深信服云安全资源池培训课件
合集下载
深信服产品培训PPT
国家密码管理局三证
• 商用密码产品定点生产 单位
• 商用密码产品型号证书 SJJ1007
• 商用密码销售许可证
SSL VPN技术引领者
• 2005年推出全球第一款 SSL /IPSec 二合一VPN, 并逐渐成为行业标配
• 业内专利数量居首,以 客户需求为导向,追求 产品高品质
28
众多高端客户的一致选择
安全:上网行为管理AC
41.4%
44.5%
IDC:2012年
IDC:2013年
06年,深信服定义了上网行为管理的类别 09—11年连续三年上网行为管理市场第一 11年,推出第二代上网行为管理
安全:上网行为管理AC
上网行为管理
员工 上网
员工效率管理
无关活动影响工作效率
应用带宽管理
无关应用影响网络带宽
泉州产品经理 曾庆丰
公司情况介绍
公司总人数 2,000人
2014年2月
2
公司情况介绍
分支机构 49个
3
公司情况介绍
客户总数 21,000家
60家
4
公司情况介绍
高增长
50%以上增长率
2008
5
深信服产品
安全产品 优化产品
下一代防火墙
上网行为管理
应用交付
广域网优化
SSL VPN 应用性能管理
企业级无线
连续五年市场占有率第一
深信服SSL VPN市场份额超过40% 终端并发接入授权数量超过200万
39.2%
36.4%
40.3%
2010
2011
2012
Source: Frost & Sullivan
安全:SSL VPN远程接入
(完整版)深信服桌面云PPT_
深信服桌面云解决方案整体架构
云终端
STD-100
用
户
端
STD-200H
STD-500
云桌面接入控制系统平台(VDC)
硬件VDC
软件VDC
独享桌面/共享桌面/ 虚拟应用
数 据 中 心
云 平 台
端
硬 件
服务器/存储虚拟化系统平台
aSV For aDesk
aSAN For aDesk
桌面云一体机
统一管理平台 用户管理 桌面管理 策略管理 资源管理 硬件管理
云灾备:容灾备份,确保桌面业务连续性
桌面云
正常桌面服务器
桌面资源池
桌面云
故障桌面服务器
桌面云
正常桌面服务器
• 业务价值 :
1. 服务器、云平台、虚拟机多 维度HA保障及数据备份。
2. 传统PC故障恢复2小时,云 桌面只需5分钟。
3. 降低业务中断时间,提升整 体运营效率。
云办公:随身桌面,实现工作自由与高效
随意存储 办公敏感数据
接入终端无安全管控措施
运维排障效率低、成本高
• 新桌面上线周期2-3小时/台 • 系统多、版本多,运维更繁杂 • 软硬件故障多,现场维护、支持成本高
难以满足移动业务需求
办公人员的工作桌面无法在各种端点设备之间无缝切换 在办公室、出差、家里等地难以实现远程办公,效率低下
02 Part Two 概念-什么是桌面云(What)
交换机
Cluster(集群)
存储虚拟化 服务器虚拟化
端口汇聚
• 主机层
1. 服务器集群HA设计 2. 虚拟机动态迁移技术
• 存储层
1. 分布式虚拟存储技术 2. 多副本高可靠恢复能力
深信服桌面云PPT_
多重身份认证系统 端到端云防护设计 云安全杀毒方案
卓越
体验
云终端GPU加速引擎,效率更高
• 视频重定向,更流畅、更高并发 • 专用GPU芯片视频解码加速
• 图形硬件加速,提升体验(缩放、拖动等) • 平面设计类软件智能感知优化
卓越
体验
媲美PC体验的桌面协议SRAP
高效流压缩 智能数据缓存 动态图像优化
颠覆传统 重塑桌面新形态
深信服桌面云(aDesk)解决方案
目 录
Contents
01 痛点-为什么要颠覆传统(Why)
02 概念-什么是桌面云(What)
03 标准-如何选择桌面云(How)
04 方案-深信服桌面云架构及产品理念
05 场景-在哪里上桌面云(Where)
06 案例-谁上了桌面云(Who)
多年积累、深度优化、最佳体验
不同业务场景, 应用、外设、体验都和PC一致
卓越
体验 同于PC的兼容性、优于PC的管理性
虚拟摄像头技术
流量压缩比超10倍,支持摄像 头、高拍仪等大流量外设。
外设管控策略
U盘、打印机等。
USB总线映射技术
支持打印机、读卡器 等千种办公外设。
U-key底层直通技术
全面支持政府、网银等Ukey设备。
运营商营业厅
U-KEY
高拍仪
摄像头 POS机
打印机
场景四
信息防泄密
软件开发
涉密网/非涉密网
外包人员
核心数据集中存储 终端无数据
安全高效交付桌面 U盘、外设等管控
场景五
多网隔离
机关内网桌面云
政务专网桌面云
逻辑隔离
网络切换器
物理隔离
深信服培训讲义共73页文档
3、客户网络中原有防火墙或者路由器了,出于某方面的原因想用AC替 换掉原有出口的防火墙或者路由器。
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
典型部署模式与配置
WAN:拨号\固定IP\DHCP IP:192.168.1.1/24 IP:192.168.1.2/24
三层交换机
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
典型部署模式与配置
➢ 网桥模式配置思路
网桥模式部署时需要考虑AC串接在前面防火墙和下面的核心交换 机之间网段是否存在空闲的主机IP地址,如果有则分配一个该网段的 IP地址给AC作为网桥的IP地址,如果没有空闲IP的话则配置管理口 (DMZ)进行管理。
典型部署模式与配置
