汉柏云安全防护系统oCloudEye产品交流-v21

汉柏OPC-Sec云安全产品交流汉柏科技有限公司云安全事业部2015年5月8日3、汉柏OPC-Sec产品化说明1、什么是云计算安全2、云安全防护汉柏之道目录4、汉柏OPC-Sec产品规格与发展路线321什么是云计算安全汉柏云安全之道OPC-Sec产品化说明4OPC-Sec规格及发展路线云计算与大数据时代的到来•随云而来的变化数据大爆炸以数据为中心的计算呼唤灵活的IT架构云计算的兴起云计算的痛处•云计算发展的如日中天，云安全姗姗来迟！云计算云安全云计算的安全保护需求•对于云计算的安全保护，通过单一的手段是远远不够的，需要有一个完备的体系，涉及多个层面，需要从法律、技术、监管三个层面进行。法律技术监管随云而来的安全威胁序号云计算的特点安全威胁1数据和服务外包（1）隐私泄露（2）代码被盗2多租户和跨域共享（1）信任关系的建立、管理和维护更加困难;（2）服务授权和访问控制变得更加复杂；（3）反动、黄色、钓鱼欺诈等不良信息的云缓冲（4）恶意SaaS应用3网络无边界（1）传统网络防护方案失效（2）虚拟网络流量牵引无统一标准4虚拟化（1）用户通过租用大量的虚拟服务使得协同攻击变得更加容易，隐蔽性更强；（2）资源虚拟化支持不同租户的虚拟资源部署在相同的物理资源上，方便了恶意用户借助共享资源实施侧通道攻击。云计算面临的安全挑战•云计算安全的关键问题在哪里？•用户身份安全问题•共享业务安全问题•用户数据安全问题云计算安全的意义和价值“云安全”为个人和企业放心地使用云计算服务提供了保证，从而可促进云计算持续、深入的发展。Trust&Security汉柏眼中的云安全云计算安全安全云（保护云计算本身的安全性）（安全成为云计算的一种服务）汉柏汉柏云安全之道：基于SDN架构的立体式防护•汉柏云安全防护系统汉柏之道传统安全防护汉柏云安全何为汉柏云安全汉柏云安全介绍汉柏用什么样的产品来满足云计算消费市场对安全的需求系统运行模式，层次结构，调用关系以及实现技术类型汉柏云安全的关键特性以及功能亮点介绍汉柏云安全有哪些组件构成，其作用和功能如何互联网安全硬件设备、软件软件、数据、隐私的安全移动互联网安全移动安全+数据中心安全云安全移动安全+云数据中心安全安全在不同阶段的定义及演进产品定义架构设计系统组件关键特性通道安全问题•数据传输加密•带宽管理•质量保障•…云环境下的安全分析产品定义架构设计系统组件关键特性云网络平台业务平台中间件管理平台云计算平台云计算物理环境物理安全数据安全虚拟化安全应用安全管理安全网络安全接入安全身份认证安全Internet网络传输通道终端安全问题•安全漏洞•安全合规性•非法终端•…前端应用数据中心安全问题•访问控制•带宽保障•入侵攻击•应用交付•数据安全•…云服务中心何为汉柏云安全汉柏云安全定义架构技术管理设备基于SDN架构安全OS+X86平台云感知自动化防护分布式集群管理产品定义架构设计系统组件关键特性产品定义汉柏云安全•软件定义网络（SoftwareDefinedNetwork,SDN）是一种新型网络创新架构，核心理念是将网络功能和业务处理抽象化，并且通过外置控制器来控制这些抽象化的对象。SDN网络架构SDN价值架构设计系统组件关键特性SDN为网络提供了更多的灵活性；SDN加快了新业务引入的速度；SDN降低了网络的运营费用和出错率；SDN有助于实现网络的虚拟化；SDN让网络乃至所有IT系统更好地以业务目标为导向。产品定义汉柏云安全•汉柏云安全产品系统架构来源于SDN，发展于SDNSDN网络架构汉柏云安全产品设计架构设计系统组件关键特性•管理与控制方面借鉴了SDN的思路，采用Controller与worker相分离的思路，控制服务平面一般会运行在一台或多台物理服务器之上。•转发语隔离层面云安全系统一是要能够按需提供网络与安全服务，二是必须要能够做到租户服务之间的逻辑隔离•安全防护层面汉柏云安全提供信息安全服务通过三种网络功能虚拟化NFV技术实现租户安全服务的灵活定制与隔离。