安全资源池PPT
合集下载
服务器存储培训ppt课件(2024)
服务器存储培训 ppt课件
contents
目录
• 服务器存储概述 • 服务器存储硬件基础 • 服务器存储软件配置与管理 • 网络附加存储(NAS)技术应用 • 存储区域网络(SAN)技术应用 • 服务器虚拟化与容器化技术应用 • 总结回顾与展望未来发展趋势
01
CATALOGUE
服务器存储概述
服务器存储定义与分类
存储区域网络(SAN)技术应用
SAN架构原理及优势分析
架构原理
通过专用高速网络将多个存储设备连接起来,形成一个存储区域网络 ,提供高可用性、高性能、可扩展的存储服务。
高性能
SAN采用高速光纤通道技术,提供极高的数据传输速率和低延迟,满 足高性能应用需求。
高可用性
SAN具备冗余设计和故障切换功能,确保数据的可靠性和业务的连续 性。
降低成本
虚拟化技术可以减少物理服务器的数量,从而降 低硬件成本、维护成本和管理成本。
提高资源利用率
通过虚拟化技术,可以将物理服务器的资源利用 率提高到80%以上,避免资源浪费。
提高业务连续性
虚拟化技术可以实现快速部署、备份和恢复,提 高业务连续性和数据安全性。
容器化技术原理及优势分析
01
容器化技术原理
优化文件系统性能
通过调整文件系统参数(如块大小、inode数量等),以及使用RAID、SSD等硬件技术, 提高文件系统的I/O性能和数据可靠性。
定期监控和维护文件系统
定期检查文件系统的状态和使用情况,及时处理出现的问题,如修复损坏的文件系统、清 理无用文件等。
数据备份恢复策略制定和实施
制定备份策略
硬盘驱动器类型与性能参数
接口类型
硬盘与主板连接的接口,如SATA、SAS等,影响数据传输速 度。
contents
目录
• 服务器存储概述 • 服务器存储硬件基础 • 服务器存储软件配置与管理 • 网络附加存储(NAS)技术应用 • 存储区域网络(SAN)技术应用 • 服务器虚拟化与容器化技术应用 • 总结回顾与展望未来发展趋势
01
CATALOGUE
服务器存储概述
服务器存储定义与分类
存储区域网络(SAN)技术应用
SAN架构原理及优势分析
架构原理
通过专用高速网络将多个存储设备连接起来,形成一个存储区域网络 ,提供高可用性、高性能、可扩展的存储服务。
高性能
SAN采用高速光纤通道技术,提供极高的数据传输速率和低延迟,满 足高性能应用需求。
高可用性
SAN具备冗余设计和故障切换功能,确保数据的可靠性和业务的连续 性。
降低成本
虚拟化技术可以减少物理服务器的数量,从而降 低硬件成本、维护成本和管理成本。
提高资源利用率
通过虚拟化技术,可以将物理服务器的资源利用 率提高到80%以上,避免资源浪费。
提高业务连续性
虚拟化技术可以实现快速部署、备份和恢复,提 高业务连续性和数据安全性。
容器化技术原理及优势分析
01
容器化技术原理
优化文件系统性能
通过调整文件系统参数(如块大小、inode数量等),以及使用RAID、SSD等硬件技术, 提高文件系统的I/O性能和数据可靠性。
定期监控和维护文件系统
定期检查文件系统的状态和使用情况,及时处理出现的问题,如修复损坏的文件系统、清 理无用文件等。
数据备份恢复策略制定和实施
制定备份策略
硬盘驱动器类型与性能参数
接口类型
硬盘与主板连接的接口,如SATA、SAS等,影响数据传输速 度。
资源池统一集成管理
稳定性保障
采用高可用性和容错性设计,确保系统能够长时间稳定运行,同时提供故障恢复 和容灾备份机制,确保数据不丢失和业务不中断。
04
实施步骤与时间表安排
实施前准备工作梳理
资源池现状调研
了解现有资源池的规模、配置、 使用情况等,为后续的集成管理 提供基础数据支持。
需求分析
明确资源池统一集成管理的目标 、需求,以及需要解决的问题和 面临的挑战。
03
统一集成管理方案设计
设计原则与目标设定
设计原则
遵循标准化、模块化、可扩展性 原则,确保系统灵活性和可维护 性。
目标设定
实现资源池统一视图、统一调度 、统一监控和统一管理,提高资 源利用率和管理效率。
架构规划与技术选型
架构规划
采用分层架构设计,包括资源层、服 务层、应用层和管理层,实现不同层 次之间的解耦和协同工作。
经验教训分享
重视前期规划和设计
在项目实施前,进行充分的需求分析和架构设计,确保项目的可行性 和可扩展性。
