安全云解决方案

安全云解决方案三种交付模式面向不同用户需求运营商城域网用户面向中小型企业按需交付易用易管的安全服务?防火墙基本功能包高级功能包?Web安全基本功能包高级功能包?入侵检测基本功能包高级功能包?漏洞扫描基本功能包高级功能包?上网行为基本功能包高级功能包……面向中大型企业交付专业的安全解决方案自建公有云租户等保二级服务套餐等保三级服务套餐串行安全防护服务包旁路安全监测服务包安全数据分析服务包……面向自建私有云用户提供虚拟化安全能力自建私有云环境虚拟化防火墙虚拟化Web应用防火墙虚拟化入侵防御系统虚拟化入侵检测系统虚拟化日志审计系统……城域网用户方案城域网用户的安全诉求?一次性投资低?总投入费用低?升级费用低便宜?方便部署、配置简单?方便运维易用?只为自己所需的功能付费?只为特定的资产提供安全服务按需中小企业大企业用户侧个人用户需要为用户提供什么样的安全服务安全自服务?用户自助选购、配置和使用所有的安全服务面向安全服务?以安全功能为安全能力单元，安全功能组合成安全服务?突破传统安全产品的概念，以安全服务套餐的方式灵活组合各种安全服务简化配置?简化专业安全产品的配置过程?用户所要配置的不再是完整的安全产品而是所购买的具体安全服务面向用户的数据隔离?用户配置界面只显示自己所购买安全能力的配置，且其配置仅对自身生效?用户只能查看自己购买安全服务的日志告警结果高可靠的安全服务?链路监测能力?Bypass能力面向第三方安全设备解耦面向安全服务——安全服务的细粒度化和重新组装防火墙WAFIDS上网行为管理安全功能安全服务1安全服务2安全服务3面向安全服务?以安全功能为安全能力单元，安全功能组合成安全服务?突破传统安全产品的概念，以安全服务套餐的方式灵活组合各种安全服务解耦多用户化和基础安全能力（标准化和第三方安全能力兼容）安全服务门户安全服务管理运维平台安全服务用户自服务平台VIM（Openstack）vFWvWAFvIPSSDNSwitchrestKVM安全服务管理配置系统(EMS)安全服务管理配置接口(rest)安全策略管理适配接口(rpc)安全事件数据统计分析系统安全事件数据统计分析接口(rest)安全事件数据采集接口(syslog)网络控制器(SDNC)OVSrestrestrestopenflowrestopenflowrestrest虚拟化管理接口(rest)安全服务管理系统(VFNM)安全服务管理接口(rest)SDNC适配接口(rest)rest接口运营方侧主要功能需求监测运维1监测物理设备、虚拟设备的资源使用监测网络链路状态监测服务运行状态服务包管理2可基于安全功能创建服务包服务运维3管理已审批通过的服务包订单管理4管理和审批用户提交的服务包开通申请订单用户管理5订单生效后，自动下发服务链，使服务包功能生效管理租用安全服务的用户账户信息管理提供代维服务的用户账户信息对服务包中包含的提供基础安全能力的设备进行配置和管理将服务包作为商品进行管理，可以进行上架，下架等操作处理网络和设备故障运营方侧-监控运维（全局）运营方侧-监控运维（资源池）运营方侧-服务包管理运营方侧-服务包运维运营方侧-订单管理推广目标——安全云1云上客户特点?客户群：运营商城域网、广域网；?业务特点：帮助城域网/广域网运营商实现基于大网的安全增值服务，提升宽带接入用户的安全防护能力；?安全需求：运营商级别安全运营模式。2我方优势?安全能力集成：依托“安全云服务平台”，提供包括安全产品、安全微服务、安全专家服务、威胁情报服务等多种多样的安全能力；?开放优势：“安全云服务平台”保持开放姿态，可根据用户需求，开放吸纳其他厂商的安全能力；3案例?XX电信安全云公有云多租户方案云计算安全的诉求——云租户想要一个什么样的云？服务商云环境是否安全？我的安全如何管理及落地？我的安全策略如何下达和控制？我的系统安全合规性如何保证？我如何能够随意按需分配安全能力？……1234可控合规可信可管5按需哪些安全是我负责的哪些是云服务商负责的？