1|EnterpriseInfrastructureService||April18,2020某公司云计算体系规划和建设方案2|EnterpriseInfrastructureService||April18,2020我们面临什么问题?3|EnterpriseInfrastructureService||April18,2020•关键应用主要是ERP,资金管理,支付和运算系统等,每个系统都配有测试+开发环境;•大部分系统如:支付,预算系统等采用虚拟化技术,ERP/资金管理采用IBM虚拟化技术;应用系统•Internet采用冗余架构,运营商互备,采用2条50M线路,同时通过VPN与分支机某公司业务服务器以IBM小型机、新购机现有服务器组成构互联。基础架构•网络安全设备包括:天融信/H3C防火墙,入侵检测系统;•流量负载均衡及流量控制系统;网络安全•某公司总部有600-800客户端,运维部门进行终端维护及服务器运维;•运维监控主要采用Tivoli与vCenter配合进行信息系统运维监控;运维管理4|EnterpriseInfrastructureService||April18,2020域控制器1域控制器2信息平台数据库信息平台WEB1信息平台WEB2邮件前端邮件后端VCENTER外网网站单点登录TIM单点登录TAM税务管理DB税务管理APP资金系统数据库服务器资金系统应用服务器ERP系统开发/测试服务器ERP系统生产服务器ERP系统生产服务器2ERP新加坡生产/测试服务器BW生产/测试服务器ERP培训服务器BO生产/测试服务器资金系统开发测试服务器生产系统117台测试系统5台•业务系统缺乏安全防护手段,系统易遭受攻击;•业务系统缺乏灾备措施,如遇突发事件将导致业务中断;•缺乏统一的,自动化,可视化的运维管理和安全管理平台,以及流程梳理系统,运维人员工作效率可以有进一步提升;5|EnterpriseInfrastructureService||April18,2020•以流量优化为主,缺乏针对应用层和业务数据威胁的防护手段;•缺乏针对核心系统的主动防御及漏洞管理措施;•业务系统缺乏灾备措施,如遇突发事件,业务将停滞;6|EnterpriseInfrastructureService||April18,2020•建设私有云平台,提高基础架构的交付速度和质量•建设云门户,提高开发人员的协同效率•通过云内置的自动化流程管理,初步规范管理流程和实现运维自动化•将安全管理转化为有效的日常管理活动;•可视化的管理所有的安全风险,威胁和漏洞•通过安全平台持续跟踪安全风险,并管理安全风险•通过SEM(安全事件管理)的实现,切实管控安全风险•建设下一代监控平台,获取全面监控数据,使之成为运维的核心平台•建设下一代日志收集,分析,聚合和展现平台,将所有行为事件纳入管理范围。•通过监控和日志平台的信息聚合和展现,实现BEM(业务事件管理)和OEM(运维事件管理)•建设自动化发布平台,实现发布管理的有序化•基于虚拟化和数据同步,建设50%资源的异地灾备,实现初步的数据灾备。•结合应用系统管理和业务管理,实现从数据灾备到应用灾备的转换•根据业务需求扩大灾备容量以及第二灾备中心•对于部分非核心的数字应用可以逐步迁移到公有云•通过连通公有云和私有云实现云资源的互通和快速迁移•通过混合云平台的部署实现全局资源的整合和利用安全可视化运维可视化私有云混合云容灾云路线规划-Roadmap7|EnterpriseInfrastructureService||April18,2020私有云8|EnterpriseInfrastructureService||April18,2020•搭建并配置私有云平台系统•搭建平台安全审计系统•配置平台备份阶段I-私有云建设•私有云平台流程梳理•建立服务标准化与服务目录•建立自动化和自服务阶段II-持续优化•私有云平台扩容•配置平台备份和监控阶段III-平台扩展•优化平台服务标准和目录•优化监控与备份阶段IV-持续优化资源快速交付提高资源利用率改善管理效益实现自动化和自服务,降低运维成本管理IT环境中的风险、满足运行安全要求满足企业业务快速发展需求VMware云路线规划-私有云9|EnterpriseInfrastructureService||April18,2020云路线规划1.0与现有环境整合,打造企业级私有云平台•提供自服务界面及资源管理•提供自动化运维和流程审批•自动化工作流及配置管理10|EnterpriseInfrastructureService||April18,2020vCenterHarddisksSSDHarddisksSSDHarddisksSSDNSXESXiESXiESXiESXiVSANvCloudDirectorCloudManagementPlatformDataCenter2/PublicVirtualDataCenterDR-SiteRecoveryManagerDR-SiteRecoveryManagerIPorStorageReplicationHybridCloudITBusinessManagementMetering/ChargingFinancialMgmtTier1AppClustersTier2/3Dev/TestClustersStorageArrayvSphereDataProtection/3rdpartyDataBackupToolVMDataBackupandRestoreESXiESXivCenterOperationsManagementSuiteHealthMonitoring/CapacityMgmt/ComplianceESXiESXiESXivCenter•提升业务敏捷性,彻底摆脱硬件的限制,实现更加灵活的基础架构,不仅体现在服务器上面,而且体现在网络、安全和存储等方面•加强集中管控,提高系统可靠性和合规性•通过自动