深信服云安全资源池解决方案.pptx
《深信服云安全资源池解决方案.pptx》由会员分享,可在线阅读,更多相关《深信服云安全资源池解决方案.pptx(41页珍藏版)》请在咨信网上搜索。
深信服云安全深信服云安全资源池解决方案源池解决方案深信服安全BU1.安全是云安全是云计算重要算重要环节2.安全是云安全是云计算算发展最大担展最大担忧云云计算所面算所面临的挑的挑战中,安全中,安全问题排在排在首位首位75%用用户在安全性上犹豫不决在安全性上犹豫不决Source:IDC Enterprise Panel(国际数据公司IDC)3.安全安全权责划分与合划分与合规的需求的需求2024/5/26 周日云安全不再是平台技云安全不再是平台技术提供方或是平台运提供方或是平台运营方的事情方的事情A.B.C.D.E.技技术提提供方供方平台运平台运营方方租租户监管机管机构构ISV为租户提供可选择的安全方案。运营安全生态云平台技术对网络、数据等提供安全保障保证平台物理层安全通过使用平台提供的安全服务,保证自身业务安全为云环境下平台、租户安全提供指导,通过制度保证平台、租户安全云平台技术对网络、数据等提供安全保障保证平台物理层安全4.减少租减少租户上云上云顾虑、满足足业务安全的需求安全的需求2024/5/26 周日在以上流程中,亟需平台方去解决的是:在以上流程中,亟需平台方去解决的是:1.1.现有有应用架构,特用架构,特别是数据是数据库能否正常运行能否正常运行2.2.安全如何保障安全如何保障,平台方能否提供与,平台方能否提供与线下原有数据中心下原有数据中心匹配匹配的的安全能力安全能力上云前咨上云前咨询云上基云上基础架构架构规划划安全架构安全架构规划划迁云迁云实施施租租户上云流程上云流程5.为租租户提供安全可提供安全可视、可自定、可自定义配置的需求配置的需求2024/5/26 周日线下原有数据中心下原有数据中心租租户云上数据中心云上数据中心安全可配置安全可配置安全可安全可视“黑盒黑盒”1.1.平台平台层打包打包“安全服安全服务”,租,租户只管上云。只管上云。2.2.所有安全服所有安全服务打包在打包在“黑盒黑盒”中,无法提供租中,无法提供租户个性化配置个性化配置界面界面?安全安全不可不可视流量路流量路径不可径不可视6.持持续增增值和安全生和安全生态运运营的需求的需求2024/5/26 周日1.1.硬件硬件设备提供的安全能力,如何以增提供的安全能力,如何以增值服服务的方式提供的方式提供给租租户?2.2.平台运平台运营方如何快速掌握安全能力,并交付用方如何快速掌握安全能力,并交付用户?3.3.租租户的安全需求是持的安全需求是持续的、不断更新的,如何通的、不断更新的,如何通过安全生安全生态运运营满足不断足不断变化的安全需求化的安全需求基本安全需求安全增值服务安全运营持续对抗新威胁7.现有云安全方案有云安全方案实现8.云安全建云安全建设现状状2024/5/26 周日010302紧耦合方案:平台自带安全组件安全镜像方案部分解耦合:硬件一虚多完全解耦合:DNS引流方案虚拟机引流方案9.硬件一虚多方案硬件一虚多方案2024/5/26 周日Cloud硬件一虚多设备VM1VM2VM2u租户A购买的套餐需要提供防火墙、IPS和负载功能,保证处理能力的10%u租户B购买的套餐需要提供防火墙、LB功能,保证处理能力5%u其他租户购买的套餐需要提供防火墙功能,限制处理能力5%u租户与VLAN关联,入站出站流量需经过该硬件进行清洗。u当前能够支持一虚多的硬件云安全解决方案,支持功能较少,大多数仅支持IPS、FW、LB功能。vSwitchVFWWebServerAppServerDBServervlan100(租户A)Vlan200(租户B)vlan500(租户C)应用背景实现过程10.设备镜像化交付方案像化交付方案2024/5/26 周日互联网省级管理平台 ECS省安全组B业务ECSB业务RDSA业务ECSA业务RDSC业务安全组B业务安全组XX ECSXX RDSXX业务安全组vSSL VPN镜像vFW镜像堡垒机镜像负载均衡镜像政务外网应用背景u云平台完成搭建,平台层面安全已经建设完成。u租户对业务层面安全提出要求,平台方运营方需要一种快速、对平台改动最小的方案。u安全厂商将原有硬件设备以镜像化的方式部署u与云平台无法深度耦合实现过程u安全产品提供方,需要根据不同云平台架构进行产品适配u云平台一般只能够提供标准操作系统镜像(如windows Server、Linux各版本),但安全产品镜像是非标准的操作系统,所以需要平台方协调安装u交付后。