深信服云安全資源池解決方案

深信服云安全資源池解決方案深信服安全BU深信服云安全資源池解決方案深信服安全BU1安全是云計算重要環(huán)節(jié)安全是云計算重要環(huán)節(jié)2安全是云計算發(fā)展最大擔憂云計算所面臨的挑戰(zhàn)中，安全問題排在首位75%用戶在安全性上猶豫不決Source：IDCEnterprisePanel（國際數(shù)據(jù)公司IDC）安全是云計算發(fā)展最大擔憂云計算所面臨的挑戰(zhàn)中，安全問題排在首3安全權(quán)責劃分與合規(guī)的需求2022/12/19云安全不再是平臺技術(shù)提供方或是平臺運營方的事情A.B.C.D.E.技術(shù)提供方平臺運營方租戶監(jiān)管機構(gòu)ISV為租戶提供可選擇的安全方案。運營安全生態(tài)云平臺技術(shù)對網(wǎng)絡(luò)、數(shù)據(jù)等提供安全保障保證平臺物理層安全通過使用平臺提供的安全服務(wù)，保證自身業(yè)務(wù)安全為云環(huán)境下平臺、租戶安全提供指導(dǎo)，通過制度保證平臺、租戶安全云平臺技術(shù)對網(wǎng)絡(luò)、數(shù)據(jù)等提供安全保障保證平臺物理層安全安全權(quán)責劃分與合規(guī)的需求2022/12/18云安全不再是平臺4減少租戶上云顧慮、滿足業(yè)務(wù)安全的需求2022/12/19在以上流程中，亟需平臺方去解決的是：現(xiàn)有應(yīng)用架構(gòu)，特別是數(shù)據(jù)庫能否正常運行安全如何保障，平臺方能否提供與線下原有數(shù)據(jù)中心匹配的安全能力上云前咨詢云上基礎(chǔ)架構(gòu)規(guī)劃安全架構(gòu)規(guī)劃遷云實施租戶上云流程減少租戶上云顧慮、滿足業(yè)務(wù)安全的需求2022/12/18在以5為租戶提供安全可視、可自定義配置的需求2022/12/19線下原有數(shù)據(jù)中心租戶云上數(shù)據(jù)中心安全可配置安全可視“黑盒”平臺層打包“安全服務(wù)”，租戶只管上云。所有安全服務(wù)打包在“黑盒”中，無法提供租戶個性化配置界面？？安全不可視流量路徑不可視為租戶提供安全可視、可自定義配置的需求2022/12/18線6持續(xù)增值和安全生態(tài)運營的需求2022/12/19硬件設(shè)備提供的安全能力，如何以增值服務(wù)的方式提供給租戶？平臺運營方如何快速掌握安全能力，并交付用戶？租戶的安全需求是持續(xù)的、不斷更新的，如何通過安全生態(tài)運營滿足不斷變化的安全需求基本安全需求安全增值服務(wù)安全運營持續(xù)對抗新威脅持續(xù)增值和安全生態(tài)運營的需求2022/12/18硬件設(shè)備提供7現(xiàn)有云安全方案實現(xiàn)現(xiàn)有云安全方案實現(xiàn)8云安全建設(shè)現(xiàn)狀2022/12/19010302緊耦合方案：平臺自帶安全組件安全鏡像方案部分解耦合：硬件一虛多完全解耦合：DNS引流方案虛擬機引流方案云安全建設(shè)現(xiàn)狀2022/12/18010302緊耦合方案：部9硬件一虛多方案2022/12/19Cloud硬件一虛多設(shè)備VM1VM2VM2租戶A購買的套餐需要提供防火墻、IPS和負載功能，保證處理能力的10%租戶B購買的套餐需要提供防火墻、LB功能，保證處理能力5%其他租戶購買的套餐需要提供防火墻功能，限制處理能力5%租戶與VLAN關(guān)聯(lián)，入站出站流量需經(jīng)過該硬件進行清洗。當前能夠支持一虛多的硬件云安全解決方案，支持功能較少，大多數(shù)僅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100（租戶A）Vlan200（租戶B）vlan500（租戶C）應(yīng)用背景實現(xiàn)過程硬件一虛多方案2022/12/18Cloud硬件一虛VM1V10設(shè)備鏡像化交付方案2022/12/19互聯(lián)網(wǎng)省級管理平臺ECS省安全組B業(yè)務(wù)ECSB業(yè)務(wù)RDSA業(yè)務(wù)ECSA業(yè)務(wù)RDSC業(yè)務(wù)安全組B業(yè)務(wù)安全組XX

ECSXX

RDSXX業(yè)務(wù)安全組……vSSL

VPN鏡像vFW鏡像堡壘機鏡像負載均衡鏡像政務(wù)外網(wǎng)應(yīng)用背景云平臺完成搭建，平臺層面安全已經(jīng)建設(shè)完成。租戶對業(yè)務(wù)層面安全提出要求，平臺方運營方需要一種快速、對平臺改動最小的方案。安全廠商將原有硬件設(shè)備以鏡像化的方式部署與云平臺無法深度耦合實現(xiàn)過程安全產(chǎn)品提供方，需要根據(jù)不同云平臺架構(gòu)進行產(chǎn)品適配云平臺一般只能夠提供標準操作系統(tǒng)鏡像（如windows