强化团队沟通与协作
建立有效的沟通机制和协作流程,确保团队成员之间的信息共享和协 同工作。
注重技术更新和升级
关注行业发展趋势和新技术应用,及时对资源池管理平台进行技术更 新和升级,保持其先进性和竞争力。
持续优化改进方向和目标确定
改进方向明确
根据监控数据和评估结果 ,明确下一阶段的优化改 进方向。
目标设定与分解
设定具体的优化目标,并 将其分解为可执行的子目 标或任务。
改进计划制定
制定详细的改进计划,包 括优化措施、实施步骤、 时间节点等。
06
总结与展望
项目成果总结回顾
成功构建统一资源池管理平台
实时监控资源池的状态和性能,提供 告警和预警机制,确保系统稳定运行 。
采用高可用性和容错性设计,确保系统能够长时间稳定运行,同时提供故障恢复 和容灾备份机制,确保数据不丢失和业务不中断。
04
实施步骤与时间表安排
实施前准备工作梳理
资源池现状调研
了解现有资源池的规模、配置、 使用情况等,为后续的集成管理 提供基础数据支持。
需求分析
明确资源池统一集成管理的目标 、需求,以及需要解决的问题和 面临的挑战。
03
统一集成管理方案设计
设计原则与目标设定
设计原则
遵循标准化、模块化、可扩展性 原则,确保系统灵活性和可维护 性。
目标设定
实现资源池统一视图、统一调度 、统一监控和统一管理,提高资 源利用率和管理效率。
架构规划与技术选型
架构规划
采用分层架构设计,包括资源层、服 务层、应用层和管理层,实现不同层 次之间的解耦和协同工作。
经验教训分享
重视前期规划和设计
在项目实施前,进行充分的需求分析和架构设计,确保项目的可行性 和可扩展性。
强化团队沟通与协作
建立有效的沟通机制和协作流程,确保团队成员之间的信息共享和协 同工作。
注重技术更新和升级
关注行业发展趋势和新技术应用,及时对资源池管理平台进行技术更 新和升级,保持其先进性和竞争力。
持续优化改进方向和目标确定
改进方向明确
根据监控数据和评估结果 ,明确下一阶段的优化改 进方向。
目标设定与分解
设定具体的优化目标,并 将其分解为可执行的子目 标或任务。
改进计划制定
制定详细的改进计划,包 括优化措施、实施步骤、 时间节点等。
06
总结与展望
项目成果总结回顾
成功构建统一资源池管理平台
实时监控资源池的状态和性能,提供 告警和预警机制,确保系统稳定运行 。
安全资源池是什么,有什么用(讲一个故事,类比安全资源池)
安全资源池适用场景画像(一个写字楼建设和投用的类比的故事) 网信、公安、工信、测评中心…
公共安全达标(云平台测评、评测)
安防检查(业务系统等保测评)
云
平
办公室门禁(一虚多防火墙)
台
基建合格(云平台稳定) 公共安全(小区门禁=边界防火墙、IPS 摄像头=安全审计,公共消防=防病毒…)
裸房
租户(委办局….)
基础防御、web 增强防御….
失控主机检测、 安全监测、安全 审计….
安全运营、应 处置….
愉快的办公
地产商(云平台投资建设方) 太极、浪潮、阿里…
安防超市(安全资源池) 安装维修(售后服务) sangfor
责任共担模式下,安全资源池适用场景画像(一个写字楼建设和投用的类比的故事): 1、地产商投资建设一个写字楼,然后招租各个公司使用。(地产商和租户是两个主体,责任共担) 2、在安保方面地产商盖完楼,要通过验收;大致会包括:大楼的门禁、公共消防、摄像头,保障整个大 楼公共安全;并通过基建、安防验收。 3、地产商在租给租户的时候,有的是裸房、有的会带一个简单的租户门禁(一虚多防火墙);但,租户 绝大多数会更换成自选的新门禁,并设置员工指纹。 4、租户租赁了写字楼的一个办公室,想投用则必须进行内部安防装配,并通过主管单位检查。 5、安全资源池就是一个配套的超市,用户通过在超市里购买需要的货物(服务包)+装修(策略配置+售 后),然后就可以愉快的办公了。
关键词:多租户、责任共担、安全自服务。有这样的场景,才适合安全资源池方案。
公共安全达标(云平台测评、评测)
安防检查(业务系统等保测评)
云
平
办公室门禁(一虚多防火墙)
台
基建合格(云平台稳定) 公共安全(小区门禁=边界防火墙、IPS 摄像头=安全审计,公共消防=防病毒…)
裸房
租户(委办局….)
基础防御、web 增强防御….
失控主机检测、 安全监测、安全 审计….
