云安全服务平台介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目前插件版vNGAF是集成在CSSP上,通过CSSP来完成部 署的;
后续CSSP还会支持更多的云安全组件;
CSSP2.0版本的主要功能特性:
➢支持VMware平台自动化部署插件版vNGAF; ➢支持资产发现以及统一管理; ➢东西向流量可视以及微隔离; ➢安全日志和安全策略以资产视角进行统一展示和统一配置; ➢CSSP支持在线试用授权,以及全新的授权模式(按照物理 CPU个数进行授权); ➢vNGAF和规则库可统一由CSSP升级和管控;
云安全服务平台介绍 CSSP
培训目的
1、了解VMware基本概念; 2、理解CSSP的技术原理; 3、掌握CSSP的部署和配置方法;
2020/10/16
CONTENTS 1 VMware vSphere简介 2 CSSP简介及原理
3 CSSP的部署和配置 4 注意事项
1
VMware vSphere简介
插件
VM
vAF
Redirect KeepAlive
vSwitch NICs
3
CSSP的部署和配置
2020ຫໍສະໝຸດ Baidu10/16
部署思路
1、通过vCenter上传CSSP的OVA模板 2、配置CSSP的IP地址 3、通过VLS授权服务器给CSSP授权(或在线申请试用) 4、添加vCenter,获取资产列表; 5、部署vAF(给vAF分配IP地址池) 6、确认vAF部署成功(引流成功)
CSSP技术原理
4、Bypass
vAF每隔1s会向引流插件发送心跳数据,引流插件如果5s内 没有收到vAF的心跳数据,则会直接将VM的数据Bypass。
Esxi Host
VM
VM
VM
插件
VM
vAF
Redirect KeepAlive
vSwitch NICs
Esxi Host
VM
VM
VM
Bypass
具体过程请看部署视频录屏: http://pan.baidu.com/s/1dEKUPot 密码:5aky
配置思路
1、设置区域 2、设置东西向安全策略 3、设置南北向安全策略 4、设置WAF、IPS 5、其他安全策略
下面我们通过一个实验平台来举例介绍配置的内容
实验平台拓扑
主机A内有两台VM,分别为VM11和VM13,主机B内有两台VM,分别为 VM12和VM14,外面有一台物理测试PC; 物理测试PC的IP为10.10.0.253,VM11的IP为10.10.0.11、VM13的IP为 10.10.0.13、VM12的IP为10.10.0.12、VM14的IP为10.10.0.14。
ESXi主机与vCenter控制中心
VMware vCenter Server 集中管理
VMware ESXi
VMware ESXi
VMware ESXi
物理服务器(宿主机)
2、VMware vSphere 网络架构
VMware vSphere 可提供两种类型的网络架构。vSphere Distributed Switch 网络用于管理数据中心级别的虚拟机和 主机网络,而标准交换机网络则用于管理主机级别的虚拟机 和主机网络。
3、引流插件 负责将虚拟机的流量牵引到vNGAF。引流插件是基于 VMware的VMsafe API接口实现的驱动模块。
CSSP技术原理 1、流量重定向
Esxi Host
VM
VM
VM
插件
vSwitch
NICs
VM
vAF
Redirect
CSSP技术原理 2、分布式透明部署
CSSP技术原理 3、虚机的热迁移感知
CSSP的价值
CSSP是适合虚拟化云环境安全的下一代安全软件,可以以 虚机部署在hypervisor上,实现对平台上虚机间的流量进行 双向检测,并深入到数据内容层面的全面风险核查,能够精 确识别用户、应用和内容,具备L2到L7完整安全防护能力, 实现在数据中心云平台等大流量场景下的一体化安全防护。
2020/10/16
2020/10/16
2020/10/16
3、VMware 虚拟化存在的安全风险
