华为公有云数据中心安全解决方案主打胶片 V1.0 20141104

HOST1
HOST2
HOST3
15
HOST4
基于SDN感知应用，分层分级，层层联防
通过AC感知应用，统一调度三层安全资源池，联动沙箱、大数据实现高级防御
特性和价值
边界安全资源池
通过FW/Anti-DDoS防御外界攻击 通过IPSec/SSL VPN提供安全接入 公用策略，集中控制
内网安全资源池
17
IDC租户服务
设 备 形 态
Eudemon E8000E-X
服 务
Eudemon E1000E-N
内 Eudemon E1000E-X
容 Eudemon E200E-N
Eudemon E200E-X
防火墙
租户专用硬件安全： 物理安全设备
租户共享硬件安全： 硬件多实例
租户独立／共享软件安全： 软件安全设备
－>DC2 内网 FW －>VM ④ …….
安全不适应VM的变化迁移
DC下VM的迁移较多且IP不变，传统安全基于IP的访
问控制策略策略，无法适应数据中心这种频繁的变化
例：VM迁移后
① Internet－>DMZ FW －>内网 FW －>VM; ② Extranet/Subscriber－>边界 FW －>内网 FW －>VM;
60+流量模型分析
• 5种维度 • 8大协议族 • 38种协议状态 • 60+种流量模型
全面信誉体系
• 全球僵尸网络IP信誉 • 本地实时会话信誉 • 僵尸网络主动防御特征库
Out-bound DDoS攻击
VM Zombies
VM
VM
VM VM VM
DC
从源头防止DC out-bound DDoS生成
5
云中心成为僵尸网络发起地
More Mobile
More App-DDoS More from DC
App
in 2013
250家 LTE商用网络 46% 智能终端增长
攻击工具移动化
AnDOSid/ LOIC/ Android.DDoS.1.origin
6
in 2013
42% App攻击增长 26% HTTP Flood 40% 混合型攻击增长
虚拟化打破传统网络安全边界
在云计算服务中，用户最关注的就是安全问题 ------IDC 的高级副总裁兼首席分析师Frank Gens
60%的虚拟化数据中心的安全性都将令人堪忧…… ------- Gartner报告
过去－1：1攻击
虚拟化二层流量直接通 过vSwitch交互
现在－1：N攻击
VM相互攻击
础 设
威 胁
防 • 网络：大二层流量不可视、Outbound DDoS
攻 击
• 平台：Hypervisor漏洞
施 安 全
和 • 主机：新的病毒、入侵
窃 密
• 数据：数据共享、残留、恶意窃取
运 行
10
基础设施安全智能防御
11
网 络 安 全应
用 安 全 与 优 化
面向基础设施的智能防御安全解决方案
管理安全
• L4~L7功能虚拟化
• 软件硬件资源池化
提供给租户可信的云服务
效率
管理
自动化
业务开通和编排 • 定制业务自动发放 • 灵活业务编排
管理 配置和报表 • 物理+虚拟策略 • 报表
业务支撑服务
(客户管理、订购管理、计费)
合规
运营支撑服务
面
性
云 平 台
(实例、映像、资源、资产管理)
虚拟化资源 （虚拟网络、服务器、存储）
虚
拟
Public Network
Shared Network1
Isolated Network1
Isolated Network2
化
VM VM VM VM
VM VM VM VM
VM VM VM VM
VM VM VM VM
安
vSwitch
vSwitch
vSwitch
vSwitch
全
vNGFW
数据安全
• 虚拟化平台安全 • VM隔离/流量可视 • VM防病毒/入侵 • VM迁移策略会话同步
vSwitch A B C DE VM VM VM VM VM 12345
虚拟化二层网络下，可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互，流量不可视不可控 • VM跨POD、DC或跨公有云迁移，扩大了网络犯罪者的活
动范围
安全分区与网络解耦，更底层的攻击形态出现
• 对某一台虚拟机的控制，就可以对其他虚拟机发起攻击1： N，从而获得整个服务器群的控制权
4