需要在租户层面做路由、网关的更改,使流量经过安全镜像11.SAAS安全服安全服务交付方案交付方案2024/5/26 周日应用背景u云平台租户有对外发布的WEB业务,比如网站业务。u由于网站业务的特性,租户需要对网站经常受到的篡改、SQL注入、跨站等攻击进行防范。u能够对DDoS、CC攻击具备一定的流量清洗能力。实现过程u针对租户网站业务,提供SAAS安全服务,即网站用户访问流量经过SAAS安全服务清洗后,返回到源站IP。u需要用户在DNS服务商处修改CNAME记录,CNAME指向指定的地址,从而完成流量牵引u通过以上,完成对外WEB业务常见安全风险的防范互互联网网互互联网网SAAS服服务商商目目标网站网站目目标网站网站访问请求求访问请求求修改修改DNS记录,使用,使用户的网站的网站访问请求先求先经过SAAS服服务商,商,经过清洗后,到达目清洗后,到达目标网站网站直接直接访问网站流程网站流程12.现有云架构下最有云架构下最优的方案的方案2024/5/26 周日1.完全解耦合,完全解耦合,权责清晰清晰2.全流量引流全流量引流3.全威全威胁可可视、防御、防御01紧耦合方案:平台自带安全组件安全镜像方案02部分解耦合:硬件一虚多完全解耦合:DNS引流方案虚拟机引流方案03无法解决:完全耦合,平台不同,安全厂商融合难度大,开发工作量大平台自带安全组件功能少,仅能解决部分问题无法解决:虽然解耦,但是支持功能较少(DNS引流仅支持web流量)大多为服务交付,平台方不掌握运营能力无法解决:为了实现引流,需要复杂的路由、网络配置。无法简化配置、快速交付仅有平台视角,缺少租户视角硬件一虚多设备支持功能较少(IPS、FW、LB)全流量引流、本地化交付全流量引流、本地化交付安全即服安全即服务、全威、全威胁可可视完全解完全解耦合耦合、安全安全责任清晰任清晰平台可运平台可运营、持、持续增增值13.2024/5/26 周日深信服云安全深信服云安全资源池方案源池方案14.深信服云安全深信服云安全资源源池功能概池功能概览安全可运安全可运营安全运营报告安全加固咨询人工应急响应入侵防御IPSEC VPNSSL VPN堡垒机数据库审计云端检测安全咨询安全安全状状态监控控业务风险统一分析一分析原有数据中心业务接入安全接入漏洞攻击渗透测试网页篡改Web攻击访问控制 数据窃取统一安全一安全资源分源分配配流量流量可可视安全日志安全日志统一运一运维业务安全业务接入 安全可安全可视威胁可视流量可视策略可视安全网络可视资产可视业务负载业务接入Web防护数据防泄密业务安全防安全防护L4-L7应用控制防病毒功能网页防篡改安全接入服务包基础防御服务包高级防御服务包失陷主机发现服务包云安全云安全资源池源池用用户业务安全运安全运营增值服务包运维安全包云平台云平台平台平台层安全运安全运营安全服安全服务编排排15.2024/5/26 周日整体拓扑架构示意整体拓扑架构示意图核心交换平台层物理安全安全即服安全即服务基于深信服公有云基于深信服公有云XYcloudsDDoS高防高防漏洞漏洞扫描描资产暴暴露面露面安全安全应急服急服务渗透渗透/等等保服保服务业务可可用用监测安全情安全情报服服务清清洁流量流量清清洁流量流量漏洞漏洞扫描描云安全服云安全服务云平台租户租户租户计算资源存储资源计算资源存储资源计算资源存储资源深信深信服云安全服云安全资源池源池SSL VPN安全接入包IPSEC VPN防病毒应用控制基础防御包IPS防篡改WAF高级防御包数据防泄密Webshell黑链检测失陷主机发现包APT深信服超融合平台策略路由策略路由安全接入包基础防御包高级防御包基础防御包高级防御包安全监测包安全接入包高级防御包业务增值包租户A安全服务租户B安全服务租户C安全服务16.云安全云安全资源池底源池底层架构架构软件定件定义的超融合平台的超融合平台网网络虚虚拟化化安全接入包基础防御包失陷主机发现包基础防御包安全接入包基础防御包高级防御包高级防御包超融合平台超融合平台安全安全实力力虚虚拟化化实力力云云安安全全资源源池池方方案案高级防御包失陷主机发现包17.云安全云安全资源池源池组件件2024/5/26 周日提供黑链检测、webshell上传点、网页木马检测、恶意软件发现安全组件提供web防护、网页防篡改、敏感信息防泄密安全组件、堡垒机、数据库审计提供应用控制、防病毒网关、IPS功能提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组件安全接入包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件提供安全运营报告、安全策略检测、加固咨询、威胁分析、渗透测试、远程应急响应、通报问题处理运营服务基础防御包高级防御包失陷主机包云端检测包安全运营包18.