VMware用户面临最大的安全问题是将业务环境全部虚拟化 后,安全边界消失了,无法像物理环境那样通过物理防火墙 给不同的服务器划分不同的安全区,所有的虚拟机对于传统 物理安全设备来说都处于同一个安全区,将来只要任意一台 虚拟机被攻破,这台虚拟机就会成为内部入侵的跳板。
2020/10/16
VMware vSphere简介
1、VMware vSphere 基础架构 2、VMware vSphere 网络架构 3、VMware 虚拟化存在的安全风险
2020/10/16
1、VMware vSphere基础架构
ESXi主机 • 安装于物理服务器上,早先区分有ESX与ESXi • 运行多个VM(Virtual Machine)虚拟机的宿主机
通过部署CSSP,可以有效的实现虚拟机之间东西向流量的 隔离,从而满足了用户隔离不同业务区的需求。
CSSP的组成
1、CSSP 负责安装引流插件和部署vNGAF到VMware ESXi Host上; 还负责vAF进行集中管控和进行安全策略的集中配置。
2、vNGAF vNGAF以虚拟网线方式部署,负责执行CSSP下发的安全策 略,对虚拟机的流量进行安全检测,保护虚拟机的安全。
vCenter控制中心 • 通过Cluster机制将所有的ESXi主机组成一个资源池 • 创建并管理ESXi主机上的VM
vSphere功能组件 • vMotion——虚拟机漂移 • HA(High Availability)——故障切换 • FT(Fault Tolerance)——持续可用 • DSR(Distributed Resource Scheduler)——资源调 度
2020/10/16
网络资源
NGAF
NGAF
硬件NGAF保护 物理网络边界安全
vNGAF保护 虚拟化网络 内部安全
2
CSSP简介及原理
2020/10/16
CSSP是什么?
CSSP,Cloud Security Service Platform,云安全服务平 台的简称(下面统一简称CSSP),主要目的让公司整个安 全BU的安全产品,都能以组件加服务的形式,及以一套完 整安全解决方案提供给云客户,对客户的资产和业务进行 全面的、立体的安全防护,并且会持续提升客户安全防护 能力;
后续CSSP还会支持更多的云安全组件;
CSSP2.0版本的主要功能特性:
➢支持VMware平台自动化部署插件版vNGAF; ➢支持资产发现以及统一管理; ➢东西向流量可视以及微隔离; ➢安全日志和安全策略以资产视角进行统一展示和统一配置; ➢CSSP支持在线试用授权,以及全新的授权模式(按照物理 CPU个数进行授权); ➢vNGAF和规则库可统一由CSSP升级和管控;
云安全服务平台介绍 CSSP
培训目的
1、了解VMware基本概念; 2、理解CSSP的技术原理; 3、掌握CSSP的部署和配置方法;
2020/10/16
CONTENTS 1 VMware vSphere简介 2 CSSP简介及原理
3 CSSP的部署和配置 4 注意事项
1
VMware vSphere简介
插件
VM
vAF
Redirect KeepAlive
vSwitch NICs
3
CSSP的部署和配置
2020ຫໍສະໝຸດ Baidu10/16
部署思路
1、通过vCenter上传CSSP的OVA模板 2、配置CSSP的IP地址 3、通过VLS授权服务器给CSSP授权(或在线申请试用) 4、添加vCenter,获取资产列表; 5、部署vAF(给vAF分配IP地址池) 6、确认vAF部署成功(引流成功)
CSSP技术原理
4、Bypass
vAF每隔1s会向引流插件发送心跳数据,引流插件如果5s内 没有收到vAF的心跳数据,则会直接将VM的数据Bypass。
Esxi Host
VM
VM
VM
插件
VM
vAF
Redirect KeepAlive
vSwitch NICs
Esxi Host
VM
VM
VM
Bypass
具体过程请看部署视频录屏: http://pan.baidu.com/s/1dEKUPot 密码:5aky
配置思路
1、设置区域 2、设置东西向安全策略 3、设置南北向安全策略 4、设置WAF、IPS 5、其他安全策略
