深信服云安全资源池解决方案

2020/4/2
云安全不再是平台技术提供方或是平台运营方的事情
减少租户上云顾虑、满足业务安全的需求
上云前咨询
云上基础 架构规划
安全架构规划
迁云实施
租户上云流程
在以上流程中，亟需平台方去解决的是： 1. 现有应用架构，特别是数据库能否正常运行 2. 安全如何保障，平台方能否提供与线下原有数据中心匹配的安全能力
实现过程
针对租户网站业务，提供SAAS安全 服务，即网站用户访问流量经过 SAAS安全服务清洗后，返回到源站 IP。
需要用户在DNS服务商处修改 CNAME记录，CNAME指向指定的 地址，从而完成流量牵引
通过以上，完成对外WEB业务常见 安全风险的防范
现有云架构下最优的方案
无法解决： • 为了实现引流，需要复杂
2020/4/2
深信服云安全资源池功能概览
云安全 资源池
用户业务 安全运营
IPSEC
安V全PN接
入S服SL务 包VPN
L4-L7应
用基控础制防
防功御包病能服毒务
入侵御防高级W防eb防护
堡垒
失陷主机
网篡页改防御包服务数泄据密防
机发现 服务数审包据计库
云端检测
互联网
目标网站
修改DNS记录，使用户的网站访问请求先经过SAAS服务商， 经过清洗后，到达目标网站
2020/4/2
应用背景
云平台租户有对外发布的WEB业务 ，比如网站业务。
由于网站业务的特性，租户需要对网 站经常受到的篡改、SQL注入、跨站 等攻击进行防范。
能够对DDoS、CC攻击具备一定的流 量清洗能力。
vlan100（租户A）
DB Server
VM1
VM2
Vlan200（租户B）
VFW
VM2
vlan500（租户C）
设备镜像化交付方案
互联网
vFW镜像
vSSL VPN镜像
堡
C业务安全组
B业务安全组
垒
XX业务安全组
机
镜
A业务ECS
B业务ECS
……
XX ECS
像
A业务RDS
B业务RDS
省安全组
省级管理平台 ECS
深信服云安全资源池解决方案
深信服安全BU
安全是云计算重要环节
安全是云计算发展最大担忧
首位 云计算所面临的挑战中，安全问题排在
75%用户在安全性上犹豫不决
Security Performance
Availability Hard to integrate with in-…
Not enough ability to… Bring back in-house may…
的路由、网络配置。无法 简化配置、快速交付 • 仅有平台视角，缺少租户 视角 • 硬件一虚多设备支持功能 较少（IPS、FW、LB）
2020/4/2
01
无法解决： • 完全耦合，平台不同，安全厂商融合难度大，开
紧耦合方案：
发工作量大
全流量引流、本地化交付 • 平台自带安全组件
• 平台自带安全组件功能少，仅能解决部分问题
May cost more Regulatory requirements…
Not enough major…
74.6 63.1 63.1 61.1 55.8 50.4 50.0 49.2 44.3
Source：IDC Enterprise Panel（国际数据公司IDC）
安全权责划分与合规的需求
01
紧耦合方案： • 平台自带安全组件 • 安全镜像方案
2020/4/2
部分解耦合： • 硬件一虚多
02
完全解耦合： • DNS引流方案 • 虚拟机引流方
案
03
硬件一虚多方案
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能，保证处理能力 的10%
租户B购买的套餐需要提供防火墙 、LB功能，保证处理能力5%
其他租户购买的套餐需要提供防 火墙功能，限制处理能力5%
Cloud
硬件一虚 多设备
实现过程
租户与VLAN关联，入站出站流量需 经过该硬件进行清洗。
当前能够支持一虚多的硬件云安全解 决方案，支持功能较少，大多数仅支 持IPS、FW、LB功能。
2020/4/2
vSwitch
Web Server
App Server
云平台技术对网络、数 据等提供安全保障
保证平台物理层安全
A.
技术提 供方
B.
平台运 营方
为租户提供可选择的安全方案。 运营安全生态
C. 通过使用平台提供的安全 租户 服务，保证自身业务安全
E.
云平台技术对网络、数
据等提供安全保障
ISV
保证平台物理层安全
D.
监管机 构
为云环境下平台、租户安 全提供指导，通过制度保 证平台、租户安全
• 安全镜像方案
安全即服务、全威胁可视
完全解耦合、安全责任清晰
平台可运营、持续增值
部分解耦合： • 硬件一虚多
完全解耦合： • DNS引流方案 • 虚拟机引流方
案
无法解决： • 虽然解耦，但是支持功能较少
（DNS引流仅支持web流量） • 大多为服务交付，平台方不掌
握运营能力
02
03
深信服云安全资源池方案
XX RDS
负 载 均 衡 镜 像
政务外网
2020/4/2
应用背景
云平台完成搭建，平台层面安全已经 建设完成。
租户对业务层面安全提出要求，平台 方运营方需要一种快速、对平台改动 最小的方案。
安全厂商将原有硬件设备以镜像化的 方式部署
与云平台无法深度耦合
实现过程
安全产品提供方，需要根据不同云平 台架构进行产品适配
2020/4/2
为租户提供安全可视、可自定义配置的需求
线下原有数据中心
租户云上数据中心
安全可配置
安全可视
？
流量路 径不可 视
？
安全 不可 视
“黑盒”
2020/4/2
1. 平台层打包“安全服务”，租户只管上云。 2. 所有安全服务打包在“黑盒”中，无法提供租户个性化配置界面
持续增值和安全生态运营的需求
基本安全需求
安全增值服务
安全运营持续 对抗新威胁
1. 硬件设备提供的安全能力，如何以增值服务的方式提供给租户？ 2. 平台运营方如何快速掌握安全能力，并交付用户？ 3. 租户的安全需求是持续的、不断更新的，如何通过安全生态运营满足不断变化的安全需求
2020/4/2
现有云安全方案实现
云安全建设现状
云平台一般只能够提供标准操作系统 镜像（如windows Server、Linux各 版本），但安全产品镜像是非标准的 操作系统，所以需要平台方协调安装
交付后。需要在租户层面做路由、网 关的更改，使流量经过安全镜像
来自百度文库
SAAS安全服务交付方案
访问请求
互联网
直接访问网站流程
目标网站
访问请求
SAAS 服务商