深信服云安全资源池培训-0621

深信服云安全资源池培训培训大纲2024/8/8安全资源池历史版本介绍项目操作方法及商务模式竞争分析报价与销售工具12345标准化测试流程6FAQ一、安全资源池历史版本介绍整体拓扑架构示意图平台层安全设备安全资源池接入出口设备IDC出口云环境引流口引流口引流交换机安全资源池私网交换机（存储私网、vxlan）核心VMVMVMEDREDREDR移动接入包网站安全基础网站安全高级包分支接入包失陷主机发现Web增强包南北向安全能力东西向隔离密码暴力破解Webshell检测东西向安全能力安全审计数据安全应用安全安全生态能力云安全方案：安全资源池+EDR+生态历史版本路径2024/8/8CSSP

2.0版本：手动部署，工作量巨大缺少运营方（主管方）、租户自管理界面属于方案、市场验证阶段收割样板点CSSP

1.0版本：基于超融合，以NFV方式实现。市场验证、需求验证为主CSSP

3.0版本：自动化部署新增租户与平台运营方界面组件高可用性调整及优化统一配置入口服务商界面…8/8/20246安全资源池（CSSP）3.0版本改进Cssp

2.0版本：手动部署，工作量巨大缺少运营方（主管方）、租户自管理界面属于方案、市场验证阶段Cssp

3.0版本：自动化部署，工作量减少补齐运营方（主管方）、租户自管理界面新增云端监测服务包，可提供针对租户Web业务的安全监测服务平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整安全资源池（CSSP）3.0版本2024/8/8强迫症患者的福音云安全资源池交付流程租户侧界面2024/8/8界面重点业务列表服务追踪统一运维入口专属服务商云安全资源池组件（自有）2024/8/8分支接入包分支IPCEC组网移动接入包SSLVPN、安卓/IOS/windows安全接入SDK等多种安全接入组件数据库审计包针对SQL、MySQL、DB2、Oracle数据库审计运维审计包运维人员操作网络设备、数据库、服务器监控与审计基础防护包提供应用控制、防病毒网关、IPS功能网站安全基础包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS功能网站安全高级包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS、僵尸网络、实时漏洞分析失陷主机包主机僵尸网络、实时漏洞分析云端检测包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件应用交付包4-7层应用负载、SSL卸载安全防御安全接入安全审计已经引入的第三方组件2024/8/8杭州美创数据库加密产品听云私有云版本……建恒日志审计南京聚铭网络日志审计原则：整合、补强合规要求丰富功能思福迪堡垒机云内安全能力-云内安全检测平台2024/8/8云内安全检测平台（EDR的同门师兄）本次培训不过多讲解，后续单独为云内安全解决方案重点培训。入侵检测响应-暴力破解检测WEB安全检测-WebShell的持续检测僵尸网络检测-实时活跃恶意行为检测微隔离-东西向流量访问控制目前实现的功能：云内安全界面2024/8/8首页打造可视可控的内部安全二、应用场景及项目操作方法主要场景2024/8/8政务云IDC、政企云专有云、私有云政务云2种建设模式2024/8/8电子政务办、经信委、发改委统一建设，租户“免费”使用，财政统一结算。主管单位非常强势，局委办单位会选择部分业务系统上云。主管部门像运营商（3大运营商、太极等大型集成商）租赁云服务，主管方关心技术实现，运营方在选择产品方案端有较强的话语权。预算式租赁服务式（PPP式）预算式涉及的几种角色2024/8/8主管方集成商租户目标对象：信息中心、电子政务办、经信委、发改委。初次建设，会采购大量的硬件安全设备，更关注自身平台合规。监管机构，负责租户上云政策的发布，上云节奏的掌控，把握预算口子。目标对象：当地强势，关系型集成商。负责本地政务云的项目集成。目标对象：上云的局委办单位。政务云的直接使用对象。预算式各方关注点2024/8/8汇报政务云中安全建设经验和安全资源池方案。帮助用户理清安全权责。通过安全资源池方案加速租户安全上云进度。沟通要点主管方视角安全责任怎么划分。怎么促进租户安全上云。其他地方经验，及怎么合规。是否有案例，效果怎样。主管方沟通思路2024/8/8痛点：1、合规背书：等保2.0，更强调了租户和平台方的安全责任。2、抛方案：引出我司安全资源池方案，面向租户的产品3、明确与硬件安全的关系：资源池和平台硬件安全不冲突并且云平台解耦1、痛过：如果当地曾经出过安全事故，可以适当引用（慎用）2、抓住关注点，引起兴趣：租户上云数量、上云业务类型（核心系统还是网站），背后对应的是租户对云平台安全能力的担忧业内对安全责任划分的案例，引出公有云aws、阿里云责任共担模型如何解决：关键词：权责、合规、有案例、能上云我司方案和案例1、达成测试或主动介绍政务云的背后运维方具体沟通2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件，小范围使用。或测试后引导明年的预算。安全资源池属于一旦流量引过来，产生具体效果，主管方就不想切换回去的产品。1、详细介绍：为租户提供个性化安全服务，并满足合规，