➢ 网桥模式配置截图
二、用户认证技术
SANGFOR AC培训大纲
一、设备部署模式 二、用户认证技术 二、组织结构与上网策略 三、流量管理系统
一、设备部署模式
SANGFOR AC部署模式介绍
• 部署模式_简介
1、部署模式是指设备以什么样的工作模式部署到客户网络中去,具体以何种 部署方式需要综合客户具体的网络环境和客户的功能需求而定,不同的部署 模式对客户原有网络的影响各有不同。
典型部署模式与配置
路由器(FW)
IP:192.168.1.1/24
AC
网桥IP:192.168.1.3/24
IP:192.168.1.2/24
三层交换机
路由器(FW) AC 三层交换机
路由器(FW)
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
SANGFOR AC部署模式介绍
深信服云安全资源池培训_0621
租赁服务式 (PPP式)
主管部门像运营商(3大运营商、太极等大型集成商)租赁云服务, 主管方关心技术实现,运营方在选择产品方案端有较强的话语权。
2019/12/15
预算式涉及的几种角色
主管方 租户 集成商
目标对象:信息中心、电子政务办、经信委、发改委。 初次建设,会采购大量的硬件安全设备,更关注自身平台合规。 监管机构,负责租户上云政策的发布,上云节奏的掌控,把握预算 口子。
历史版本路径
CSSP 1.0版本: 1. 基于超融合,以NFV
方式实现。 2. 市场验证、需求验证
为主
CSSP 2.0版本: 1. 手动部署,工作量巨
大 2. 缺少运营方(主管方
)、租户自管理界面 3. 属于方案、市场验证
阶段 4. 收割样板点
CSSP 3.0版本: 1. 自动化部署 2. 新增租户与平台运营
目标对象:上云的局委办单位。 政务云的直接使用对象。
目标对象:当地强势,关系型集成商。 负责本地政务云的项目集成。
2019/12/15
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验,及怎么合规。 • 是否有案例,效果怎样。
2019/12/15
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。
主管方沟通思路
关键词:权责、合规、有案例、能上云
痛点:
1、痛过:如果当地曾经出过安全事故,可以适当引用(慎用) 2、抓住关注点,引起兴趣: a. 租户上云数量、上云业务类型(核心系统还是网站),背后对应的是租户对云平台安
方界面 3. 组件高可用性调整及
安全资源池PPT
安全资源池
在云数据中心部署、网络打通
策略路由
租户A 安全服务 Web安全 增强包
基础防御包
安全接入包
租户B 安全服务
云端监测包
租户C 安全服务
安全运营包
失陷主机 发现包
云端监测包
基础防御包
Web安全 增强包
计算资源 存储资源
租户A
计算资源 存储资源
租户B
云平台
计算资源 存储资源
租户C
基于超融合技术,提供安全服务。
基础防御 包
高级防御 包
云端监测 包
租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入 侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“ 云端检测包”。 另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中 2020/3/22 的“负载均衡”
安全资源服务交付流程——发起请求
租户安全服 务需求发起
基础防御 包
高级防御 包
按组件、按需分配 安全服务
平台运营方
安全组件基 本信息配置
个性化安全 策略配置
日常安全事 件运营
租户
2020/3/22
安全运营服务
安全资源服务交付流程——定义安全服务
安全服务定义
场景定义
交付功能定义
2020/3/22
安全资源服务交付流程——分配安全服务
。
03
可运营
① 安全需求随租户迁移线性增长。 ② 运营方要求前期投入低,零库存。 ③ 支持合作运营,保障持续业务增值。
服务化交付
02
功能丰富
01
深信服企业级云产品技术交流PPT
除了主机节点故障之外,虚拟机Guest系统出现应用层不调度(蓝屏、 黑屏)也是常见的业务中断问题,若是集群没有侦测应用层可用性并 主动重启的机制,则需要管理员主动重启业务,不仅业务中断的时间 不可控,还增加了管理员的运维工作量。
✓ 主机根据虚拟机发出的心跳、磁盘IO、网络流量状态,判断虚拟机的Guest系统是否无响应了, 持续数分钟后,可认为该虚拟机发生了黑屏或者蓝屏,将该虚拟机执行HA操作,关机并重启。
aSV的特色技术-DRX动态资源扩展
APPAPP
WinSeWrvineSr erver Linux Linux
单虚拟机硬件资源 无法满足业务需求
aSV服务器虚拟化
vAD
阈值:80%
阈值:85%
905%0% 87%30%
CPU RAM
DRX 动态资源扩展
单虚拟机内部的动态资源扩展可实现单虚拟机的资源动态的自动添加 集群的动态资源扩展,可以结合深信服的vAD方案,实现基于业务负载感知的多虚拟机扩展
aSV的特色技术-虚拟机的备份及恢复
提供按周、按天、按小时的自动 备份周期,根据实际业务需求灵 活配置。
提供自动清理备份功能,最大限 度节省备份存储空间。
aSV-NUMA调度技术
NUMA调度实现
• 智能绑定虚拟机对应的物理CPU及内存 • 虚拟机迁移,自动实现绑定 • 优化的调度算法保持性能最佳
