构造可信的云架构

臧铁军售前咨询顾问,VCP,CISSP构建可信的云架构议程云安全所面对的挑战VMware的云安全解决方案云安全所面对的挑战——如何理解云计算时代的安全需求IT新时代的兴起大型机PC/服务器互联网云云计算将转变IT服务的交付方式为什么谈到安全？调查时间：2011年1月调查范围：全球调查对象：CIOs与IT决策者如果云计算环境的安全性与内部数据中心的安全性

88%的用户愿意更大规模地采用云计算93%的受访者认同VMware对云计算的定义Base:636Totalrespondents;234USrespondents;202EMEArespondents;200APACrespondentsSource:CIOGlobalCloudComputingAdoptionSurveyJanuary2011相同或更好安全性、遵从性与可用性是CIO的主要关注事项2010.11IDG企业云计算调查：实施云计算战略的最大难题或障碍是什么？

资料来源：2010IDG企业云计算调查，2010年11月信息安全一直是IT管理者的最基本需求高可用监视与记录变更管理强制使用高安全性密码受限制的访问（RBAC）安全的代码及时地更新补丁部署防病毒软件数据加密系统整固正确的防火墙配置数据保护与灾难恢复传统的安全防护措施是静态的云时代的IT架构总在快速变化安全性，遵从性与可用性安全性是指为应用、数据、服务器、存储和网络提供保护，防止恶意软件和未经授权的人员对其进行访问。遵从性是指可证明符合标准或法规要求。

可用性是指可连续保障业务运转的能力。

云时代所面对的安全挑战云计算的特性:基于服务的可伸缩，有弹性的多租户，共享的依照使用情况来计量依托于互联网技术安全性是服务内容之一连续的风险与遵从性监测标准化利于遵从性，保障选择权可用性是SLA的重要内容动态变化需要实时保持遵从性良好的资源监控手段保证可用性隔离保护是基本的安全性需求资源的分配与控制保障SLA安全风险增大，安全事件后果严重安全组件是计量对象与工具私密性，可用性，地域差异谁来保证云计算环境的安全性？“调查发现大多数的服务提供商并未采取数据保护措施，因为它们不认为对这项工作负有责任”(IdentityWeek,ITSecurity&News)“70%的云服务提供商没有把保证安全性作为它们的主要职责(Ponemon2010)”“华尔街日报文章：主要的云服务提供商不认为云安全是它们的一项重要职责——BenRooney”公有云模型下的安全职责软件即服务(SaaS)主要由服务商保障安全性架构即服务(IaaS)主要由用户保障安全性平台即服务(PaaS)双方共同分担安全责任平台数据应用网络用户控制服务商控制安全性，遵从性与可用性是SLA的主要组成部分云计算基础架构黄金级青铜级白银级可用性

=

99.99%灾难恢复

RTO

=

1

小时最大延迟

=

500

毫秒

SLA

定义可用性

99.99%DR

RTO

1

小时备份

每天存储容量

1

TB性能

高

I/O安全性

高?99.99%1

小时每天10

TB高

I/O高99.9%3

小时每周10

TB中等

I/O中99.0%无无10

TB低

I/O低99.99%1

小时每天10

TB高

I/O高99.9%3

小时每周10

TB中等

I/O中99.0%无无10

TB低

I/O低可用性

DR

RTO

备份存储容量性能安全性VMware的云安全解决方案——安全性，遵从性与可用性当前湖企业期数据博中心匀架构vS津ph垃er义e用户站点后端服务网络糟分段风，防委火墙零，入案侵检畅测/防护服务神器防馋病毒化代理应用|数据|身份讲感知服的安扣全与盈遵从减性DM侄Z，防匹火墙,岩NA尚T站点股与用翼户VP贪NsWe播b负载傲平衡桌面泥防病咳毒代此理DL左P,SIM葵,白名池单DMZWebVDI安全今性，鲁遵从伟性与尺可用丈性安全榨性是星指为仓应用尊、数寒据、塌服务铜器、秋存储读和网脚络提锤供保剥护，枕防止刻恶意新软件储和未荣经授从权的盒人员庙对其币进行湖访问乎。遵从叼性是爸指可奔证明并符合吃标准扬或法诸规要祸求。可用凳性是浴指可目连续梢保障词业务蕉运转旦的能浴力。宿主本架构裸金挑属架界构VM务wa盗re掉E据SX旺/E恨SX粒iVMwareWorkstationVMwarePlayerVMwareACEWindows,Linux,MacVirtualizationLayerAP馆P健壮往的Hy欲pe寸rv颂is殿or是保障安全品性的伪基石ES翅Xi鲁5:云安香全的眠最佳街保证鲁棒水的设朗计精典Hy姜pe剥rv读is衰or:赵10田0黄MB所有侄模块漏经过筐数字洗签名严格钉的内久核级牵别访盾问控然制平台勉保护基于铁硬件贞的可座信引镰导内存室一致散性加馆固通过ES案Xi内嵌套防火划墙保菌护管萄理界删面审计葱功能安全私日志改进培的审升计信疲息架塘构周边书安全内部据安全终端柿安全隔离内部服务和应用

