深信服云安全资源池培训-0621课件.ppt

1、深信服云安全资源池培训培训大纲2022-11-3安全资源池历史版本介绍项目操作方法及商务模式竞争分析报价与销售工具12345标准化测试流程6FAQ一、安全资源池历史版本介绍整体拓扑架构示意图平台层安全设备安全资源池接入出口设备IDC 出口出口云环境引流口引流口引流交换机安全资源池私网交换机（存储私网、vxlan）核心VMVMVMEDREDREDR移动接入包网站安全基础网站安全高级包分支接入包失陷主机发现Web增强包南北向安全能力东西向隔离密码暴力破解Webshell检测东西向安全能力安全审计数据安全应用安全安全生态能力云安全方案：安全资源池+EDR+生态历史版本路径2022-11-3CSSP

2、2.0版本：1.手动部署，工作量巨大2.缺少运营方（主管方）、租户自管理界面3.属于方案、市场验证阶段4.收割样板点CSSP 1.0版本：1.基于超融合，以NFV方式实现。2.市场验证、需求验证为主CSSP 3.0版本：1.自动化部署2.新增租户与平台运营方界面3.组件高可用性调整及优化4.统一配置入口5.服务商界面6.2022-11-36安全资源池（CSSP）3.0版本改进Cssp 2.0版本：1.手动部署，工作量巨大2.缺少运营方（主管方）、租户自管理界面3.属于方案、市场验证阶段Cssp 3.0版本：1.自动化部署，工作量减少2.补齐运营方（主管方）、租户自管理界面3.新增云端监测服务包

3、，可提供针对租户Web业务的安全监测服务4.平台高可用机制支持租户安全服务组件自动资源平衡和跨主机资源自调整安全资源池（CSSP）3.0版本2022-11-3强迫症患者的福音云安全资源池交付流程租户侧界面2022-11-3界面重点1.业务列表2.服务追踪3.统一运维入口4.专属服务商云安全资源池组件（自有）2022-11-3分支接入包分支IPCEC组网移动接入包SSL VPN、安卓/IOS/windows安全接入SDK等多种安全接入组件数据库审计包针对SQL、MySQL、DB2、Oracle数据库审计运维审计包运维人员操作网络设备、数据库、服务器监控与审计基础防护包提供应用控制、防病毒网关、I

4、PS功能网站安全基础包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS功能网站安全高级包提供web防护、网页防篡改、敏感信息防泄密安全组件、应用控制、防病毒网关、IPS、僵尸网络、实时漏洞分析失陷主机包主机僵尸网络、实时漏洞分析云端检测包提供业务可用性检测、资产暴露面、云端漏洞监测安全组件应用交付包4-7层应用负载、SSL卸载安全防御安全接入安全审计已经引入的第三方组件2022-11-3杭州美创数据库加密产品听云私有云版本建恒日志审计南京聚铭网络日志审计原则：整合、补强合规要求丰富功能思福迪堡垒机云内安全能力-云内安全检测平台2022-11-3云内安全检测平台（

5、EDR的同门师兄）本次培训不过多讲解，后续单独为云内安全解决方案重点培训。入侵检测响应-暴力破解检测 WEB安全检测-WebShell的持续检测 僵尸网络检测-实时活跃恶意行为检测 微隔离-东西向流量访问控制目前实现的功能：云内安全界面2022-11-3首页打造可视可控的内部安全二、应用场景及项目操作方法主要场景2022-11-3政务云IDC、政企云专有云、私有云政务云2种建设模式2022-11-3电子政务办、经信委、发改委统一建设，租户“免费”使用，财政统一结算。主管单位非常强势，局委办单位会选择部分业务系统上云。主管部门像运营商（3大运营商、太极等大型集成商）租赁云服务，主管方关心技术实现

6、，运营方在选择产品方案端有较强的话语权。预算式租赁服务式（PPP式）预算式涉及的几种角色2022-11-3主管方集成商租户目标对象：信息中心、电子政务办、经信委、发改委。初次建设，会采购大量的硬件安全设备，更关注自身平台合规。监管机构，负责租户上云政策的发布，上云节奏的掌控，把握预算口子。目标对象：当地强势，关系型集成商。负责本地政务云的项目集成。目标对象：上云的局委办单位。政务云的直接使用对象。预算式各方关注点2022-11-3汇报政务云中安全建设经验和安全资源池方案。帮助用户理清安全权责。通过安全资源池方案加速租户安全上云进度。沟通要点主管方视角安全责任怎么划分。怎么促进租户安全上云。其他