超融合一体机 – 构建企业云最小物理单元
计算 存储 网络 安全 管理
计算虚拟化aSV 云管平台aCMP 存储虚拟化aSAN 网络虚拟化aNet 安全虚拟化aSEC
✓ 架构完整
超融合一体机
✓ 架构安全
✓ 运维便捷
✓ 敏捷交付
企业级云管平台aCMP
✓ 主机根据虚拟机发出的心跳、磁盘IO、网络流量状态,判断虚拟机的Guest系统是否无响应了, 持续数分钟后,可认为该虚拟机发生了黑屏或者蓝屏,将该虚拟机执行HA操作,关机并重启。
aSV的特色技术-DRX动态资源扩展
APPAPP
WinSeWrvineSr erver Linux Linux
单虚拟机硬件资源 无法满足业务需求
aSV服务器虚拟化
vAD
阈值:80%
阈值:85%
905%0% 87%30%
CPU RAM
DRX 动态资源扩展
单虚拟机内部的动态资源扩展可实现单虚拟机的资源动态的自动添加 集群的动态资源扩展,可以结合深信服的vAD方案,实现基于业务负载感知的多虚拟机扩展
aSV的特色技术-虚拟机的备份及恢复
提供按周、按天、按小时的自动 备份周期,根据实际业务需求灵 活配置。
提供自动清理备份功能,最大限 度节省备份存储空间。
aSV-NUMA调度技术
NUMA调度实现
• 智能绑定虚拟机对应的物理CPU及内存 • 虚拟机迁移,自动实现绑定 • 优化的调度算法保持性能最佳
超融合一体机 – 构建企业云最小物理单元
计算 存储 网络 安全 管理
计算虚拟化aSV 云管平台aCMP 存储虚拟化aSAN 网络虚拟化aNet 安全虚拟化aSEC
✓ 架构完整
超融合一体机
✓ 架构安全
✓ 运维便捷
✓ 敏捷交付
企业级云管平台aCMP
深信服云安全资源池解决方案PPT课件
01
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方
案
03
2020/5/15
.
9
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能,保证处理能力5%
安SS全L接VP入N包
IP基S础EC防V御PN包
安全接安入全包接入 包
租户
深信服超融合平台
2020/5/15
.
16
云安全资源池底层架构—软件定义的超融合平台
高级防 御包
基础防 御包
失陷主机发 现包
高级防 御包
安全接 入包
失陷主机发 现包
网络虚拟化
安全接 入包
基础防 御包
超融合平台
.
高级防
御包
安全实力
提供web防护、网页防篡改、敏感信息防泄密安全组 件、堡垒机、数据库审计
基础防 御包
提供应用控制、防病毒网关、IPS功能
2020/5/15
安全接 提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全
入包
接入SDK等多种安. 全接入组件
18
深信服云安全服务
依托于深信服企业级公有云平台(xyclouds)提供安全增值服 务,服务交付方式为轻量级交付,具体为: 1. 修改DNS CNAME记录,使用户流量经过云平台清洗后返
省安全组
省级管理平台 ECS
XX RDS
负 载 均 衡 镜 像
政务外网
2020/5/15
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方
案
03
2020/5/15
.
9
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能,保证处理能力5%
安SS全L接VP入N包
IP基S础EC防V御PN包
安全接安入全包接入 包
租户
深信服超融合平台
2020/5/15
.
16
云安全资源池底层架构—软件定义的超融合平台
高级防 御包
基础防 御包
失陷主机发 现包
高级防 御包
安全接 入包
失陷主机发 现包
网络虚拟化
安全接 入包
基础防 御包
超融合平台
.
高级防
御包
安全实力
提供web防护、网页防篡改、敏感信息防泄密安全组 件、堡垒机、数据库审计
基础防 御包
提供应用控制、防病毒网关、IPS功能
2020/5/15
安全接 提供IPSEC VPN、SSL VPN、安卓/IOS/windows安全
入包
接入SDK等多种安. 全接入组件
18
深信服云安全服务
依托于深信服企业级公有云平台(xyclouds)提供安全增值服 务,服务交付方式为轻量级交付,具体为: 1. 修改DNS CNAME记录,使用户流量经过云平台清洗后返
省安全组
省级管理平台 ECS
XX RDS
负 载 均 衡 镜 像
政务外网
2020/5/15
云安全内训PPT
内NG部AF业(务FW的、L2I-PLS7)防护 检服测务+器响负应载、AV
方案
无论有没租户,只要整个云中 心的安全都是由一个部门来负 责运维/管理,主推私有云安全
方案
云安全场景分类测试:
哪个是保姆式安全,哪个是责任共担式安全?
XXX政务云
平台(太极、运营商):负责云 平台安全,并提供IT基础资源服 务,未来计划提供安全技术手段 给租户
租户:VPC搭建业务应用系统,并 自己负责网络、应用等安全运维
所谓的“云”这么多,我们方案也不少,到底推什么方案?怎么区分?
政务云 行业云
私有云 园区云
。。。 专有云
到底推什么方案?
云计算安全场景区分原则:安全责任
云的运营、使用、安全责任分担模式,决定了安全方案的不同: 1、有没有租户 2、租户业务系统的安全责任、运维谁来管?