安全不适应频繁的应用扩展
新增一个业务，需要在DCN边界、DCN内网涉及数
10台安全设备连续开访问策略，花费1个多月才能处
理完！
例：分区1新的WEB业务上线
① Internet－>DMZ FW －>内网 FW －>VM; ② Extranet/Subscriber－>边界 FW －>内网 FW －>VM; ③ DC1 VM －> DC1 内网FW －>DC1边界 FW－> DC2 边网FW
100M
满足多业务在线，提供稳定服务能力
新建连接
12M/s
12倍
1M/s
应对突发流量，匹配大规模用户上下线
虚拟防火 墙
4K
4倍
1K
资源灵活分配，多租户独立专享
业界首个T级防火墙，高扩展能力从容应对流量增长
13
基于大数据的分析抵御新型DDoS攻击
60+
全流量逐包检测
• 100%全流量检测 • 3-7层逐包检测 • TCP会话行为 • URI访问行为
Virtual System3
LPU1 LPU2 SPU1 SPU2
VLAN资源 VLAN资源 VLAN资源 接口资源 接口资源 接口资源 IP地址资源 IP地址资源 IP地址资源 策略会话 策略会话 策略会话 带宽资源 带宽资源 带宽资源
租户1 19
租户2
租户3
防火墙
IPS/IDS 安全管理
AntiDDoS
APP1 WEB3
DB APP3
WEB2
方案描述
• 贴近应用下一跳部署，VM级细粒度安全防护 • 降低非授权访问、恶意攻击、病毒感染等风险 • VM迁移时会保留其原有的端口组及VLAN配置，
配合网管实现无缝迁移
特性和价值
• L4~L7全功能虚拟化，随需扩展收缩 • 贴近应用的“白名单”策略，精细防护 • VM迁移感知，策略随云而动 • 对接Controller，统一调度和集中管控
越来越多的攻击源自IDC DC server 成为肉鸡 DC 拥有极大的攻击带宽 大型攻击多源自DC
安全管理复杂
Access
vvSSwitchh
？？？
管理员
租户1
租户2
租户3 7
云的安全失控趋势，缺乏整体呈现
• 可审查性、取证困难：计算资源共享、 数 据存储位置未知、网络边界崩溃、不可控 的外部供应商
Anti-virus
IPSec/ SSLVPN
路由
一虚多
安全资源池可动态分配调整资源
一虚多
IDC租户弹性安全服务
• 安全策略控制与功能分离、按需定制租户安全服务、弹性扩展； • L4~L7安全功能全虚拟化，独立管理
租户1
租户2
租户3
云平台
FusionSphere
SDN Controller
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言，不感知业务
3
传统安全不适应应用弹性拓展
Internet
区域DC
分支
Extranet/ 租户
WAN
容灾DC
vSwitch
VM
VM
VM
VM
VM上线
VM迁移 VFra Baidu bibliotek下线
虚拟化安全
• 数据分区 • 数据机密性、完整性 • 数据可用性 • 数据销毁
数据安全
• Web安全 • Email安全 • 加速与优化
应用安全与优化
• 统一调度和编排 • 智能策略管理 • 安全事件管理 • 安全态势感知
管理安全
A P T 防 御
•沙箱 •信誉库 •大数据
Management domain
系统资源 （网络、服务器、存储）
向
基
治理
础
设
施
风险
管理
物理设施
满足云计算法规遵从需求
智能 防御
合 • 虚拟机系统审计 规 • 跨边界数据流合规
确 保
遵 从
确保内部安全管理，提供合法用户安全接入：
云 的
管
• 控制特权用户访问：Domain/DC/VDC
基
管
理 • 策略管理、安全态势呈现
理
确保基础设施抵御各种攻击和窃密：
基于用户组、应用组的访问控制规 则，随业务变化动态适应
•沙箱 •信誉库 •大数据
独立租户
• 分层分级，差异防护
三层安全池层层联动，区分东西、 南北流量差异化、就近防护
• 层层联动，高级协防
NGFW+沙箱+vNGFW（含终端异 常检测）+大数据+信誉体系，综合 联防，抵御各种APT攻击
16
针对租户的SDN弹性安全
• 阻断全球最活跃僵木蠕控制流量 • 阻断C&C DNS域名请求流量
14
分布式vNGFW，抵御大二层威胁扩张
