版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
数据中心场景安全解决方案安全BU需求背景2025/1/18彩页使用场景:销售人员拜访客户进行需求引导时使用,类似于“白板”的作用PPT使用场景:产品经理做正式的需求引导汇报需求背景:
数据中心是安全的主要产量地,需求量大、型号高。
过去我们在互联网出口、DMZ取得比较好的成绩,数据中心我们也需要进行系统的需求引导。数据中心安全建设通常在项目立项会有两个阶段:1、新建数据中心:往往会设计网络同时规划安全域,会采购传统防火墙进行安全域隔离;2、建成后的安全加固:经常可以看到有XX系统、XX数据中心安全加固项目,对数据中心安全进行统一梳理,并购买安全设备弥补短板。使用场景及目标客户2025/1/18新建数据中心:推广方案1:数据中心安全域隔离解决方案
目标客户:全行业目标客户(如政府、企业、教育等),只要听到客户准备新建数据中心,就需要进行引导。找(客户/网络集成商/弱电集成商)进行需求引导,引导客户/渠道替换数据中心网络集成方案中的传统防火墙,使用下一代防火墙,作为在数据中心替换传统防火墙场景的主要方案。
解决问题:解决传统墙在安全域隔离存在的策略管理复杂的问题、弥补应用层防护短板、并能检测边界防御失陷这三个问题。建设完成后的安全加固:销售方案2:数据中心应用层安全加固解决方案
目标客户:全行业目标客户(如政府、企业(一些企业甚至连防火墙也没有)等),当客户已经完成建设,通常会有防火墙做安全域隔离,或者少量IPS、WAF等。找客户引导安全加固通常理由比较充分,需要重点引导使用深信服方案的能够解决的问题。
解决问题:解决数据中心仅仅部署传统防火墙,应用层安全防护存在短板、防御失效导致数据中心边界防御失效和管理复杂(可视)三个问题。需求引导关键点2025/1/18数据中心安全基本原则通过防火墙划分安全域传统墙安全域隔离的问题:策略管理复杂上线、新增、管理全生命周期并且还面临新挑战:1、应用层攻击2、APT、0day等绕过所以需要以下一代防火墙为核心的深信服安全域隔离解决方案安全域设计建议(通用设计原则,不作为重点)方案特点1、应用层的ACL(举例)2、向导式可视化的策略管理(举例不需要讲全)3、支持防护和检测的扩展案例:重点表明大客户都认可下一代墙,并开启了应用层防护,下一代墙满足高性能高可靠要求方案1:重点引导思路,引导客户下一代防火墙解决ACL管理的问题,更重要的是引导客户需要开启应用层防护模块和检测功能需求引导关键点2025/1/18方案2:重点引导思路,引导应用层不能有短板,架构需要精简;并且需要加强检测防止防御被绕过,并且通过可视化、精简架构、云化服务可以简化管理。现状:1期新建时部署了传统防火墙但仅仅是第一步,需要安全加固仅部署防火墙存在的问题1、应用层防护存在短板;2、APT、0DAY、欺诈等使防御失效并且数据中心业务多,管理复杂1、缺乏整体视角2、漏洞等暴露面发现不及时3、解决问题的能力不够方案部署的建议讲一下需要在哪些地方部署方案特点1、完整、精简的架构,满足高可靠要求2、独特双向检测,发现失陷主机3、可视化态势感知,更简化的安全管理4、还可以与云联动,提供云化安全即服务所以需要进行安全加固1、消除短板,提升攻击成本2、防御失效也能检测到3、解决数据中心管理复杂的问题1数据中心安全域隔离解决方案数据中心的安全建设的现状2025/1/18分区分域的安全管理思路以防火墙为核心进行安全域划分办公网生产网互联网DMZ区数据中心安全域隔离存在的问题2025/1/18中等规模的数据中心ACL策略可能有几百到上千条40%的安全事件因为安全策略配置不当全过程:管理复杂、可视性差业务新增快要求策略新增频繁业务变更多产生无效策略传统墙无法感知资产新增或者变更的情况,导致策略调整浪费精力可视性差很难判断策略用于哪些系统或者访问规则策略不敢轻易调整,如果调整反而容易影响业务,无效策略影响防火墙性能上线部署业务新增运维管理传统防火墙仍面临新的安全挑战2025/1/1870%的攻击来自于应用层,防火墙防护存在短板APT、0day、欺诈等威胁出现,使边界防御失陷根据Gartner的报告,用户面临的网络攻击中75%来自应用层数据中心虽然划分了安全域,但在应用层攻击防护上存在明显的短板RSA认为2014年-2015年安全防御几乎“失陷”各类0Day攻击、APT攻击、欺诈等高级威胁可绕过数据中心防火墙,使数据中心防御“失陷”边界的防御基于静态特征,防护外到内攻击,缺乏持续对失陷主机进行持续检测的能