安全责任共担
保姆式安全
对于有租户的云,并且需要租 户自行负责VPC中业务系统的安 全运维/管理,主推政务云安全
基础的平台合规需求 新建项目都有机会,刚需!填空题! 省、市、区县都需要
云安全解决方案全景图(责任共担式)
安全责任共担:云平台安全由平台方负责,租户安全由租户负责
流
量
租户方
清 洗
网站流量清洗服务
安 全 资 运营方 源 池
满足租户合规、业务安全需求
云 平 建设方 台 安 全
互联网出口区
移动安全接入区
深信服云计算市场 云安全方案培训
安全BU
内容提纲
1 安全BU核心工作梳理 2 云计算市场 安全场景划分&方案全景图 3 政务云安全解决方案 销售策略解析 4 专有云/私有云安全解决方案 销售策略解析
方案
无论有没租户,只要整个云中 心的安全都是由一个部门来负 责运维/管理,主推私有云安全
方案
云安全场景分类测试:
哪个是保姆式安全,哪个是责任共担式安全?
XXX政务云
平台(太极、运营商):负责云 平台安全,并提供IT基础资源服 务,未来计划提供安全技术手段 给租户
租户:VPC搭建业务应用系统,并 自己负责网络、应用等安全运维
所谓的“云”这么多,我们方案也不少,到底推什么方案?怎么区分?
政务云 行业云
私有云 园区云
。。。 专有云
到底推什么方案?
云计算安全场景区分原则:安全责任
云的运营、使用、安全责任分担模式,决定了安全方案的不同: 1、有没有租户 2、租户业务系统的安全责任、运维谁来管?
安全责任共担
保姆式安全
对于有租户的云,并且需要租 户自行负责VPC中业务系统的安 全运维/管理,主推政务云安全
基础的平台合规需求 新建项目都有机会,刚需!填空题! 省、市、区县都需要
云安全解决方案全景图(责任共担式)
安全责任共担:云平台安全由平台方负责,租户安全由租户负责
流
量
租户方
清 洗
网站流量清洗服务
安 全 资 运营方 源 池
满足租户合规、业务安全需求
云 平 建设方 台 安 全
互联网出口区
移动安全接入区
深信服云计算市场 云安全方案培训
安全BU
内容提纲
1 安全BU核心工作梳理 2 云计算市场 安全场景划分&方案全景图 3 政务云安全解决方案 销售策略解析 4 专有云/私有云安全解决方案 销售策略解析
信息安全-深信服云抗D主打PPT-20190521
易下滑
互联网 • 促销/活动重要时间段经常性容易遭受 攻击,护航服务
• 国家政务云建设标准要求;《政府网站 发展指引》防瘫痪要求
• 影响民生正常生活及政府公信力 • 敏感时期重保护航服务 • 被通报,影响责任人政绩
政务 民生
企业
• 促销/活动/新品发布重要时间段经常性 容易遭受攻击,护航措施
• DDoS攻击影响企业公信力及品牌形象 • 硬件DDoS防护失效或弹性缺失
• 品牌优势
长期对抗黑色产业,积累了丰富的安全防护技术和经 验。
• 精准防护策略
实战对抗中,具备可落地的实用、精准的防护策略, 快速解决用户现实问题。
• 快速响应能力
具备快速的安全应急响应能力,在行业发生严重安全 漏洞爆发或事件时,第一时间提供修复咨询和支持
• 大数据风险联动
基于云海量用户的常见入侵、威胁等数据进行安全 分析,具备威胁联动能力。
3
原因1:混混要收保护费
4
原因2:友商老王买凶骚扰
云清洗是DDoS防护服务的主流方案
在面馆门口聘请保安, 拦截坏人进入面馆
硬件防护
防护瓶颈往往在出口 带宽(面馆门口 窄),需要专业抗D 安全人员运维,缺乏 弹性
在交通要塞对人流进行控 制,避免坏人涌入面馆
运营商
存在单线防护延迟问 题(不覆盖所有交通 要塞),服务,技术 储备差
百G以上DDoS攻击占比逐步增大
DDoS攻击产业化背后的利益诉求
DDoS攻击成本低,给受害企业造成的危害大,已经成为黑客攻击最主要的方式之一
黑客敲诈勒索
竞争利益冲突
声东击西掩护入侵
表达政治立场
炫耀,攻击练习
黑市DDoS:200-1200RMB/次
互联网 • 促销/活动重要时间段经常性容易遭受 攻击,护航服务
• 国家政务云建设标准要求;《政府网站 发展指引》防瘫痪要求
• 影响民生正常生活及政府公信力 • 敏感时期重保护航服务 • 被通报,影响责任人政绩
政务 民生
企业
• 促销/活动/新品发布重要时间段经常性 容易遭受攻击,护航措施
• DDoS攻击影响企业公信力及品牌形象 • 硬件DDoS防护失效或弹性缺失
• 品牌优势
长期对抗黑色产业,积累了丰富的安全防护技术和经 验。
• 精准防护策略
实战对抗中,具备可落地的实用、精准的防护策略, 快速解决用户现实问题。
• 快速响应能力
具备快速的安全应急响应能力,在行业发生严重安全 漏洞爆发或事件时,第一时间提供修复咨询和支持
• 大数据风险联动
基于云海量用户的常见入侵、威胁等数据进行安全 分析,具备威胁联动能力。
3
原因1:混混要收保护费
4
原因2:友商老王买凶骚扰
云清洗是DDoS防护服务的主流方案
