政务云安全培训胶片课件.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《政务云安全培训胶片课件.pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政务 云安 培训 胶片 课件
- 资源描述:
-
1、政务云安全建设经验分享目录1云计算安全问题、需求及市场分析2电信云安全管理平台及解决方案介绍3云安全等级保护要求解读4政务云安全建设案例分享服务器桌面端15%30%70%85%虚拟化技术应用比例阶段1服务器虚拟化阶段2整合扩张&桌面虚拟化阶段3私有云 公共云云服务租赁n用户对云计算认知度较低n云计算厂商产品单一n云计算产品部署模式简单n以传统的病毒、恶意代码为主要的安全威胁2007年-2010年2011年-2014年n应用案例逐渐增多,用户认知度提高n大批IT厂商推出相应的云计算产品n云计算产品的部署模式逐渐复杂n首例可感染虚拟机的病毒Crisis出现(2012)2014年至今n私有云、公有云
2、大量出现n云服务三层架构完善nSaaS、PaaS等模式服务产品陆续推出nGoogle邮箱数据泄露,Amazon 宕机云计算的发展历程一个典型的云计算平台结构云管理平台(CSM)开源:OpenStack/CloudStack 商业:华为 Fusion Manager,H3C CSM,阿里云 飞天虚拟化管理平台VMware vCenter,华为 Fusion Compute,H3C CAS,微软 Hyper-VSDN控制器VMware NSX,H3C VCF,华为 Agile Controller 计算资源池软件定义的网络虚拟化App 1App NControllerOF-SwitchOF-Swi
3、tchOF-SwitchOpenFlow存储资源池传统理念下的安全防护设计n等级保护测评服务安全基础规划安全防护措施安全服务内容n根据互联网访问数据的流向进行纵向安全域规划;n根据信息系统设备的功能与部署位置进行横向安全域规划;n制定安全访问控制矩阵;n对业务系统进行调研,建立应用端口列表。n漏洞扫描服务;n边界访问控制,边界完整性防护;n流量清洗,DDOS;n网络安全检测,入侵防御;n远程接入控制及远程用户的身份鉴别;n操作系统病毒、恶意代码检测;n虚拟化安全防护;n操作系统身份认证n应用层安全检测,网页防篡改;n应用层身份认证;n数据加密、备份。n系统上线前检测服务;n操作系统加固服务。n
4、网站安全监控服务;VPC 1VMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVMware ESXiVPC 2安全域边界安全域边界公共服务区业务应用区n 安全域边界无法定义 由于网络扁平化设计,多租户的存在,传统的物理安全设备只能在网络边界进行大颗粒度的访问控制,对于由多个虚拟机组成的安全域已经无法通过物理安全设备或VLAN技术进行有效的安全域边界定义,导致无法进行进行细颗粒度的访问控制。云环境中传统安全防护的痛点安全域边界模糊VMware ESXi(安装后门程序)n 攻击者运用漏洞工具获得
5、漏洞信息n 通过该漏洞获入侵虚拟机,提权。n 从逃逸的虚拟机攻击Hypervisor,获得底层权限。n 控制该Hpervisor控制的其他虚拟机。云环境中传统安全防护的痛点东西向流量不可控安全隐患导致后果n 安装Hypervisor级后门程序n 拒绝服务攻击n 数据窃取n 控制其他虚拟机,其他宿主机,控制整个云平台典型案例n 毒液VENOM(XEN、KVM、QEMU);n 破天Dome Breaking(XEN);n 蓝色药丸、红色药丸;n CloudBurst。攻击者应用程序Hypervisor宿主机虚拟机通过扫描工具发现存在于应用程序、虚拟硬件文件中的漏洞。虚拟硬件云环境中传统安全防护的痛