功能、优势、价值2、定心丸：北京、温州案例保证效果钱从哪里来2024/8/8预算式场景，钱肯定从去年的预算里来。“没预算咋办？”“新增预算”、“抢预算”抢预算顾名思义，从其他安全设备预算中抢过来。新增预算要有一个新的、刚性的理由能够新增预算。如与主管方引导租户侧安全需求与租户侧合规需求。租赁服务式涉及的几种角色2024/8/8主管方运营方租户目标对象：信息中心、电子政务办、经信委、发改委监管机构，负责租户上云政策的发布，把握预算口子关注自身平台合规以及租户侧提过来的需求对所租赁的云服务会提要求，但不会很具体。目标对象：运营商、太极等全国性的大型集成商主管部门向运营商租赁云服务，运营方会根据主管部门要求，招标确定方案、产品。负责政务云日常的运营、运维。目标对象：上云的局委办单位政务云的直接使用对象租赁服务式专用各方关注点2024/8/8沟通要点主管方视角其他地方经验，及怎么合规安全责任怎么划分。怎么促进租户安全上云。是否有案例，效果怎样。汇报政务云中安全建设经验和安全资源池方案帮助运营方理清安全权责、合作运营安全增值理念通安全资源池产品和合作运营理念实现共赢。运营方视角为什么要搞租户安全上了安全资源池有什么好怎么落实，落实效果。其他地方的情况和经验。运营方沟通思路2024/8/8关键词：权责、合规、功能、有案例、能盈利引起共鸣痛点：弥补硬件安全短板：安全能力丰富解耦：在原有网络基础上部署便捷优势：权责分离、管理、运维分离、部署简单、标准架构、线性扩容讲案例：抛出北京、温州合作案例强调合作模式：强调运营方在政务云安全资源池合作中的角色渴望盈利：结合当前政务云服务租赁的模式，初次投入巨大，回收周期长，见不到盈利的时间，安全可以作为重要的增值服务进行提供上云慢：原有方案缺少租户侧安全考虑，上云进度慢，回收周期长竞争大：服务合同每几年一签，其余运营商虎视眈眈解决思路：争取效果运营方高层沟通运营方与我们达成一致并共同去主管方汇报3.测试，共同去主管方汇报，争取今年项目落单，先一锤子买卖，最后尝试合作运营。432·1钱从哪里来2024/8/8每年政府固定向云服务商支付一定金额的服务费（如某地市发改委每年向浪潮支付2kw服务费）浪潮躺着也能挣到2kw，如果引入深信服，则意味着要从2kw中分一部分钱给深信服伙同运营方共同做主管方工作，让政府每年多付200w服务费，如果这200w服务费再跟浪潮分一下，那浪潮的积极性是不是提高了。合作运营商务模式切入，引导主管方将安全写入服务目录，变成租户上云可选项。固定服务费原有渠道合作定位2024/8/8深信服：提供资源池渠道：提供客户覆盖和服务能力运营方：提供平台大家都是股东，挣了钱，按照投入的比例分配，渠道还可以接手后续售后渠道负责盖起来安全超市（中标硬件平台）安防超市卖什么商品，与渠道无关，看别人挣钱（政务云建设后，租户上云，集成项目明显减少）开一家安防超市（建一个政务云）过去现在我们和建筑商合伙开个安防超市，建筑商出房子（硬件），我们管装修（运营平台）+出货架（虚拟化平台）；超市装修好后，两方合伙出钱进货；进货成本共担，我们以货抵钱，建筑商出一半进货钱。超市投入运营，大家一起卖货，谁卖的谁得奖（以谁做了市场工作，谁先报备为判定依据）。其中涉及到分成比例，可根据当地运营方的能量灵活调整。但，底线是不能低于list价的3.5折。最终报价前，需发我、马程、殷浩审核。股东商品店员List价*0.9假设1成损耗1成机动奖励如：8成盈利股东对半分成举例说明安全资源池的合作运营模式（合伙开超市的故事）IDC与政企云2024/8/8当地比较大型的IDC服务提供商（如万国、美橙、安畅），运营商IDC（政企云）用户被公有云分流严重碍于自身建设模式，能够提供的增值功能越来越少安全可以成为IDC“增值”服务的一环围绕痛点1.现在IDC的网络组建方式，增加硬件设备十分困难，安全资源池灵活2.多样化的组件、丰富的功能，满足IDC用户对安全的需求围绕合作模式1.本身IDC盈利模式越来越不清晰，不可能是一下子投入巨大的安全设备，强调我们初次投入和合作方式痛点打法目标客户销售场景总结2024/8/8优先主推第二主推保持沟通已建政务云、租户数量较多、曾经发生过安全事件—痛过私有云：租户属性明显，有预算的一锤子买卖，回收快正在规划、设计阶段的政务云私有云：租户属性不明显，需要通过安全资源池产品特色提升方案整体竞争力暂时搁置主管方关系差，决策链比较长主管方意愿较差，需要突破被浪潮之类的包干，没有预算三、竞争分析竞争对手2024/8/8硬件一虚多防火墙软件类安全SDN安全类安全资源池竞争对手2024/8/81.

