安全资源池PPT

深信服云安全资源池解决方案深信服安全BU安全是云计算重要环节2021/1/19原因只顾平台合规安全建设迷茫合规标准滞后现状租户上云缓慢租户安全顾虑多租户安全无保障挑战1、云运营方如何持续产出？2、租户差异化安全需求如何满足？政务云的尴尬现状与挑战①安全需求随租户迁移线性增长。②运营方要求前期投入低，零库存。③支持合作运营，保障持续业务增值。①需满足安全业务的全生命周期。②需帮助租户达成安全合规目标。①服务化交付，符合采购要求。②租户自服务，简化运维。③权责明晰，打消安全顾虑快速上云。030102功能丰富服务化交付可运营政务云租户的安全需求现有云安全方案实现云安全方案建设现状2021/1/1901紧耦合方案：•平台自带安全组件•安全镜像方案02部分解耦合：•硬件一虚多完全解耦合：•DNS引流方案•虚拟机引流方案03硬件一虚多方案:点题2021/1/19Cloud硬件一虚多设备VM1VM2VM2租户A购买的套餐需要提供防火墙、IPS和负载功能，保证处理能力的10%租户B购买的套餐需要提供防火墙、LB功能，保证处理能力5%其他租户购买的套餐需要提供防火墙功能，限制处理能力5%租户与VLAN关联，入站出站流量需经过该硬件进行清洗。当前能够支持一虚多的硬件云安全解决方案，支持功能较少，大多数仅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100（租户A）Vlan200（租户B）vlan500（租户C）应用背景实现过程设备镜像化交付方案2021/1/19互联网省级管理平台ECS省安全组B业务ECSB业务RDSA业务ECSA业务RDSC业务安全组B业务安全组XXECSXXRDSXX业务安全组……vSSLVPN镜像vFW镜像堡垒机镜像负载均衡镜像政务外网应用背景云平台完成搭建，平台层面安全已经建设完成。租户对业务层面安全提出要求，平台方运营方需要一种快速、对平台改动最小的方案。安全厂商将原有硬件设备以镜像化的方式部署与云平台无法深度耦合实现过程安全产品提供方，需要根据不同云平台架构进行产品适配云平台一般只能够提供标准操作系统镜像（如windowsServer、Linux各版本），但安全产品镜像是非标准的操作系统，所以需要平台方协调安装交付后。需要在租户层面做路由、网关的更改，使流量经过安全镜像SAAS安全服务交付方案2021/1/19应用背景云平台租户有对外发布的WEB业务，比如网站业务。由于网站业务的特性，租户需要对网站经常受到的篡改、SQL注入、跨站等攻击进行防范。能够对DDoS、CC攻击具备一定的流量清洗能力。实现过程针对租户网站业务，提供SAAS安全服务，即网站用户访问流量经过SAAS安全服务清洗后，返回到源站IP。需要用户在DNS服务商处修改CNAME记录，CNAME指向指定的地址，从而完成流量牵引通过以上，完成对外WEB业务常见安全风险的防范互联网互联网SAAS服务商目标网站目标网站访问请求访问请求修改DNS记录，使用户的网站访问请求先经过SAAS服务商，经过清洗后，到达目标网站直接访问网站流程现有云架构下最优的方案2021/1/1901紧耦合方案：•平台自带安全组件•安全镜像方案02部分解耦合：•硬件一虚多完全解耦合：•DNS引流方案•虚拟机引流方案03无法解决：•完全耦合，平台不同，安全厂商融合难度大，开发工作量大•平台自带安全组件功能少，仅能解决部分问题无法解决：•虽然解耦，但是支持功能较少（DNS引流仅支持web流量）•大多为服务交付，平台方不掌握运营能力无法解决：•为了实现引流，需要复杂的路由、网络配置。无法简化配置、快速交付•仅有平台视角，缺少租户视角•硬件一虚多设备支持功能较少（IPS、FW、LB）全流量引流、本地化交付安全即服务、全威胁可视完全解耦合、安全责任清晰平台可运营、持续增值2021/1/19深信服云安全资源池方案2021/1/19整体拓扑架构示意图核心交换平台层物理安全安全即服务基于深信服公有云XYclouds资产暴露面安全应急服务网站安全报表业务可用监测云端web安全防护清洁流量DNS引流云安全服务云平台租户A租户B租户C计算资源存储资源计算资源存储资源计算资源存储资源策略路由安全接入包Web安全增强包基础防御包失陷主机发现包安全运营包租户A安全服务租户B安全服务租户C安全服务基础防御包云端监测包Web安全增强包云端监测包安全资源池在云数据中心部署、网络打通基于超融合技术，提供安全服务。