云服务商能给我们提供哪些安全能力？…………云服务商提供的基础计算环境及网络环境应该是具备相当的安全防护能力，至少是满足合规性要求。租户的系统安全，租户要有管理主权，为了保证系统的隐私性，租户要对我的系统行使安全管理职能的权利。租户对于系统的安全策略要求能够有可控制的权利，在租用云服务商资源同时可根据安全需求，调整安全策略。系统从传统环境迁移至云环境，安全属性并没有发生变化，这需要云服务商提供满足合规要求的完整的安全能力包。云租户租用云服务商虚拟化资源，可以根据系统的需求，自定义安全能力，对便捷性部署提出要求。等级保护2.0相关标准全景第一部分：安全通用要求基本要求测评要求设计要求第二部分云计算安全基本要求测评要求设计要求第三部分移动互联安全基本要求测评要求设计要求第四部分物联网安全基本要求测评要求设计要求第五部分工业控制系统安全基本要求测评要求设计要求云安全资源池vNGFWvIPSvWAF云堡垒机云审计vVPN主机安全管理日志审计各类云安全服务安全专家服务等保测评服务子公司1子公司2子公司N云安全服务平台安全业务编排安全自服务服务状态管理安全报告输出安全资源池管理安全订单管理安全工单管理提供服务提供服务提供服务云安全服务平台1门户网站2控制台3安全能力云网安全运营平台解决方案云安全产品安全服务云安全响应态势感知云安全服务平台链接调度支撑NGFWWAFIPS/IDSVPN主机EDR……第三方安全合作伙伴能力渗透测试代码审计安全加固……自有安全服务能力安全能力集提供云上租户安全业务的集成安全自服务核心业务流程新增租户1同步或手工创建租户账号填入合法的租户虚拟机IP地址范围（即VPC的IP地址范围）租户可自行完善联系人、联系方式、客户经理等信息创建业务系统2租户可在自有VPC内创建若干业务系统，如：网站、数据库等租户创建的业务系统，可定义等保定级。根据定级和保护对象属性，系统将推荐保护方案订购安全服务3租户可通过多种途径获取安全服务信息，选择安全服务套餐。支付后交付4支持线上、线下的支付方式。（具体方式由云服务方定义）可以依据等级保护定级，业务属性类别，标准行业解决方案等维度选择保护组合保护措施提供多种规格和时长，供租户选择一旦确认支付，云服务方管理员为对应租户开通安全服务，服务自动初始化至可运行状态租户自服务5服务开通后，将提醒租户，租户可登录管理地址，配置安全服务的具体策略租户也可选择安全代维服务，指定运维工程师按照租户要求配置并维护安全策略低耦合，依托引流、有代理方式提供安全能力，适应场景广泛CoreSWInternetCoreSWAccessSWAccessSWAccessSW……租户1VPCSECSW云安全服务区云安全服务平台控制台租户1vNGFWvWAFvIDSvVPN租户2vNGFWvWAFvIDS主机防护租户NvNGFWvWAF主机防护……安全域1安全域2VMVM有代理主机安全防护系统提供端点防护+微隔离VMVM租户2VPC安全域1安全域2VMVM有代理主机安全防护系统提供端点防护+微隔离VMVM租户NVPC安全域1安全域2VMVM有代理主机安全防护系统提供端点防护+微隔离VMVM……1.租户VPC边界防护，依托引流方式，由云安全资源池内的各类NFV化安全设备提供防护、检测、审计能力。2.租户VPC内，由有代理方式的主机EDR（端点安全检测和响应）提供端点防护和微隔离能力。整套方案不与虚拟化平台、云计算平台产生不必要的耦合，适应场景全面，能够快速敏捷部署。云安全服务平台——安全资源池安全服务目录-1类别安全服务服务描述等级保护二级套餐基础防护包提供2-7层防火墙+IPS，为租户边界提供安全防护。WEB安全防护包为网站提供WAF和网页防篡改功能。入侵检测包提供南北向网络流量中各类已知安全威胁的检测发现。数据库审计包为数据库访问提供审计。分支安全接入包通过vVPN（IPSECVPN方式）实现，提供远程安全接入方式。