6、点东西向流量不可视云环境中传统安全防护的痛点安全系统资源占用率较高VMware ESXiVMware ESXi防病毒系统病毒扫描3:00am Scan 如果采用传统思路部署杀毒软件,将会导致运行在虚拟桌面上的病毒引擎 和补丁管理程序可能在同一时刻进行病毒扫描和升级,导致资源竞争,占用物理机资源,导致物理机宕机。多个虚拟机之间防病毒系统权限相同,容易导致恶意卸载。n 杀毒(扫描)风暴:资源消耗资源消耗云安全问题导致的安全需求1问题:虚拟化环境内的边界无法通过物理方式划定边界,无法通过硬件设备进行防护和检测需求:需要重塑边界,在边界上通过安全设备NFV化的方式重新建立访问控制规则2问题:云内流量不
7、可视,不知道云内流量是否存在安全问题需求:需要获取流量,并对流量进行安全检测和审计3问题:多租户环境下,安全需求不同,一刀切的安全能力造成资源浪费,安全部署不敏捷需求:安全资源池化,实现安全即服务(SECaaS),按业务需求指配安全能力,定义安全路径4问题:针对虚拟化平台的漏洞攻击,针对云管理平台的不安全接口调用、身份冒用、误操作等需求:选择重视安全的云服务商,强化管理者的身份鉴别、授权管理、访问控制5问题:云安全态势、安全运营、安全监管如何进行需求:需要能够提供云安全统一管理的平台级工具信息安全技术 网络安全等级保护基本要求第2部分:云计算安全扩展要求(专家接受稿)物理和环境安全基础设施位置
8、运营资质要求网络和通信安全网络架构访问控制远程访问入侵防范安全审计设备和计算安全身份鉴别访问控制安全审计恶意代码防范资源控制镜像和快照保护入侵防范应用和数据安全安全审计资源控制接口安全数据完整性数据保密性数据备份恢复安全管理机构和人员授权和审批安全方案设计系统建设管理测试验收云服务商选择供应链管理系统运维管理监控审计管理密码管理技术要求管理要求剩余信息保护GBT31168-2014 云计算服务安全能力要求等级保护对云计算安全的扩展性安全目标集要求。指导各类云服务形态(公有云、社区云、私有云、混合云)的安全建设方向。对社会化运营云计算的服务商(公有云、行业云)需要提供的安全能力,保护等级,保证级
9、别设立标准。云安全:合规政策驱动力-1对云计算服务的建设方和使用方,在整个云平台的生命周期各阶段中的安全管理提出了要求。从立项到废弃,包括如何选择云服务商、信息分类、安全设计、运行监管以及退出机制等方面。GBT31167-2014 云计算服务安全指南2016.9.19中央网信办公布首批通过网络安全审查的党政部门云计算服务名单首批通过的党政部门云计算服务平台名单:1.浪潮软件集团有限公司所建济南政务云平台;2.曙光云计算技术有限公司所建成都电子政务云平台(二期);3.阿里云计算有限公司所建阿里云电子政务平台。注意:只是对云计算平台的审查通过,并不是针对云计算服务方的审查。党政部门云计算服务安全审
10、查机制的设立是我国网络安全审查制度的一个组成部分,是为了确保更加安全健康的云发展。名单的公布表明经过试点和实践,党政部门云计算服务安全审查的相关制度、技术要求、测评能力都已经完善,安全审查工作将进入全面实施阶段。云安全:合规政策驱动力-22013-2015年政务云市场增长2016-2020年政务云增长预测2013-2015年政务云细分市场2015-2020年政务云投资结构变化预测1、政务云投资进入增长高峰期;2、政务云市场采购软件和服务的比重不断增加,安全同计算、存储一样,也更多的以软件(NFV)和SECaaS的方式递交。云安全:市场驱动力方案方案说明代表厂商实现条件提供的安全能力策略路由引流