Server、Linux各版本），但安全產(chǎn)品鏡像是非標準的操作系統(tǒng)，所以需要平臺方協(xié)調(diào)安裝交付后。需要在租戶層面做路由、網(wǎng)關(guān)的更改，使流量經(jīng)過安全鏡像設(shè)備鏡像化交付方案2022/12/18互聯(lián)網(wǎng)省級管理平臺E11SAAS安全服務(wù)交付方案2022/12/19應(yīng)用背景云平臺租戶有對外發(fā)布的WEB業(yè)務(wù)，比如網(wǎng)站業(yè)務(wù)。由于網(wǎng)站業(yè)務(wù)的特性，租戶需要對網(wǎng)站經(jīng)常受到的篡改、SQL注入、跨站等攻擊進行防范。能夠?qū)DoS、CC攻擊具備一定的流量清洗能力。實現(xiàn)過程針對租戶網(wǎng)站業(yè)務(wù)，提供SAAS安全服務(wù)，即網(wǎng)站用戶訪問流量經(jīng)過SAAS安全服務(wù)清洗后，返回到源站IP。需要用戶在DNS服務(wù)商處修改CNAME記錄，CNAME指向指定的地址，從而完成流量牽引通過以上，完成對外WEB業(yè)務(wù)常見安全風(fēng)險的防范互聯(lián)網(wǎng)互聯(lián)網(wǎng)SAAS服務(wù)商目標網(wǎng)站目標網(wǎng)站訪問請求訪問請求修改DNS記錄，使用戶的網(wǎng)站訪問請求先經(jīng)過SAAS服務(wù)商，經(jīng)過清洗后，到達目標網(wǎng)站直接訪問網(wǎng)站流程SAAS安全服務(wù)交付方案2022/12/18應(yīng)用背景云平臺租12現(xiàn)有云架構(gòu)下最優(yōu)的方案2022/12/191.完全解耦合，權(quán)責清晰2.全流量引流3.全威脅可視、防御01緊耦合方案：平臺自帶安全組件安全鏡像方案02部分解耦合：硬件一虛多完全解耦合：DNS引流方案虛擬機引流方案03無法解決：完全耦合，平臺不同，安全廠商融合難度大，開發(fā)工作量大平臺自帶安全組件功能少，僅能解決部分問題無法解決：雖然解耦，但是支持功能較少（DNS引流僅支持web流量）大多為服務(wù)交付，平臺方不掌握運營能力無法解決：為了實現(xiàn)引流，需要復(fù)雜的路由、網(wǎng)絡(luò)配置。無法簡化配置、快速交付僅有平臺視角，缺少租戶視角硬件一虛多設(shè)備支持功能較少（IPS、FW、LB）全流量引流、本地化交付安全即服務(wù)、全威脅可視完全解耦合、安全責任清晰平臺可運營、持續(xù)增值現(xiàn)有云架構(gòu)下最優(yōu)的方案2022/12/181.完全解耦合，權(quán)132022/12/19深信服云安全資源池方案2022/12/18深信服云安全資源池方案14深信服云安全資源池功能概覽安全可運營安全運營報告安全加固咨詢?nèi)斯?yīng)急響應(yīng)入侵防御IPSEC

VPNSSLVPN堡壘機數(shù)據(jù)庫審計云端檢測安全咨詢安全狀態(tài)監(jiān)控業(yè)務(wù)風(fēng)險統(tǒng)一分析原有數(shù)據(jù)中心業(yè)務(wù)接入安全接入漏洞攻擊滲透測試網(wǎng)頁篡改Web攻擊訪問控制數(shù)據(jù)竊取統(tǒng)一安全資源分配流量可視安全日志統(tǒng)一運維業(yè)務(wù)安全業(yè)務(wù)接入

安全可視威脅可視流量可視策略可視安全網(wǎng)絡(luò)可視資產(chǎn)可視業(yè)務(wù)負載業(yè)務(wù)接入Web防護數(shù)據(jù)防泄密業(yè)務(wù)安全防護L4-L7應(yīng)用控制防病毒功能網(wǎng)頁防篡改安全接入服務(wù)包基礎(chǔ)防御服務(wù)包高級防御服務(wù)包失陷主機發(fā)現(xiàn)服務(wù)包云安全資源池用戶業(yè)務(wù)安全運營增值服務(wù)包運維安全包云平臺平臺層安全運營安全服務(wù)編排深信服云安全資源池功能概覽安全可運營安全運營報告安全加固咨詢152022/12/19整體拓撲架構(gòu)示意圖核心交換平臺層物理安全安全即服務(wù)基于深信服公有云XYcloudsDDoS高防漏洞掃描資產(chǎn)暴露面安全應(yīng)急服務(wù)滲透/等保服務(wù)業(yè)務(wù)可用監(jiān)測安全情報服務(wù)清潔流量清潔流量漏洞掃描云安全服務(wù)云平臺租戶租戶租戶計算資源存儲資源計算資源存儲資源計算資源存儲資源深信服云安全資源池SSL

