深信服云安全资源池解决方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实现过程
针对租户网站业务,提供SAAS安全 服务,即网站用户访问流量经过 SAAS安全服务清洗后,返回到源站 IP。
需要用户在DNS服务商处修改 CNAME记录,CNAME指向指定的 地址,从而完成流量牵引
通过以上,完成对外WEB业务常见 安全风险的防范
现有云架构下最优的方案
无法解决: • 为了实现引流,需要复杂
vlan100(租户A)
DB Server
VM1
VM2
Vlan200(租户B)
VFW
VM2
vlan500(租户C)
设备镜像化交付方案
互联网
vFW镜像
vSSL VPN镜像

C业务安全组
B业务安全组

XX业务安全组


A业务ECS
B业务ECS
……
XX ECS

A业务RDS
B业务RDS
省安全组
省级管理平台 ECS
的路由、网络配置。无法 简化配置、快速交付 • 仅有平台视角,缺少租户 视角 • 硬件一虚多设备支持功能 较少(IPS、FW、LB)
2020/3/8
01
无法解决: • 完全耦合,平台不同,安全厂商融合难度大,开
紧耦合方案:
发工作量大
全流量引流、本地化交付 • 平台自带安全组件
• 平台自带安全组件功能少,仅能解决部分问题
云平台一般只能够提供标准操作系统 镜像(如windows Server、Linux各 版本),但安全产品镜像是非标准的 操作系统,所以需要平台方协调安装
交付后。需要在租户层面做路由、网 关的更改,使流量经过安全镜像
SAAS安全服务交付方案
访问请求
互联网
直接访问网站流程
目标网站
访问请求
SAAS 服务商
2020/3/8
深信服云安全资源池功能概览
云安全 资源池
用户业务 安全运营
IPSEC
安V全PN接
入S服SL务 包VPN
L4-L7应
用基控础制防
防功御包病能服毒务
入侵御防高级W防eb防护
堡垒
失陷主机
网篡页改防御包服务数泄据密防
May cost more Regulatory requirements…
Not enough major…
74.6 63.1 63.1 61.1 55.8 50.4 50.0 49.2 44.3
Source:IDC Enterprise Panel(国际数据公司IDC)
安全权责划分与合规的需求
2020/3/8
云安全不再是平台技术提供方或是平台运营方的事情
减少租户上云顾虑、满足业务安全的需求
上云前咨询
云上基础 架构规划
安全架构规划
迁云实施
租户上云流程
在以上流程中,亟需平台方去解决的是: 1. 现有应用架构,特别是数据库能否正常运行 2. 安全如何保障,平台方能否提供与线下原有数据中心匹配的安全能力
互联网
目标网站
修改DNS记录,使用户的网站访问请求先经过SAAS服务商, 经过清洗后,到达目标网站
2020/3/8
应用背景
云平台租户有对外发布的WEB业务 ,比如网站业务。
由于网站业务的特性,租户需要对网 站经常受到的篡改、SQL注入、跨站 等攻击进行防范。
能够对DDoS、CC攻击具备一定的流 量清洗能力。
2020/3/8
为租户提供安全可视、可自定义配置的需求
线下原有数据中心
租户云上数据中心
安全可配置
Hale Waihona Puke Baidu
安全可视

流量路 径不可 视

安全 不可 视
“黑盒”
2020/3/8
1. 平台层打包“安全服务”,租户只管上云。 2. 所有安全服务打包在“黑盒”中,无法提供租户个性化配置界面
持续增值和安全生态运营的需求
基本安全需求
安全增值服务
安全运营持续 对抗新威胁
1. 硬件设备提供的安全能力,如何以增值服务的方式提供给租户? 2. 平台运营方如何快速掌握安全能力,并交付用户? 3. 租户的安全需求是持续的、不断更新的,如何通过安全生态运营满足不断变化的安全需求
2020/3/8
现有云安全方案实现
云安全建设现状
01
紧耦合方案: • 平台自带安全组件 • 安全镜像方案
2020/3/8
部分解耦合: • 硬件一虚多
02
完全解耦合: • DNS引流方案 • 虚拟机引流方

03
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能,保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能,保证处理能力5%
其他租户购买的套餐需要提供防 火墙功能,限制处理能力5%
Cloud
硬件一虚 多设备
实现过程
租户与VLAN关联,入站出站流量需 经过该硬件进行清洗。
当前能够支持一虚多的硬件云安全解 决方案,支持功能较少,大多数仅支 持IPS、FW、LB功能。
2020/3/8
vSwitch
Web Server
App Server
• 安全镜像方案
安全即服务、全威胁可视
完全解耦合、安全责任清晰
平台可运营、持续增值
部分解耦合: • 硬件一虚多
完全解耦合: • DNS引流方案 • 虚拟机引流方

无法解决: • 虽然解耦,但是支持功能较少
(DNS引流仅支持web流量) • 大多为服务交付,平台方不掌
握运营能力
02
03
深信服云安全资源池方案
云平台技术对网络、数 据等提供安全保障
保证平台物理层安全
A.
技术提 供方
B.
平台运 营方
为租户提供可选择的安全方案。 运营安全生态
C. 通过使用平台提供的安全 租户 服务,保证自身业务安全
E.
云平台技术对网络、数
据等提供安全保障
ISV
保证平台物理层安全
D.
监管机 构
为云环境下平台、租户安 全提供指导,通过制度保 证平台、租户安全
XX RDS
负 载 均 衡 镜 像
政务外网
2020/3/8
应用背景
云平台完成搭建,平台层面安全已经 建设完成。
租户对业务层面安全提出要求,平台 方运营方需要一种快速、对平台改动 最小的方案。
安全厂商将原有硬件设备以镜像化的 方式部署
与云平台无法深度耦合
实现过程
安全产品提供方,需要根据不同云平 台架构进行产品适配
深信服云安全资源池解决方案
深信服安全BU
安全是云计算重要环节
安全是云计算发展最大担忧
首位 云计算所面临的挑战中,安全问题排在
75%用户在安全性上犹豫不决
Security Performance
Availability Hard to integrate with in-…
Not enough ability to… Bring back in-house may…
相关文档
最新文档