虛擬化和混合云環(huán)境下的安全挑戰(zhàn)與實(shí)踐-5

1、 GET INTO THE CLOUWITHOUT LEAVING THE GROUND虛擬化和混合云環(huán)境下的安全挑戰(zhàn)與實(shí)踐北京易思捷信息技術(shù)有限公司張振宇這是最好的時(shí)代 ，也是最壞的時(shí)代查爾斯狄更斯計(jì)算模式發(fā)展 云計(jì)算力量和障礙安全、安全，還是安全云安全需求云計(jì)算的部署要求平衡安全需求 更高的利用率 更快的部署 靈活性 整合 災(zāi)難恢復(fù) 不斷增加的安全分支 宕機(jī)成本/數(shù)據(jù)丟失 整合虛擬化的好處虛擬化的好處安全需求安全需求 公司形象的風(fēng)險(xiǎn) 依從與合規(guī)云安全概念 云安全服務(wù)（Cloud Security Service, Security from the cloud ）如何利用云計(jì)算技術(shù)給用戶提

2、供安全服務(wù) 云計(jì)算安全（Cloud Computing Security, Security for the cloud）如何保護(hù)云計(jì)算環(huán)境本身的安全性 云安全智能（Cloud Security Intelligence, Security in the cloud） 如何利用云的技術(shù)增強(qiáng)安全防護(hù)的技術(shù)能力IT容量低于實(shí)際負(fù)載= 客戶投訴& Unhappy CEO IT容量大于實(shí)際負(fù)載=Unhappy CFO 采購(gòu)的IT容量負(fù)載預(yù)期實(shí)際負(fù)載IT 容量時(shí)間時(shí)間大部分企業(yè)都面臨著IT運(yùn)維的問(wèn)題。預(yù)期是線性增長(zhǎng)，所以我們的IT設(shè)備也是大致按照這種趨勢(shì)去準(zhǔn)備。但是實(shí)際情況不是如此。由此會(huì)出現(xiàn)設(shè)備不足或

3、設(shè)備過(guò)剩的情況。前者造成客戶滿意度的下降，后者造成資源浪費(fèi)。為什么是混合云?云計(jì)算部署模型混合云面臨的安全問(wèn)題混合云安全涉及許多因素：如何確保本地?cái)?shù)據(jù)中心的資源安全如何確保向公有云遷移的大量應(yīng)用的安全如何確保存儲(chǔ)在多家云服務(wù)商上數(shù)據(jù)的安全如何保護(hù)公有云和私有云的虛擬化基礎(chǔ)如何確保接入云基礎(chǔ)設(shè)施的移動(dòng)設(shè)備安全挑戰(zhàn)：下一代數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)演進(jìn)South-north traffic flowEsat-west traffic fllowVirtual host mobile挑戰(zhàn)：復(fù)雜的云計(jì)算存儲(chǔ)架構(gòu)下的數(shù)據(jù)安全管理Block Access(Storage Volume)VM MobilityOSO

4、SOSHypervisorN-waySMPOSOSOSN-waySMPServer poolHypervisorStorage ControllersSANSwitchesBlock Storage EnsembleStorage MobilityStorage ControllersSANSwitchesVirtualized Block Storage EnsembleStorage MobilityStorage ControllersSANSwitchesFile Storage EnsembleSoFSSVCFile Access(File)OSOSOSHypervisorN-way

5、SMP挑戰(zhàn)：虛擬化環(huán)境的網(wǎng)絡(luò)防護(hù)IPSPCI DSS 標(biāo)準(zhǔn)標(biāo)準(zhǔn) 11.4“使用IDS和/或IPS來(lái)監(jiān)控所有在持卡人數(shù)據(jù)環(huán)境中的流量?！睍?huì)計(jì)PCI 數(shù)據(jù)虛擬機(jī) 會(huì)計(jì)操作系統(tǒng)虛擬機(jī) PCI 數(shù)據(jù)OS虛擬層物理服務(wù)器虛擬的流量沒(méi)有被路由到外部的網(wǎng)絡(luò)IPS虛擬網(wǎng)絡(luò)13 挑戰(zhàn)：優(yōu)化虛擬化安全系統(tǒng)性能AV風(fēng)暴很高的磁盤I/O很高的AV軟件資源占用對(duì)虛擬層加載狀態(tài)的不可知 對(duì)于離線的虛擬機(jī)，無(wú)法升級(jí)DAT文件無(wú)法集中管理異構(gòu)虛擬化環(huán)境以及物理和虛擬環(huán)境數(shù)據(jù)中心數(shù)據(jù)中心OSOSOS100 MB15% CPU100 MB15% CPU100 MB15% CPU挑戰(zhàn)：服務(wù)器虛擬化環(huán)境下的安全15Hyperviso