汉柏云安全汉柏云安全实现了控制部分与转发部分的分离。配置节点、控制节点、分析节点共同承担了控制平面的职责，vRouter负责报文的转发•配置节点核心的功能就是对用户下发的配置进行解析，并转换成内存中的各种数据结构。•控制节点控制节点承担了SDN控制平面中的核心功能，通过XMPP协议与vRouter进行交互，实现对转发的控制。•分析节点分析节点的主要功能是收集信息、汇聚日志和事件、查询分析。产品定义架构设计系统组件关键特性汉柏云安全•汉柏云安全产品主要构成APIs1管理平台（OPC-SecManager）2控制器（ControllerCluster）3虚拟网络设备（vRouter）4防火墙（FW、NGFW、vFW、vNGFW5虚拟安全组件（DDosIPSAVWAFLBS…..）6客户端（VDIClient、BYODClient）7运维管理组件（UMS、SOC）8产品定义架构设计系统组件关键特性汉柏云安全虚拟化层物理层云端L2~3L4~7CtrlMgrpSwitchOPC-SecControllerClusterOPC-SecManagerOPC-SecAPIs运维管理合作伙伴/用户第三方管理软件SDNPluginsIPSSoCVDIclientBYODclientUMSvFWLAN/WANvRouterVMVMvIPSvRouterVMVMvIPSPhysicalEdgeServices(Router、FW、LB)NGFWDDoSIPSAV•汉柏云安全实现了云计算的全方位立体式防护，集安全、管理于一体产品定义架构设计系统组件关键特性控制器分布式架构无单点设计•实时保证3台主机提供控制器服务，控制器无单点故障•实时监控，保证同一服务有3份运行在不同的节点上•一点出现主节点故障，系统会自动、随机、选举管理服务主机配置控制分析监控…HostAMasterSubMasterSubMaster配置控制分析监控…HostB配置控制分析监控…HostCDHCPPXEDNSTFTP…HostD配置控制分析监控…HostE配置控制分析监控…HostN…………配置控制分析监控…HostB配置控制分析监控…HostDMasterSubMaster宿主于计算节点的分布式控制器产品定义架构设计系统组件关键特性汉柏云安全之道（一）功能•支持虚拟安全设备集群部署的基础IT架构价值•安全设备处理能力线性扩展•会话响应动态负载均衡•故障自动化切换x86服务器•独特的异构集群部署，突破1000G性能产品定义架构设计系统组件关键特性汉柏云安全之道（二）功能与价值•自动识别低延时业务，优先保证转发；对待突发情况，软件会自动调整•硬件工作分配优先保障突发优先业务的处理。自动业务模型（ERP）进程、标题、端口、用户自动业务模型（OA）标题、端口、用户、包长自动业务模型（报税）进程、标题、用户、包长手工业务模型（公积金）进程、标题、端口、包长非业务模型（在线视频）应用、进程、端口流量控制安全防护业务可视业务模型模型管控策略生成策略生成APPsignature•应用动态识别，性能按需动态扩展产品定义架构设计系统组件关键特性汉柏云安全之道（三）•“云数据泄露”和“云应用防污染”解决方案“数据泄露”筑围墙加锁登记审核做标记备份追踪未交付管理汉柏云安全之道（四）NATFWVPNIPS抗DOSAV基于虚机之间的安全访问控制基于物理主机之间的安全访问控制•同一物理主机上的虚机之间的安全访问控制。•不同物理主机上的虚机之间的安全访问控制。•云平台东西流量的解决方案汉柏云安全之道（五）VMVM汉柏安全网关外部流量虚拟化引擎ESXi、Hyper-v、Xen、OPV、KVMvRouterVM流量内部流量云防病毒云web防火墙45云流量清洗云入侵防御23云负载均衡6云防火墙1•云平台南北流量的解决方案汉柏云安全之道（六）每个计算节点上运行一个vRouter（即securityagent），计算节点之间建立VXLAN或MPLSoverUDP隧道，服务节点通过服务链机制加入到不同安全区域VN之间提供安全防护。