深信服云安全资源池功能概览专家在线服务安全运营报告安全加固咨询人工应急响应安全状态监控安全风险统一分析统一安全资源分配安全态势可视安全日志统一运维安全可视化威胁可视态势可视流量可视网络可视资产可视漏洞攻击渗透测试网页篡改Web攻击访问控制数据窃取业务安全安全服务编排入侵防御IPSECVPNSSLVPN堡垒机数据库审计云端检测安全咨询Web防护数据防泄密L4-L7应用控制防病毒功能网页防篡改能力支撑层安全运营管理租户安全自服务平台层安全运营安全服务编排安全资源统一分配安全接入服务基础防御服务Web安全增强服务失陷主机发现服务云端检测服务安全运营服务服务交付与运营平台层安全服务层安全组网安全接入接入安全深信服超融合基础平台云安全资源池组件2021/1/19①安全运营服务：安全运营报告、安全策略检测、人工应急响应、通报问题处理②云端监测服务：业务可用性检测、资产暴露面、云端漏洞监测③失陷主机服务：黑链检测webshell、网页木马、恶意软件、实时漏洞分析④Web安全增强服务：WAF、防篡改、数据防泄密⑤基础防御服务：应用控制、病毒网关、IPS⑥安全接入服务：提供IPSECVPN、SSLVPN全生命周期安全2021/1/19安全资源服务交付流程平台方运营方界面2021/1/19安全资源服务交付流程——发起请求基础防御包高级防御包租户计算资源存储资源应用数据库安全接入包租户A增值业务包基础防御包云端监测包计算资源存储资源应用数据库租户B租户A的业务主要是面向系统内部员工开放的，为了保证内部系统数据传输安全，需要使用IPSECVPN互联，需要对内部系统开启IPSWAF网页防篡改等功能所以，建议租户选择“安全接入包”“基础防御包”“高级防御包”租户B的业务是面向公众的，系统架构为B/S架构，公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改，系统出现问题，可以及时发现，所以建议用户使用使用“基础防御包”“高级防御包”“云端检测包”。另外，为了保证系统的可用性，提升服务器、业务系统的使用效率，可以建议用户选择增值服务包中的“负载均衡”高级防御包2021/1/19安全资源服务交付流程——发起请求基础防御包高级防御包安全运营服务租户安全服务需求发起按组件、按需分配安全服务安全组件基本信息配置个性化安全策略配置日常安全事件运营平台运营方租户2021/1/19安全资源服务交付流程——定义安全服务安全服务定义场景定义交付功能定义安全资源服务交付流程——分配安全服务2021/1/19安全资源服务交付流程——安全服务编排2021/1/19租户A安全服务租户B安全服务基础防御包高级防御包云端监测包云端监测包安全接入包高级防御包授权资源池安全服务编排，释放租户需要的安全服务自动化网络基础信息配置（IP、路由等）云安全资源池安全资源服务运营-安全资源管理员资源管理员：根据租户选择的服务包类型，分配服务包到租户账户下，安全资源管理员拥有安全服务编排权限安全资源运行报告与日志：根据安全资源池租户使用情况，按照月、季度、年生成资源运行报告，针对资源使用/分配情况占比，资源利用率等维度，为租户、平台运维方提供有效资源配置建议2021/1/19安全资源服务日常运营流程面向租户运营界面云安全服务中心——租户安全服务可视、可配置流量可视模块：由于云上流量的不可视，导致用户对自己虚拟网络架构内部应用流量交互不清晰，流量可视模块，为用户展现网络流量组成（哪些具体应用，流量大小等），让用户随时了解业务流量组成安全可视模块：安全资源池内各组件（IPS组件、WEB防火墙组件、失陷主机组件等）的日志，通过安全可视模块进行收集，统一汇总，对用户汇总展现当前业务系统面临的风险。租户自管理界面：未租户提供安全服务包管理界面，每个租户可以对自己的个性化WAF、访问控制、IPS等安全策略进行配置，支持租户定义不同等级的管理员。2021/1/19云安全资源池价值展现2021/1/19深信服云安全资源服务的价值技术特色深信服安全能力2021/1/19最早适配阿里云、亚马逊云、腾讯云的安全厂商从2013年末阿里云推出第三方安全镜像合作开始，深信服就提供了SSLVPN与第二代防火墙产品适配阿里云平台至今已经成交超过千笔深信服技术能力表现2021/1/19安全市场虚拟化市场THANKS!