11、通过在接入交换机旁路部署硬件设备(如防火墙、IPS等),以相对固化的策略路由方式,将虚拟化网络中的东西向流量引导至硬件设备中进行访问控制和安全过滤。各类传统安全厂商的产品均可适用于所有网络场景,通过VLAN、防火墙定义地址对象(IP地址组)的方式进行虚拟化网络的访问控制;不占用虚拟化计算资源,但是访问控制策略的管理和维护较为繁琐。防火墙、IPS无代理监控利用虚拟化平台自身提供的API实现无代理监控,安全代理部署在宿主机的VMM(Hypervisor)层中趋 势 科 技(支 持VMware平台)、安 贤 科 技(支 持KVM、Xen平台)产品与虚拟化平台紧耦合,根据具体选择的虚拟化平台的不同,实
12、现起来可能需要对接开发;防火墙、主机防病毒、主机入侵防御、完整性监控基于开源管理平台利用原生态的Openstack云管理平台的虚拟化防火墙来进行安全防护山石网科、迪普产品与云管理平台紧耦合,根据具体选择的云管理平台的不同,实现起来可能需要对接开发;只限原生态的OpenStack平台使用,二次开发难度较大防火墙V M w a r e NSX利用VMware NSX的相关接口,将安全能力注入Hypervisor层,或通过SVM的导流方式实现Cisco、Palo alto、飞塔、天融信仅限于VMware技术路线,并且必须使用NSX环境;成本较高,品牌均为国外厂商。国外厂商:防火墙天融信:NGFW(F
13、W、IPS、AV、VPN、上网行为管理、流量管控、日志审计等)SDN引流调用SDN北向接口,实现安全服务链,流量通过安全资源池的访问控制、检测、清洗后,到达目的地H3C、瑞和云图、绿盟网络需要进行SDN改造,涉及到交换设备的更换防火墙、负载均衡、WEB应用防护、入侵检测、网络和数据库审计传统的做云内流量引流,进行安全防护和检测的方法,已过时限定适用范围较窄,与主流云服务方的适用性较差仅适用于Vmware平台,必须使用NSX架构成本较高,推广难度较大,适用场合单一适用范围最广泛,提供的安全能力较完善合规性最好,符合SDN的发展趋势,云安全生态链平台级方案国内市场上主流的虚拟化安全解决方案分析国内
14、主流云服务商在云安全领域的进展和发展趋势云服务商云计算服务平台云安全发展方向阿里云阿里云云计算服务平台云安全能力主要通过并购新兴安全企业,与传统安全企业(绿盟、迪普等)进行合作,但仅限于传统的硬件设备合作。云安全业务以阿里云盾(平台+自有安全产品)为主,以公有云建设经验的转化,进军政务云、私有云建设市场。封闭性非常强,基本上不会向其他安全厂商开放其平台接口。华为Fusion Sphere云计算服务平台与阿里云类似,主要走封闭性的发展道路。最近提出基于Agile Controller的SDN化安全解决方案,除了自有的华为安全产品之外,主要与启明星辰等传统安全厂商合作,构建以华为SDN引流为核心的
15、云安全生态圈。H3CCSM云计算服务平台H3C相对的保持了一定的开放性(限于自有安全产品的不足,以及品牌定位主要是网络厂商),对传统和新兴安全厂商展现出极大的合作倾向。对SDN发展趋势非常激进,其SDN化网络技术的发展程度和成熟度甚至超过了华为。浪潮浪潮云云计算服务平台在云安全方面,提供的能力较为有限,主要集中于云安全检测和安全服务,自有安全产品主要集中于云主机加固产品,主要依托于与天融信、启明星辰、绿盟等传统安全厂商的产品合作构建云安全能力。SDN的发展情况目前在市场和项目中还看不到。曙光Cloudview云计算服务平台与浪潮情况类似。在其云计算架构体系中开发了自有的云安全中心,并由各类安全
