深信服云安全资源池解决方案深信服安全BU安全是云计算重要环节安全是云计算发展最大担忧44.349.250.050.455.861.163.163.174.6Notenoughmajor…Regulatoryrequirements…MaycostmoreBringbackin-housemay…Notenoughabilityto…Hardtointegratewithin-…AvailabilityPerformanceSecurity云计算所面临的挑战中,安全问题排在首位75%用户在安全性上犹豫不决Source:IDCEnterprisePanel(国际数据公司IDC)安全权责划分与合规的需求2019/10/7云安全不再是平台技术提供方或是平台运营方的事情A.B.C.D.E.技术提供方平台运营方租户监管机构ISV为租户提供可选择的安全方案。运营安全生态云平台技术对网络、数据等提供安全保障保证平台物理层安全通过使用平台提供的安全服务,保证自身业务安全为云环境下平台、租户安全提供指导,通过制度保证平台、租户安全云平台技术对网络、数据等提供安全保障保证平台物理层安全减少租户上云顾虑、满足业务安全的需求2019/10/7在以上流程中,亟需平台方去解决的是:1.现有应用架构,特别是数据库能否正常运行2.安全如何保障,平台方能否提供与线下原有数据中心匹配的安全能力上云前咨询云上基础架构规划安全架构规划迁云实施租户上云流程为租户提供安全可视、可自定义配置的需求2019/10/7线下原有数据中心租户云上数据中心安全可配置安全可视“黑盒”1.平台层打包“安全服务”,租户只管上云。2.所有安全服务打包在“黑盒”中,无法提供租户个性化配置界面??安全不可视流量路径不可视持续增值和安全生态运营的需求2019/10/71.硬件设备提供的安全能力,如何以增值服务的方式提供给租户?2.平台运营方如何快速掌握安全能力,并交付用户?3.租户的安全需求是持续的、不断更新的,如何通过安全生态运营满足不断变化的安全需求基本安全需求安全增值服务安全运营持续对抗新威胁现有云安全方案实现云安全建设现状2019/10/7010302紧耦合方案:•平台自带安全组件•安全镜像方案部分解耦合:•硬件一虚多完全解耦合:•DNS引流方案•虚拟机引流方案硬件一虚多方案2019/10/7Cloud硬件一虚多设备VM1VM2VM2租户A购买的套餐需要提供防火墙、IPS和负载功能,保证处理能力的10%租户B购买的套餐需要提供防火墙、LB功能,保证处理能力5%其他租户购买的套餐需要提供防火墙功能,限制处理能力5%租户与VLAN关联,入站出站流量需经过该硬件进行清洗。当前能够支持一虚多的硬件云安全解决方案,支持功能较少,大多数仅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100(租户A)Vlan200(租户B)vlan500(租户C)应用背景实现过程设备镜像化交付方案2019/10/7互联网省级管理平台ECS省安全组B业务ECSB业务RDSA业务ECSA业务RDSC业务安全组B业务安全组XXECSXXRDSXX业务安全组……vSSLVPN镜像vFW镜像堡垒机镜像负载均衡镜像政务外网应用背景云平台完成搭建,平台层面安全已经建设完成。租户对业务层面安全提出要求,平台方运营方需要一种快速、对平台改动最小的方案。安全厂商将原有硬件设备以镜像化的方式部署与云平台无法深度耦合实现过程安全产品提供方,需要根据不同云平台架构进行产品适配云平台一般只能够提供标准操作系统镜像(如windowsServer、Linux各版本),但安全产品镜像是非标准的操作系统,所以需要平台方协调安装交付后。需要在租户层面做路由、网关的更改,使流量经过安全镜像SAAS安全服务交付方案2019/10/7应用背景云平台租户有对外发布的WEB业务,比如网站业务。由于网站业务的特性,租户需要对网站经常受到的篡改、SQL注入、跨站等攻击进行防范。