深信服云安全深信服云安全服服务依托于深信服企依托于深信服企业级公有云平台(公有云平台(xyclouds)提供安全增)提供安全增值服服务,服,服务交付方式交付方式为轻量量级交付,具体交付,具体为:1.修改修改DNS CNAME记录,使用,使用户流量流量经过云平台清洗后返云平台清洗后返回源站回源站。提供如下功能:提供如下功能:1.资产发现:自动识别域名、IP、服务、网站、应用资产;风险感知:感知:发现漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险;风险预警:警:企业应用漏洞预警、全球安全事件预警、高危风险预警;专家咨家咨询:专家咨询、漏洞验证、人工渗透、应急响应19.2024/5/26 周日安全安全资源服源服务交付流程交付流程平台方运平台方运营方界面方界面20.2024/5/26 周日安全安全资源服源服务交付流程交付流程发起起请求求基础防御包高级防御包租户计算资源存储资源应用数据库安全接入包租户A增值业务包基础防御包云端监测包计算资源存储资源应用数据库租户B租户A的业务主要是面向系统内部员工开放的,为了保证内部系统数据传输安全,需要使用IPSEC VPN互联,需要对内部系统开启IPS WAF 网页防篡改等功能所以,建议租户选择“安全接入包”“基础防御包”“高级防御包”租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“云端检测包”。另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中的“负载均衡”高级防御包21.2024/5/26 周日安全安全资源服源服务交付流程交付流程定定义安全服安全服务安全服安全服务定定义场景定景定义交付功能定交付功能定义22.安全安全资源服源服务交付交付流程流程分配安全服分配安全服务2024/5/26 周日23.安全安全资源服源服务交付交付流程流程安全服安全服务编排排2024/5/26 周日租户A安全服务租户B安全服务基础防御包高级防御包云端监测包云端监测包安全接入包高级防御包授权资源池安全服务编排,释放租户需要的安全服务自动化网络基础信息配置(IP、路由等)云安全资源池24.安全安全资源服源服务运运营-安全安全资源管理源管理员资源源管理管理员:根据租根据租户选择的服的服务包包类型,分配服型,分配服务包到租包到租户账户下,安全下,安全资源管理源管理员拥有安全服有安全服务编排排权限限安全安全资源源运行运行报告与日志:告与日志:根据安全根据安全资源池租源池租户使用情况,按照月、季度、年生成使用情况,按照月、季度、年生成资源运行源运行报告,告,针对资源使用源使用/分配分配情况占比,情况占比,资源利用率等源利用率等维度,度,为租租户、平台运、平台运维方提供有效方提供有效资源配置建源配置建议25.2024/5/26 周日安全安全资源服源服务日常运日常运营流程流程面向租面向租户运运营界面界面26.云安全服云安全服务中心中心租租户安全服安全服务可可视、可配置、可配置流量可流量可视模模块:由于云上流量的不可由于云上流量的不可视,导致用致用户对自己虚自己虚拟网网络架构内部架构内部应用用流量交互不清晰,流量可流量交互不清晰,流量可视模模块,为用用户展展现网网络流量流量组成(哪成(哪些具体些具体应用,流量大小等),用,流量大小等),让用用户随随时了解了解业务流量流量组成成安全可安全可视模模块:安全安全资源池内各源池内各组件(件(IPS组件、件、WEB防火防火墙组件、失陷件、失陷主机主机组件件等)的日志,通等)的日志,通过安全可安全可视模模块进行收集,行收集,统一一汇总,对用用户汇总展展现当前当前业务系系统面面临的的风险。租租户自管理界面:自管理界面:未租未租户提供安全服提供安全服务包管理界面,每个租包管理界面,每个租户可以可以对自己的个性化自己的个性化WAF、访问控制、控制、IPS等安全策略等安全策略进行配置,支持租行配置,支持租户定定义不同等不同等级的管理的管理员。