安全运营、应 处置….
愉快的办公
地产商(云平台投资建设方) 太极、浪潮、阿里…
安防超市(安全资源池) 安装维修(售后服务) sangfor
责任共担模式下,安全资源池适用场景画像(一个写字楼建设和投用的类比的故事): 1、地产商投资建设一个写字楼,然后招租各个公司使用。(地产商和租户是两个主体,责任共担) 2、在安保方面地产商盖完楼,要通过验收;大致会包括:大楼的门禁、公共消防、摄像头,保障整个大 楼公共安全;并通过基建、安防验收。 3、地产商在租给租户的时候,有的是裸房、有的会带一个简单的租户门禁(一虚多防火墙);但,租户 绝大多数会更换成自选的新门禁,并设置员工指纹。 4、租户租赁了写字楼的一个办公室,想投用则必须进行内部安防装配,并通过主管单位检查。 5、安全资源池就是一个配套的超市,用户通过在超市里购买需要的货物(服务包)+装修(策略配置+售 后),然后就可以愉快的办公了。
关键词:多租户、责任共担、安全自服务。有这样的场景,才适合安全资源池方案。
工业互联网学习课件[优质PPT]
![工业互联网学习课件[优质PPT]](https://img.taocdn.com/s3/m/899e72904693daef5ef73d92.png)
WEB防护
采用类似于CASB等技 术,实现对DDOS和
ATP的防护
认证授权
为工业互联网平台 提供一套认证授权
系统
Level4 决策层 BI-商业智能
SEM-战略绩效管理
S&OP-供应链优化
……
Level3 企业层
ERP 应用P冗L余M WEBC防R护M签名认证SCM
QMS
QA
HRM ……
Level2 管理层
畅想网络 Imagination Network 感谢观看!
文章内容来源于网络,如有侵权请联系我们删除。
密钥注销
密
安全节点服务
工作密钥服务
钥
节点签到
密钥分发
管
节点签退
理
密钥存储
中
节点状态
密钥销毁
心
节点认证
密钥恢复
WEB服务中心
状态监控 用户管理 密钥审核 应用审核 日志查看
综合管理服务
操作员审核 接入审核
安全策略管理 操作日志审计 工作日志审计
加密机资源池
云安全防护
S a a SP
a a SI
a a S
生产 建模
计划 编程
物料 管理
设备 管理
能源 管理
……
APS
WMS ……
工业互联网的安全保障方案(四) ——可视化展现,态
势感知、应急处置
基于大数据技术及先进的算法模型,可视化展现工业互联网的态势感知、安全监控、通 报预警、追踪溯源、应急处置决策
四川水电应用案例
携手共建工业互联网和工业互联网安全的生态
云平台
云应用 数据
运行环境 中间件
操作系统 虚拟化 服务器 存储 网络
存储基础知识培训ppt课件
物理磁盘
物理卷(RAID)
RAID、LUN的形成过程
物理磁盘
LUN
物理卷(RAID)
பைடு நூலகம்
分割
卷(Volume)
在LUN映射给主机的“物理硬盘”,对于主机系统来说就是一个“卷”,没有格式化的卷我们称为裸设备(裸卷),卷上创建一个或多个分区(如C盘,D盘等等),通过格式化以后创建文件系统(FAT32、NTFS、ext2/3/4等)VOLUME相对于主机是一个逻辑设备。
控制器
磁盘柜
磁盘电缆
磁盘阵列是把多个磁盘组成阵列(Array) ,以单一磁盘使用。磁盘阵列所利用的不同的技术,称为RAID level,不同的level 针对不同的系统及应用,以解决数据存储的安全、性能和容量的问题。阵列控制器是介于主机和磁盘之间的控制单元,配置有专门为I/O进行过优化的处理器以及一定数量的缓存(cache)。控制器上的CPU和cache共同实现对来自主机系统I/O请求的操作和对磁盘阵列的RAID管理。阵列上的cache则作为I/O缓冲池,大大提高磁盘阵列的读写响应速度,显著改善磁盘阵列的性能。传统磁盘阵列大多采用双控制器设计,从而充分体现了磁盘阵列的高可用特性。双控制器可配置成active-active或active-standby的工作模式,并且支持热插拔功能,能够实现简单的无单点故障,为用户提供的7*24不间断业务。 在配置了CPU和cache的磁盘阵列中,部分高端产品还可以运行基于磁盘阵列的存储软件,提供比较全面的基于磁盘阵列的解决方案。
