H3C金融私有云安全解决方案

分域分级
VPC隔离
安全管理中心、身份认证、资源监控、堡垒机
互联网安全防护
交换
内网安全防护
HA、集群、冗余、备份
入侵防御、防火墙、DDoS、身份认证、VPN
物理平台安全，监控系统、门禁、电源等
通用控 风险制
业 务 风技 险术 控风 制险
控 制
11
云基础设施安全保护说明
边界防火墙
运营管理/大数据
云边界防护区
流量清洗
云管理平台 编排/资源/工单
Msg+工单
安全运营中心
事件分析/可视化/告警
管理虚拟化控制器， 创建VM和虚拟交换机
syslog + SNMP
WAF
安全评估服务
安全管理区
漏 扫
堡 垒 机
认 证
日志采集器
虚拟化控制器
SDN 控制器
云管理区
租
安全设备
户
计
操作系统及软件
算
区
网络设备
接入 交换机
Vxlan二层网关
物理与环境保护
等级保护要求
管理安全 开发安全 数据安全 应用安全
租
资
分
安
户
源
卷
全
隔
独
存
目
离
立
储
录
抽象安全 主机安全 网络安全 边界安全 物理安全
合规必备的安全能力
安全组织、安全运营、安全监管 开发工具安全、API安全保护
数据备份、镜像保护、数据清除
授权、CA、应用漏洞管理、监控
虚拟化防病毒、系统漏洞管理、虚机访问控制
虚拟 负载 均衡
虚虚 拟 拟 漏洞 日志 堡 WA 扫描 审计 垒F
安全资源池
Vxlan二层网关
DB DB DB
存储资源池
12
基础设施系统安全评估
漏洞扫描
基线核查
渗透测试
网络架构 评估
新业务上 线评估
• Web漏洞 • 操作系统漏洞 • 数据库漏洞 • 安全协议漏洞 • 逻辑缺陷 • 弱口令 • 信息泄露
企业
4%
30%
SMB
6%
11%
25%
公共事业
20%
2017
医疗 制造
6% 7%
15% 9%
10%
2018
运营商 其他
8%
8%
8%
5% 0%
私有云 公有云 专有云 其他
目前对于云安全最为关注的是互联网（公有云）、金融（私有云）、政务 （专有云）和教育（专有云）
在未来两年的云云安全安需全求中投，入专有增云长和趋私有势云的增长率是最大的，并且专有
云是未来安全增长的主要领域
7
云安全需求分布图（Forrester Research）
45% 40% 35% 30% 25% 20% 15% 10%
5% 0%
合规
云安全需求分布
可见性 敏感数据分布 防护级别一致 租户隔离 云资源管理 安全服务目录 其他
专有云 公有云 私有云
目前所有的云平台类型第 一关注就是合规，第二是 安全可视化，第三就是防 护级别一致，不低于本地 局域网的防护能力
• 行业的管制
合规 • 法律法规
行业的管制和法律法规对金融新业务承载环境的要求愈发的复杂
• 资源云化
新技术 • 边界模糊
传统的安全技术手段在无边界网络当中已经失去了防护能力
5
下一代互联网金融平台的安全需求
以双灾备中心为基础，提升容灾交付 充分利用虚拟化技术，保障应用快速响应 面向融合架构转型，简化数据中心拓扑结构，降低维护 成本 实现策略自动化迁移 应用交付重点使用，自动优化访问性能和故障切换 轻配置化，逐步向SDN转移
防火墙
WAF
DDoS
网闸
租户级别部署 租户级别部署 租户级别部署 平台级别部署
未 知 威 胁 检 测
数 据 库 安审 全计 检 测 区入 侵 检 测
行 为 审 计
平台级别部署
10
基于最佳实践的云安全能力要求
中央网信办要求
安全组织 与人员
风险评估 与监控
配置管理与维护
访问控制
安
全
审
系统与通信保护
计
开发与供应链安全 应急与灾备
堡 垒 机
日 志 审 安计 全 管 理 区漏 洞 扫 描
租户计算资源池
服务链支持
同租户内部署
vFW
vLB
堡垒机 WAF 漏扫 审计
租户边界区
vFW
M9K防火墙 vFW vFW
vFW
vLB
负载均衡 vLB vLB
vLB
子网
子网
子网
大二层
子网 子网
子网
子网
子网
身 份 认 证
平台级别部署
vNET
vNET
云边界防护区
4
金融行业新的业务需求
• 金融行业对于其利润以及成本缩减的压力
利润
金融行业对于其利润以及成本缩减的压力
特性
• 业务连续性 • 服务需求多样性 • 用户体验要求
上线
• 服务的设计 • 测试、资源整合 • 安全配套
金融企业的客户对业务连续性、服务需求多样性和对用户体验要 求的不断提高
金融行业的新业务上线，从服务的设计、测试、资源整合、安全 配套直至推出运营周期缓慢。
合理评估安全产品的性能影响，降低瓶颈 安全资源池化，实现安全即服务
完善内部管理能力，持续提升服务能力 持续提升内控，完善内控技术手段 具备主动风险挖掘能力和配套工具手段
6
云安全行业需求关注度（Forrester Research）
互联网 金融 政府 教育
50%
45%
16%
17%
40%
35%
XX银行云安全解决 方案
目录
01 金融云安全需求分析 02 金融私有云IaaS安全 03 金融私有云多渠道安全 04 云安全技术演进 05 云安全可视化
2
Part 1：金融云安全需求分析
3
金融互联网时代发展机遇
在酒店
外部移动用户
在郊游 在路上
在家中
APP 内部移动用户 内部办公 内部业务
第三方
公有云额外关注敏感数据 的分布，租户的有效隔离 还有云资源的有效利用
私有云由于不能做过强的 隔离措施，所以更加关注 敏感数据分布
专有云第一会关注租户隔 离，因为涉及不同组织的 租户；第二回关注资源的 管理，因为会涉及过度申 请导致运营成本增加
8
Part 2：金融私有云IaaS安全
9
云安全防护逻辑架构
VM1 VM2
认证 加密
虚拟化 杀毒
计算资源池
DC核心
DC核心
NAT
下一代防火墙
租户边界区
第三方接入 负载均衡
云核心
云核心
大二层网络
接入 交换机
复制分流器
安全监测区
网 络 行 为 审 计
未 知 威 胁 防 护
入 侵 检 测 系 统
数 据 库 审 计
接入 交换机
虚拟 交换机
Vxlan 二层网关
虚拟 防火 墙
依托线上、线下统一的产品和服务，提供个性化、场景化的金融服务体系
网
银 行 网
直销银 行
电商平 台
即时通 讯
人人贷
网点
外派终 端
移动 POS
站
门
户
微信银
ห้องสมุดไป่ตู้
移动支
智能客
生活服
离行自
社区银
客服中
行
付
服
务
助
行
心
上 银 行 / 手 机 银 行
业务集成总线
核心业务系统
移动互联网技术改变了金融的渠道触达能力，打破网点和柜面的空间、时间限制，金融业务的场景化使金融企 业与商业场景无缝衔接， 使产品和服务的战略前移，以客户为中心提升金融企业自身的创新和差异化能力。