2020云安全解决方案

云安全解决方案

信息技术的演进大机数据中心云计算开放云哑终端时代PC时代后PC时代云终端时代第一部分：传统数据中心安全体系建设第二部分：数据中心向云计算演进安全建设提纲分支机构接入企业城域网络数据中心互联广域网区办公接入区业务互联网区合作伙伴外联办公互联网区外联网区生产服务器区OA服务器区管理区测试区外联汇聚数据中心核心区安全控制设备数据中心基础安全体系建设——分区是安全基础CampusCoreFWLBSSLNAMFWLBSSLNAMWEBServersapplicationServersdatabaseServersDCCoreDCAggregationDCAccess核心层提供多个DC汇聚模块互联，并连接园区核心

汇聚层提供serverfarm对外流量高带宽出口提供增值业务模块部署接入层高密度GE接入上行双链路冗余能力数据中心基础安全体系建设——分层是安全部署前提数据中心基础安全体系建设全景图管理区业务服务器区办公服务器区测试区业务Internet外联区DMZ区Internet服务区外联区DMZ区Extranet服务区外联Extranet外联区DMZ区Internet服务区办公Internet一级骨干网络省分行备份中心间同城网络外联网区广域网区ECC办公区办公接入区办公区FWFWFWFWFWFWFWIPSIPSIPSIPS数据中心业务架构变迁应用架构的变迁B/S（Browser/Server）是随着Internet技术的兴起，对C/S结构的一种变化或者改进的三层结构。数据库+业务处理＋界面两层结构C/S，由两部分构成：前端是客户机，通常是PC后端是服务器，运行数据库管理系统，提供数据库的查询和管理B/SC/SSQL请求ThickClientAppGUIAppServerDBServerHTML/HTTPWEBbrowserWEBServerAppServerDBServer应用的多层发展数据中心安全与优化标准化要素内部服务器群防火墙流量分析入侵防御负载均衡应用优化外联服务器群DDOS攻击防御流量分析多重防火墙应用优化入侵防御

负载均衡独立设备互联组网网络集成业务安全与优化设备的集成网络与安全的融合传统－叠加式安全融合式安全安全设备纵向叠加网络1网络2网络3安全设备简单叠加按需进行功能模块扩展按需进行安全扩展路由交换防火墙IPS无线…防火墙IPSAVAFCACG…ACGIPSAFCFWAV网络3网络2网络1通过各种模块插卡，大大提高了设备的集成能力，带来性能、功能、部署、管理和维护方面的便利数据中心网络安全融合的三种部署网络结构核心WEBAPPDBWEBAPPDBWEBAPPDBA-分层扩展&网络连通B-分层扩展&网络分离C-扁平设计&网络连通Internet中间业务外网防火墙FWIPS外联区DMZ区服务托管区内网区内网交换机门户网站LLB网银或电子商务数据库LDAP服务器DNS服务器Proxy服务器邮件转发网管探针SLB/SSLFWGSLBGSLBAFC-DAFC-GAFC-DAFC-GLLBIPSNetStream一个融合架构安全与优化实例Internet中间业务外网防火墙外联区DMZ区服务托管区内网区内网交换机门户网站CA系统数据库LDAP服务器对外DNS服务器Proxy服务器邮件转发网管探针FWAFC-DAFC-GAFC-DAFC-GSLBIPSSLBIPSFWIPSSSLSLBFWIPSSSLSLBLLBFWVPNLLBFWVPN特点：架构精简多业务集成万兆安全一个融合架构安全与优化实例第一部分：传统数据中心安全体系建设第二部分：数据中心向云计算演进安全建设提纲新一代互联网架构云联数据中心公有云DC-N1DC-M2私有云IP骨干网传统MAN专线MAN云MAN视频MAN企业WANIP城域网企业MAN公众接入网企业LAN瘦终端胖终端智能终端瘦终端胖终端视频终端DC-N3云联基础承载网络运营商网络企业网物联DC-N2传统WAN专线WAN云WAN视频WANDC-M3DC-M116ClientWorkgroupVM一虚多应用高性能集群多虚一应用Public&PrivateCloud云计算高度虚拟化的数据中心多虚一和一虚多的组合云计算数据中心的关键特征虚拟化技术的大规模部署；服务器数量大规模扩张；IT服务与基础设施结合更加紧密。IDC数据中心云计算与虚拟化趋势虚拟化的新问题1：端到端安全设备的虚拟化虚拟化环境下，安全设备和安全管理只有支持虚拟化，才能适应使用虚拟化环境下，每个租户的安全管理相互独立的要求DC1服务器区虚拟防火墙1虚拟IPS1服务器区虚拟防火墙2虚拟IPS2服务器区虚拟防火墙3虚拟IPS3服务器区虚拟防火墙1虚拟IPS1服务器区虚拟防火墙2虚拟IPS2防火墙/IPS设备1防火墙/IPS设备2基于虚拟设备：策略配置及分发平台基于虚拟设备：安全事件分析报告访问层web层应用层数据库层edgeroutersroutingswitchesauthentication,,