力,导致数据中心存在大量被控制的主机也无法察觉深信服数据中心安全域隔离解决方案2025/1/18满足安全域划分的要求精细到应用的访问控制粒度向导式可视化的策略管理支持更强防护和检测能力的扩展以下一代防火墙为核心数据中心安全域设计建议2025/1/18核心交换区数据中心区外联边界区互联网接入区局域网区管理区广域网接入区广域网外联网互联网数据中心安全域设计建议2025/1/18集中管理平台互联网接入第三方接入分支接入核心交换区内网办公区运维管理区·对外业务核心业务内部应用业务区接入区办公区无线办公区分为4大区域业务区:安全等级高接入区:安全等级中办公区:安全等级低运维管理区:安全等级中特点:精细到应用的访问控制粒度2025/1/18精细到应用的访问控制粒度多种的用户识别数据中心常见应用控制特点:向导式可视化的策略管理2025/1/18简单准确主动发现可视便捷策略有效性统计,可快速识别无效策略场景化的策略部署,增强安全策略匹配度向导式的策略部署,简化部署的流程一键安全策略复制,相同权限快速新增多维度策略可视化,便于理解策略的作用主动发现新增资产,一键增加安全策略基于业务查询搜索方式,快速管理安全策略上线部署新增业务策略管理向导式的策略部署,简化部署的流程2025/1/18简单的向导式部署场景化的安全策略主动发现新增资产,一键增加安全策略2025/1/18特点:支持更强防护和检测能力的扩展2025/1/18探测边界突破持续渗透安装工具横向移动窃取/破坏提权获取权限修改脚本Webshell恶意软件僵尸木马后门扩展应用层防护功能支持双向检测能力扩展破解HashRDP漏洞利用远程控制跳板攻击多跳攻击数据泄露数据销毁清除痕迹Web攻击应用漏洞攻击系统漏洞利用缓冲区溢出0day探测端口扫描漏洞扫描社会工程学2数据中心应用层安全加固解决方案2025/1/18以防火墙为核心的数据中心安全仍面临挑战2025/1/18核心交换区数据中心区外联边界区互联网接入区局域网区管理区广域网接入区广域网外联网互联网数据中心安全现状建设之初防火墙被用作主要的网络安全设备对安全域进行了划分以防火墙为核心规划的数据中心安全,仅仅是数据中心安全建设的第一步业务变得越来越开放、攻击变得越来越复杂使数据中心安全面临挑战还需要对数据中心进行安全加固,以提升数据中心安全防护能力挑战1:70%的攻击来自于应用层,边界防御存在短板2025/1/18根据Gartner的报告,用户面临的网络攻击中75%来自应用层数据中心虽然划分了安全域,但在应用层攻击防护上存在明显的短板挑战2:APT、0day、欺诈等威胁出现,使边界防御失陷2025/1/18RSA认为2014年-2015年安全防御几乎“失陷”各类0Day攻击、APT攻击、欺诈等高级威胁可绕过数据中心防火墙,使数据中心防御“失陷”边界的防御基于静态特征,防护外到内攻击,缺乏持续对失陷主机进行持续检测的能力,导致数据中心存在大量被控制的主机也无法察觉复杂的业务环境导致安全管理困难2025/1/18缺乏整体安全视角技术手段单一,缺乏统一可视的技术手段安全问题见微不见广,难以对数据中心整体安全进行管理暴露面发现不及时业务更新多、上线快,难以进行全面的上线前安全检查难以再通过周期性的渗透测试服务了解数据中心的风险暴露面业务多管理复杂业务更新多、上线快,对策略管理、风险管理提出更高的要求安全管理过于复杂,使安全跟不上业务的发展解决问题能力不够数据中心出现安全问题无法及时发现安全相对专业,即使发现了问题,也难以有效解决深信服数据中心应用层安全加固解决方案2025/1/18应用层安全加固消除边界防御的短板,提升黑客攻击成本漏洞攻击、web攻击、病毒木马、僵尸网络等增强安全检测技术绕过防御边界的安全检测手段,检测边界防御失陷的安全事件失陷主机、异常行为、篡改事件、黑链事件等简化安全管理解决数据中心管理复杂的问题安全可视报表、实时漏洞发现、简化运维管理、云化安全服务深信服数据中心应用层安全加固解决方案2025/1/18虚拟化服务器数据中心安全边界云化安全即服务SandBox在线专家云扫描未知威胁检测硬件服务器云监测下一代防火墙下一代防火墙威胁情报快速响应微信公众号管理中心安全可视化平台集中管理平台运维界面安全云数据库区数据中心区互联网接入区内网办公区分支接入区软件定义安全传统防火墙传统防火墙下一代防火墙下一代防火墙下一代防火墙核心交换核心交换应用服务区下一代防火墙下一代防火墙部署建议2025/1/18部署位置部署产品价值数据中心核心下一代防火墙(NGAF)构建边界的L2-7的完整安全防御体系安全检测模块发现绕