6、rTraditional IPSPhysical ServerNetwork Security Platform Next Gen Firewall虛擬機(jī)入侵檢測(cè)病毒掃描病毒掃描數(shù)據(jù)隔離數(shù)據(jù)隔離挑戰(zhàn)：服務(wù)器虛擬化環(huán)境下的可信計(jì)算16Traditional IPS虛擬化和云計(jì)算環(huán)境下，迫切需要可信計(jì)算環(huán)境挑戰(zhàn)：云環(huán)境下的身份識(shí)別與訪問(wèn)控制混合云環(huán)境要求統(tǒng)一的、高效的身份認(rèn)證與訪問(wèn)控制機(jī)制混合云環(huán)境要求統(tǒng)一的、高效的身份認(rèn)證與訪問(wèn)控制機(jī)制挑戰(zhàn)：安全的數(shù)據(jù)傳輸Virtualized and Private Cloud Data CenterPublic Cloud Data CenterVMMSal

7、esCompany CCompany BCompany ASalesMfgHRData transport between Private and public cloud混合云環(huán)境下要求更全面地?cái)?shù)據(jù)安全傳輸機(jī)制混合云環(huán)境下要求更全面地?cái)?shù)據(jù)安全傳輸機(jī)制挑戰(zhàn)：云安全控制點(diǎn)的演變19私有云共有云終端感知的完整性終端感知的完整性實(shí)時(shí)的完整性實(shí)時(shí)的完整性安全棧完整性安全棧完整性虛擬機(jī)完整性虛擬機(jī)完整性位置和資產(chǎn)控制位置和資產(chǎn)控制主機(jī)完整性主機(jī)完整性外部評(píng)價(jià)和聲譽(yù)外部評(píng)價(jià)和聲譽(yù)數(shù)字認(rèn)證數(shù)字認(rèn)證76% 的 IT專家對(duì)于實(shí)時(shí)測(cè)量服務(wù)提供商安全狀況 的能力非常感興趣IT 應(yīng)用層應(yīng)用層設(shè)備感知會(huì)話同步用戶個(gè)性感

8、知應(yīng)用安全性和可管理性客戶端的企業(yè)數(shù)據(jù)客戶端的企業(yè)數(shù)據(jù)文件緩存跨平臺(tái)設(shè)備獨(dú)立性數(shù)據(jù)安全性和可管理性挑戰(zhàn)：接入設(shè)備的多樣性智能手機(jī)智能手機(jī)MID家用家用PC企業(yè)企業(yè)PC汽車汽車電視機(jī)電視機(jī)上網(wǎng)本上網(wǎng)本網(wǎng)吧網(wǎng)吧內(nèi)部云服務(wù)內(nèi)部云服務(wù)供應(yīng)商云服務(wù)供應(yīng)商云服務(wù)個(gè)人數(shù)據(jù)和服務(wù)個(gè)人數(shù)據(jù)和服務(wù)按使用付費(fèi)消費(fèi)者選擇最佳應(yīng)用用戶安全和可管理性云時(shí)代接入設(shè)備的多樣性給安全提出了新的課題云時(shí)代接入設(shè)備的多樣性給安全提出了新的課題DatacenterEnterprise ApplicationsDataPerimeter DefenseTrust & ControlAssurance & ComplianceApps云

9、安全的層次 云計(jì)算的復(fù)雜性要求多層次的安全保護(hù) 客戶端安全客戶端安全: Protection from Malware Secure Federated Session Secure Client/Browser Exe Environment Occasionally connected Proprietary technologies 安全合規(guī) Data Use Policy Enforcement Compliance Reporting Pro-active SIEM integration & Alert 訪問(wèn)控制訪問(wèn)控制 AuthN & AuthZ at edge tied to