16、厂商提供安全能力。SDN的发展情况目前在市场和项目中还看不到。中国联通联通沃云云计算服务平台发展目标瞄准了阿里云安全的方式,但是受限于目前的技术水平和运营模式,在做云安全设计时,仍然以传统安全设备,以策略路由方式引流,进行安全防护和检测。安全能力的提供与云计算业务的冲突性较大,实用性不强。SDN的发展情况目前在市场和项目中还看不到。阿里云和华为,选择封闭性道路,凭借自己的云计算平台+SDN化网络,打包进行云建设。云安全的核心(虚拟化安全、网络安全态势感知、大数据安全)掌握在自己的手中,为了满足合规性要求,专项安全(如用户认证体系、运维管理、数据安全等)通过引入第三方的产品来完善。H3C相对开放
17、一些,但是野心也不小,也有能力走上华为的道路。市场的跟随者,对安全的积累较少,研发的敏捷性也不如民营企业中的巨头。但是掌握了计算核心优势。浪潮和曙光是国产服务器中的佼佼者,凭借服务器并行计算、高性能计算等领域的优势,也在云市场中占有了一席之地。在安全方面,需要与安全厂商高度合作。运营商掌握了大量的IDC,凭借先天优势可以抢占巨大的公有云市场份额,在混合云、行业云和私有云市场,需要考虑开放融合的架构。国内云安全市场的价值链分析供应方需求方云服务商大多封闭性强,安全能力自己做服务商之间存在技术壁垒构建融合性强的异构资源池难度较大安全厂商掌握相对优势的安全人才、安全攻防技术对新型网络技术、虚拟化技术
18、、存储技术的支撑能力较弱云服务商对安全厂商的接口开放程度不高云使用方(客户)掌握相对优势的安全人才、安全攻防技术对新型网络技术、虚拟化技术、存储技术的支撑能力较弱云服务商对安全厂商的接口开放程度不高目录1云计算安全问题、需求及市场分析2电信云安全管理平台及解决方案介绍3云安全等级保护要求解读4政务云安全建设案例分享统计和报表管理安全域管理拓扑自动发现流量/连接关系展现日志管理风险管理安全策略管理告警管理云安全态势管理与展现云资产管理与监控云安全资源池宿主机状态监控虚拟机状态监控虚拟化安全代理配置管理员身份/权限管理云安全监管安全基线检查特权操作监视合规性检查审计报表云安全运营安全资源调度安全事
19、件管理工单流程管理安全服务定制vFWvIDSVM访问控制VM入侵检测虚拟化防病毒WEB应用监控vSwtich流量镜像数据库审计Open Flow交换机vSwitchSDN组件虚拟化安全代理安全虚拟机Hypervisor组件管理展现层n 提供网络拓扑展现功能(支持Overlay网络);n 管理安全相关组件(安全资源池),监控云安全基础设施运行状态;n 提供等级保护合规性自检和报表展示,提供审计数据外发接口;n 为租户提供弹性云安全资源,辅助云安全管理员,实现半自动化管理流程。安全能力层n 通过将安全设备的池化,安全能力NFV化,形成云安全资源池。云安全资源池内提供各类防护、检测、审计类安全能力。
20、实现云内南北向/东西向流量的安全防护与检测。n 通过Hypervisor层实现虚拟机的病毒与恶意代码防护、入侵检测等功能。云基础设施层n云安全管理平台与SDN控制器对接,通过北向接口的调用,形成安全服务链(定义安全路径);从而实现云内东西向流量的访问控制。n通过Hypervisor层的安全代理,对vSwitch、vNIC的流量进行监控、并能够对虚拟机提供相应的安全防护能力。云安全管理平台架构电信云安全管理门户界面首页可订制展示管理者关注的安全界面。如:叠加网拓扑图、近期告警信息、近期安全事件信息、系统综合安全评分嵌入瑞和云图的SDN引流串行防护相关页面。可制定各类安全策略,下发到具体的串行防护