在面馆门口聘请保安, 拦截坏人进入面馆
硬件防护
防护瓶颈往往在出口 带宽(面馆门口 窄),需要专业抗D 安全人员运维,缺乏 弹性
在交通要塞对人流进行控 制,避免坏人涌入面馆
运营商
存在单线防护延迟问 题(不覆盖所有交通 要塞),服务,技术 储备差
百G以上DDoS攻击占比逐步增大
DDoS攻击产业化背后的利益诉求
DDoS攻击成本低,给受害企业造成的危害大,已经成为黑客攻击最主要的方式之一
黑客敲诈勒索
竞争利益冲突
声东击西掩护入侵
表达政治立场
炫耀,攻击练习
黑市DDoS:200-1200RMB/次
深信服云安全资源池解决方案课件
实施前的准备
01
02
03
需求分析
了解客户的网络架构、安 全需求和业务需求,为后 续的方案设计和实施提供 依据。
技术评估
对现有的网络架构和安全 环境进行全面的技术评估 ,找出潜在的安全风险和 隐患。
方案设计
根据需求分析和技术评估 结果,设计符合客户需求 的云安全资源池解决方案 。
实施过程的关键步骤
其他云安全方案通常只提供简单 的安全防护功能,无法实现精细 化的安全防护。而深信服云安全 资源池解决方案可以通过资源池 的灵活扩展和按需分配,实现精 细化的安全防护,提高企业的安 全防护效果。
其他云安全方案通常采用独立的 第三方服务提供商模式,需要企 业分别与不同的服务提供商进行 沟通和协调,增加了管理和沟通 成本。而深信服云安全资源池解 决方案采用一站式服务模式,企 业只需要与深信服进行沟通和协 调,可以降低管理和沟通成本。
案例二:某政府部门的云安全资源池部署
总结词
合规、安全、可靠
详细描述
该政府部门在进行云安全资源池部署时,对合规、安全、可靠有很高的要求。深信服云安全资源池解决方案通过 精细化的权限管理、全方位的安全审计和强大的容灾备份机制,确保该政府部门在满足合规要求的同时,实现安 全、可靠的云安全资源服务。
案例三:某金融机构的云安全资源池应用04
环境搭建
建立实验环境,进行必要的配 置和测试,确保方案的可行性
和稳定性。
资源部署
根据设计方案,部署相应的硬 件和软件资源,包括计算资源 、存储资源和网络资源等。
安全策略配置
根据客户的安全需求,配置相 应的安全策略,包括访问控制 、数据加密、入侵检测等。
调试与优化
对部署的资源进行调试和优化 ,确保资源的可用性和性能。
深信服网站业务安全即服务培训PPT
2019/3/24
3
如何应对上述安全问题?
2019/3/24
突破传统防护模式弊端
防御,从静态转向动态:24小时之内拦截未知威胁; 监测,从定期转向实时:5分钟内感知网站安全事件; 响应,由被动转向主动,主动处置服务垂手可得;
2019/3/24
构建“边界+云服务”的网站安全体系
通过持续监测、持续加 固、持续响应的“三位一体” 快速迭代,构建“边界安全 设备+云化安全服务”的交 付方式,防患于未然避免威 胁扩大。 通过安全云服务平台的 大数据关联、智能分析锁定 风险链条,及时感知隐藏的 入侵威胁。
持续 监测 持续 加固
• 让用户成为第一个知道也 是最后一个知道自己安全 问题的人
• 通过不断优化安全策略以 及及时给出加固建议,助 力用户抵御新型高级威胁
持续 响应
• 通过主动分钟级的事件响 应能在威胁扩大前及时处 置
2019/3/24
4
深信服“动态”网站安全防护解决方案
2019/3/24
深信服解决方案概述
以下一代防火墙构建防御核心,通过与深信服“智能云端服务”的 联动构建“防御、检测、响应”的综合网站“动态”安全体系
与云端智能联动的动态安全防御 智能分析平台+云端专家团构成的云端智能安全服务 分钟级的检测响应和问题处置能力
专业全面的服务内容和交付能力
2019/019/3/24
智能分析平台+云端专家团构成的云端智能安全服务
2019/3/24
分钟级的检测响应和问题处置能力
2019/3/24
专业全面的服务内容和交付能力
L2-7层防御 主动建模防御 防篡改事后防御 防网站漏洞扫描 未知威胁防御 可视化风险感知
深信服云计算SANGFOR-HCI-v5.0-渠道初级认证培训02-HCI安装和虚拟机的使用
消 • 克隆后的虚拟机系统与原虚拟机除了MAC地址外其余完全一样
,请修改其中一台IP,否则会IP冲突
虚拟机操作
5 、备份虚拟机
虚拟机操作
5 、备份虚拟机
注意: • 备份虚拟机首次备份时是全备份,后续备份为增量备份。 • 建议选择目标备份位置与原位置不相同,这样可避免原位置
存储故障后,无法恢复该虚拟机。
