深信服云安全资源池培训-0621

深信服云安全资源池培训培训大纲2019/12/6安全资源池历史版本介绍项目操作方法及商务模式竞争分析报价与销售工具12345标准化测试流程6FAQ一、安全资源池历史版本介绍整体拓扑架构示意图平台层安全设备安全资源池接入出口设备IDC出口云环境引流口引流口引流交换机安全资源池私网交换机（存储私网、vxlan）核心VMVMVMEDREDREDR移动接入包网站安全基础网站安全高级包分支接入包失陷主机发现Web增强包南北向安全能力东西向隔离密码暴力破解Webshell检测东西向安全能力安全审计数据安全应用安全安全生态能力云安全方案：安全资源池+EDR+生态历史版本路径2019/12/6CSSP2.0版本：1.手动部署，工作量巨大2.缺少运营方（主管方）、租户自管理界面3.属于方案、市场验证阶段4.收割样板点CSSP1.0版本：1.基于超融合，以NFV方式实现。2.市场验证、需求验证为主CSSP3.0版本：1.自动化部署2.新增租户与平台运营方界面3.组件高可用性调整及优化4.统一配置入口5.服务商界面6.…2019/12/66安全资源池（CSSP）3.0版本改进Cssp2.0版本：1.手动部署，工作量巨大2.缺少运营方（主管方）、租户自管理界面3.属于方案、市场验证阶段Cssp3.0版本：1.自动化部署，工作量减少2.补齐运营方（主管方）、租户自管理界面3.新增云端监测服务包，可提供针对租户Web业务的安全监测服务4.平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整安全资源池（CSSP）3.0版本2019/12/6强迫症患者的福音云安全资源池交付流程租户侧界面2019/12/6界面重点1.业务列表2.服务追踪3.统一运维入口4.专属服务商云安全资源池组件（自有）2019/12/6分支接入包分支IPCEC组网移动接入包SSLVPN、安卓/IOS/windows安全接入SDK等多种安全接入组件数据库审计包针对SQL、MySQL、DB2、Oracle数据库审计运维审计包运维人员操作网络设备、数据库、服务器监控与审计基础防护包提供应用控制、防病毒网关、IPS功能网站安全基础包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS功能网站安全高级包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS、僵尸网络、实时漏洞分析失陷主机包主机僵尸网络、实时漏洞分析云端检测包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件应用交付包4-7层应用负载、SSL卸载安全防御安全接入安全审计已经引入的第三方组件2019/12/6杭州美创数据库加密产品听云私有云版本……建恒日志审计南京聚铭网络日志审计原则：整合、补强合规要求丰富功能思福迪堡垒机云内安全能力-云内安全检测平台2019/12/6云内安全检测平台（EDR的同门师兄）本次培训不过多讲解，后续单独为云内安全解决方案重点培训。•入侵检测响应-暴力破解检测•WEB安全检测-WebShell的持续检测•僵尸网络检测-实时活跃恶意行为检测•微隔离-东西向流量访问控制目前实现的功能：云内安全界面2019/12/6首页打造可视可控的内部安全二、应用场景及项目操作方法主要场景2019/12/6政务云IDC、政企云专有云、私有云政务云2种建设模式2019/12/6电子政务办、经信委、发改委统一建设，租户“免费”使用，财政统一结算。主管单位非常强势，局委办单位会选择部分业务系统上云。主管部门像运营商（3大运营商、太极等大型集成商）租赁云服务，主管方关心技术实现，运营方在选择产品方案端有较强的话语权。预算式租赁服务式（PPP式）预算式涉及的几种角色2019/12/6主管方集成商租户目标对象：信息中心、电子政务办、经信委、发改委。初次建设，会采购大量的硬件安全设备，更关注自身平台合规。