常见磁盘阵列
光纤通道(FC)
HBA卡
WWN(World Wide Name)
SAN交换设备—交换机
FC交换机,内部为Fabric拓扑,每端口独占带宽,理论上可以连接1600万个设备
物理卷(RAID)
RAID、LUN的形成过程
物理磁盘
LUN
物理卷(RAID)
பைடு நூலகம்
分割
卷(Volume)
在LUN映射给主机的“物理硬盘”,对于主机系统来说就是一个“卷”,没有格式化的卷我们称为裸设备(裸卷),卷上创建一个或多个分区(如C盘,D盘等等),通过格式化以后创建文件系统(FAT32、NTFS、ext2/3/4等)VOLUME相对于主机是一个逻辑设备。
控制器
磁盘柜
磁盘电缆
磁盘阵列是把多个磁盘组成阵列(Array) ,以单一磁盘使用。磁盘阵列所利用的不同的技术,称为RAID level,不同的level 针对不同的系统及应用,以解决数据存储的安全、性能和容量的问题。阵列控制器是介于主机和磁盘之间的控制单元,配置有专门为I/O进行过优化的处理器以及一定数量的缓存(cache)。控制器上的CPU和cache共同实现对来自主机系统I/O请求的操作和对磁盘阵列的RAID管理。阵列上的cache则作为I/O缓冲池,大大提高磁盘阵列的读写响应速度,显著改善磁盘阵列的性能。传统磁盘阵列大多采用双控制器设计,从而充分体现了磁盘阵列的高可用特性。双控制器可配置成active-active或active-standby的工作模式,并且支持热插拔功能,能够实现简单的无单点故障,为用户提供的7*24不间断业务。 在配置了CPU和cache的磁盘阵列中,部分高端产品还可以运行基于磁盘阵列的存储软件,提供比较全面的基于磁盘阵列的解决方案。
常见磁盘阵列
光纤通道(FC)
HBA卡
WWN(World Wide Name)
SAN交换设备—交换机
FC交换机,内部为Fabric拓扑,每端口独占带宽,理论上可以连接1600万个设备
安全资源池的成功案例
H3C M9K (堆叠)
H3C 12510
拓扑图
HW 9306
安全资源池
基础防御包 Web增强包 失陷主机发现包
引流交换机
引流口
引流口
安全接入包
安全运维包
Web增强 包
安全资源池基础平台
引流口
安全资源池私网交换机 (存储私网、vxlan)
华三云平台
华为云平台
阿里云平台
现状
温州市政务云是该市核心的信息基础设施平台,先后搭建了由 华为,华三,阿里三朵云共计200+委办局、800+台虚拟机组 成政务云平台,从2016年开始,要求全市委办局后续系统全 部迁移到政务云平台,平台承载了xx交管局核心业务系统,智 慧海洋,公检法行业互联网业务,政府网站群等重要业务系统 的运行;
“权责清晰、助力上云,推动安全责任落地”
现状
针对电子政务中“各自为政、条块分割、烟囱林立、信息孤岛” 的问题,内蒙古自治区电子政务办确立了以政务信息资源整合 共享为思路的发展方向。完成政务信息资源共享平台(一期) 后,安全就成为电子政务办的心头之痛。此外,随着《网络安 全法》、等级保护2.0等政策不断加码,国家监管力度不断加 强,愈发让电子政务办意识到安全的重要性。
问题
参照云等保要求,需要划分平台方和租户方责任,改变保姆 式负责局委办系统的现状,针对局委办的合规性或者个性化 安全需求实现租户安全功能需求服务化、场景化,像交付存 储、计算一样交付安全,原来通过购买安全产品满足等保合 规需求,现在通过安全资源池一样可以满足;
解决方案&价值
在上云之前,虹口区科学技术委员会实际上已完成全区多数部 门的集约化,而之前对业务系统运维工作是全托管模式,科委 自身运维工作量巨大,且部分局委办有个性化需求当前无法满 足。上云后,科委不仅可以逐步脱离运维工作,以后负责资源 分配和审批即可,同时借助云安全服务市场开放给第三方,提 供更加丰富多样的服务,满足租户提出的个性化需求。
H3C 12510
拓扑图
HW 9306
安全资源池
基础防御包 Web增强包 失陷主机发现包
引流交换机
引流口
引流口
安全接入包
安全运维包
Web增强 包
安全资源池基础平台
引流口
安全资源池私网交换机 (存储私网、vxlan)
华三云平台
华为云平台
阿里云平台