hci安装和虚拟机使用培训内容培训目标hci介绍1了解什么是hci2掌握hci的作用及使用场景hci安装1掌握hci安装所需要的条件2掌握hci的安装步骤虚拟机操作1熟悉新建虚拟机的步骤及安装vmtool2掌握虚拟机的备份派生克隆等操作业务系统迁移1掌握windows和linux系统p2v迁移的方法2掌握ova文件导入的迁移方法11223344hci介绍hci安装虚拟机操作业务系统迁移contentshci介绍1了解什么是hci2掌握hci的作用及使用场景hci介绍hci是深信服开发的一套超融合基础架构系统是一种将计算网络和存储等资源作为基本组成元素根据系统需求进行选择和预定义的一种技术架构具体实现方式上一般是指在同一套单元节点x86服务器中融入软件虚拟化技术包括计算网络存储安全等虚拟化而每一套单元节点可以通过网络聚合起来实现模块化的无缝横向扩展scaleout构建统一的资源池
虚拟机操作
1 、新增虚拟机
• 磁盘 – 磁盘文件: • 已有磁盘:虚拟机的每个磁盘是以单个文件的形式存放在 HCI的存储上,文件后缀为qcow2 • 使用物理磁盘:是将物理磁盘通过裸磁盘映射方式给虚拟 机使用 – 分配方式: • 动态分配(默认):创建磁盘时不分配存储空间,虚拟机 运行过程中需要写入磁盘时再分配所需存储空间 • 预分配:创建磁盘时即分配所需存储空间,分配后虚拟机 磁盘IO最高,但存储利用率最低 • 使用FastIO磁盘:能够大幅提升虚拟机的磁盘IO性能,但 是某些版本的操作系统不支持此功能,建议不要更改默认 设置
,请修改其中一台IP,否则会IP冲突
虚拟机操作
5 、备份虚拟机
虚拟机操作
5 、备份虚拟机
注意: • 备份虚拟机首次备份时是全备份,后续备份为增量备份。 • 建议选择目标备份位置与原位置不相同,这样可避免原位置
存储故障后,无法恢复该虚拟机。
hci安装和虚拟机使用培训内容培训目标hci介绍1了解什么是hci2掌握hci的作用及使用场景hci安装1掌握hci安装所需要的条件2掌握hci的安装步骤虚拟机操作1熟悉新建虚拟机的步骤及安装vmtool2掌握虚拟机的备份派生克隆等操作业务系统迁移1掌握windows和linux系统p2v迁移的方法2掌握ova文件导入的迁移方法11223344hci介绍hci安装虚拟机操作业务系统迁移contentshci介绍1了解什么是hci2掌握hci的作用及使用场景hci介绍hci是深信服开发的一套超融合基础架构系统是一种将计算网络和存储等资源作为基本组成元素根据系统需求进行选择和预定义的一种技术架构具体实现方式上一般是指在同一套单元节点x86服务器中融入软件虚拟化技术包括计算网络存储安全等虚拟化而每一套单元节点可以通过网络聚合起来实现模块化的无缝横向扩展scaleout构建统一的资源池
虚拟机操作
1 、新增虚拟机
• 磁盘 – 磁盘文件: • 已有磁盘:虚拟机的每个磁盘是以单个文件的形式存放在 HCI的存储上,文件后缀为qcow2 • 使用物理磁盘:是将物理磁盘通过裸磁盘映射方式给虚拟 机使用 – 分配方式: • 动态分配(默认):创建磁盘时不分配存储空间,虚拟机 运行过程中需要写入磁盘时再分配所需存储空间 • 预分配:创建磁盘时即分配所需存储空间,分配后虚拟机 磁盘IO最高,但存储利用率最低 • 使用FastIO磁盘:能够大幅提升虚拟机的磁盘IO性能,但 是某些版本的操作系统不支持此功能,建议不要更改默认 设置
SANGFOR_安全资源池_2018初级能力成长-安全资源池政务云云安全背景知识2.pptx
3. 政务云主流厂商
政务云面临的问题
建设模式多样
云安全问题突出
运营方式转变 参与角色众多
政务云建设模式多样
建设方式上
成熟发达省级政务云,如北京、浙江、四川等均为两个不同云服务商分建两朵,形成竞争关系;并
设置独立的监管/监理角色,引入专业技术公司作为主管单位的技术力量支撑。如北京模式。 地市级政务云,绝大多数只招标一家云服务商进行建设。 投运流程上
产品的整合问题(成本问题,兼容问题)
如何满足各方利益诉求
政务云新技术引入的安全问题
核心关键 云计算在当前虽然应用广泛,但是作为一个新技术,不可避免的存在诸 多脆弱性,一旦被利用可能形成不可估量的安全事件。 主要风险 1.一台主机上可能承载多个不同的租户、不同的系统,运维管理复杂, 流量不可视,风险难管理 2.新技术的应用带来新的安全风险,如虚拟化层的漏洞等 3.所有鸡蛋放在一个篮子里,受攻击面增大,同时平台方责任更重
主流的云上方案 – 软件NFV
主流厂商及代表产品:基于阿里云的深信服vaf、vssl、基于华为、华三云的安全镜像 方案简述:通过和云平台耦合的方式,兼容云平台提供安全镜像,实现对租户的安全策略。 方案优劣:对平台的兼容性要求极高,比如深信服目前NFV 方案仅适配了自家产品和阿里云,另 外多产品也很难形成统一的管理、配置复杂。
北京市级政务云体制建设
角色众多,责任明确 云服务商 经信委 云安全监管商 公服中心 使用单位
北京市级政务云体制建设
其他云
云 对 接
监管报告 安全应急辅助
经信委/发改委/电子政 务外网信息中心等
直接领导
协调 监测 监督
遴选
监督 管理
公共服务 中心
SANGFOR_安全资源池_2018初级能力成长-云安全业务市场选择和推广思路6.pptx
2018/8/23
云内安全市场推广目标
打造简单快速可覆盖的安全业务增量!
