虚拟云安全解决方案-山石

虚拟云安全解决方案荣钰山石网科云安全市场总监IT资源虚拟化，使安全部署位置发生变化企业租户可实现业务快速上线部署可根据业务规模动态调整租用的资源通过互联网便捷访问公有云服务公有云平台发展特点云中的安全问题有多个方面安全是公有云运营商和客户的共同责任应用VM虚拟网络云系统云基础架构常用应用防护服务器、存储、网络云平台、SDN控制器、基础服务VPC的建立DDoS，L3攻击防护VPC间ACL网络间的访问控制：防火墙、入侵检测、应用识别和控制、用户识别和控制、L7防护VPNVM隔离、监控VMM安全SecurityGroup，VM间ACL身份认证和管理主机和OS安全：主机杀毒、主机入侵检测数据加密应用的安全：网站、数据库、中间件框架应用监控、用户监控IaaS公有云租户边界的安全需求虚拟化环境部署多租户独立管理租户远程安全访问租户私有虚拟网络安全防护公有云的边界防护l定义云的边界‐VPC网络‐互联网边界l安全防护‐层级防护（Defense-in-Depth）‐一些防护手段是不变：针对应用、OS、数据库漏洞攻击l混合云，和用户私有网络的互联山石云·∙界（虚拟防火墙）Internet租户虚拟网络1虚拟网络n虚拟网络2云平台虚拟资源公有云平台部署在VPC出口进行安全防护租户独立管理，按需配置为租户访问建立VPN隧道，确保数据安全传输提供负载均衡与流量管理、入侵防御等功能子网1vFW公有区域子网2私有区域云平台典型应用一（网间隔离）l延续传统部署模式，拓扑简单易懂；l网间逻辑隔离，执行安全防护控制lVPC边界部署vFWlVPC内部子网之间部署优点互联网需求l内外网之间的安全防护l内网各区域之间的防护vSwitchvSwitch典型应用二（SCVPN接入）子网1vFWVPN网关互联网公有区域子网2云平台A私有区域Al租户管理员的远程维护l私有应用资源的可靠访问l不同人员的访问控制l串联在VPC边界l隔离内外网l开启SCVPN功能lVPN支持各种PC和移动终端连接l为租户管理提供可靠的数据通道l基于角色控制，实现私有应用访问控制部署优点需求A类用户B类用户vSwitchvSwitch子网1vFWVPN网关互联网VPN子网2子网1子网2云平台AvFWVPN网关云平台Bl针对VPC租户l需异地云数据中心互联l需异地分支结构互联l串联在VPC边界l搭建IPsecVPN隧道l跨地域的分布应用部署l实现两地间的数据共享l兼容其他IPSecVPN厂商设备互联l提供异地互联备份链路部署优点需求典型应用三（IPSecVPN互联）VPNvSwitchvSwitchvSwitchvSwitch子网1vFW安全网关子网2云平台租户l需对VPC内的多个相同应用的服务器提供流量平衡l串联在VPC边界l开启服务器负载均衡功能，平衡入站流量典型应用四（服务器负载均衡）互联网部署优点需求l均衡流量，保障服务器资源的合理使用l实时侦测应用状态，提供应用流量的冗余切换vSwitchvSwitch子网1vFW互联网VPN公有区域子网2l为了降低本地带宽链路的投入成本，充分利用云平台的链路资源，改善租户员工的访问互联网的体验l区分不同员工的访问权限l保障特定应用的带宽云平台l串联在VPC边界，开启NAT功能l开启AAA认证并进行访问控制l开启应用识别l开启iQOS控制A类用户B类用户u专线接入云平台l通过链路负载均衡算法，对出站流量进行平衡、优选分发，改善上网体验l基于角色，灵活控制访问规则l基于角色和应用的QOS控制，合理分配带宽瘦终端利用云平台链路资源访问互联网1232典型应用五（链路负载均衡+iQOS）uVPN接入云平台1部署优点需求vSwitchvSwitch典型应用六（IPS入侵防护）子网1网关公有区域子网2公有云租户A私有区域VPC内网防护关键业务防护l为VPC内网提供网络入侵防护l或针对VPC内网中关键业务提供网络入侵防护l串联在VPC边界，提供内网全局防护l或部署关键应用前面，提供局部防护l连接互联网，实时更新特征库l提供网络攻击防护l过滤网络病毒，蠕虫，木马l提供异常协议/流量检测l提供业界最完整的Botnet特征检测部署优点需求vSwitchvSwitch山石云·∙界保护每个租户业务安全L2-L7 过滤与攻击防护链路与服务器负载均衡智能流量管理IPSecVPNSCVPN 安全访问控制应用识别与用户识别山石虚拟云安全解决方案——全维度防护东西向流量南北向流量每个虚拟机之间VPC出口防护典型案例：私有云内部可视隔离典型案例：公有云VPC或多租户方案云边界保护云内微隔离广泛的云服务商及技术合作伙伴…