监管机构，负责租户上云政策的发布，上云节奏的掌控，把握预算口子。目标对象：当地强势，关系型集成商。负责本地政务云的项目集成。目标对象：上云的局委办单位。政务云的直接使用对象。预算式各方关注点2019/12/6•汇报政务云中安全建设经验和安全资源池方案。•帮助用户理清安全权责。•通过安全资源池方案加速租户安全上云进度。沟通要点主管方视角•安全责任怎么划分。•怎么促进租户安全上云。•其他地方经验，及怎么合规。•是否有案例，效果怎样。主管方沟通思路2019/12/6痛点：1、合规背书：等保2.0，更强调了租户和平台方的安全责任。2、抛方案：引出我司安全资源池方案，面向租户的产品3、明确与硬件安全的关系：资源池和平台硬件安全不冲突并且云平台解耦1、痛过：如果当地曾经出过安全事故，可以适当引用（慎用）2、抓住关注点，引起兴趣：a.租户上云数量、上云业务类型（核心系统还是网站），背后对应的是租户对云平台安全能力的担忧b.业内对安全责任划分的案例，引出公有云aws、阿里云责任共担模型如何解决：关键词：权责、合规、有案例、能上云我司方案和案例1、达成测试或主动介绍政务云的背后运维方具体沟通2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件，小范围使用。或测试后引导明年的预算。安全资源池属于一旦流量引过来，产生具体效果，主管方就不想切换回去的产品。1、详细介绍：为租户提供个性化安全服务，并满足合规，功能、优势、价值2、定心丸：北京、温州案例保证效果钱从哪里来2019/12/6预算式场景，钱肯定从去年的预算里来。“没预算咋办？”“新增预算”、“抢预算”抢预算顾名思义，从其他安全设备预算中抢过来。新增预算要有一个新的、刚性的理由能够新增预算。如与主管方引导租户侧安全需求与租户侧合规需求。租赁服务式涉及的几种角色2019/12/6主管方运营方租户目标对象：信息中心、电子政务办、经信委、发改委监管机构，负责租户上云政策的发布，把握预算口子关注自身平台合规以及租户侧提过来的需求对所租赁的云服务会提要求，但不会很具体。目标对象：运营商、太极等全国性的大型集成商主管部门向运营商租赁云服务，运营方会根据主管部门要求，招标确定方案、产品。负责政务云日常的运营、运维。目标对象：上云的局委办单位政务云的直接使用对象租赁服务式专用各方关注点2019/12/6沟通要点主管方视角•其他地方经验，及怎么合规•安全责任怎么划分。•怎么促进租户安全上云。•是否有案例，效果怎样。•汇报政务云中安全建设经验和安全资源池方案•帮助运营方理清安全权责、合作运营安全增值理念•通安全资源池产品和合作运营理念实现共赢。运营方视角•为什么要搞租户安全•上了安全资源池有什么好•怎么落实，落实效果。•其他地方的情况和经验。运营方沟通思路2019/12/6关键词：权责、合规、功能、有案例、能盈利引起共鸣痛点：1.弥补硬件安全短板：安全能力丰富2.解耦：在原有网络基础上部署便捷3.优势：权责分离、管理、运维分离、部署简单、标准架构、线性扩容1.讲案例：抛出北京、温州合作案例2.强调合作模式：强调运营方在政务云安全资源池合作中的角色1.渴望盈利：结合当前政务云服务租赁的模式，初次投入巨大，回收周期长，见不到盈利的时间，安全可以作为重要的增值服务进行提供2.上云慢：原有方案缺少租户侧安全考虑，上云进度慢，回收周期长3.竞争大：服务合同每几年一签，其余运营商虎视眈眈解决思路：争取效果1.运营方高层沟通2.运营方与我们达成一致并共同去主管方汇报3.测试，共同去主管方汇报，争取今年项目落单，先一锤子买卖，最后尝试合作运营。钱从哪里来2019/12/6每年政府固定向云服务商支付一定金额的服务费（如某地市发改委每年向浪潮支付2kw服务费）浪潮躺着也能挣到2kw，如果引入深信服，则意味着要从2kw中分一部分钱给深信服伙同运营方共同做主管方工作，让政府每年多付200w服务费，如果这200w服务费再跟浪潮分一下，那浪潮的积极性是不是提高了。合作运营商务模式切入，引导主管方将安全写入服务目录，变成租户上云可选项。