SDN类云平台厂商（h3c、华为）、启明、绿盟2.软件+硬件+服务360，七七八八的软件安全厂商如安全狗，青藤云3.与我司形态相似类启明、绿盟、安恒1.

SDN类2024/8/8ISPISPvSwitchvADCvADCvFWvFWvSwitchVMVMVMVMvSwitchVMVMVMVMSDNController数据层面控制层面FWLBIPSvCenter东西流量南北流量租户1租户2租户nFWLBIPSFWADCWAFMSG重点关注SDN

controller云管平台硬件安全池东西、南北向流量组成SDN方案在沟通中重点关注SDN方案分析2024/8/8理想中的SDN方案：想象一个场景，客户跟你讲SDN方案超级牛逼，流量随便调度，根据流表指哪打哪，根据流表调度策略可以先后经过预设的NFV设备或硬件设备。现实中的SDN方案：1.其实就是使用了VXLAN2.边界设备如防火墙通过接口调用来生成策略，这还不叫SDN，如华为，租户业务虚拟机建立好之后，控制器会调用USG设备的接口，建立租户对应的vrf、网关等配置，从而完成自动化交付3.引流后网络中过多的流量开销如何解决？4.你区域的云，用了SDN的有多少？活生生的“卖家秀”与“买家秀”的区别2024/8/82.与我司形态类似—安恒方案首页平台界面分析2024/8/8在分析优势之前，我们先把大家的安全资源池方案拆解一下：安恒（天池）