21、NFV设备。实现对安全域级别的网络防护。串行防护嵌入瑞和云图的态势感知相关页面。可查看虚拟化拓扑,划分安全域,查看域间、域内的连接关系和安全态势。态势感知嵌入亚信/安贤的产品管理平台页面。可对具体部署的无代理安全防护产品进行管理配置。虚机防护可查看宿主机、虚拟机、安全代理、安全资源池等资产的运行情况。资产监控可查看各模块上交的告警信息,可对告警记录进行实时查看、条件筛选查询,设置告警方式等。告警可查看各模块上交的日志记录,可对日志记录进行实时查看、条件筛选查询,设置日志保存配置等。日志对接各模块各自的报表功能,或通过获取各模块的各类安全相关数据后自行开发报表功能。提供面向风险、资产、运营、合规
22、监管、安全态势等各方面的报表。报表提供管理员账号、身份鉴别、授权等方面的管理配置。用户管理对云安全监管人员提供的对接界面,提供合规性报表、合规自检、合规符合评分等功能。云监管对安全运营过程进行辅助管理,提供工单、待办管理,操作审批管理等功能。运营管理依托云安全管理平台,实现三类云安全方案中国电信云安全管理平台SDN导流串行安全防护方案按业务需求提供防护基于安全域思想提供防护安全能力范围广泛,开放性面向新建CDC,迎合SDN潮流虚拟化网络安全检测与审计方案云内安全态势采集无代理部署方式安全能力范围广泛,开放性同时面向新增和存量市场虚拟化主机安全防护方案基于VM层级的安全防护无代理/SVM部署方式
23、提供的安全能力较为固定同时面向新增和存量市场ESXi虚拟交换机OVSESXi虚拟交换机OVSESXi虚拟交换机OVSSDN控制器云管理平台FusionManege/CSM/vCloud虚拟化管理平台FusionCompte/CAS/vCenter安全资源管理平台vFWvIPSvWAF云安全管理平台串行安全资源池n 调用SDN控制器,以服务链的方式确定安全路径,n 路径上的OF设备以流表方式完成转发,以完成VM流量的导流。n 引流至串行防护安全资源池中,进行访问控制和过滤后,再到达目的VM。n 部署NFV安全设备组成串行安全资源池,用于东西向流量的检测与防护。n 能够支持第三方安全设备的部署。1
24、.SDN导流串行安全防护方案云安全管理平台串行防护资源池1.下发安全服务链2.下发流表,确定安全引流路径3.将需要进行安全控制的流量引流至串行安全资源池,进行访问控制和安全过滤,之后发送至目的VM。SDN网络串行安全防护方案界面展示ESXi虚拟交换机OVSESXi虚拟交换机OVSESXi虚拟交换机OVS云安全管理平台IDS审计设备其他设备根据具体的检测和审计设备,导出相应的流量信息给各设备(物理或NFV),进行安全检测和审计。SVM镜像宿主机内其他VM的流量,进行流量初步整形,随后开始导出流量信息云安全管理平台下发流量镜像和导流策略至镜像导流节点(SVM)。同时提供对SVM的管理。流量信息的全
25、集发送至云安全管理平台,进行进一步的归并、分析和可视化态势展现2.虚拟化网络安全检测和审计方案云安全管理平台 下发流量导流策略到安全虚拟机,完成旁路检测导流以及安全态势信息(流量、连接数、协议、IP等)的收集。审计安全资源池 可部署物理/虚拟化的安全检测/审计设备,由安全虚拟机将流量导流至资源池内进行检测与审计。安全虚拟机 宿主机中的安全虚拟机,与vSwitch对接,将宿主机中其他虚拟机的流量镜像。并完成流量的初步整形,吐出至旁路检测资源池,以及云安全管理平台。虚拟化网络安全检测与审计方案界面展示态势感知安全检测与审计虚拟化层自检SVMOS加强型AVVMAPPOS内核内核BIOSVMAPPOS
展开阅读全文