固定服务费原有渠道合作定位2019/12/6•深信服：提供资源池•渠道：提供客户覆盖和服务能力•运营方：提供平台•大家都是股东，挣了钱，按照投入的比例分配，渠道还可以接手后续售后•渠道负责盖起来安全超市（中标硬件平台）•安防超市卖什么商品，与渠道无关，看别人挣钱（政务云建设后，租户上云，集成项目明显减少）开一家安防超市（建一个政务云）过去现在我们和建筑商合伙开个安防超市，建筑商出房子（硬件），我们管装修（运营平台）+出货架（虚拟化平台）；超市装修好后，两方合伙出钱进货；进货成本共担，我们以货抵钱，建筑商出一半进货钱。超市投入运营，大家一起卖货，谁卖的谁得奖（以谁做了市场工作，谁先报备为判定依据）。其中涉及到分成比例，可根据当地运营方的能量灵活调整。但，底线是不能低于list价的3.5折。最终报价前，需发我、马程、殷浩审核。股东商品店员List价*0.9假设1成损耗1成机动奖励如：8成盈利股东对半分成举例说明安全资源池的合作运营模式（合伙开超市的故事）IDC与政企云2019/12/6当地比较大型的IDC服务提供商（如万国、美橙、安畅），运营商IDC（政企云）1.用户被公有云分流严重2.碍于自身建设模式，能够提供的增值功能越来越少3.安全可以成为IDC“增值”服务的一环•围绕痛点1.现在IDC的网络组建方式，增加硬件设备十分困难，安全资源池灵活2.多样化的组件、丰富的功能，满足IDC用户对安全的需求•围绕合作模式1.本身IDC盈利模式越来越不清晰，不可能是一下子投入巨大的安全设备，强调我们初次投入和合作方式痛点打法目标客户销售场景总结2019/12/6优先主推第二主推保持沟通1.已建政务云、租户数量较多、曾经发生过安全事件—痛过2.私有云：租户属性明显，有预算的一锤子买卖，回收快1.正在规划、设计阶段的政务云2.私有云：租户属性不明显，需要通过安全资源池产品特色提升方案整体竞争力暂时搁置1.主管方关系差，决策链比较长1.主管方意愿较差，需要突破2.被浪潮之类的包干，没有预算三、竞争分析竞争对手2019/12/6竞争对手2019/12/61.SDN类云平台厂商（h3c、华为）、启明、绿盟2.软件+硬件+服务360，七七八八的软件安全厂商如安全狗，青藤云3.与我司形态相似类启明、绿盟、安恒1.SDN类2019/12/6ISPISPvSwitchvADCvADCvFWvFWvSwitchVMVMVMVMvSwitchVMVMVMVMSDNController数据层面控制层面FWLBIPSvCenter东西流量南北流量租户1租户2租户nFWLBIPSFWADCWAFMSG重点关注1.SDNcontroller2.云管平台3.硬件安全池4.东西、南北向流量组成SDN方案在沟通中重点关注SDN方案分析2019/12/6理想中的SDN方案：想象一个场景，客户跟你讲SDN方案超级牛逼，流量随便调度，根据流表指哪打哪，根据流表调度策略可以先后经过预设的NFV设备或硬件设备。现实中的SDN方案：1.其实就是使用了VXLAN2.边界设备如防火墙通过接口调用来生成策略，这还不叫SDN，如华为，租户业务虚拟机建立好之后，控制器会调用USG设备的接口，建立租户对应的vrf、网关等配置，从而完成自动化交付3.引流后网络中过多的流量开销如何解决？4.你区域的云，用了SDN的有多少？活生生的“卖家秀”与“买家秀”的区别2019/12/62.与我司形态类似—安恒方案首页平台界面分析2019/12/6在分析优势之前，我们先把大家的安全资源池方案拆解一下：1.安恒（天池）硬件服务器（他们叫一体机）+基于openstack开发的安全资源池平台+镜像类安全组件（目前已知基于阿里云版本的云堡垒机、云数据库审计、从华为OEM过来的下一代防火墙镜像已经具备）+云waf能力（安恒玄武盾配置界面融合在天池界面中）引流方式目前来看，安恒的引流采用是天池内部一台虚拟机来引流，单台虚拟机的流量“据说”是500M上限。但对外宣传材料上写的是安恒可以基于SDN、flow、策略路由的方