基于VLAN或者子网的策略内部的或者Web应用防火墙

DLP,以应用标识为依据的策略VLAN1VLANs传统防的数额据中痰心纵榨深防竿御Cost&ComplexityAtthevDCEdgeSprawl:hardware,FWrules,VLANsRigidFWrulesPerformancebottlenecks将威胁隔绝在系统之外

周边安全设备防火墙,VPN,入侵检测系统负载均衡终端保护桌面防病毒代理,

基于主机的入侵检测

针对隐私数据的DLP代理云安羞全利菜器——复vS陶hi追el秒d产品魔家族VM胁wa番re虽v稠Sp戏he经reVM爪wa射re萍v健Sp耐he滩reDM的Z应用1应用2EdgevShieldEdge虚拟数据中心

边缘安全保护SecurityZonevShieldApp&Zones分隔资源，保护应用程序

免受来自网络的威胁Endpoint=VMvShieldEndpoint防病毒功能的剥离Endpoint=VM所有安全组件可集中管理vS欲hi挂el撕d鹅Ma圈na南ge纠r端到帆端的隆私有盾云安侮全保自护：女从Ed缴ge到En工dp扁oi渐nt边界忘防护膀与通斗讯管蝇控——vS羡hi垒el定d粱Ed淘ge有状寄态防表火墙(F怠ir惹ew魔al助l)网络恼地址京转换(NA夜T)动态逮主机尚配置衡协议(DH色CP)We颜b负载插平衡(L洋oa旺d疫Ba厚la父nc前er虏)用于点脚本筋编写蜜的RE淡ST呢A国PI活动汪日志供记录站点料到站兰点VP栗N彩(I疗PS深ec)(新!)静态东路由(新!)降低状成本诸和复钻杂性提高云痛计算尽环境挎的敏穷捷性VM舞wa粒re叨v福Sp写he敞re租户

A租户

B租户

XvS禁hi退el喷d发Ed岸geVPN负载平衡防火墙Se垂cu赛re窃V揪ir窄tu奥al坛A塌pp仅li熔an仙ceSe扎cu垃re磨V遍ir银tu闭al险A沟pp舌li溪an勾ceSe用cu射re烛V衡ir舰tu柄al优A池pp洁li末an印cevS尺hi蚂el抓d酸Ed盘gevS自hi勒el叮d韵Ed波ge22优势主要洋功能vC喘lo拣ud捕D戏ir肤ec赞to疮r与vS锁hi摇el沟d荒Ed诉ge的结则合组织寄网络1组织哄网络2组织拼网络3vA春pp枣4vA广pp网络vA混pp之3vA熔pp畏1vS旁hi晌el住d粗Ed菜ge虚拟杏设备vS似hi膀el赖d歉Ed稀ge虚拟企设备.1摔1.1毅2.1尖11.1念12vA榜pp馅2vA碌pp网络vA辅pp网络组织Al黄ph撒a外部抓网络站点翼到站阵点IP煌Se筐c混VP永N应用部场景连接把另一欲个允组织僻中的伏网络纺的安候全加弄密链赌路连接中本组智织中诊的忆网络踢的安毁全加繁密链愁路连接掠远程鼓网络临的牌安全傲加密胆链路私有/公共vCloud组织C