汉柏云安全之道（七）•云平台租户内部流量的解决方案每个节点上以虚机形式运行虚拟病毒查杀网关，检查进出虚机的流量从而发现并处理病毒汉柏无代理病毒防护方案优势：提升物理服务器的效率相同硬件配置提高搭载虚机数量和提升虚机性能。基于物理节点，简化管理基于主机安装，一次安装。虚机无需安装代理。自动继承的防护虚机镜像即装即防。•云平台防病毒解决方案汉柏云安全之道（八）混合云公有云私有云汉柏OPV-Suite汉柏OPV-Suite汉柏OPV-Suite桥接OPC-Sec实现了对无物理边界的云平台按需防护应用场景部署汉柏云安全OPC-Sec产品的典型应用场景如公有云、私有云和混合云•汉柏OPC-Sec典型应用场景：安全云汉柏安全云解决方案云检测云防御云修复汉柏云租户安全服务租户安全一站式服务•通过云服务平台预置和封装，将底层虚拟安全资源的以服务的形式向用户提供。•租户安全服务：租户可自行定义和部署自己的安全策略租户安全策略：增值安全业务：通过虚拟化技术，为租户提供虚拟化业务设备，从而租户可以部署自己的安全策略。汉柏云安全服务所提供的业务能力包括防火墙、IPS、流量控制、审计等。虚拟化业务设备同时可以作为虚拟路由网关使用。提供防DDoS攻击、Web安全防御、防病毒、抗DNS攻击、流量清洗、漏洞扫描等租户安全策略定义汉柏安全云解决方案（续）汉柏云安全优势强大迅速主动汉柏云安全是网络时代信息安全的最新体现，它融合了集群技术、并行处理、未知病毒行为判断、应用智能感知等新兴技术和概念汉柏云安全技术应用后，识别和查杀病毒不再依靠用户本地硬盘中的病毒库，二是依靠庞大的在线网络服务，实施进行采集，分析以及处理。大大提高了安全效率，加上安全软件的实时处理，得以把威胁扼杀在到达之前汉柏云安全最大革新是改变被动杀毒的现状，使得安全软件在安全威胁前面给位主动，设计面更广，查杀病毒木马等种类多汉柏云安全产品上线路标研发版本发布时间：2015年05月25日发布版本号：v1.0产品上报价表：2015年05月15日产品化进程：2015年05月08日完成初步产品定义（定价、销售模式、授权模式、版本类型等）2015年06月03日召开产品预发布会议2015年06月15日公司内部产品正式发布并确定最终市场价格体系2015年06月20日完成正式编码申请2015年06月29日之前正式完成全部产品化工作。汉柏云安全产品命名规则OPC-1)2)第2)位-固定值，分隔符号第3)位Sec固定值第5)位具体型号/版本区分位Standard标准版套件Enterprise企业版套件Enterpriseplus企业增强版套件Sec3)Standard第1)位OPC固定值(OpzoonCloud)5)4)第4)位空格固定值，空格符号汉柏云安全产品价格体系说明定价原则：只区分标准版、企业版和企业增强版（目前研发只供应一个版本，与OPV-Suite策略类似）在特定版本下只按管理的worker数量进行授权（不涉及按节点/CPU等授权模式）每年服务价格为软件价格的25%内部价格体系说明版本参考成本价最低限价出厂价代理价公开报价标准版¥3,200¥4,625¥6,300¥80,714¥18,000企业版¥3,200¥6,800¥8,500¥11,357¥25,000标准版服务/年¥1,120------¥312,500企业版服务/年¥1,120------¥656,250企业增强版¥3,200¥11,600¥150,000¥160,714¥35,000企业增强版服务/年¥1,120------¥656,250汉柏云安全产品报价表格式说明编码产品名称产品型号产品规格公开报价备注汉柏云安全产品OPC-Sec一、软件待定汉柏OPC云安全产品OPC-SecStandard汉柏云安全软件标准版套件，含1个worker授权，含1年服务费。￥0受控销售，咨询产品经理待定汉柏