VPN安全接入包IPSEC

VPN防病毒應(yīng)用控制基礎(chǔ)防御包IPS防篡改WAF高級防御包數(shù)據(jù)防泄密Webshell黑鏈檢測失陷主機發(fā)現(xiàn)包APT深信服超融合平臺策略路由安全接入包基礎(chǔ)防御包高級防御包基礎(chǔ)防御包高級防御包安全監(jiān)測包安全接入包高級防御包業(yè)務(wù)增值包租戶A安全服務(wù)租戶B安全服務(wù)租戶C安全服務(wù)2022/12/18整體拓撲架構(gòu)示意圖核心交換平臺層物理安全16云安全資源池底層架構(gòu)—軟件定義的超融合平臺網(wǎng)絡(luò)虛擬化安全接入包基礎(chǔ)防御包失陷主機發(fā)現(xiàn)包基礎(chǔ)防御包安全接入包基礎(chǔ)防御包高級防御包高級防御包超融合平臺安全實力虛擬化實力云安全資源池方案高級防御包失陷主機發(fā)現(xiàn)包云安全資源池底層架構(gòu)—軟件定義的超融合平臺網(wǎng)絡(luò)虛擬化安全接入17云安全資源池組件2022/12/19提供黑鏈檢測、webshell上傳點、網(wǎng)頁木馬檢測、惡意軟件發(fā)現(xiàn)安全組件提供web防護、網(wǎng)頁防篡改、敏感信息防泄密安全組件、堡壘機、數(shù)據(jù)庫審計提供應(yīng)用控制、防病毒網(wǎng)關(guān)、IPS功能提供IPSEC

VPN、SSL

VPN、安卓/IOS/windows安全接入SDK等多種安全接入組件安全接入包提供業(yè)務(wù)可用性檢測、資產(chǎn)暴露面、云端漏洞監(jiān)測安全組件提供安全運營報告、安全策略檢測、加固咨詢、威脅分析、滲透測試、遠程應(yīng)急響應(yīng)、通報問題處理運營服務(wù)基礎(chǔ)防御包高級防御包失陷主機包云端檢測包安全運營包云安全資源池組件2022/12/18提供黑鏈檢測、websh18深信服云安全服務(wù)依托于深信服企業(yè)級公有云平臺（xyclouds）提供安全增值服務(wù)，服務(wù)交付方式為輕量級交付，具體為：修改DNS

CNAME記錄，使用戶流量經(jīng)過云平臺清洗后返回源站。提供如下功能：資產(chǎn)發(fā)現(xiàn)：自動識別域名、IP、服務(wù)、網(wǎng)站、應(yīng)用資產(chǎn)；風(fēng)險感知：發(fā)現(xiàn)漏洞風(fēng)險、配置風(fēng)險、內(nèi)容風(fēng)險、數(shù)據(jù)風(fēng)險、資產(chǎn)風(fēng)險、應(yīng)用風(fēng)險；風(fēng)險預(yù)警：企業(yè)應(yīng)用漏洞預(yù)警、全球安全事件預(yù)警、高危風(fēng)險預(yù)警；專家咨詢：專家咨詢、漏洞驗證、人工滲透、應(yīng)急響應(yīng)深信服云安全服務(wù)依托于深信服企業(yè)級公有云平臺（xycloud192022/12/19安全資源服務(wù)交付流程平臺方運營方界面2022/12/18安全資源服務(wù)交付流程平臺方運營方界面202022/12/19安全資源服務(wù)交付流程——發(fā)起請求基礎(chǔ)防御包高級防御包租戶計算資源存儲資源應(yīng)用數(shù)據(jù)庫安全接入包租戶A增值業(yè)務(wù)包基礎(chǔ)防御包云端監(jiān)測包計算資源存儲資源應(yīng)用數(shù)據(jù)庫租戶B租戶A的業(yè)務(wù)主要是面向系統(tǒng)內(nèi)部員工開放的，為了保證內(nèi)部系統(tǒng)數(shù)據(jù)傳輸安全，需要使用IPSEC