现状
温州市政务云是该市核心的信息基础设施平台,先后搭建了由 华为,华三,阿里三朵云共计200+委办局、800+台虚拟机组 成政务云平台,从2016年开始,要求全市委办局后续系统全 部迁移到政务云平台,平台承载了xx交管局核心业务系统,智 慧海洋,公检法行业互联网业务,政府网站群等重要业务系统 的运行;
“权责清晰、助力上云,推动安全责任落地”
现状
针对电子政务中“各自为政、条块分割、烟囱林立、信息孤岛” 的问题,内蒙古自治区电子政务办确立了以政务信息资源整合 共享为思路的发展方向。完成政务信息资源共享平台(一期) 后,安全就成为电子政务办的心头之痛。此外,随着《网络安 全法》、等级保护2.0等政策不断加码,国家监管力度不断加 强,愈发让电子政务办意识到安全的重要性。
问题
参照云等保要求,需要划分平台方和租户方责任,改变保姆 式负责局委办系统的现状,针对局委办的合规性或者个性化 安全需求实现租户安全功能需求服务化、场景化,像交付存 储、计算一样交付安全,原来通过购买安全产品满足等保合 规需求,现在通过安全资源池一样可以满足;
解决方案&价值
在上云之前,虹口区科学技术委员会实际上已完成全区多数部 门的集约化,而之前对业务系统运维工作是全托管模式,科委 自身运维工作量巨大,且部分局委办有个性化需求当前无法满 足。上云后,科委不仅可以逐步脱离运维工作,以后负责资源 分配和审批即可,同时借助云安全服务市场开放给第三方,提 供更加丰富多样的服务,满足租户提出的个性化需求。
深信服企业级云产品汇报PPT(技术交流版)
优化数据库性能
虚拟机支持hugepages 技术,可以有效提高 30%的数据库性能。
优化
加速计算
就将多个相同的内存合并, 并将其标记为“写时复
制”,优化内存使用,让虚 拟机享用到更多内存。
动态资源扩展
单虚拟机CPU/内存资源 自动添加;自动复制应 用虚拟机增加应用集群
节点数目
提升读写性能
将Qemu模拟的部分硬 件,下移到Hypervisor 中,缩短它的IO路径,
边界隔离 行为感知系统 安全态势感知 安全即服务
应用支撑组件
数据支撑组件
云管理组件
应用部署
应用监控
应用调度
大数据
数据库
虚拟计算
超融合基础架构组件
虚拟网络
虚拟存储
网络功能虚 拟化
异构虚拟化 平台
VMWare
深信服基础架构硬件
服务器
交换机
异构基础架构硬件
服务器
交换机
存储
自服务 统一运维 资源调度 计量计费
基础架构融合
应用集群A
…
应用集群N
软件定义技术
计算资源池
存储资源池
网络资源池
超融合基础架构(标准化X86服务器和交换设备)
数据库融合
计算:弹性调度+负载均衡 存储:分布式软件定义存储 网络:分布式软件定义网络
App
AppN
Oracle
…
Oracle
X86
小型机
SAN/NAS
SAN/NAS
AppA
AppN
软件定义网路 aNET
(替代二层三层交换机高级功能)
aSwitch、aRoutor、aFW
软件定义存储 aSAN、aStor
深信服云安全资源池解决方案课件
实施前的准备
01
02
03
需求分析
了解客户的网络架构、安 全需求和业务需求,为后 续的方案设计和实施提供 依据。
技术评估
对现有的网络架构和安全 环境进行全面的技术评估 ,找出潜在的安全风险和 隐患。
方案设计
根据需求分析和技术评估 结果,设计符合客户需求 的云安全资源池解决方案 。
实施过程的关键步骤
其他云安全方案通常只提供简单 的安全防护功能,无法实现精细 化的安全防护。而深信服云安全 资源池解决方案可以通过资源池 的灵活扩展和按需分配,实现精 细化的安全防护,提高企业的安 全防护效果。
其他云安全方案通常采用独立的 第三方服务提供商模式,需要企 业分别与不同的服务提供商进行 沟通和协调,增加了管理和沟通 成本。而深信服云安全资源池解 决方案采用一站式服务模式,企 业只需要与深信服进行沟通和协 调,可以降低管理和沟通成本。
案例二:某政府部门的云安全资源池部署
总结词
合规、安全、可靠
详细描述
该政府部门在进行云安全资源池部署时,对合规、安全、可靠有很高的要求。深信服云安全资源池解决方案通过 精细化的权限管理、全方位的安全审计和强大的容灾备份机制,确保该政府部门在满足合规要求的同时,实现安 全、可靠的云安全资源服务。