10、IdM Federated Identity Attribute Based Access control Fine grained access control Data confidentiality, PKI, Encryption邊界保護(hù)邊界保護(hù): Chokepoint Secure Hypervisor Anti-Virus and Malware Content Threat Protection Secure API Management Security Token ServicesEdge AuthNEmployeesDevelopersAdminsEnterprise Cl

11、ients PortalMobile挑戰(zhàn)挑戰(zhàn) 物理控制、可視性降低物理控制、可視性降低多租戶多租戶 現(xiàn)有安全模式的低效現(xiàn)有安全模式的低效 增加的安全控制點(diǎn)增加的安全控制點(diǎn)云計(jì)算驅(qū)動(dòng)了新的安全需求傳統(tǒng)數(shù)據(jù)中心傳統(tǒng)數(shù)據(jù)中心虛擬化和私有云數(shù)據(jù)中心虛擬化和私有云數(shù)據(jù)中心公有云數(shù)據(jù)中心公有云數(shù)據(jù)中心VMMCompany CCompany BCompany AIT Security PolicyMf.HRSalesMfgMfgHR新的安全模式虛擬邊界的防護(hù)安全資源池?cái)U(kuò)展的安全策略統(tǒng)一的安全管理平臺(tái)擴(kuò)展的安全策略擴(kuò)展的安全策略虛擬云世界新的安全途徑23虛擬化的、私有的云數(shù)據(jù)中心虛擬化的、私有的云數(shù)據(jù)中心公有

12、云數(shù)據(jù)中心公有云數(shù)據(jù)中心隔離，保護(hù)，控制虛擬機(jī) 提供可見(jiàn)性和報(bào)告在多個(gè)控制點(diǎn)上應(yīng)用安全策略跨云基礎(chǔ)架構(gòu)監(jiān)控工作負(fù)載構(gòu)建虛擬安全組件資源池VMMSalesCompany CCompany BCompany ASalesMfgHR統(tǒng)一管理統(tǒng)一管理Enable secure, efficient, and simplified cloud data centers that allow IT flexibility & choice整體云安全框架24User & Intelligent Devices保護(hù)設(shè)備保護(hù)設(shè)備 識(shí)別,設(shè)備完整性 & 數(shù)據(jù) 保護(hù)Public/Private Clouds(Ser

13、vers, Network, Storage)e保護(hù)數(shù)據(jù)中心保護(hù)數(shù)據(jù)中心基礎(chǔ)架構(gòu) & 數(shù)據(jù)保護(hù), 私有云公有云31保護(hù)連接應(yīng)用,數(shù)據(jù)，傳輸2通用安全標(biāo)準(zhǔn)和廣泛的業(yè)界合作通用安全標(biāo)準(zhǔn)和廣泛的業(yè)界合作4Cloud Security Mission: Worry-Free Cloud ComputingIn next 5 years, make cloud security equal to or better than traditional best in class enterprise securityNGDC安全解決方案架構(gòu)-完善而開放的管理平臺(tái) 跨越物理，虛擬和云的統(tǒng)一管理通過(guò)基于Web

14、的界面，從任何地方進(jìn)行訪問(wèn) 高度的擴(kuò)展性有效的整合技術(shù)伙伴聯(lián)盟通過(guò)API來(lái)適應(yīng)不斷變化的市場(chǎng)和業(yè)務(wù)的需求 端到端的可見(jiàn)和可控跨越應(yīng)用、終端、服務(wù)器和網(wǎng)絡(luò)等多個(gè)層次，深刻了解安全策略部署以及合規(guī)情況開放的開放的APIAPI自動(dòng)合規(guī)審計(jì)自動(dòng)合規(guī)審計(jì) (Policy Audit Vulnerability Management)技術(shù)伙伴聯(lián)盟技術(shù)伙伴聯(lián)盟管理管理 (統(tǒng)一的命令行中心)警告警告通知通知報(bào)表報(bào)表SLAsSLAs法規(guī)法規(guī)框架框架標(biāo)準(zhǔn)標(biāo)準(zhǔn)SOXISO 27001PCI DSSHIPAACOBITCISGLBANISTNISTFISMADISA STIGSFDCCCentral manageme