VPN互聯(lián)，需要對內(nèi)部系統(tǒng)開啟IPS

WAF網(wǎng)頁防篡改等功能所以，建議租戶選擇“安全接入包”“基礎(chǔ)防御包”“高級防御包”租戶B的業(yè)務(wù)是面向公眾的，系統(tǒng)架構(gòu)為B/S架構(gòu)，公眾通過域名訪問。為了避免系統(tǒng)被惡意掃描、入侵、篡改，系統(tǒng)出現(xiàn)問題，可以及時發(fā)現(xiàn)，所以建議用戶使用使用“基礎(chǔ)防御包”“高級防御包”“云端檢測包”。另外，為了保證系統(tǒng)的可用性，提升服務(wù)器、業(yè)務(wù)系統(tǒng)的使用效率，可以建議用戶選擇增值服務(wù)包中的“負載均衡”高級防御包2022/12/18安全資源服務(wù)交付流程——發(fā)起請求基礎(chǔ)防御212022/12/19安全資源服務(wù)交付流程——定義安全服務(wù)安全服務(wù)定義場景定義交付功能定義2022/12/18安全資源服務(wù)交付流程——定義安全服務(wù)安全22安全資源服務(wù)交付流程——分配安全服務(wù)2022/12/19安全資源服務(wù)交付流程——分配安全服務(wù)2022/12/1823安全資源服務(wù)交付流程——安全服務(wù)編排2022/12/19租戶A安全服務(wù)租戶B安全服務(wù)基礎(chǔ)防御包高級防御包云端監(jiān)測包云端監(jiān)測包安全接入包高級防御包授權(quán)資源池安全服務(wù)編排，釋放租戶需要的安全服務(wù)自動化網(wǎng)絡(luò)基礎(chǔ)信息配置（IP、路由等）云安全資源池安全資源服務(wù)交付流程——安全服務(wù)編排2022/12/18租戶24安全資源服務(wù)運營-安全資源管理員資源管理員：根據(jù)租戶選擇的服務(wù)包類型，分配服務(wù)包到租戶賬戶下，安全資源管理員擁有安全服務(wù)編排權(quán)限安全資源運行報告與日志：根據(jù)安全資源池租戶使用情況，按照月、季度、年生成資源運行報告，針對資源使用/分配情況占比，資源利用率等維度，為租戶、平臺運維方提供有效資源配置建議安全資源服務(wù)運營-安全資源管理員資源管理員：安全資源運行報告252022/12/19安全資源服務(wù)日常運營流程面向租戶運營界面2022/12/18安全資源服務(wù)日常運營流程面向租戶運營界面26云安全服務(wù)中心——租戶安全服務(wù)可視、可配置流量可視模塊：由于云上流量的不可視，導(dǎo)致用戶對自己虛擬網(wǎng)絡(luò)架構(gòu)內(nèi)部應(yīng)用流量交互不清晰，流量可視模塊，為用戶展現(xiàn)網(wǎng)絡(luò)流量組成（哪些具體應(yīng)用，流量大小等），讓用戶隨時了解業(yè)務(wù)流量組成安全可視模塊：安全資源池內(nèi)各組件（IPS組件、WEB防火墻組件、失陷主機組件等）的日志，通過安全可視模塊進行收集，統(tǒng)一匯總，對用戶匯總展現(xiàn)當前業(yè)務(wù)系統(tǒng)面臨的風(fēng)險。租戶自管理界面：未租戶提供安全服務(wù)包管理界面，每個租戶可以對自己的個性化WAF、訪問控制、IPS等安全策略進行配置，支持租戶定義不同等級的管理員。云安全服務(wù)中心——租戶安全服務(wù)可視、可配置流量可視模塊：安全272022/12/19云安全資源池價值展現(xiàn)面向租戶界面2022/12/18云安全資源池價值展現(xiàn)面向租戶界面282022/12/1901040203權(quán)責清晰、安全合規(guī)安全可視、持續(xù)檢測能力運營、業(yè)務(wù)增值交付便捷、運維簡化05生態(tài)開放、快速上云深信服云安全資源服務(wù)的價值2022/12/1801040203權(quán)責清晰、安全合規(guī)安全可292022/12/19權(quán)責清晰、安全合規(guī)平臺權(quán)責租戶權(quán)責合理利用平臺提供的相關(guān)安全技術(shù)，維護業(yè)務(wù)安全滿足相關(guān)部門合規(guī)性要求對自身業(yè)務(wù)安全策略進行維護保證平臺安全，避免平臺層漏洞成為攻擊跳板平臺層合規(guī)性提供流程化的用戶需求實現(xiàn)方案滿足用戶多樣化安全需求2022/12/18權(quán)責清晰、安全合規(guī)平臺權(quán)責租戶權(quán)責合理利302022/12/19能力運營、業(yè)務(wù)增值傳統(tǒng)硬件方案僅能夠滿足云平臺初期建設(shè)基本需求如何將硬件設(shè)備提供的安全服務(wù)運營起來？打造“云化”安全基礎(chǔ)計算資源已經(jīng)沒有增值空間了，如何在租戶安全上實現(xiàn)增值現(xiàn)在的解耦合方案（如云WAF）要么功能較少，要么對云平臺要求比較高，難以交付平臺運營方不掌握安全能力，無法運營將安全服務(wù)能力交付給平臺運營方平臺運營方具備根據(jù)用戶場景打包安全服務(wù)能力平臺運營方可以將安全服務(wù)與基礎(chǔ)計算資源打包實現(xiàn)業(yè)務(wù)增值基礎(chǔ)防御包高級防御包基礎(chǔ)防御包2022/12/18能力運營、業(yè)務(wù)增值傳統(tǒng)硬件方案僅能夠滿足312022/12/19安全可視、持續(xù)檢測完整的攻擊鏈條探測邊界突破持續(xù)滲透安裝工具橫向移動竊取/破壞基礎(chǔ)防御包失陷主機發(fā)現(xiàn)包失陷主機發(fā)現(xiàn)包攻擊路徑可視2022/12/18安全可視、持續(xù)檢測完整的攻擊鏈條探測邊界322022/12/19交付便捷、運維簡化服務(wù)化交付，僅需要配置用戶安全服務(wù)IP，每個租戶安全服務(wù)完全隔離平臺層交付安全服務(wù)，保障安全服務(wù)可用，租戶配置個性化安全策略，簡化運維數(shù)據(jù)流VLAN分配路由策略IPS策略WAF策略自動化業(yè)務(wù)流租戶隔離服務(wù)化交付其他安全策略平臺方交負責平臺安全運維復(fù)雜的安全交付日常運維變得簡單過去的云安全交付、運維現(xiàn)在的云安全交付、運維用戶自行尋找安全軟件地址分配策略調(diào)整缺少用戶界面用戶負責自身業(yè)務(wù)安全運維用戶安全運維服務(wù)托管2022/12/18交付便捷、運維簡化服務(wù)化交付，僅需要配置332022/12/19生態(tài)開放、快速上云開放生態(tài)云安全資源池提供開放的生態(tài)，第三方安全廠商，提供標準的安裝文件，即可完成產(chǎn)品導(dǎo)入對云管平臺提供接口，允許云管平臺通過接口調(diào)用的方式整合計算+安全資源簡化流程告別了復(fù)雜的上云前防火墻、waf、交換機等配置策略，同時提供多樣化的安全套餐供用戶選擇，縮短用戶上云流程通過標準化產(chǎn)品交付，減少與用戶反復(fù)溝通的時間2022/12/18生態(tài)開放、快速上云開放生態(tài)云安全資源池提34技術(shù)特色技術(shù)特色35安全資源池——平臺穩(wěn)定性2022/12/19實現(xiàn)云安全資源池安全服務(wù)高可用，無需使用昂貴、復(fù)雜的傳統(tǒng)安全硬件設(shè)備集群解決方案最大限度地減少硬件、軟件故障造成的安全服務(wù)中斷時間提高整個基礎(chǔ)架構(gòu)范圍內(nèi)的保護力度基礎(chǔ)防御包高級防御包基礎(chǔ)防御包云端監(jiān)測包安全接入包高級防御包租戶A安全服務(wù)租戶B安全服務(wù)安全資源池——平臺穩(wěn)定性2022/12/18實現(xiàn)云安全資源池36安全資源池——平臺性能線性擴充基礎(chǔ)防御包（10M授權(quán)）高級防御包（10M授權(quán)）云端監(jiān)測包（5M授權(quán)）安全接入包（5M授權(quán)）高級防御包（5M授權(quán)）平臺線性擴容平臺性能不足時，可以通過擴充標準服務(wù)器加入到集群中，保障平臺性能當用戶分配安全服務(wù)性能不足時，亦可線性擴充性能租戶A安全服務(wù)租戶B安全服務(wù)基礎(chǔ)防御包（5M授權(quán)）租戶安全服務(wù)包性能不足基礎(chǔ)防御包（50M授權(quán)）高級防御包（50M授權(quán)）安全資源池——平臺性能線性擴充基礎(chǔ)防御包（10M授權(quán)）高級防37深信服安全能力2022/12/19網(wǎng)絡(luò)安全市場銷售額排名第一66.970.9872.281.9FWIPS行為管理UTM安全市場LSTSHWVPNIDS