intrusiondetect,

webcache1stlevelfirewall2ndlevelfirewallloadbalancing

switchesweb

serverswebpagestorage

(NAS)database

SQLserversstoragearea

network

(SAN)application

serversfiles

(NAS)switchesswitchesinternetinternet网络池化internetinternet存储池化FW资源池服务器池化IPS资源池云计算环境下，原有分散部署的多层次安全设备将逐步资源池化并通过虚拟化技术实现多通道防护，因此设备的高性能、虚拟化特性有新的要求；超高性能的设备，有助于简化网络连接，减少网络管理节点，提升安全的可配置可管理的能力；虚拟化的新问题2：设备高性能可扩展结合虚拟化虚拟化的新问题3：虚拟化系统安全防护云计算环境下，传统的针对服务器操作系统和应用程序的威胁仍然存在；但是由于虚拟化技术的出现，也出现了一些新的安全风险点：服务器虚拟化增加了Hypervisor层应用程序，对Hypervisor的漏洞攻击将导致服务器无法正常应用；微软的Hyper-V、VMware的ESX，或是Citrix的XEN都暴露过安全风险HardwarePhysicalHypervisor(VMM)VM1VM2VM3OSOSOSAPPAPPAPP黑客1vCenter虚拟化的问题4：VM之间的流量安全VM之间的流量交换安全风险：和传统的安全防护不同，虚拟机环境下，VM之间的流量交换，有可能不通过外部交换机，而是基于服务器内部的虚拟交换网络解决；管理员对于该部分流量既不可控也不可见，此时分为两个层次：基本的访问安全：如何对这些VM之间的流量进行基本的访问允许、禁止的安全控制？高级安全控制：如果VM之间运行流量交互，如何判断这些访问流量是否存在攻击行为？如何实现对于应用层安全风险如漏洞攻击的检查？图1：基本的安全访问控制VM之间是否可以合理划分安全域？跨域的VM1和VM3之间是否允许访问？同域的VM4是否可以访问VM5？图2：深度的基于状态或应用的威胁检测TenantAVM1VM3VM2VM4VM5Hypervisor(vSwitch)安全域1安全域2TenantAVM1VM3VM2VM4VM5Hypervisor(vSwitch)安全域1安全域2如果配置规则允许VM1与VM3,VM4和VM5的访问，那么：VM1到VM3的流量，是否存在安全攻击？VM4到VM5的流量，是否存在安全攻击？问题1解决方案：安全设备虚拟化设备支持1：N虚拟化，可以简化网络结构，满足在一台安全设备上实现不同的安全策略、路由、管理等功能的需求设备虚拟化三个层次不同应用环境设备虚拟化有不同要求，主要有以下三个层次：Level1：一般性应用Level2：VPN组网环境下Level3：多租户应用环境网管服务器OA服务器BOSS服务器互联网域安全域3安全域1税务服务器群1互联网域1域3域1域4税务服务器群2社保服务器群1社保服务器群2互联网域2域2VFW1VFW2财务服务器群互联网域1域2

域2域3OA服务器群组生产服务器群OA服务器群互联网域2

域3VFW1VFW2生产服务器群

域1

域1财务服务器群租户1租户2LEVEL1LEVEL2LEVEL3问题2解决方案：万兆级设备高性能可扩展单机框多板卡多机框多板卡盒式设备多设备性能扩展：满足未来40G/100G，支持I:N和N:1功能扩展：灵活安全扩展(FW/VPN/IPS/LB/Anti-DoS)，IPv6/IPv4双栈单机高性能与安全插卡是实现高性能两条途径按需扩展问题3解决：虚拟化系统安全防护L2-7层安全立体防御问题4解决方案：VM间访问控制核心目标：将服务器内部不同VM之间的流量转发，引出并基于接入层物理交换机实现二层交换，和流量监控；基于VEPA技术的流量重定向方式可以有效解决这个问题；VEPA的核心思想是，将虚拟机产生的网络流量全部交由与服务器相连的物理交换机进行处理，即使同一台服务器上的虚拟机间流量，也将在物理交换机上查表处理后，再回到目的虚拟机上；厂商容易支持；在这种模型下，同一VLAN下的不同的VM之间的流量，已经上传到接入层交换机，通过对这些流量重定向到外置的硬件防火墙和入侵防御等安全设备可以实现对VM之间流量的安全检查；MAC/PHY虚拟化之后的服务器虚拟网卡虚拟网卡虚拟网卡VMMVM1VM2VM3VEPA以太网交换机实现流量监控、安全控制物理网卡图1：EVB虚拟接入方式示意图图2：接入层旁挂实现深度报文安全的示意图虚拟防火墙/IPS实例TenantB:VLAN300TenantA：VLAN100VM4VM5VM1VM2VEPATenantA：VLAN200VM3虚拟防火墙1虚拟IPS4其他安全业务1底层安全防护模块三层流量二层流量重定向到安全层上层安全防护点云计算网络安全防护模型端到端的虚拟化安全HardwarePhysicalHypervisor(VMM)VM1VM2VM3HardwarePhysicalHypervisor(VMM)VM1VM2VM3VFW1VFW3VFWSecCenter安全管理平台InternetNetworks服务器层虚拟接入交换机层负载均衡业务分发安全防护层VLB1VLB3VLB核心交换层用户身份认证网关【SSLVPN】VRF1VRF3VRFTenantATenantBTenantNVLAN1-10VLAN11-30VLAN40-60H3C解决方案-端到端的安全防护VLAN1VLAN2VLANX内网办公区数据中心区核心业务非核心业务广域网接入区网络管理区对外接入区互联网接入区互联网服务互联网连接局域网骨干局域网连接广域网连接iNode终端图例外联服务区分支机构分支机构专线分支机构分支机构分支机构合作伙伴合作伙伴外联服务前置SecPath防火墙AFC异常流量清洗WAAM广域网优化SecPathIPSAFC异常流量清洗SecPathASESecPathIPSSecPathIPSSecPath防火墙/VPNSecPathUTMSecPathACGWAAM广域网优化SecPath防火墙/VPNSecPathUTM安全管理中心SecCenter