业务RDSA业务ECSA业务RDSC业务安全组B业务安全组XXECSXXRDSXX业务安全组……vSSLVPN镜像vFW镜像堡垒机镜像负载均衡镜像政务外网应用背景云平台完成搭建,平台层面安全已经建设完成。租户对业务层面安全提出要求,平台方运营方需要一种快速、对平台改动最小的方案。安全厂商将原有硬件设备以镜像化的方式部署与云平台无法深度耦合实现过程安全产品提供方,需要根据不同云平台架构进行产品适配云平台一般只能够提供标准操作系统镜像(如windowsServer、Linux各版本),但安全产品镜像是非标准的操作系统,所以需要平台方协调安装交付后。需要在租户层面做路由、网关的更改,使流量经过安全镜像SAAS安全服务交付方案10/23/2024应用背景云平台租户有对外发布的WEB业务,比如网站业务。由于网站业务的特性,租户需要对网站经常受到的篡改、SQL注入、跨站等攻击进行防范。能够对DDoS、CC攻击具备一定的流量清洗能力。实现过程针对租户网站业务,提供SAAS安全服务,即网站用户访问流量经过SAAS安全服务清洗后,返回到源站IP。需要用户在DNS服务商处修改CNAME记录,CNAME指向指定的地址,从而完成流量牵引通过以上,完成对外WEB业务常见安全风险的防范互联网互联网SAAS服务商目标网站目标网站访问请求访问请求修改DNS记录,使用户的网站访问请求先经过SAAS服务商,经过清洗后,到达目标网站直接访问网站流程现有云架构下...