No.1深信服深信服安全能力2022/12/18網(wǎng)絡(luò)安全市場銷售額排名第一38深信服安全能力2022/12/19最早適配阿里云、亞馬遜云、騰訊云的安全廠商從2013年末阿里云推出第三方安全鏡像合作開始，深信服就提供了SSL

VPN與第二代防火墻產(chǎn)品適配阿里云平臺至今已經(jīng)成交超過千筆深信服安全能力2022/12/18最早適配阿里云、亞馬遜云、39深信服技術(shù)能力表現(xiàn)2022/12/19安全市場虛擬化市場深信服技術(shù)能力表現(xiàn)2022/12/18安全市場虛擬化市場40THANKS!THANKS!41深信服云安全資源池解決方案深信服安全BU深信服云安全資源池解決方案深信服安全BU42安全是云計算重要環(huán)節(jié)安全是云計算重要環(huán)節(jié)43安全是云計算發(fā)展最大擔憂云計算所面臨的挑戰(zhàn)中，安全問題排在首位75%用戶在安全性上猶豫不決Source：IDCEnterprisePanel（國際數(shù)據(jù)公司IDC）安全是云計算發(fā)展最大擔憂云計算所面臨的挑戰(zhàn)中，安全問題排在首44安全權(quán)責劃分與合規(guī)的需求2022/12/19云安全不再是平臺技術(shù)提供方或是平臺運營方的事情A.B.C.D.E.技術(shù)提供方平臺運營方租戶監(jiān)管機構(gòu)ISV為租戶提供可選擇的安全方案。運營安全生態(tài)云平臺技術(shù)對網(wǎng)絡(luò)、數(shù)據(jù)等提供安全保障保證平臺物理層安全通過使用平臺提供的安全服務(wù)，保證自身業(yè)務(wù)安全為云環(huán)境下平臺、租戶安全提供指導(dǎo)，通過制度保證平臺、租戶安全云平臺技術(shù)對網(wǎng)絡(luò)、數(shù)據(jù)等提供安全保障保證平臺物理層安全安全權(quán)責劃分與合規(guī)的需求2022/12/18云安全不再是平臺45減少租戶上云顧慮、滿足業(yè)務(wù)安全的需求2022/12/19在以上流程中，亟需平臺方去解決的是：現(xiàn)有應(yīng)用架構(gòu)，特別是數(shù)據(jù)庫能否正常運行安全如何保障，平臺方能否提供與線下原有數(shù)據(jù)中心匹配的安全能力上云前咨詢云上基礎(chǔ)架構(gòu)規(guī)劃安全架構(gòu)規(guī)劃遷云實施租戶上云流程減少租戶上云顧慮、滿足業(yè)務(wù)安全的需求2022/12/18在以46為租戶提供安全可視、可自定義配置的需求2022/12/19線下原有數(shù)據(jù)中心租戶云上數(shù)據(jù)中心安全可配置安全可視“黑盒”平臺層打包“安全服務(wù)”，租戶只管上云。所有安全服務(wù)打包在“黑盒”中，無法提供租戶個性化配置界面？？安全不可視流量路徑不可視為租戶提供安全可視、可自定義配置的需求2022/12/18線47持續(xù)增值和安全生態(tài)運營的需求2022/12/19硬件設(shè)備提供的安全能力，如何以增值服務(wù)的方式提供給租戶？平臺運營方如何快速掌握安全能力，并交付用戶？租戶的安全需求是持續(xù)的、不斷更新的，如何通過安全生態(tài)運營滿足不斷變化的安全需求基本安全需求安全增值服務(wù)安全運營持續(xù)對抗新威脅持續(xù)增值和安全生態(tài)運營的需求2022/12/18硬件設(shè)備提供48現(xiàn)有云安全方案實現(xiàn)現(xiàn)有云安全方案實現(xiàn)49云安全建設(shè)現(xiàn)狀2022/12/19010302緊耦合方案：平臺自帶安全組件安全鏡像方案部分解耦合：硬件一虛多完全解耦合：DNS引流方案虛擬機引流方案云安全建設(shè)現(xiàn)狀2022/12/18010302緊耦合方案：部50硬件一虛多方案2022/12/19Cloud硬件一虛多設(shè)備VM1VM2VM2租戶A購買的套餐需要提供防火墻、IPS和負載功能，保證處理能力的10%租戶B購買的套餐需要提供防火墻、LB功能，保證處理能力5%其他租戶購買的套餐需要提供防火墻功能，限制處理能力5%租戶與VLAN關(guān)聯(lián)，入站出站流量需經(jīng)過該硬件進行清洗。當前能夠支持一虛多的硬件云安全解決方案，支持功能較少，大多數(shù)僅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100（租戶A）Vlan200（租戶B）vlan500（租戶C）應(yīng)用背景實現(xiàn)過程硬件一虛多方案2022/12/18Cloud硬件一虛VM1V51設(shè)備鏡像化交付方案2022/12/19互聯(lián)網(wǎng)省級管理平臺ECS省安全組B業(yè)務(wù)ECSB業(yè)務(wù)RDSA業(yè)務(wù)ECSA業(yè)務(wù)RDSC業(yè)務(wù)安全組B業(yè)務(wù)安全組XX

