SANGFOR-安全资源池-2018初级能力成长-安全资源池政务云云安全背景知识2.pptx

安全资源池政务云云安全背景篇课程目标1.能够熟练掌握政务云的背景、建设痛点并能够熟练运用；2.能够掌握政务云安全问题产生的背景、痛点并熟练运用；3.能够简单了解政务云主流竞争对手，并能够简单运用；4.销售经理能够在用户处独立完成前期项目沟通；1.政务云面临的问题2.政务云安全诉求的来源3.政务云主流厂商政务云面临的问题建设模式多样云安全问题突出运营方式转变参与角色众多政务云建设模式多样建设方式上成熟发达省级政务云，如北京、浙江、四川等均为两个不同云服务商分建两朵，形成竞争关系；并设置独立的监管/监理角色，引入专业技术公司作为主管单位的技术力量支撑。如北京模式。地市级政务云，绝大多数只招标一家云服务商进行建设。投运流程上省级分建两朵的模式下，各委办局有较大的自主选择权；常常由租户申请预算，灵活购买两家云服务。地市级常由经信委、信息中心等主管单位，进行统一云服务购买。云安全是政务云的突出问题1.针对传统信息系统和物理网络的边界防御、入侵检测、应用安全保护等技术仍然有用；2.但针对云平台hypervisor层的漏洞发现、虚拟机逃逸和宿主机加固，以及虚拟化网络安全、镜像和云管平台的安全保护等方面缺乏有效手段；3.分布式防火墙+微隔离技术，可以一定程度上解决虚拟机间隔离、防御问题，但在多租户的政务云场景下又面临抢占宿主机资源、责权难明晰和自服务运维困难的问题，难以落地。运营方式的转变、参与角色众多a)主管单位：即当地政务云建设的政府牵头单位，如经信委等；项目建设前期，主要负责对云服务商进行遴选，以及后续的监督、考核、指导管理；并负责协调、组织和监督租户迁移上云。b)监管服务商：作为主管单位监督职责的延伸，为主管单位提供监管技术支撑；常见于成熟省、直辖市的省级政务云。c)云服务商：负责为当地政府投资、专门建设政务云平台，提供计算、存储等云服务，通过提供服务回收投资、获得经济效益；在成熟、发达省份的省级政务云项目中常会入围两家，分建两朵、形成竞争。d)安全服务方：作为云服务商的能力延伸，为使用单位（租户，委办厅局）提供安全服务；当前大多数政务云都处于缺乏、缺失状态，偶见于投运早、业务迁移多的省级政务云。e)使用单位：即租户，委办厅局；通过购买云服务商、安全服务方的服务实现业务云化，并对服务进行绩效评价。1.政务云面临的问题2.政务云安全诉求的来源3.政务云主流厂商通过典型区域看政务云安全挑战北京市政务云由北京市经信委统筹，事业单位主要提供网络、计算、存储、带宽等服务通过北京案例，政务云建设过程中的安全建设北京市级政务云体制建设角色众多，责任明确云服务商经信委云安全监管商公服中心使用单位北京市级政务云体制建设经信委/发改委/电子政务外网信息中心等公共服务中心云服务商使用单位监管服务商直接领导监管报告安全应急辅助监督、考核物理安全管理指导、组织实施绩效评价遴选监督管理协调监测监督使用、运行监测安全检查、边界安全监测规划、迁移；绩效评价边界安全监测云对接其他云政务云建设、运维云自身的安全保障安全资源池责任明确《北京市市级政务云管理办法（试行）》（京经信委函〔2016〕4号）12北京市市级政务云的安全需求采用何种安全方案，每种安全方案的实现方式产品生态、服务商生态如何在政务云中和谐共存产品的整合问题（成本问题，兼容问题）如何满足各方利益诉求核心关键云计算在当前虽然应用广泛，但是作为一个新技术，不可避免的存在诸多脆弱性，一旦被利用可能形成不可估量的安全事件。主要风险1.一台主机上可能承载多个不同的租户、不同的系统，运维管理复杂，流量不可视，风险难管理2.新技术的应用带来新的安全风险，如虚拟化层的漏洞等3.所有鸡蛋放在一个篮子里，受攻击面增大，同时平台方责任更重政务云新技术引入的安全问题1.政务云面临的问题2.政务云安全诉求的来源3.政务云主流厂商主流的云上方案主流的云上方案–硬件一虚多主流厂商及代表型号：华三M9000系列、华为USG9000系列、迪普DPX系列方案简述：通过硬件网关设备上的虚拟化技术提供虚拟防火墙、VPN等安全组件，多见于云平台厂商的打包方案中，作为边界网关解决租户间的访问控制。方案优劣：一虚多功能在某种程度上来说是一种成本较低同时实现平台基本安全策略的方案，该方案也存在致命的弊端，包括功能比较简单如waf、网页防篡改、网络审计等租户实际需要等保要求的安全策略都无法满足。同时，由于硬件平台的性能限制，随着平台业务增加、业务流量增大该方案无法支持平滑扩容随需所取。主流的云上方案–软件NFV主流厂商及代表产品：基于阿里云的深信服vaf、vssl、基于华为、华三云的安全镜像方案简述：通过和云平台耦合的方式，兼容云平台提供安全镜像，实现对租户的安全策略。方案优劣：对平台的兼容性要求极高，比如深信服目前NFV方案仅适配了自家产品和阿里云，另外多产品也很难形成统一的管理、配置复杂。主流的云上方案–SDN主流厂商及代表产品：云平台厂商（h3c、华为）、启明、绿盟方案简述：主要使用vxlan技术，通过设备（如防火墙）接口调用来生成策略，可以理解为在统一的协议中通过控制器引流建立租户对应的vrf、网关等配置，从而完成自动化交付。方案优劣：SDN缺少落地，目前没有看到落地应用很好的案例；运维复杂特别是排错很复杂，对运维技术挑战较大；SDN安全需要协调多家硬件设备厂商配合，难以落地。主流的云上方案–无代理杀毒主流厂商及代表产品：基于平台做深度定制的安全组件，常见针对vmware平台、h3ccas平台、华为fusion平台定制的deepsecurity产品。常见亚信、360等厂商。方案简述：针对平台深度定制的平台安全插件，主要提供杀毒功能，可细化到租户的策略，但是功能插件安全功能相对简单。方案优劣：深度耦合方案，软件兼容性较好同时处理效率高，杀毒功能强大。但是更新升级繁琐，部分更新需关闭平台，同时会直接影响租户使用的其他安全组件安全策略。功能比较简单，仍需搭配其他安全产品。服务器#1•硬件：HPProLiantBL460cGen8（2路8核）•软件：H3CCASCVM虚拟化管理平台服务器#2•硬件：HPProLiantBL460cGen8（2路8核）•软件：H3CCASCVK虚拟化内核系统192.168.20.110192.168.20.109VM防病毒安全管理中心组件共享存储•硬件：HPStoreVirtual4530LUN500GB管理PC192.168.20.69VMVMVM