能够对DDoS、CC攻击具备一定的流量清洗能力。实现过程针对租户网站业务,提供SAAS安全服务,即网站用户访问流量经过SAAS安全服务清洗后,返回到源站IP。需要用户在DNS服务商处修改CNAME记录,CNAME指向指定的地址,从而完成流量牵引通过以上,完成对外WEB业务常见安全风险的防范互联网互联网SAAS服务商目标网站目标网站访问请求访问请求修改DNS记录,使用户的网站访问请求先经过SAAS服务商,经过清洗后,到达目标网站直接访问网站流程现有云架构下最优的方案2019/10/71.完全解耦合,权责清晰2.全流量引流3.全威胁可视、防御01紧耦合方案:•平台自带安全组件•安全镜像方案02部分解耦合:•硬件一虚多完全解耦合:•DNS引流方案•虚拟机引流方案03无法解决:•完全耦合,平台不同,安全厂商融合难度大,开发工作量大•平台自带安全组件功能少,仅能解决部分问题无法解决:•虽然解耦,但是支持功能较少(DNS引流仅支持web流量)•大多为服务交付,平台方不掌握运营能力无法解决:•为了实现引流,需要复杂的路由、网络配置。无法简化配置、快速交付•仅有平台视角,缺少租户视角•硬件一虚多设备支持功能较少(IPS、FW、LB)全流量引流、本地化交付安全即服务、全威胁可视完全解耦合、安全责任清晰平台可运营、持续增值2019/10/7深信服云安全资源池方案深信服云安全资源池功能概览安全可运营安全运营报告安全加固咨询人工应急响应入侵防御IPSECVPNSSLVPN堡垒机数据库审计云端检测安全咨询安全状态监控业务风险统一分析原有数据中心业务接入安全接入漏洞攻击渗透测试网页篡改Web攻击访问控制数据窃取统一安全资源分配流量可视安全日志统一运维业务安全业务接入安全可视威胁可视流量可视策略可视安全网络可视资产可视业务负载业务接入Web防护数据防泄密业务安全防护L4-L7应用控制防病毒功能网页防篡改安全接入服务包基础防御服务包高级防御服务包失陷主机发现服务包云安全资源池用户业务安全运营增值服务包运维安全包云平台平台层安全运营安全服务编排2019/10/7整体拓扑架构示意图核心交换平台层物理安全安全即服务基于深信服公有云XYcloudsDDoS高防漏洞扫描资产暴露面安全应急服务渗透/等保服务业务可用监测安全情报服务清洁流量清洁流量云安全服务云平台租户租户租户计算资源存储资源计算资源存储资源计算资源存储资源深信服云安全资源池SSLVPN安全接入包IPSECVPN防病毒应用控制基础防御包IPS防篡改WAF高级防御包数据防泄密Webshell黑链检测失陷主机发现包APT深信服超融合平台策略路由安全接入包基础防御包高级防御包基础防御包高级防御包安全监测包安全接入包高级防御包业务增值包租户A安全服务租户B安全服务租户C安全服务云安全资源池底层架构—软件定义的超融合平台网络虚拟化安全接入包基础防御包失陷主机发现包基础防御包安全接入包基础防御包高级防御包高级防御包超融合平台安全实力虚拟化实力云安全资源池方案高级防御包失陷主机发现包云安全资源池组件2019/10/7提供黑链检测、webshell上传点、网页木马检测、恶意软件发现安全组件提供web防护、网页防篡改、敏感信息防泄密安全组件、堡垒机、数据库审计提供应用控制、防病毒网关、IPS功能提供IPSECVPN、SSLVPN、安卓/IOS/windows安全接入SDK等多种安全接入组件安全接入包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件提供安全运营报告、安全策略检测、加固咨询、威胁分析、渗透测试、远程应急响应、通报问题处理运营服务基础防御包高级防御包失陷主机包云端检测包安全运营包深信服云安全服务依托于深信服企业级公有云平台(xyclouds)提供安全增值服务,服务交付方式为轻量级交付,具体为:1.修改DNSCNAME记录,使用户流量经过云平台清洗后返回源站。提供如下功能:1.