案例三:某金融机构的云安全资源池应用04
环境搭建
建立实验环境,进行必要的配 置和测试,确保方案的可行性
和稳定性。
资源部署
根据设计方案,部署相应的硬 件和软件资源,包括计算资源 、存储资源和网络资源等。
安全策略配置
根据客户的安全需求,配置相 应的安全策略,包括访问控制 、数据加密、入侵检测等。
调试与优化
对部署的资源进行调试和优化 ,确保资源的可用性和性能。
SANGFOR_安全资源池_2018初级能力成长-安全资源池政务云云安全背景知识2.pptx
3. 政务云主流厂商
政务云面临的问题
建设模式多样
云安全问题突出
运营方式转变 参与角色众多
政务云建设模式多样
建设方式上
成熟发达省级政务云,如北京、浙江、四川等均为两个不同云服务商分建两朵,形成竞争关系;并
设置独立的监管/监理角色,引入专业技术公司作为主管单位的技术力量支撑。如北京模式。 地市级政务云,绝大多数只招标一家云服务商进行建设。 投运流程上
产品的整合问题(成本问题,兼容问题)
如何满足各方利益诉求
政务云新技术引入的安全问题
核心关键 云计算在当前虽然应用广泛,但是作为一个新技术,不可避免的存在诸 多脆弱性,一旦被利用可能形成不可估量的安全事件。 主要风险 1.一台主机上可能承载多个不同的租户、不同的系统,运维管理复杂, 流量不可视,风险难管理 2.新技术的应用带来新的安全风险,如虚拟化层的漏洞等 3.所有鸡蛋放在一个篮子里,受攻击面增大,同时平台方责任更重
主流的云上方案 – 软件NFV
主流厂商及代表产品:基于阿里云的深信服vaf、vssl、基于华为、华三云的安全镜像 方案简述:通过和云平台耦合的方式,兼容云平台提供安全镜像,实现对租户的安全策略。 方案优劣:对平台的兼容性要求极高,比如深信服目前NFV 方案仅适配了自家产品和阿里云,另 外多产品也很难形成统一的管理、配置复杂。
北京市级政务云体制建设
角色众多,责任明确 云服务商 经信委 云安全监管商 公服中心 使用单位
北京市级政务云体制建设
其他云
云 对 接
监管报告 安全应急辅助
经信委/发改委/电子政 务外网信息中心等
直接领导
协调 监测 监督
遴选
监督 管理
公共服务 中心
云安全体系建设汇报PPT课件
可提供通过异常行为检测发现已被黑客控制虚机的服务
可提供针对租户业务系统的应用负载均衡服务
可提供针对租户数据库审计服务
可提供针对租户虚机的运维审计服务
可提供针对租户Web业务的安全监测服务
可提供针对租户Web业务的安全运营服务
快速威胁发现能力
已有部分成果
THANKS!
政务互联网业务区
NGAF(FW、IPS、WAF)、服务器负载、失控主机检测、AV
政务内部业务区
NGAF(FW、IPS)、服务器负载、AV
政务云管理区
NGAF(FW、IPS)、数据库审计、SOC、堡垒机
平台安全服务
安全域规划设计、云平台安全事件应急处置、未知威胁通报与突发事件处置
租户系统安全、合规
租户安全资源池
虚机防护
云管平台
管理中心
行为检测
租户边界防护
在线应急处置
安全事件处置
基于软件定义安全技术,安全能力服务化交付
安全服务申请 安全服务交付 安全服务运营
租户方
运营方
内置、可选安全服务包
可提供IPSEC VPN、SSL VPN等安全接入服务
可提供应用控制、FW、AV、IPS等防御服务
可提供WAF、防篡改、数据防泄密等服务
政务云建设、运维云自身的安全保障
自主可控等保三级要求
等级保护三级要求等级保护安全建设服务机构能力评估合格证书
1、政务云服务2、政务云安全监管服务不接受进口服务提供商应具备信息安全等保三级系统能力(GBT 31168-2014)(GBT 31167-2014)
注意优势:具有公安部颁发的信息安全等级保护安全建设服务机构能力评估合格证书。
特点:三口两核心多租户增值安全双中心一个平台解释:5网络流向1个中心3重防护
可提供针对租户业务系统的应用负载均衡服务
可提供针对租户数据库审计服务
可提供针对租户虚机的运维审计服务
可提供针对租户Web业务的安全监测服务
可提供针对租户Web业务的安全运营服务
快速威胁发现能力
已有部分成果
THANKS!