27.2024/5/26 周日云安全云安全资源池价源池价值展展现面向租面向租户界面界面28.2024/5/26 周日01040203权责清晰、安全合规安全可视、持续检测能力运营、业务增值交付便捷、运维简化05生态开放、快速上云深信服云安全深信服云安全资源服源服务的的价价值29.2024/5/26 周日权责清晰、安全合清晰、安全合规平台平台权责租租户权责合理利用平台提供的相合理利用平台提供的相关安全技关安全技术,维护业务安全安全满足相关部足相关部门合合规性要性要求求对自身自身业务安全策略安全策略进行行维护保保证平台安全,避免平平台安全,避免平台台层漏洞成漏洞成为攻攻击跳板跳板平台平台层合合规性性提供流程化的用提供流程化的用户需求需求实现方案方案满足用足用户多多样化安全需化安全需求求30.2024/5/26 周日能力运能力运营、业务增增值传统硬件方案硬件方案仅能能够满足云平台初期足云平台初期建建设基本需求基本需求如何将硬件如何将硬件设备提供的安全服提供的安全服务运运营起来?打造起来?打造“云化云化”安全安全基基础计算算资源已源已经没有增没有增值空空间了,了,如何在租如何在租户安全上安全上实现增增值现在的解耦合方案(如云WAF)要么功能较少,要么对云平台要求比较高,难以交付平台运营方不掌握安全能力,无法运营将安全服务能力交付给平台运营方平台运营方具备根据用户场景打包安全服务能力平台运营方可以将安全服务与基础计算资源打包实现业务增值基础防御包高级防御包基础防御包31.2024/5/26 周日安全可安全可视、持、持续检测完整的攻完整的攻击链条条探测边界突破持续渗透安装工具横向移动窃取/破坏基础防御包失陷主机发现包失陷主机发现包攻攻击路径可路径可视32.2024/5/26 周日交付便捷、运交付便捷、运维简化化服务化交付,仅需要配置用户安全服务IP,每个租户安全服务完全隔离平台层交付安全服务,保障安全服务可用,租户配置个性化安全策略,简化运维数据流VLAN分配路由策略IPS策略WAF策略自动化业务流租户隔离服务化交付其他安全策略平台方交负责平台安全运维复杂的安全交付日常运维变得得简单过去的云安全交付、运维现在的云安全交付、运维用户自行寻找安全软件地址分配策略调整缺少用户界面用户负责自身业务安全运维用户安全运维服务托管33.2024/5/26 周日生生态开放、快速上云开放、快速上云开放生开放生态云安全资源池提供开放的生态,第三方安全厂商,提供标准的安装文件,即可完成产品导入对云管平台提供接口,允许云管平台通过接口调用的方式整合计算+安全资源简化流程化流程告别了复杂的上云前防火墙、waf、交换机等配置策略,同时提供多样化的安全套餐供用户选择,缩短用户上云流程通过标准化产品交付,减少与用户反复沟通的时间34.技技术特色特色35.安全安全资源池源池平台平台稳定性定性2024/5/26 周日实现云安全资源池安全服务高可用,无需使用昂贵、复杂的传统安全硬件设备集群解决方案最大限度地减少硬件、软件故障造成的安全服务中断时间提高整个基础架构范围内的保护力度 基础防御包高级防御包基础防御包云端监测包安全接入包高级防御包租户A安全服务租户B安全服务36.安全安全资源池源池平台性能平台性能线性性扩充充基础防御包(10M授权)高级防御包(10M授权)云端监测包(5M授权)安全接入包(5M授权)高级防御包(5M授权)平台线性扩容平台性能不足时,可以通过扩充标准服务器加入到集群中,保障平台性能当用户分配安全服务性能不足时,亦可线性扩充性能租户A安全服务租户B安全服务基础防御包(5M授权)租户安全服务包性能不足基础防御包(50M授权)高级防御包(50M授权)37.深信服安全能力深信服安全能力2024/5/26 周日网网络安全市安全市场销售售额排名第一排名第一66.970.9872.281.9FWIPS行行为管理管理UTM安全市安全市场LS TSHWVPNIDS No.1深信服深信服38.深信服安全能力深信服安全能力2024/5/26 周日最早适配阿里云、亚马逊云、腾讯云的安全厂商从2013年末阿里云推出第三方安全镜像合作开始,深信服就提供了SSL VPN与第二代防火墙产品适配阿里云平台至今已经成交超过千笔39.深信服技深信服技术能力表能力表现2024/5/26 周日安全市安全市场虚虚拟化市化市场40.THANKS!41.- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 深信 云安 资源 解决方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【天****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【天****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文