2018/8/23
推广ቤተ መጻሕፍቲ ባይዱ法——云内安全解决方案
1、目标客户:区域所有已做虚拟化/云平台的客户(区域明确纯增量市场) 2、细分客户画像:a、虚拟化/云平台建设规模较大的客户 b、重要业务已做虚拟化/上云的客户
3、主推业务:云内安全解决方案
1、目标客户:区域BU主管结合区域行业现状,制定区域行业云目标客户群体,区域解决方案专家负责推动
区域整体市场运营(建议公安警务云、医疗医联体云、交通行业云、法院专有云、金融农信云) 2、细分客户画像:a、垂管属性强 b、业务多样 c、不受政务云影响
2、细分行业业务:省级农信云平台、警务云、交通云、法院专有云、医联体云等
二谈:谈价值(面对不同角色对象的价值沟通一页纸)
三看:看演示(看演示平台,结合价值传递直观构建客户的认知,明确演示的核心价值点) 四请:请参观(邀请成熟样板点参观)
2018/8/23
行业云市场推广目标
打造细分行业云安全市场第一品牌!
(重点定位公安、医疗、交通、法院、金融等)
2018/8/23
推广方法——行业云市场
云安全业务市场选择及推广思路
——客户在哪?做什么?怎么做?做成什么样?
学习完本课程,你应该能够
1、明确云安全业务的构成及业务目标 2、掌握云安全业务各个场景一线的推广方法
2018/8/23
云安全业务市场选择
云安全业务构成
租户场景下的云 安全解决方案(安全资源池+云内安全)
等保一体机
云内安全解决 方案
政 务 云
金 融 云
交 通 云
医 联 体 云
深信服云安全资源池培训
股东
商品
店员
List价*0.9 假设1成损耗
1成机动奖励
如:8成盈利 股东对半分成
举例说明安全资源池的合作运营模式(合伙开超市的故事)
IDC与政企云
当地比较大型的IDC服务提供商(如万国、美橙、安畅),运营商IDC(政企云)
用户被公有云分流严重 碍于自身建设模式,能够提供的增值功能越来越少 安全可以成为IDC“增值”服务的一环
现实中的SDN方案: 1. 其实就是使用了VXLAN 2. 边界设备如防火墙通过接口调用来生成策略,这还不叫SDN,如华为,租户业务虚拟机建立好之后,控制器会调用USG设备的接口,建立租户对应的vrf、网关等配置,从而完成自动化交付 3. 引流后网络中过多的流量开销如何解决? 4. 你区域的云,用了SDN的有多少?
优劣分析
从上文来看,安恒也是基于虚拟化,也是需要引流,那就从这两方面开始分析 虚拟化层: 这是我们的优势,虚拟网络、虚拟存储这些都是我们的优势,既然虚拟化层,就直接用虚拟化层的高性能、稳定性、高可用直接pk掉安恒,具体话术去看看超融合已经整理好的高可靠、高可用描述(一定要学会几个概念,比如numa、气泡内存等,来武装自己) 第一回合,深信服完胜,目前比分1-0 引流方式: 我们之所以靠策略路由或者静态路由就可以完成引流,主要还是得益于我们虚拟化的vrouter,安恒没有这个技术,所以他引流的方式现在靠一台独立的虚拟机引流,但虚拟机严重依赖于平台分配的性能和稳定性,我们的vrouter运行位置比vm还要低,属于虚拟化操作系统级别。但后续安恒可能使用ovs或者vtap方式,总部保持跟进。 第二回合,深信服完胜,目前比分2-0
应用交付包
4-7层应用负载、SSL卸载
安全防御
安全接入
信服云_等级保护流程培训V1
(1)备案时机
已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、 使用单位到所在地 设区的市级以上公安机关办理备案手续。
(2)备案地点
隶属于省级的备案单位,其跨地(市) 联网运行的信息系统,由省级公安机关网络安全保卫部门受理备案。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,由所在地地市级以上公安机关网络安全保卫 部门受理备案。
它是根据《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”所诞生出来的一个名词。网 络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权 的访问,防止网络数据泄露或者被窃取、篡改。标志了等级保护制度的法律地位。
涉及范围主要分为两个层面:一是覆盖各地区、各单位、各部门、各企业、各机构,即是覆盖全社会。二 是覆盖所有保护对象,包括网络、信息系统、信息,以及云平台、物联网、工控系统、大数据、移动互联等各 类新技术应用。
信服云_等级保护流程培训
第1页
1.等级保护基础介绍 2.等级保护流程介绍
第2页
第3页
等保合规的概念
等保合规是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信 息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息 安全事件分等级进行响应、处置。
最后送“公安机关备案审查”,这时定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提 交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级。审查通过后最终确定定级对象的安 全保护等级。
第10页
等保测评-系统备案
根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》规范,网络安全等级保护为第二级以上 网络(信息系统)的运营者使用单位应当到公安机关网络安全保卫部门办理备案手续。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
南京聚铭网络日志审计
建恒日志审计 杭州美创数据库加密产品
思福迪堡垒机
原则:整合、补强
合规要求 丰富功能
听云私有云版本 ……
2019/10/2
云内安全能力-云内安全检测平台
云内安全检测平台(EDR的同门师兄)本次培训不过多讲解,后续单独为云内安全解决方案重点培训。