ECSXX

RDSXX業(yè)務(wù)安全組……vSSL

VPN鏡像vFW鏡像堡壘機鏡像負載均衡鏡像政務(wù)外網(wǎng)應(yīng)用背景云平臺完成搭建，平臺層面安全已經(jīng)建設(shè)完成。租戶對業(yè)務(wù)層面安全提出要求，平臺方運營方需要一種快速、對平臺改動最小的方案。安全廠商將原有硬件設(shè)備以鏡像化的方式部署與云平臺無法深度耦合實現(xiàn)過程安全產(chǎn)品提供方，需要根據(jù)不同云平臺架構(gòu)進行產(chǎn)品適配云平臺一般只能夠提供標準操作系統(tǒng)鏡像（如windows

Server、Linux各版本），但安全產(chǎn)品鏡像是非標準的操作系統(tǒng)，所以需要平臺方協(xié)調(diào)安裝交付后。需要在租戶層面做路由、網(wǎng)關(guān)的更改，使流量經(jīng)過安全鏡像設(shè)備鏡像化交付方案2022/12/18互聯(lián)網(wǎng)省級管理平臺E52SAAS安全服務(wù)交付方案2022/12/19應(yīng)用背景云平臺租戶有對外發(fā)布的WEB業(yè)務(wù)，比如網(wǎng)站業(yè)務(wù)。由于網(wǎng)站業(yè)務(wù)的特性，租戶需要對網(wǎng)站經(jīng)常受到的篡改、SQL注入、跨站等攻擊進行防范。能夠?qū)DoS、CC攻擊具備一定的流量清洗能力。實現(xiàn)過程針對租戶網(wǎng)站業(yè)務(wù)，提供SAAS安全服務(wù)，即網(wǎng)站用戶訪問流量經(jīng)過SAAS安全服務(wù)清洗后，返回到源站IP。需要用戶在DNS服務(wù)商處修改CNAME記錄，CNAME指向指定的地址，從而完成流量牽引通過以上，完成對外WEB業(yè)務(wù)常見安全風(fēng)險的防范互聯(lián)網(wǎng)互聯(lián)網(wǎng)SAAS服務(wù)商目標網(wǎng)站目標網(wǎng)站訪問請求訪問請求修改DNS記錄，使用戶的網(wǎng)站訪問請求先經(jīng)過SAAS服務(wù)商，經(jīng)過清洗后，到達目標網(wǎng)站直接訪問網(wǎng)站流程SAAS安全服務(wù)交付方案2022/12/18應(yīng)用背景云平臺租53現(xiàn)有云架構(gòu)下最優(yōu)的方案2022/12/191.完全解耦合，權(quán)責清晰2.全流量引流3.全威脅可視、防御01緊耦合方案：平臺自帶安全組件安全鏡像方案02部分解耦合：硬件一虛多完全解耦合：DNS引流方案虛擬機引流方案03無法解決：完全耦合，平臺不同，安全廠商融合難度大，開發(fā)工作量大平臺自帶安全組件功能少，僅能解決部分問題無法解決：雖然解耦，但是支持功能較少（DNS引流僅支持web流量）大多為服務(wù)交付，平臺方不掌握運營能力無法解決：為了實現(xiàn)引流，需要復(fù)雜的路由、網(wǎng)絡(luò)配置。無法簡化配置、快速交付僅有平臺視角，缺少租戶視角硬件一虛多設(shè)備支持功能較少（IPS、FW、LB）全流量引流、本地化交付安全即服務(wù)、全威脅可視完全解耦合、安全責任清晰平臺可運營、持續(xù)增值現(xiàn)有云架構(gòu)下最優(yōu)的方案2022/12/181.完全解耦合，權(quán)542022/12/19深信服云安全資源池方案2022/12/18深信服云安全資源池方案55深信服云安全資源池功能概覽安全可運營安全運營報告安全加固咨詢?nèi)斯?yīng)急響應(yīng)入侵防御IPSEC