移动安全接入包通过vVPN（SSLVPN）方式实现，提供远程移动安全接入方式。主机微隔离包提供租户VPC内微隔离防火墙功能。主机威胁防护包有代理方式提供防病毒功能。等级保护三级套餐基础防护包提供2-7层防火墙+IPS，为租户边界提供安全防护。WEB安全防护包为网站提供WAF和网页防篡改功能。入侵检测包提供南北向网络流量中各类已知安全威胁的检测发现。网络审计包为南北向网络访问行为提供审计。数据库审计包为数据库访问提供审计。运维审计包提供运维堡垒机功能，进行VPC内资源管理和运维审计分支安全接入包通过vVPN（IPSECVPN方式）实现，提供远程安全接入方式。移动安全接入包通过vVPN（SSLVPN）方式实现，提供远程移动安全接入方式。云强认证包为接入用户提供IDaaS服务，提供双因素身份认证能力。主机微隔离包提供租户VPC内微隔离防火墙功能。主机高级威胁防护包有代理方式提供防病毒、HIPS、APT检测与防御功能。安全服务目录-2类别安全服务服务描述规格增值安全服务漏洞检测及管理1.网站漏洞云漏扫2.资产指纹探测3.漏洞检测4.挂马检测5.网站健康性监测按服务频率分为4档单次/月（2次）/季（6次）/年（24次）移动应用安全检测服务提供针对移动应用的全自动安全性，脆弱性及漏洞检测分析，帮助企业实现全自动的应用发布管理及安全性回归测试1APP/次渗透测试服务人工服务，为云上租户业务系统提供渗透测试服务。一个系统安全风险评估服务人工服务，为云上租户业务系统提供安全风评服务。一个系统代码审计服务人工服务，为云上租户业务系统提供代码审计服务。行代码安全咨询服务人工服务，为租户提供安全咨询服务。1人/天等级保护测评服务（二级）针对定级为二级的应用系统进行等保合规性测评工作。最终由具备信息安全等级保护推荐证书的单位一个系统（虚机数：0-5/5-10/10-20/大于20）等级保护测评服务（三级）针对定级为三级的应用系统进行等保合规性测评工作。最终由具备信息安全等级保护推荐证书的单位一个系统（虚机数：0-5/5-10/10-20/大于20）推广目标——公有云多租户1云上客户特点?客户群：政务云、行业云等运营型云平台；?业务特点：帮助云服务商构建具备竞争力的云平台，使安全运营化；帮助上云租户系统安全合规；?安全需求：等级保护合规刚性需求，大客户需满足网信办关于关键信息基础设施的保护要求。2我方优势?安全能力集成：依托“云安全服务平台”，提供包括安全产品、安全专家服务、威胁情报服务等多种多样的安全能力；?开放优势：“云安全服务平台”保持开放姿态，可根据用户需求，开放吸纳其他厂商的安全能力；3案例?XX云平台私有云安全方案私有云安全问题1云内边界模糊问题原先大部分可以通过物理方式界定的边界，在网络虚拟化技术的普及后，边界也只能在逻辑上进行界定。虽然网络虚拟化技术的实现也提供了网络隔离的技术，但是隔离的细粒度和安全需求之间的矛盾也逐渐凸显。2虚拟化流量不可视问题应用网络虚拟化技术后，导致占数据中心70%以上的东西向流量无须经过物理网关转发，由二层转发即可完成三层路由的功能，导致传统的物理安全审计/检测设备在获取流量时出现了盲区。VMVMVMVMVMVM同一VLAN，不同宿主机同一VLAN，同一宿主机3云内向云外的攻击问题许多基础设施的建设先于安全建设的步伐，云资源被滥用呈现泛滥的趋势，云主机被植入木马成为肉鸡，对外发起DDoS攻击，其攻击效用比也比传统数据中心更高。4安全资源无法灵活调配问题安全资源没有实现软件定义化，安全设备依据安全设计方案，固定在物理路径中，当业务系统出现变更、扩容时，安全资源无法灵活的按需添加、变更、删除，成为了业务系统的掣肘因素。软件定义?定义安全管理?定义安全边界?定义安全服务?……按需?按时间需求?按资源需求?按粒度需求?……关注业务?业务定义安全域?业务可用监测?贯穿的服务链?……可视化?资产可视?安全域可视?安全状态可视?……可行性?安全解决方案可行：不破坏用户业务环境，如替换VMM内核?用户业务环境保障：安全