政务互联网业务区
NGAF(FW、IPS、WAF)、服务器负载、失控主机检测、AV
政务内部业务区
NGAF(FW、IPS)、服务器负载、AV
政务云管理区
NGAF(FW、IPS)、数据库审计、SOC、堡垒机
平台安全服务
安全域规划设计、云平台安全事件应急处置、未知威胁通报与突发事件处置
租户系统安全、合规
租户安全资源池
虚机防护
云管平台
管理中心
行为检测
租户边界防护
在线应急处置
安全事件处置
基于软件定义安全技术,安全能力服务化交付
安全服务申请 安全服务交付 安全服务运营
租户方
运营方
内置、可选安全服务包
可提供IPSEC VPN、SSL VPN等安全接入服务
可提供应用控制、FW、AV、IPS等防御服务
可提供WAF、防篡改、数据防泄密等服务
政务云建设、运维云自身的安全保障
自主可控等保三级要求
等级保护三级要求等级保护安全建设服务机构能力评估合格证书
1、政务云服务2、政务云安全监管服务不接受进口服务提供商应具备信息安全等保三级系统能力(GBT 31168-2014)(GBT 31167-2014)
注意优势:具有公安部颁发的信息安全等级保护安全建设服务机构能力评估合格证书。
特点:三口两核心多租户增值安全双中心一个平台解释:5网络流向1个中心3重防护
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全资源池
在云数据中心部署、网络打通
策略路由
租户A 安全服务 Web安全 增强包
基础防御包
安全接入包
租户B 安全服务
云端监测包
租户C 安全服务
安全运营包
失陷主机 发现包
云端监测包
基础防御包
Web安全 增强包
计算资源 存储资源
租户A
计算资源 存储资源
租户B
云平台
计算资源 存储资源
租户C
基于超融合技术,提供安全服务。
基础防御 包
高级防御 包
云端监测 包
租户B的业务是面向公众的,系统架构为B/S架构,公众通过域名访问。为了避免系统被恶意扫描、入 侵、篡改,系统出现问题,可以及时发现,所以建议用户使用使用“基础防御包”“高级防御包”“ 云端检测包”。 另外,为了保证系统的可用性,提升服务器、业务系统的使用效率,可以建议用户选择增值服务包中 2020/3/22 的“负载均衡”
安全资源服务交付流程——发起请求
租户安全服 务需求发起
基础防御 包
高级防御 包
按组件、按需分配 安全服务
平台运营方
安全组件基 本信息配置
个性化安全 策略配置
日常安全事 件运营
租户
2020/3/22
安全运营服务
安全资源服务交付流程——定义安全服务
安全服务定义
场景定义
交付功能定义
2020/3/22
安全资源服务交付流程——分配安全服务
。
03
可运营
① 安全需求随租户迁移线性增长。 ② 运营方要求前期投入低,零库存。 ③ 支持合作运营,保障持续业务增值。
服务化交付
02
功能丰富
01
① 需满足安全业务的全生命周期。 ② 需帮助租户达成安全合规目标。
现有云安全方案实现
云安全方案建设现状
01
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
通过以上,完成对外WEB业务常见 安全风险的防范
现有云架构下最优的方案
无法解决: • 为了实现引流,需要复杂
的路由、网络配置。无法 简化配置、快速交付 • 仅有平台视角,缺少租户 视角 • 硬件一虚多设备支持功能 较少(IPS、FW、LB)
2020/3/22
01
无法解决: • 完全耦合,平台不同,安全厂商融合难度大,开
租租户户A
安全接入包
基础防御 包
高级防御 包
租户A的业务主要是面向系统内部员工开放的,为了保证内部系统数据传输安全,需要使用IPSEC VPN互联,需要对内部系统开启IPS WAF 网页防篡改等功能 所以,建议租户选择“安全接入包”“基础防御包”“高级防御包”
应用
数据库
计算资源 存储资源
租户B
增值业务 包
2020/3/22
深信服云安全资源池功能概览
服
租户安全自服务
务 交
安全服务编排
安全可视化
专家在线服务
付
接入安全
业务安全
与 运
安全组网
漏洞攻击 访问控制
态势可视 威胁可视
营
Web攻击 渗透测试
平
台
安全接入
网页篡改 数据窃取
流量可视 网络可视
安全运营报告 安全加固咨询 人工应急响应
层
资产可视
安全 服务层
安全态势可 视
云端检测服务
安全运营服务
堡垒机 数据库审计
云端检测 安全咨询
云安全资源池组件
① 安全运营服务:安全运营报告、安全策略检测、人工应急响应、通报问题处理 全 ② 云端监测服务:业务可用性检测、资产暴露面、云端漏洞监测
生
命 ③ 失陷主机服务:黑链检测webshell、网页木马、恶意软件、实时漏洞分析
面向租户运营界面
2020/3/22
云安全服务中心——租户安全服务可视、可配置
流量可视模块:
由于云上流量的不可视,导致用户对自己虚拟网络架构内部应用 流量交互不清晰,流量可视模块,为用户展现网络流量组成(哪 些具体应用,流量大小等),让用户随时了解业务流量组成