VPNSSLVPN堡壘機數(shù)據(jù)庫審計云端檢測安全咨詢安全狀態(tài)監(jiān)控業(yè)務(wù)風(fēng)險統(tǒng)一分析原有數(shù)據(jù)中心業(yè)務(wù)接入安全接入漏洞攻擊滲透測試網(wǎng)頁篡改Web攻擊訪問控制數(shù)據(jù)竊取統(tǒng)一安全資源分配流量可視安全日志統(tǒng)一運維業(yè)務(wù)安全業(yè)務(wù)接入

安全可視威脅可視流量可視策略可視安全網(wǎng)絡(luò)可視資產(chǎn)可視業(yè)務(wù)負載業(yè)務(wù)接入Web防護數(shù)據(jù)防泄密業(yè)務(wù)安全防護L4-L7應(yīng)用控制防病毒功能網(wǎng)頁防篡改安全接入服務(wù)包基礎(chǔ)防御服務(wù)包高級防御服務(wù)包失陷主機發(fā)現(xiàn)服務(wù)包云安全資源池用戶業(yè)務(wù)安全運營增值服務(wù)包運維安全包云平臺平臺層安全運營安全服務(wù)編排深信服云安全資源池功能概覽安全可運營安全運營報告安全加固咨詢562022/12/19整體拓撲架構(gòu)示意圖核心交換平臺層物理安全安全即服務(wù)基于深信服公有云XYcloudsDDoS高防漏洞掃描資產(chǎn)暴露面安全應(yīng)急服務(wù)滲透/等保服務(wù)業(yè)務(wù)可用監(jiān)測安全情報服務(wù)清潔流量清潔流量漏洞掃描云安全服務(wù)云平臺租戶租戶租戶計算資源存儲資源計算資源存儲資源計算資源存儲資源深信服云安全資源池SSL

VPN安全接入包IPSEC

VPN防病毒應(yīng)用控制基礎(chǔ)防御包IPS防篡改WAF高級防御包數(shù)據(jù)防泄密Webshell黑鏈檢測失陷主機發(fā)現(xiàn)包APT深信服超融合平臺策略路由安全接入包基礎(chǔ)防御包高級防御包基礎(chǔ)防御包高級防御包安全監(jiān)測包安全接入包高級防御包業(yè)務(wù)增值包租戶A安全服務(wù)租戶B安全服務(wù)租戶C安全服務(wù)2022/12/18整體拓撲架構(gòu)示意圖核心交換平臺層物理安全57云安全資源池底層架構(gòu)—軟件定義的超融合平臺網(wǎng)絡(luò)虛擬化安全接入包基礎(chǔ)防御包失陷主機發(fā)現(xiàn)包基礎(chǔ)防御包安全接入包基礎(chǔ)防御包高級防御包高級防御包超融合平臺安全實力虛擬化實力云安全資源池方案高級防御包失陷主機發(fā)現(xiàn)包云安全資源池底層架構(gòu)—軟件定義的超融合平臺網(wǎng)絡(luò)虛擬化安全接入58云安全資源池組件2022/12/19提供黑鏈檢測、webshell上傳點、網(wǎng)頁木馬檢測、惡意軟件發(fā)現(xiàn)安全組件提供web防護、網(wǎng)頁防篡改、敏感信息防泄密安全組件、堡壘機、數(shù)據(jù)庫審計提供應(yīng)用控制、防病毒網(wǎng)關(guān)、IPS功能提供IPSEC

VPN、SSL

VPN、安卓/IOS/windows安全接入SDK等多種安全接入組件安全接入包提供業(yè)務(wù)可用性檢測、資產(chǎn)暴露面、云端漏洞監(jiān)測安全組件提供安全運營報告、安全策略檢測、加固咨詢、威脅分析、滲透測試、遠程應(yīng)急響應(yīng)、通報問題處理運營服務(wù)基礎(chǔ)防御包高級防御包失陷主機包云端檢測包安全運營包云安全資源池組件2022/12/18提供黑鏈檢測、websh59深信服云安全服務(wù)依托于深信服企業(yè)級公有云平臺（xyclouds）提供安全增值服務(wù)，服務(wù)交付方式為輕量級交付，具體為：修改DNS

CNAME記錄，使用戶流量經(jīng)過云平臺清洗后返回源站。提供如下功能：資產(chǎn)發(fā)現(xiàn)：自動識別域名、IP、服務(wù)、網(wǎng)站、應(yīng)用資產(chǎn)；風(fēng)險感知：發(fā)現(xiàn)漏洞風(fēng)險、配置風(fēng)險、內(nèi)容風(fēng)險、數(shù)據(jù)風(fēng)險、資產(chǎn)風(fēng)險、應(yīng)用風(fēng)險；風(fēng)險預(yù)警：企業(yè)應(yīng)用漏洞預(yù)警、全球安全事件預(yù)警、高危風(fēng)險預(yù)警；專家咨詢：專家咨詢、漏洞驗證、人工滲透、應(yīng)急響應(yīng)深信服云安全服務(wù)依托于深信服企業(yè)級公有云平臺（xycloud602022/12/19安全資源服務(wù)交付流程平臺方運營方界面2022/12/18安全資源服務(wù)交付流程平臺方運營方界面612022/12/19安全資源服務(wù)交付流程——發(fā)起請求基礎(chǔ)防御包高級防御包租戶計算資源存儲資源應(yīng)用數(shù)據(jù)庫安全接入包租戶A增值業(yè)務(wù)包基礎(chǔ)防御包云端監(jiān)測包計算資源存儲資源應(yīng)用數(shù)據(jù)庫租戶B租戶A的業(yè)務(wù)主要是面向系統(tǒng)內(nèi)部員工開放的，為了保證內(nèi)部系統(tǒng)數(shù)據(jù)傳輸安全，需要使用IPSEC