化,大大简化运维管理,提高团队工作效率•通过服务管理、计量计费和财务管理,将IT部门从一个成本中心(CostCenter)转变为价值中心(ValueCenter)vCloud私有云平台云路线规划1.0与现有环境整合,打造企业级私有云平台11|EnterpriseInfrastructureService||April18,2020光纤交换机管理资源计算资源核心数据库资源vCloudBackupServer存储磁带库生产环境超融合平台测试环境核心交换机负载均衡设备防火墙网络CT&CU双线HA复制接入交换机云路线规划-私有云私有云架构配置管理SLA容量管理自动化流程自动化审批DB/中间件基础架构自助服务控制台运维自动化12|EnterpriseInfrastructureService||April18,2020安全可视化运维平台13|EnterpriseInfrastructureService||April18,2020系统漏洞评估网际威胁防御风险处置审计信息资产管理14|EnterpriseInfrastructureService||April18,2020资产发现虚拟化资产安全配置管理新增资产资产我们需要知道我们正在管理哪些资产?尤其在云环境中,动态虚拟资产的安全配置变化应是我们关注的重点。15|EnterpriseInfrastructureService||April18,2020在给定范围内发现需要管理的对象,主机、交换机、路由器、防火墙、存储设备等应毫无遗漏;每台虚拟主机、虚拟交换机、虚拟防火墙等都将被作为独立资产对待;任何加入或离开管理环境的资产的安全配置都将得到管理和控制;追踪资产功能和位置的变化而导致安全配置的变化;安全配置管理新增资产虚拟化资产资产发现16|EnterpriseInfrastructureService||April18,2020系统漏洞发现漏洞评估漏洞优先级排序修复建议漏洞当前系统中存在哪些漏洞?哪些需要马上修复?哪些可以暂时忽略!硬件固件中存在漏洞吗?17|EnterpriseInfrastructureService||April18,2020系统漏洞发现漏洞评估漏洞优先级排序修复建议五种不同的漏洞检测方法:主动扫描、代理扫面、第三方整合扫描、流量监听、设备日志(包含基础设施和Web应用系统的漏洞检测);多达75000种漏洞检测插件(日更新);多达7000种流量监测特征库(日更新);多达1250种日志记录特征库(日更新);依据重要性等级、危害程度及影响范围,给出漏洞处理的优先级;修复建议可针对系统开发人员给出,也就可以针对防御设备的策略调整;18|EnterpriseInfrastructureService||April18,2020威胁情报入侵行为分析事件应急响应防御措施优化威胁坐等威胁上门,还是运筹帷幄?被动响应攻击事件,还是分析入侵行为,防患于未然?19|EnterpriseInfrastructureService||April18,2020每周发送最新漏洞、零日漏洞,以及业内最新的安全动态;依据各类设备日志,进行事件的关联分析,发现潜在的入侵行为,从而修复系统漏洞或调整防御策略;根据漏洞发现和入侵行为分析的结果,针对防火墙、IPS和WAF及其他防御设备进行策略优化;资深安全专家7*24小时待命处置紧急安全事故;入侵行为分析防御措施优化威胁情报事件应急响应20|EnterpriseInfrastructureService||April18,2020安全水平监控定期安全报告安全评估及审计安全教育和培训处置安全容不得一刻懈怠,无论是针对系统的安全监控和审计,还是针对工作人员的安全教育和培训都必须定期进行。21|EnterpriseInfrastructureService||April18,2020安全水平监控定期安全报告安全评估及审计安全教育和培训基础设施、系统平台、业务活动等可能面临的风险,一目了然;作为定期安全管理状况的汇总信息,安全报告展示了安全管理的最新进展,成就和不足;可依据ISO/IEC27001,PCI、OWASP、HIPAA等合规要求进行定期审计,也可根据宝洁的要求定制;针对系统开发人员、业务操作人员的安全教育与培训;22|EnterpriseInfrastructureService||April18,2020突发事件下的应急能力新业务带来的安全风险管理范围内的安全趋势核心业务系统安全状态SC-CV平台“流量+日志+漏洞”数据聚合分析系统的业务价值23|EnterpriseInfrastructureService||April18,2020直观|准确|简单防火墙核心交换应用服务日志分析-LCE流量分析-PVS资产管理和漏洞分析-NS可视化管理-“SC-CV”日志日志日志流量流量漏扫引擎24|EnterpriseInfrastructureService||April18,2020在不同的DashBoard间切换,从而关注不同的“业务应用系统”或“组织环境”中的安全状态。根据每个业务系统的特点,关注不同的安全要素,如“访问量”、“文件下载”或“新建账户”。Web应用系统层面,我们需要关注“Injection”和“XSS”。12325|EnterpriseInfrastructureService||April18,2020附:部分标志性安全事件口令猜解VPN登录异常SQL注入查询SSH远程连接EXE文件下载新增MAC地址Web扫描事件超时TCP会话Web上异常的GET\POST\Download某系统扫描其他系统联机加密通讯Botnet可疑端口新建的主机可疑DNS查询网络代理程序这些“标志性安全事件”可以让你快速发现安全风险,而不必逐一查看系统日志。26|EnterpriseInfrastructureService||April18,2020口令猜解机器人登录暴力破解登录扫描新建用户登录异常多次登录失败测试案例