过边界防御的攻击行为及失陷主机数据中心外联边界下一代防火墙(NGAF)构建的数据中心外延边界的防护体系包括互联网接入区、分支接入区、内网办公区数据中心内部安全域下一代防火墙(NGAF)保护重要业务系统,并对安全域间的威胁进行检测虚拟化的数据中心软件定义的下一代防火墙(VSS)解决VMware虚拟化平台的安全问题解决东西向流量的威胁安全管理中心安全可视化平台数据中心整体安全态势集中呈现集中管理平台(SC)日志进行收集、设备统一管理云化安全即服务基于NGAF的安全即服务提供未知威胁、安全事件、云扫描、云检测、在线专家、快速响应等服务方案特点:完整、精简的安全架构,满足高可靠要求2025/1/18下一代防火墙L2-7层双向防御体系应用层安全网络层安全Web攻击防护应用内容的访问控制基于应用访问控制策略路由NATIP/MAC绑定包过滤状态检测流量会话管理抗拒绝服务攻击基于用户的访问控制入侵防御恶意代码防护信息泄露防护僵尸网络防护软件架构:单次解析引擎硬件架构:多核并行处理架构HA/AA部署安全联动【模块间智能联动、云安全联动、策略智能联动】Webshell防护黑链防护VPN方案特点:独特的双向检测技术,有效发现失陷主机2025/1/18探测边界突破持续渗透安装工具横向移动窃取/破坏提权获取权限修改脚本Webshell恶意软件僵尸木马后门边界安全防御双向行为检测技术破解HashRDP漏洞利用远程控制跳板攻击多跳攻击数据泄露数据销毁清除痕迹Web攻击应用漏洞攻击系统漏洞利用缓冲区溢出0day探测端口扫描漏洞扫描社会工程学方案特点:可视化的安全管理,感知全局安全态势2025/1/18业务脆弱性业务系统威胁数据风险1、可视化的安全管理,感知全局安全态势2025/1/18帮助决策层从管理的视角看到风险并做出决策2、实时风险监测技术,及时弥补业务漏洞2025/1/18NGAF主动+实时扫描代码更新实时新漏洞告警SQL注入跨站脚本……资产=业务威胁=攻击脆弱性=漏洞威胁识别脆弱性识别资产识别2、实时风险监测技术,及时弥补业务漏洞2025/1/18威胁情报共享快速自检工具一键策略防护实时风险监测技术,及时弥补业务漏洞3、场景化的部署,任务化的安全事件管理2025/1/18任务化事件管理简单的向导式部署场景化的安全策略场景化的部署,任务化的安全事件管理4、融合云化安全服务,提升安全响应的能力2025/1/181.日志汇总深信服安全云3.威胁情报推送2.云端专家分析安全团队安全管理员微信安全平台快速响应流程4.事件处理5.专家复查4.应急响应综述2025/1/18全局安全可视实时漏洞发现简化运维管理云化安全服务全局业务安全报表攻击+漏洞+失陷主机篡改黑链等安全事件实时漏洞检测业务风险检测新威胁快速检测场景化的安全策略任务化安全事件管理可视化风险管理界面安全运营服务事件预警服务快速响应服务数据中心案例介绍2025/1/18国土资源部:在数据
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 苏教版小学三年级数学上册全册教案
- 光影交错室内氛围营造
- 有用一年级下册数学教案表格
- 高一化学教案:第三单元从微观结构看物质的多样性
- 2024高中地理第1章区域地理环境与人类活动第3节第1课时四大地区学案湘教版必修3
- 2024高中物理第一章静电场综合评估含解析新人教版选修3-1
- 2024高中语文第2单元孟子蚜第3课民为贵练习含解析新人教版选修先秦诸子蚜
- 2024高中语文第六单元文无定格贵在鲜活子路曾皙冉有公西华侍坐训练含解析新人教版选修中国古代诗歌散文欣赏
- 2024高考历史一轮复习第12讲古代中国的农业和手工业学案含解析人民版
- 2024高考地理一轮复习第三部分区域可持续发展-重在综合第四章区域经济发展第32讲区域农业发展学案新人教版
- 人教版四年级上册数学【选择题】专项练习100题附答案
- DBT 29-69-2024 天津市二次加压与调蓄供水工程技术标准
- CommVault备份软件操作手册3
- 初中体育教案【完整版】七年级
- 事业单位工作人员奖励审批表
- 2024-2030年中国城市供热行业市场前景预测及发展趋势预判报告
- 2024-2030年中国赛马行业市场发展趋势与前景展望战略分析报告
- 2024年计算机二级MS Office考试题库500题(含答案)
- 银行普惠金融事业部年度述职报告
- 山东省技能大赛青岛选拔赛-世赛选拔项目52样题(平面设计技术)
- 幼儿园工作总结汇报课件
评论
0/150
提交评论