云计算数据中心的网络安全防护网御星云郭春梅2011年12月网御星云公司基本情况�计算机信息系统集成资质(一级)�涉密系统集成资质证书(甲级)�武器装备承制资质�国家信息安全服务二级资质�国家信息安全一级应急响应资质�ISO9001质量管理体系认证证书现有员工600余人,研发200余人2010年销售收入约2.4亿主要产品:安全网关隔离网闸主要客户:政府、军队、电信背景分析研究计划物理网络与虚拟网络共存云数据中心的网络安全威胁虚拟网络安全的发展现状物理网络&虚拟网络分布式虚拟交换机HypervisorHypervisorHypervisor物理网络物理网络物理网络物理网络虚拟网络虚拟网络虚拟网络虚拟网络�分布式拒绝服务攻击�网络病毒、恶意软件�未授权网络访问�域名劫持、路由劫持�高级持续威胁APT传统网络安全威胁网络内部、外部泄密拒绝服务攻击高级持续威胁特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫物理网络安全防护防护理念防护理念防护理念防护理念安全产品安全产品安全产品安全产品安全技术安全技术安全技术安全技术PDRPPDRPDRR白名单白名单白名单白名单黑名单黑名单黑名单黑名单FWIDSIPSVPNNAC内网到外网内网到外网内网到外网内网到外网�准入控制准入控制准入控制准入控制�访问控制访问控制访问控制访问控制外网到内网外网到内网外网到内网外网到内网�访问控制访问控制访问控制访问控制�攻击检测攻击检测攻击检测攻击检测/防护防护防护防护防护模型防护模型防护模型防护模型应用程序应用程序应用程序应用程序操作操作操作操作系统系统系统系统VMM虚拟化服务器VM3VM1VM2物理交换机物理网卡虚拟交换机虚拟网卡虚拟网络流量虚拟网络流量虚拟网络流量虚拟网络流量应用程序应用程序应用程序应用程序操作操作操作操作系统系统系统系统应用程序应用程序应用程序应用程序操作操作操作操作系统系统系统系统虚拟化引入的安全威胁�虚拟网络未授权访问、泄密及恶意攻击�对虚拟化平台和虚拟机的网络攻击安全威胁虚拟网络内部的边界模糊DMZApplication1Application2EdgevShieldEdge保护虚拟网络或安全域SecurityZonevShieldApp和和和和Zones保护虚拟服务器及其应用Endpoint=VMvShieldManager集中管理平台虚拟网络安全的发展现状-VMware基于VMsafe接口功能•防火墙•IDS/IPS•Web应用程序保护•完整性监控虚拟网络安全的发展现状-趋势科技基于VMsafe接口小结虚拟化对网络安全防护提出新挑战1虚拟网络安全防护国外已有产品实现2主流平台安全接口不对国内开放3国内没有虚拟网络防护成熟产品4面向物理网络的安全防护面向虚拟网络的安全防护面向服务器虚拟机的安全防护背景分析研究计划云计算云计算云计算云计算数据中心数据中心数据中心数据中心面向物理网络的安全防护用户1用户2用户3��GUARDFirewallUTMIPSAVG面向虚拟网络的安全防护vFWvUTMvIDSvIPSvAVGHypervisor层面向虚拟主机安全防护无防护无防护无防护无防护有防护有防护有防护有防护Hypervisor层网络安全研究方向�在Xen/KVM/国产平台上,基于虚拟平台的安全API接口研究(类似VMsafe)�对单个虚拟服务器及其应用的安全保护研究�统一安全管理平台研究安全产品硬件虚拟化安全产品硬件虚拟化安全产品硬件虚拟化安全产品硬件虚拟化安全产品软件虚拟化安全产品软件虚拟化安全产品软件虚拟化安全产品软件虚拟化Hypervisor级级级级VM安全防护安全防护安全防护安全防护LeadsecManager管理控制中心(安全策略、配置、日志)总结•已实现的研究目标•重点研究目标重点研究目标重点研究目标重点研究目标安全产品硬件虚拟化安全产品软件虚拟化Hypervisor级VM安全防护