目前实现的功能: • 入侵检测响应-暴力破解检测 • WEB安全检测-WebShell的持续检测 • 僵尸网络检测-实时活跃恶意行为检测 • 微隔离-东西向流量访问控制
方界面 3. 组件高可用性调整及
优化 4. 统一配置入口 5. 服务商界面 6. …
2019/10/2
安全资源池(CSSP) 3.0版本改进
Cssp 2.0版本: 1. 手动部署,工作量巨大 2. 缺少运营方(主管方)、租户自管理界面 3. 属于方案、市场验证阶段
Cssp 3.0版本: 1. 自动化部署,工作量减少 2. 补齐运营方(主管方)、租户自管理界面 3. 新增云端监测服务包,可提供针对租户Web业务的安全监测服务 4. 平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整
2019/10/2
云内安全界面
首页
2019/10/2
打造可视可控的内部安全
二、应用场景及项目操作方法
主要场景
政务云
IDC、政企云
专有云、私有云
2019/10/2
政务云2种建设模式
预算式
电子政务办、经信委、发改委统一建设,租户“免费”使用,财 政统一结算。 主管单位非常强势,局委办单位会选择部分业务系统上云。
租赁服务式 (PPP式)
主管部门像运营商(3大运营商、太极等大型集成商)租赁云服务, 主管方关心技术实现,运营方在选择产品方案端有较强的话语权。
2019/10/2
预算式涉及的几种角色
主管方 租户 集成商
目标对象:信息中心、电子政务办、经信委、发改委。 初次建设,会采购大量的硬件安全设备,更关注自身平台合规。 监管机构,负责租户上云政策的发布,上云节奏的掌控,把握预算 口子。
安全 防御
网站安全高级包
提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS、僵尸网络、实时漏洞分析
失陷主机包
主机僵尸网络、实时漏洞分析
云端检测包 应用交付包
提供业务可用性检测、资产暴露面、云端漏洞监测安全组件 4-7层应用负载、入的第三方组件
抢预算 顾名思义,从其他安全设备预算中抢 过来。
2019/10/2
新增预算 要有一个新的、刚性的理由能够新增 预算。如与主管方引导租户侧安全需 求与租户侧合规需求。
如何解决:
1、合规背书:等保2.0,更强调了租户和平台方的安全责任。 2、抛方案:引出我司安全资源池方案,面向租户的产品 3、明确与硬件安全的关系:资源池和平台硬件安全不冲突并且云平台解耦
我司方案和案 例
保证效果
2019/10/2
1、详细介绍:为租户提供个性化安全服务,并满足合规, 功能、优势 、价值 2、定心丸:北京、温州案例
深信服云安全资源池培训
培训大纲
2019/10/2
1 安全资源池历史版本介绍 2 项目操作方法及商务模式 3 竞争分析 4 报价与销售工具 5 标准化测试流程 6 FAQ
一、安全资源池历史版本介绍
整体拓扑架构示意图
云安全方案:安全资源池+EDR+生态
出口设备 平台层安全设备
核心 接入
VM EDR
2019/10/2
6
安全资源池(CSSP) 3.0版本
强迫症患者的福音
2019/10/2
云安全资源池交付流程
租户侧界面
2019/10/2
界面重点
1. 业务列表 2. 服务追踪 3. 统一运维入口 4. 专属服务商
云安全资源池组件(自有)
安全 接入
安全 审计
分支接入包 移动接入包 数据库审计包
历史版本路径
CSSP 1.0版本: 1. 基于超融合,以NFV
方式实现。 2. 市场验证、需求验证
为主
CSSP 2.0版本: 1. 手动部署,工作量巨
大 2. 缺少运营方(主管方
)、租户自管理界面 3. 属于方案、市场验证
阶段 4. 收割样板点
CSSP 3.0版本: 1. 自动化部署 2. 新增租户与平台运营
主管方沟通思路
关键词:权责、合规、有案例、能上云
痛点:
1、痛过:如果当地曾经出过安全事故,可以适当引用(慎用) 2、抓住关注点,引起兴趣: a. 租户上云数量、上云业务类型(核心系统还是网站),背后对应的是租户对云平台安
全能力的担忧 b. 业内对安全责任划分的案例,引出公有云aws、阿里云责任共担模型
分支IPCEC组网 SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组
件
针对SQL、MySQL、DB2、Oracle数据库审计
运维审计包
运维人员操作网络设备、数据库、服务器监控与审计
基础防护包
提供应用控制、防病毒网关、IPS功能
网站安全基础包
提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控 制、防病毒网关、IPS功能
IDC 出口
引流口
引流口
引流交换机
VM EDR VM EDR
安全资源池
移动接入包 网站安全基础 网站安全高级包 分支接入包 失陷主机发现 Web增强包
南北向安全能力
东西向隔离 密码暴力破解 Webshell检测
东西向安全能力
安全审计
数据安全
应用安全
安全生态能力
云环境
安全资源池私网交换机(存 储私网、vxlan)
1、达成测试或主动介绍政务云的背后运维方具体沟通 2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件, 小范围使用。或测试后引导明年的预算。 安全资源池属于一旦流量引过来,产生具体效果,主管方就不想切换回去的产品。
钱从哪里来
预算式场景,钱肯定从去年的预算里来。 “没预算咋办?” “新增预算”、“抢预算”
目标对象:上云的局委办单位。 政务云的直接使用对象。
目标对象:当地强势,关系型集成商。 负责本地政务云的项目集成。
2019/10/2
预算式各方关注点
主管方视角
• 安全责任怎么划分。 • 怎么促进租户安全上云。 • 其他地方经验,及怎么合规。 • 是否有案例,效果怎样。
2019/10/2
沟通要点
• 汇报政务云中安全建设经验和安全资源池方案。 • 帮助用户理清安全权责。 • 通过安全资源池方案加速租户安全上云进度。