VPN互聯(lián)，需要對內(nèi)部系統(tǒng)開啟IPS

WAF網(wǎng)頁防篡改等功能所以，建議租戶選擇“安全接入包”“基礎(chǔ)防御包”“高級防御包”租戶B的業(yè)務(wù)是面向公眾的，系統(tǒng)架構(gòu)為B/S架構(gòu)，公眾通過域名訪問。為了避免系統(tǒng)被惡意掃描、入侵、篡改，系統(tǒng)出現(xiàn)問題，可以及時發(fā)現(xiàn)，所以建議用戶使用使用“基礎(chǔ)防御包”“高級防御包”“云端檢測包”。另外，為了保證系統(tǒng)的可用性，提升服務(wù)器、業(yè)務(wù)系統(tǒng)的使用效率，可以建議用戶選擇增值服務(wù)包中的“負載均衡”高級防御包2022/12/18安全資源服務(wù)交付流程——發(fā)起請求基礎(chǔ)防御622022/12/19安全資源服務(wù)交付流程——定義安全服務(wù)安全服務(wù)定義場景定義交付功能定義2022/12/18安全資源服務(wù)交付流程——定義安全服務(wù)安全63安全資源服務(wù)交付流程——分配安全服務(wù)2022/12/19安全資源服務(wù)交付流程——分配安全服務(wù)2022/12/1864安全資源服務(wù)交付流程——安全服務(wù)編排2022/12/19租戶A安全服務(wù)租戶B安全服務(wù)基礎(chǔ)防御包高級防御包云端監(jiān)測包云端監(jiān)測包安全接入包高級防御包授權(quán)資源池安全服務(wù)編排，釋放租戶需要的安全服務(wù)自動化網(wǎng)絡(luò)基礎(chǔ)信息配置（IP、路由等）云安全資源池安全資源服務(wù)交付流程——安全服務(wù)編排2022/12/18租戶65安全資源服務(wù)運營-安全資源管理員資源管理員：根據(jù)租戶選擇的服務(wù)包類型，分配服務(wù)包到租戶賬戶下，安全資源管理員擁有安全服務(wù)編排權(quán)限安全資源運行報告與日志：根據(jù)安全資源池租戶使用情況，按照月、季度、年生成資源運行報告，針對資源使用/分配情況占比，資源利用率等維度，為租戶、平臺運維方提供有效資源配置建議安全資源服務(wù)運營-安全資源管理員資源管理員：安全資源運行報告662022/12/19安全資源服務(wù)日常運營流程面向租戶運營界面2022/12/18安全資源服務(wù)日常運營流程面向租戶運營界面67云安全服務(wù)中心——租戶安全服務(wù)可視、可配置流量可視模塊：由于云上流量的不可視，導(dǎo)致用戶對自己虛擬網(wǎng)絡(luò)架構(gòu)內(nèi)部應(yīng)用流量交互不清晰，流量可視模塊，為用戶展現(xiàn)網(wǎng)絡(luò)流量組成（哪些具體應(yīng)用，流量大小等），讓用戶隨時了解業(yè)務(wù)流量組成安全可視模塊：安全資源池內(nèi)各組件（IPS組件、WEB防火墻組件、失陷主機組件等）的日志，通過安全可視模塊進行收集，統(tǒng)一匯總，對用戶匯總展現(xiàn)當前業(yè)務(wù)系統(tǒng)面臨的風(fēng)險。租戶自管理界面：未租戶提供安全服務(wù)包管理界面，每個租戶可以對自己的個性化WAF、訪問控制、IPS等安全策略進行配置，支持租戶定義不同等級的管理員。云安全服務(wù)中心——租戶安全服務(wù)可視、可配置流量可視模塊：安全682022/12/19云安全資源池價值展現(xiàn)面向租戶界面2022/12/18云安全資源池價值展現(xiàn)面向租戶界面692022/12/1901040203權(quán)責清晰、安全合規(guī)安全可視、持續(xù)檢測能力運營、業(yè)務(wù)增值交付便捷、運維簡化05生態(tài)開放、快速上云深信服云安全資源服務(wù)的價值2022/12/1801040203權(quán)責清晰、安全合規(guī)安全可702022/12/19權(quán)責清晰、安全合規(guī)平臺權(quán)責租戶權(quán)責合理利用平臺提供的相關(guān)安全技術(shù)，維護業(yè)務(wù)安全滿足相關(guān)部門合規(guī)性要求對自身業(yè)務(wù)安全策略進行維護保證平臺安全，避免平臺層漏洞成為攻擊跳板平臺層合規(guī)性提供流程化的用戶需求實現(xiàn)方案滿足用戶多樣化安全需求2022/12/18權(quán)責清晰、安全合規(guī)平臺權(quán)責租戶權(quán)責合理利712022/12/19能力運營、業(yè)務(wù)增值傳統(tǒng)硬件方案僅能夠滿足云平臺初期建設(shè)基本需求如何將硬件設(shè)備提供的安全服務(wù)運營起來？打造“云化”安全基礎(chǔ)計算資源已經(jīng)沒有增值空間了，如何在租戶安全上實現(xiàn)增值現(xiàn)在的解耦合方案（如云WAF）要么功能較少，要么對云平臺要求比較高，難以交付平臺運營方不掌握安全能力，無法運營將安全服務(wù)能力交付給平臺運營方平臺運營方具備根據(jù)用戶場景打包安全服務(wù)能力平臺