组织网络组织网络VPNvCloud1组织A组织网络vCloud2组织B组织网络VPNVPN端点vCloud组织D组织网络VPN区域荡分隔南与应乳用保粪护——vS青hi惧el脸d竖Ap屯p虚拟靠网卡求级别郑的保叹护；基于饭容器改和安哑全组陕的策报略；自动狼感知经变化电；简化访的策蹈略减直少了闲出错鹿的风吼险；支持RE绢ST拒A突PI辉s开发惠脚本浮；应用圣感知早的网训络流露监视明；审计膛日志伐与系讽统日革志。策略为的应胖用灵达活，伯细粒希度更剪好对虚风拟化袜及配车置变篇更具序有感睬知能鹿力VM夸wa绘re的智摧能技玩术使vS面hi塘el抄d怠Ap搅p可以绵感知廉和适炒应网惧络的衫变化棉，简民化了VL乐AN与防贸火墙土策略畜的管绣理，浙可以糊在更庆具细歪粒度目的网拒络级痰别上豆提供茫安全菜防护旺。优势主要断功能vS警hi养el死d顽Ap下p基于尝组的亲策略互联昨网财务We犯b组数据库WebVMwarevSphere+vCenter人力资源数据库Web数据库市场营销vS舒hi驶el继dAp幅p—典—更多车的策略分组We脖b数据水库组安全程组资源止池MA格C组IP证/端口组TCP/IPvS弟hi起el名d览Da鞠taSe弱cu棚ri末ty俱——甩20柄11年9月推出云计得算基末础架白构（vS咳ph鸣er末e、vC士en促te并r、vS叼hi准el座d、vC馋lo卫ud申D裙ir汇ec答to缘瑞r）!!!发现窑并报纸告虚凭拟机女间的系敏感枝数据以对鸦虚拟包机透恐明的夹方式核连续雾进行科扫描优势主要晶功能通过秩自动果扫描龙、快尘速评狼估和琴报告哈来降除低不棍合规轮风险通过肢将数导据发锅现功失能转移到虚芦拟设闹备来债提高笔性能新!端点季安全眯防护——叨vS盘hi窑el允d窝En置dp炕oi论nt通过费避免荡防病录毒风萝暴来提高面性能通过消除授代理耍来简维化管书理优势将保劫护功楼能转绢移到安全酒虚拟辣机使用菠虚拟捡机中葱的驱动沾实施强制高修复由一宫流的合梯作伙伴馅提供倘安全虚拟肉机主要刑功能vS遥hi花el肾d优势——因云毕而生传统章安全迹解决机方案vS吉hi信el汁d解决兵方案经济一个页虚拟锣设备华提供淡全部鸽功能全部稍保护盛功能滴通过卸单一筋框架称实现简单极少络的规掏则，VL而AN与代皇理为VI管理河员，渡网络括和安则全团糖队提艰供管肌理界背面简化旺了遵腐从性灵活可感逃知虚态拟化延与配持置改踢变快速变修复昂贵需采节用专笋用的吗硬件雁设备需采明用多驼套解防决方工案死板策略文与硬逼件绑莫定对虚额拟化茶和配袍置改拢变没邪有感匆知复杂多个勉管理砖界面大量醒的安短全策绒略安全亏角色禁存在维交叉vS盾hi狡el业d草En剑dp挺oi逮nt风:终端保护vS男hi积el资dAp钥p:桌面安全文域vS定hi填el窝d次Ed燥ge余:负载均衡整合VP羞N的数爸据流彻加密vS弄hi货el罚d应用猫场景——保护Vi黎ew部署解决丹方案-邮vS够hi恶el帆d贼Ed倒ge绪,迅A最pp缓,抵&级En扇dp削oi疲nt安全初性，吃遵从暮性与剃可用叮性安全烛性是迫指为女应用丘、数奶据、视服务隆器、员存储瞧和网码络提译供保接护，兔防止态恶意宗软件宪和未失经授苍权的去人员海对其粥进行突访问美。遵从必性是魂指可市证明鲁符合辅标准政或法沉规要臂求。可用尿性是虚指可蜜连续笋保障棕业务踏运转胆的能庄力。行业沃性的捐法规疤遵从扎要求健康劲医疗零售拔业制药盒行业政府能源日行业金融有服务Sa拥rb哄an器es数-O狮xl婶ey秆/J播_S纪OX洗(联Ja市pa毫n)HI雨PA恼APC昆I字DS链SPC莫I链DS琴SHI啦PA惊AFE粱RC冬/沸N摆ER材CFI济SM搅AGL你BADI咱SAIS镇O贪17趋79钢9-踢27衰00厕1Ba预se毕l概IICO阀BI剥T企业俩所面码对的惧挑战不必要的，有脆弱性的服务没有清除磁条数据的存储Web应用代码质量不高缺少完备的监控手段网络缺少必要的分段缺少相关日志不适当的访问控制缺省的系统设置和口令缺少安全补丁或补丁已经过时策略与流程不完整连续隔的遵风从性驼保证——vC搅en沫te屋rOp舟er缩慧at副io裤ns配置肚管理遵从性检测与修复，确保低风险虚拟化平台的管理与控制变更管理可降低服务中断的可能性环境加固以减少威胁和漏洞基于遵从性策略的置备和补丁管理可消除脆弱性“通过饭整合诊管理估工具璃以提粮升运予维效背率”VM斧wa滤re实现扫遵从恰性的运转变厘：从付需要疯密集热手动沾操作…需要储专业愿知识无法霸识别励更改手动胜修复虚拟化强化指导原则CIS基准测试

FISMAHIPAASOXNERC/FERCPCIDSSNISTISO27002GLBADISA使用仓传统招方法维护饭遵从盖性2…转变醋为自士动实神现持疗续遵工从性PCISOXVMWFISMAHIPAASOXNERC/FERCPCIDSSNIST13预配置的模板监控数据和更改

自动修正

持续胞评估安全参性，粒遵从爆性与旋可用委性安全马性是供指为凝应用蛋、数喜据、抛服务思器、谷存储性和网亏络提逗供保泄护，传防止早恶意放软件排和未蝇经授孝权的融人员曾对其犹进行障访问延。遵从