硬件服务器（他们叫一体机）+基于openstack开发的安全资源池平台+镜像类安全组件（目前已知基于阿里云版本的云堡垒机、云数据库审计、从华为OEM过来的下一代防火墙镜像已经具备）+云waf能力（安恒玄武盾配置界面融合在天池界面中）

引流方式

目前来看，安恒的引流采用是天池内部一台虚拟机来引流，单台虚拟机的流量“据说”是500M上限。但对外宣传材料上写的是安恒可以基于SDN、flow、策略路由的方式引流。具体安恒资料，见知识库——云安全——竞争分析部分优劣分析2024/8/8从上文来看，安恒也是基于虚拟化，也是需要引流，那就从这两方面开始分析虚拟化层：这是我们的优势，虚拟网络、虚拟存储这些都是我们的优势，既然虚拟化层，就直接用虚拟化层的高性能、稳定性、高可用直接pk掉安恒，具体话术去看看超融合已经整理好的高可靠、高可用描述（一定要学会几个概念，比如numa、气泡内存等，来武装自己）第一回合，深信服完胜，目前比分1-0引流方式：我们之所以靠策略路由或者静态路由就可以完成引流，主要还是得益于我们虚拟化的vrouter，安恒没有这个技术，所以他引流的方式现在靠一台独立的虚拟机引流，但虚拟机严重依赖于平台分配的性能和稳定性，我们的vrouter运行位置比vm还要低，属于虚拟化操作系统级别。但后续安恒可能使用ovs或者vtap方式，总部保持跟进。第二回合，深信服完胜，目前比分2-0

优劣分析2024/8/8从公司层面来看，安恒的安全组件后续可能比深信服要多，但我们已经整合了外部的安全能力安恒天池的另一个优势是安全感知，整合了安恒的态势感知系统，客户可能会比较认同

五、标准化测试流程标准化测试&汇报流程2024/8/8项目需求判断方案可行性测试迁租户测试优势汇报迁更多租户测试项目前期沟通2024/8/8项目前期沟通输出标准化文档：不同环境的对接方案，前期确认环境信息等包含内容目的动作研发接口人：余涛63947邮件将环境确认表内容填写好发送余涛、抄送陈科、陶超、陈杨国、陈立峰前期技术选型、对接方案等测试项目POC、竞争测试测试接口人：陈科需要将测试项目信息、测试遇到的问题及时发送陈科，抄送陶超、陈杨国、陈立峰建立口袋助理讨论组尽量规避在测试过程中遇到的问题便于及时跟进产品功能改进2024/8/8测试准备申请测试key流程在测试系统中申请超融合key，备注项目为安全资源池项目收到超融合key后，把超融合key的Id发送给刘志勇86668，刘志勇开通序列号后输入到安全资源池序列号界面测试机的准备服务器数量：1台以上（仅测试功能仅需要一台，如需测试平台迁移、故障漂移等功能则2台起）服务器配置：

CPU：最低配置：64位CPU，主频2.0GHz以上，必须支持IntelVT-x

推荐配置：E5-2660V3(10C/20T2.6GHZ)

内存：最低配置：32G

推荐配置：128GECCDDR4

硬盘：最低配置：系统盘至少64GB，数据盘至少1T，推荐配置：系统盘:128GB，缓存盘:240GBIntelSSD，数据盘:4*2TBSATA(7.2KRPM)六、FAQ2024/8/8常见用户问题与回复2024/8/8如何打消用户对安全资源池平台的顾虑2024/8/8平台稳定性平台性能扩充平台冗余性8/8/2024安全资源池——多层次高可用设计链路、硬件、软件多层次高可用技术实现秒级的故障恢复和切换平台故障，策略路由自动ByPass安全组件支持动态资源平衡和负载均衡CoreCore