安全可视模块:
安全资源池内各组件(IPS组件、WEB防火墙组件、失陷主机组件 等)的日志,通过安全可视模块进行收集,统一汇总,对用户汇总 展现当前业务系统面临的风险。
应用背景
云平台完成搭建,平台层面安全已经 建设完成。
租户对业务层面安全提出要求,平台 方运营方需要一种快速、对平台改动 最小的方案。
安全厂商将原有硬件设备以镜像化的 方式部署
与云平台无法深度耦合
实现过程
安全产品提供方,需要根据不同云平 台架构进行产品适配
云平台一般只能够提供标准操作系统 镜像(如windows Server、Linux各 版本),但安全产品镜像是非标准的 操作系统,所以需要平台方协调安装
(DNS引流仅支持web流量) • 大多为服务交付,平台方不掌
握运营能力
02
03
深信服云安全资源池方案
2020/3/22
整体拓扑架构示意图
清洁流量
DNS引流
安全即服务 基于深信服公有云
XYclouds
云端 web安 全防护
网站 安全 报表
资产暴 业务可 安全应 露面 用监测 急服务
云安全服务
平台层物理安全 核心交换
资源管理员: 根据租户选择的服务包类型,分配服务包到租户账户下,安全资源管理员拥有安全服务编排 权限
安全资源运行报告与日志: 根据安全资源池租户使用情况,按照月、季度、年生成资源运行报告,针对资源使用/分配 情况占比,资源利用率等维度,为租户、平台运维方提供有效资源配置建议
安全资源服务日常运营流程
深信服云安全资源池解决方案
深信服安全BU
安全是云计算重要环节
政务云的尴尬现状与挑战
原因 现状 挑战
只顾平台合规 安全建设迷茫 合规标准滞后
租户上云缓慢 租户安全顾虑多 租户安全无保障
1、云运营方如何 持续产出?
2、租户差异化安 全需求如何满足?
2020/3/22
政务云租户的安全需求
① 服务化交付,符合采购要求。 ② 租户自服务,简化运维。 ③ 权责明晰,打消安全顾虑快速上云
安全接入服务
基础防御服务
Web安全增强服 失陷主机发现服务 务
能
IPSEC VPN
L4-L7应用控制
入侵防御
Web防护
力
支 撑
SSL VPN
防病毒功能
网页防篡改
数据防泄密
层
深信服超融合基础平台
安全运营管理
平台层安全运营
统安一全安资全源资 统源一分分配配
安全服务编排
安全日志 统一运维
安全状态监控
安全风险 统一分析
周
期 ④ Web安全增强服务:WAF、防篡改、数据防泄密
安
全 ⑤ 基础防御服务:应用控制、病毒网关、IPS ⑥ 安全接入服务:提供IPSEC VPN、SSL VPN
2020/3/22
安全资源服务交付流程
平台方运营方界面
2020/3/22
安全资源服务交付流程——发起请求
应用
数据库
计算资源 存储资源
硬件一虚 多设备
实现过程
租户与VLAN关联,入站出站流量需 经过该硬件进行清洗。
当前能够支持一虚多的硬件云安全解 决方案,支持功能较少,大多数仅支 持IPS、FW、LB功能。
vSwitch
2020/3/22
Web Server
App Server
vlan100(租户A)
DB Server
VM1
VM2
租户自管理界面:
未租户提供安全服务包管理界面,每个租户可以对自己的个性化 WAF、访问控制、IPS等安全策略进行配置,支持租户定义不同等 级的管理员。
云安全资源池价值展现
2020/3/22
深信服云安全资源服务的价值
2020/3/22
技术特色
深信服安全能力
✓ 最早适配阿里云、亚马逊云、腾讯云的安全厂商 ✓ 从2013年末阿里云推出第三方安全镜像合作开始,深信服就提供了SSL VPN与第二代防
Vlan200(租户B)
VFW
VM2
vlan500(租户C)
设备镜像化交付方案
互联网
vFW镜像
vSSL VPN镜像
堡
C业务安全组
B业务安全组
垒
XX业务安全组
机
镜
A业务ECS
B业务ECS
……
XX ECS
像
A业务RDS
B业务RDS
省安全组
省级管理平台 ECS
XX RDS
负
载
均
衡
镜
像
政务外网
2020/3/22
由于网站业务的特性,租户需要对网 站经常受到的篡改、SQL注入、跨站 等攻击进行防范。
能够对DDoS、CC攻击具备一定的流 量清洗能力。
实现过程
针对租户网站业务,提供SAAS安全 服务,即网站用户访问流量经过 SAAS安全服务清洗后,返回到源站 IP。
需要用户在DNS服务商处修改 CNAME记录,CNAME指向指定的 地址,从而完成流量牵引
火墙产品适配阿里云平台 ✓ 至今已经成交超过千笔
2020/3/22
深信服技术能力表现
2020/3/22
安全市场
虚拟化市场
THANKS!
2020/3/22
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方
案
03
硬件一虚多方案:点题 Cloud
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%