15、nt25NGDC安全解決方案架構(gòu)-統(tǒng)一身份認(rèn)證與單點(diǎn)登錄用戶用戶身份認(rèn)證身份認(rèn)證服務(wù)服務(wù)統(tǒng)一認(rèn)證管理系統(tǒng)統(tǒng)一認(rèn)證管理系統(tǒng)信息服務(wù)信息服務(wù)管理員管理員后臺(tái)后臺(tái)管理管理統(tǒng)一認(rèn)證統(tǒng)一認(rèn)證單點(diǎn)登錄單點(diǎn)登錄用戶信息共享同步用戶信息共享同步用戶管理用戶管理機(jī)構(gòu)管理機(jī)構(gòu)管理角色管理角色管理應(yīng)用管理應(yīng)用管理NGDC安全解決方案架構(gòu)-動(dòng)態(tài)和層次化的網(wǎng)絡(luò)保護(hù) 高度可擴(kuò)展的網(wǎng)絡(luò)安全防護(hù)架構(gòu) 跨越物理和虛擬環(huán)境的保護(hù) 對(duì)VM之間的流量進(jìn)行實(shí)時(shí)查看和威脅檢測(cè) 不會(huì)對(duì)服務(wù)器造成另外的負(fù)載 支持更廣泛的網(wǎng)絡(luò)訪問(wèn) 可以通過(guò)用戶，組和應(yīng)用程序進(jìn)行策略設(shè)定，而不是僅僅通過(guò)靜態(tài)屬性（IP地址，MAC地址）來(lái)管理策略網(wǎng)絡(luò)安全管理策略

16、定義策略定義報(bào)表和警告報(bào)表和警告網(wǎng)絡(luò)可視化網(wǎng)絡(luò)可視化虛擬化集成的保護(hù)漏洞管理漏洞管理網(wǎng)絡(luò)威脅網(wǎng)絡(luò)威脅深入分析深入分析虛擬化支持虛擬化支持?jǐn)?shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)高級(jí)高級(jí)惡意代碼惡意代碼網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證深度分析深度分析策略強(qiáng)制策略強(qiáng)制下一代硬件架構(gòu)高達(dá)高達(dá)8080GB的處理能力的處理能力長(zhǎng)長(zhǎng)生命周期生命周期高高端口密度端口密度27NGDC安全解決方案架構(gòu)-可擴(kuò)展的存儲(chǔ)安全 針對(duì)存儲(chǔ)設(shè)備的無(wú)縫保護(hù) 針對(duì)數(shù)據(jù)可用性最大化的可擴(kuò)展架構(gòu) 中央管理減少了管理負(fù)擔(dān)針對(duì)存儲(chǔ)的惡意軟件掃描模塊 集中管理直連存儲(chǔ)及共享存儲(chǔ)NGDC安全解決方案架構(gòu) -靈活的計(jì)算安全（物理和虛擬）虛擬機(jī) 最大化虛擬機(jī)密度和可用性 確保只有必

17、須的應(yīng)用在運(yùn)行 針對(duì)虛擬機(jī)設(shè)計(jì)的防病毒offload機(jī)制 支持所有主流虛擬化廠商 虛擬層感知能力 針對(duì)不同的層和應(yīng)用進(jìn)行靈活的保護(hù) 黑名單、白名單和信譽(yù)技術(shù) 完全符合行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐 策略基準(zhǔn)，策略變更管理，文件完整性監(jiān)控 虛擬機(jī)移動(dòng)和遷移 支持在線的虛擬機(jī)遷移 跨越物理，虛擬和云的安全策略一致性應(yīng)用OracleSAPMicrosoft虛擬層（智能化的資源管理）操作系統(tǒng)CPU內(nèi)存內(nèi)存管理加密數(shù)據(jù)保護(hù)InternetIntranetSecure connections to the cloudFull-disk encryption protects data on hard disks, d

18、ata stored in cloudApplication-level encryption for automation and granularityName: J.DoeSS# Secure transactions used pervasively in ecommerce, banking, etc.Full disk encryption software protects data automatically during saving to diskMost enterprise and many cloud applications offer options to use encryption to secure information and protect