原生云安全解决方案0925正式版

云安全解决方案分享者：吴雷 分享时间：2020年5月14日云01安全发展Vmware早期的解决方案技术方案：通过vmware的API进行对接背景：打造无代理的方案优势：客户无感知不足：使用场景受限，采购成本比较高山石、东软、天融信（无代理方案）扫描、数据库导流引擎审计类vSwVM状态1 VM状态2 VM状态3虚拟防火墙

部署：扫描、数据库审计等产品直接通过软件形式部署在vmware环境内，保证网络能通即可。IPS、WAF类型产品可以放在虚拟机串行链路上。其中虚拟机中间的隔离，特别是东西向的微隔离方案，通过图上部署，创建虚拟防火墙虚拟机，连接到用户虚拟交换机。如果需要保护或者隔离某一台虚拟机，只需要把业务虚拟机的PG链接到虚拟防火墙上即可，需要恢复时在链接到用户的虚拟交换机原理：通过vmware的底层接口，创建业务虚拟相同的PG，用于连接虚拟防火墙以达到隔离效果，全部是通过导流引擎去跟vmware进行接口对接实现。优势：完全虚拟化的部署不足：不好适配，工作大，安全能力单一有代理方案（主机安全）传统杀毒厂商（内核态）新一代的代理方案（用户态）1、倾向主机安全类 、安全狗、安2、东西向隔离目前主流02云安全解决方案云安全面临的挑战云安全标准网络框架：1）云平台的安全等级》=云平台承载的业务等级2）云租户间需要隔离3）可以根据云租户提供各种安全服务4）云租户可以自己设置安全策略的能力，包括访问路径，选择安全组件，配置安全策略5）开方API接口或安全服务，允许租户选择第三方的安全服务集中管控：1、对物理资源和虚拟资源做集中的管理调度2、用户的管理网和业务分离3、云服务商，和租户业务职责划分、各自审计、控制自己的数据、资源。

数据安全：1、镜像、快照的保护2、数据完整性、保密性3、数据备份和恢复安全计算环境:1、身份鉴别当远程管理云计算平台时，终端和管理段需要双向验证2、访问控制：a）当虚拟机迁移时访问控制需要随着策略迁移B）允许云租户设置不同虚拟机之间的访问控制策略3、入侵防范：1、虚拟机资源隔离失效告警2、非授权虚拟机启动告警3、恶意代码在虚拟机直接的传播云安全面临的挑战安全技术——传统安全的挑战1、盒子安全产品资源浪费2、运维复杂3、数据浪费4、安全的集中管控等保通用的云安全服务云平台租户（SaaS）提供防火墙服务 提供VPN服务提供web服务 提供入侵防御服务提供日志审计服务 提供主机安全服务提供态势感知服务 提供数据库审计服务网站安全监控 弱口令扫描服务

堡垒机服务提供全流量深度检测与威胁分析系统服务提供上网行为管理服务网站安全监控系统漏洞扫描服务数据库漏扫服务基线配置核查服务出等保测评报告（配合等保测评公司）NFV云安解全决资方案源（池一部些署公方有云式、一些私有云）云厂家通过安全市场的方式把虚拟安全以模板的形式放在云平台内部全部虚拟安全设备运行在第三方的云平台之上为每个租户（VPC）提供独占的一套安全设备问题：专业性可靠性性能单点安全利用率复杂度用户的使用专业度安全性架构的合理性，业务和安全分开、责任分开

租户A防火墙漏洞扫描日志审计WEB 邮件服务租户A

租户B堡垒机态势感知防火墙OA 邮件租户B云平台

租户CWAF防火墙网站监控防火墙网站 APP租户C资云源安池全的资方源案（池独部立署资方源式池+传统网络技术）自动编排可靠性性能兼容第三方兼容硬件SaaS

租租户户AA安全服务租租户户BB安全服务租户C云安全资源池平台层物理安全核心交换

租户A 租户B 租户C防火墙 堡垒机 WAF防火墙漏洞扫描 态势感知 网站监控策略路由日志审计 防火墙 防火墙网站APPWEB邮件服务OA邮件租户A 租户B 租户C云平台安全服务链 资源池（安全+SDN+AI）解决方案资源池（安全+SDN+AI）云平台（第三方云平台）云平台（第三方云平台）资云源安池全（资安源全+SDN+AI池功能概）览平台架构防病毒态势感知入侵防御资产管理堡垒机云端检测SSL/WAF网站监控网络审计数据库审渗透机器IPSEC计人云安全资源池（租户侧）安全可见安全可管安全可运营流量可管安全运营报告威胁可孔漏洞管理安全设备管理策略可见安全数据管理安全服务管理安全加固咨询安全网络可视安全策略管理安全模型管理应急响应资产可见

平台层安全运营统一管理统一编排统一调度弹性扩容流量可视安全日志统一运维云安全资源池（管理员侧）资源池（安全+SDN+AI）自动化应用、及大流量方案可以针对单租户流量横向扩展没有上限，当虚拟机的性能达到瓶颈时可以自动添加新的安全虚拟机，当流量低时可以自动关闭新增的虚拟安全设备，释放对应资源，可以做到安全的自动伸缩功能SW

FWWAFIPSCNA1FWWAFIPSCNA2接入sw接入sw接入swFWWAFIPSCNA3FWWAFIPSCNA4业务业务业务123云安全具备能力图形化编排云安全具备能力云安全调度运维管控解决方案安全合智能化 规云安全理想目标理念安全服务数据中心理念目标价值

中心理念“安全服务数据中心”：安全服务标准化能力、安全服务多样化