贴近应用、分布式部署、就近引流、弹性扩展
Agile Controller
租户1 Internet
租户2 Extranet
R
租户3 WAN
L3
TOR
WEB1 APP2
TOR
TOR
TOR
vSwitch
• 策略管理复杂，部署依赖手工：基于IP的 安全策略不体现业务，策略管理复杂，如 何感知业务，并自动分发到租户
• 缺乏全局安全态势呈现：传统安全缺乏宏 观的安全态势感知，只能“事后感知”而 无法“事前防护”
Content
1 云计算发展面临新安全挑战 2 华为数据中心安全解决方案 3 成功案例
8
华为下一代DC安全方案价值
统一管理
• 物理+虚拟资源统一管理 • 基于业务感知的智能策略管理 • 安全态势智能感知，准确展示安全全貌
9
IDC安全需求
SaaS （按需求将应用软件为服务提供给客户）
云
PaaS
服
（中间件优化：应用服务器、数据库服 务器、门户服务器）
务
IaaS
(虚拟化服务器、存储、网络)
面
服务
向
租
虚拟化
户
SecaaS
智能防御 按需弹性
• 1.44T级防御性能，抵御各种新型攻击（Outbound DDoS） • 虚拟化安全精细防御，抵御大二层威胁扩张 • 智能联防，基于SDN统一调度
• 安全业务分钟级开通，90%去手工 • 感知应用，按需弹性升缩： • VM迁移感知，策略和会话同步，0配置随行 • L4~L7全业务虚拟化，物理+虚拟资源池化，1：M，N：1
通过VFW实现多租户安全 通过IPS对流量深度防御
Management zone
虚拟层安全资源池
通过vNGFW实现VM“白名单式”精细 化防护
分布式部署，就近防护
Public
Internet
DC 出口 DC 核心网络
共享租户
• Agile Controller 感知业务的访问控制规则
AntiDDoS8160 AntiDDoS8080 AntiDDoS8030 AntiDDoS1000
AntiDDoS
SVN5800 SVN5600 SVN5500 SVN2200
SSL VPN
vNGFW500 vNGFW300 vNGFW200 vNGFW100
vNGFW
应用特征库 URL分类库 IPS特征库 AV特征库
1.安全资源池-边界 2.安全资源池-租户 3.安全资源池-租户内
• 1.44T NGFW • 双向AntiDDoS • 入侵防御 • SSL VPN
网络安全
租户1
租户2
租户3
Router Core Switch
AntiDDoS NGFW IPS 安全插板
Agile Controller
Access Switch
2016年4月15日星期五
打造安全可信的云数据中心
——华为公有云数据中心安全解决方案
Content
1 云计算发展面临新安全挑战 2 华为数据中心安全解决方案 3 成功案例
2
数据中心网络的变化
应用弹性扩展
边界在延伸
威胁升级
安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化，服务器边界延伸 • 移动互联，用户边界延伸
• 设备+沙箱联动 • 大数据威胁分析 • 层层联防，抵御APT
APT防御
12
大容量NGFW匹配云计算
吞吐 业务板
分布式架构设计： • 板卡按需配置 • 性能线性增长
…
N*160 数量
USG9500
业界水平
吞吐量 并发连接
1Tbp
7倍
150Gbps
s160GE业务板卡，线速转发，线性扩展
960M
10倍
FW/路由/NAT/VPN/IPS/AntiDDoS/SSLVPN/AV/Web过滤等
标准北向API接口，对接Controller统一调度
多虚一
多台实体防火墙虚拟为安全资源池
多虚一
Master MPU Slave MPU
Virtual System1
Root System
Virtual System2
云端特征库
IDC场景支持丰富的安全服务，全面满足客户需求
FireHunter云端沙箱
云端沙箱
邮件信誉 文件信誉 Web信誉
IP信誉
云端信誉库
18
软硬件安全全面虚拟化
软硬件安全设备虚拟化，形成弹性安全池化： NGFW 1：N：M，支持4K VSYS，8台集群 vNGFW N:1集群
2~7 层全业务虚拟化：