资产发现:自动识别域名、IP、服务、网站、应用资产;风险感知:发现漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险;风险预警:企业应用漏洞预警、全球安全事件预警、高危风险预警;专家咨询:专家咨询、漏洞验证、人工渗透、应急响应2019/10/7安全资源服务交付流程平台方运营方界面2019/10/7安全资源服务交付流程——发起请求基础防御包高级防御包租户计算资源存储资源应用数据库安全接入包租户A增值业务包基础防御包云端监测包计算资源存储资源应用数据库租户B租户A的业务主要是面向系统内部员工开放的,为了保证内部系统数据传输安全,需要使用IPSECVPN互联,需要对内部系统开启IPSWAF网页防篡改等功能所以,建议租户选择“安全接入包”“基础防御包”“高级防御包”租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“云端检测包”。另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中的“负载均衡”高级防御包2019/10/7安全资源服务交付流程——定义安全服务安全服务定义场景定义交付功能定义安全资源服务交付流程——分配安全服务2019/10/7安全资源服务交付流程——安全服务编排2019/10/7租户A安全服务租户B安全服务基础防御包高级防御包云端监测包云端监测包安全接入包高级防御包授权资源池安全服务编排,释放租户需要的安全服务自动化网络基础信息配置(IP、路由等)云安全资源池安全资源服务运营-安全资源管理员资源管理员:根据租户选择的服务包类型,分配服务包到租户账户下,安全资源管理员拥有安全服务编排权限安全资源运行报告与日志:根据安全资源池租户使用情况,按照月、季度、年生成资源运行报告,针对资源使用/分配情况占比,资源利用率等维度,为租户、平台运维方提供有效资源配置建议2019/10/7安全资源服务日常运营流程面向租户运营界面云安全服务中心——租户安全服务可视、可配置流量可视模块:由于云上流量的不可视,导致用户对自己虚拟网络架构内部应用流量交互不清晰,流量可视模块,为用户展现网络流量组成(哪些具体应用,流量大小等),让用户随时了解业务流量组成安全可视模块:安全资源池内各组件(IPS组件、WEB防火墙组件、失陷主机组件等)的日志,通过安全可视模块进行收集,统一汇总,对用户汇总展现当前业务系统面临的风险。租户自管理界面:未租户提供安全服务包管理界面,每个租户可以对自己的个性化WAF、访问控制、IPS等安全策略进行配置,支持租户定义不同等级的管理员。2019/10/7云安全资源池价值展现面向租户界面2019/10/701040203权责清晰、安全合规安全可视、持续检测能力运营、业务增值交付便捷、运维简化05生态开放、快速上云深信服云安全资源服务的价值2019/10/7权责清晰、安全合规平台权责租户权责合理利用平台提供的相关安全技术,维护业务安全满足相关部门合规性要求对自身业务安全策略进行维护保证平台安全,避免平台层漏洞成为攻击跳板平台层合规性提供流程化的用户需求实现方案满足用户多样化安全需求2019/10/7能力运营、业务增值传统硬件方案仅能够满足云平台初期建设基本需求如何将硬件设备提供的安全服务运营起来?打造“云化”安全基础计算资源已经没有增值空间了,如何在租户安全上实现增值现在的解耦合方案(如云WAF)要么功能较少,要么对云平台要求比较高,难以交付平台运营方不掌握安全能力,无法运营将安全服务能力交付给平台运营方平台运营方具备根据用户场景打包安全服务能力平台运营方可以将安全服务与基础计算资源打包实现业务增值基础防御包高级防御包基础防御包2019/10/7安全可视、持续检测完整的攻击链条探测边界突破持续渗透安装工具横向移动窃取/破坏基础防御包失陷主机发现包失陷主机发现包攻击路径可视2019/10/7交付便捷、运维简化服务化交付,仅需要