下面我们通过一个实验平台来举例介绍配置的内容
实验平台拓扑
主机A内有两台VM,分别为VM11和VM13,主机B内有两台VM,分别为 VM12和VM14,外面有一台物理测试PC; 物理测试PC的IP为10.10.0.253,VM11的IP为10.10.0.11、VM13的IP为 10.10.0.13、VM12的IP为10.10.0.12、VM14的IP为10.10.0.14。
ESXi主机与vCenter控制中心
VMware vCenter Server 集中管理
VMware ESXi
VMware ESXi
VMware ESXi
物理服务器(宿主机)
2、VMware vSphere 网络架构
VMware vSphere 可提供两种类型的网络架构。vSphere Distributed Switch 网络用于管理数据中心级别的虚拟机和 主机网络,而标准交换机网络则用于管理主机级别的虚拟机 和主机网络。
3、引流插件 负责将虚拟机的流量牵引到vNGAF。引流插件是基于 VMware的VMsafe API接口实现的驱动模块。
CSSP技术原理 1、流量重定向
Esxi Host
VM
VM
VM
插件
vSwitch
NICs
VM
vAF
Redirect
CSSP技术原理 2、分布式透明部署
CSSP技术原理 3、虚机的热迁移感知
CSSP的价值
CSSP是适合虚拟化云环境安全的下一代安全软件,可以以 虚机部署在hypervisor上,实现对平台上虚机间的流量进行 双向检测,并深入到数据内容层面的全面风险核查,能够精 确识别用户、应用和内容,具备L2到L7完整安全防护能力, 实现在数据中心云平台等大流量场景下的一体化安全防护。
2020/10/16
2020/10/16
2020/10/16
3、VMware 虚拟化存在的安全风险
VMware用户面临最大的安全问题是将业务环境全部虚拟化 后,安全边界消失了,无法像物理环境那样通过物理防火墙 给不同的服务器划分不同的安全区,所有的虚拟机对于传统 物理安全设备来说都处于同一个安全区,将来只要任意一台 虚拟机被攻破,这台虚拟机就会成为内部入侵的跳板。
2020/10/16
VMware vSphere简介
1、VMware vSphere 基础架构 2、VMware vSphere 网络架构 3、VMware 虚拟化存在的安全风险
2020/10/16
1、VMware vSphere基础架构
ESXi主机 • 安装于物理服务器上,早先区分有ESX与ESXi • 运行多个VM(Virtual Machine)虚拟机的宿主机
通过部署CSSP,可以有效的实现虚拟机之间东西向流量的 隔离,从而满足了用户隔离不同业务区的需求。
CSSP的组成
1、CSSP 负责安装引流插件和部署vNGAF到VMware ESXi Host上; 还负责vAF进行集中管控和进行安全策略的集中配置。
2、vNGAF vNGAF以虚拟网线方式部署,负责执行CSSP下发的安全策 略,对虚拟机的流量进行安全检测,保护虚拟机的安全。
vCenter控制中心 • 通过Cluster机制将所有的ESXi主机组成一个资源池 • 创建并管理ESXi主机上的VM
vSphere功能组件 • vMotion——虚拟机漂移 • HA(High Availability)——故障切换 • FT(Fault Tolerance)——持续可用 • DSR(Distributed Resource Scheduler)——资源调 度
2020/10/16
网络资源
NGAF
NGAF
硬件NGAF保护 物理网络边界安全
vNGAF保护 虚拟化网络 内部安全
2
CSSP简介及原理
2020/10/16
CSSP是什么?
CSSP,Cloud Security Service Platform,云安全服务平 台的简称(下面统一简称CSSP),主要目的让公司整个安 全BU的安全产品,都能以组件加服务的形式,及以一套完 整安全解决方案提供给云客户,对客户的资产和业务进行 全面的、立体的安全防护,并且会持续提升客户安全防护 能力;