7、地方经验，及怎么合规。是否有案例，效果怎样。主管方沟通思路2022-11-3痛点：1、合规背书：等保2.0，更强调了租户和平台方的安全责任。2、抛方案：引出我司安全资源池方案，面向租户的产品3、明确与硬件安全的关系：资源池和平台硬件安全不冲突并且云平台解耦1、痛过：如果当地曾经出过安全事故，可以适当引用（慎用）2、抓住关注点，引起兴趣：a.租户上云数量、上云业务类型（核心系统还是网站），背后对应的是租户对云平台安全能力的担忧b.业内对安全责任划分的案例，引出公有云aws、阿里云责任共担模型如何解决：关键词：权责、合规、有案例、能上云我司方案和案例1、达成测试或主动介绍政务云的背后运维方具体沟通

8、2、测试后争取看今年是否有安全预算或剩余预算可以采购部分安全资源池服务器、软件，小范围使用。或测试后引导明年的预算。安全资源池属于一旦流量引过来，产生具体效果，主管方就不想切换回去的产品。1、详细介绍：为租户提供个性化安全服务，并满足合规，功能、优势、价值2、定心丸：北京、温州案例保证效果钱从哪里来2022-11-3预算式场景，钱肯定从去年的预算里来。“没预算咋办？”“新增预算”、“抢预算”抢预算顾名思义，从其他安全设备预算中抢过来。新增预算要有一个新的、刚性的理由能够新增预算。如与主管方引导租户侧安全需求与租户侧合规需求。租赁服务式涉及的几种角色2022-11-3主管方运营方租户目标对象：信

9、息中心、电子政务办、经信委、发改委监管机构，负责租户上云政策的发布，把握预算口子关注自身平台合规以及租户侧提过来的需求对所租赁的云服务会提要求，但不会很具体。目标对象：运营商、太极等全国性的大型集成商主管部门向运营商租赁云服务，运营方会根据主管部门要求，招标确定方案、产品。负责政务云日常的运营、运维。目标对象：上云的局委办单位政务云的直接使用对象租赁服务式专用各方关注点2022-11-3沟通要点主管方视角其他地方经验，及怎么合规安全责任怎么划分。怎么促进租户安全上云。是否有案例，效果怎样。汇报政务云中安全建设经验和安全资源池方案帮助运营方理清安全权责、合作运营安全增值理念通安全资源池产品和合作

10、运营理念实现共赢。运营方视角为什么要搞租户安全上了安全资源池有什么好怎么落实，落实效果。其他地方的情况和经验。运营方沟通思路2022-11-3关键词：权责、合规、功能、有案例、能盈利引起共鸣痛点：1.弥补硬件安全短板：安全能力丰富2.解耦：在原有网络基础上部署便捷3.优势：权责分离、管理、运维分离、部署简单、标准架构、线性扩容1.讲案例：抛出北京、温州合作案例2.强调合作模式：强调运营方在政务云安全资源池合作中的角色1.渴望盈利：结合当前政务云服务租赁的模式，初次投入巨大，回收周期长，见不到盈利的时间，安全可以作为重要的增值服务进行提供2.上云慢：原有方案缺少租户侧安全考虑，上云进度慢，回收周

11、期长3.竞争大：服务合同每几年一签，其余运营商虎视眈眈解决思路：争取效果1.运营方高层沟通2.运营方与我们达成一致并共同去主管方汇报3.测试，共同去主管方汇报，争取今年项目落单，先一锤子买卖，最后尝试合作运营。4321钱从哪里来2022-11-3每年政府固定向云服务商支付一定金额的服务费（如某地市发改委每年向浪潮支付2kw服务费）浪潮躺着也能挣到2kw，如果引入深信服，则意味着要从2kw中分一部分钱给深信服伙同运营方共同做主管方工作，让政府每年多付200w服务费，如果这200w服务费再跟浪潮分一下，那浪潮的积极性是不是提高了。合作运营商务模式切入，引导主管方将安全写入服务目录，变成租户上云可选

12、项。固定服务费原有渠道合作定位2022-11-3深信服：提供资源池渠道：提供客户覆盖和服务能力运营方：提供平台大家都是股东，挣了钱，按照投入的比例分配，渠道还可以接手后续售后渠道负责盖起来安全超市（中标硬件平台）安防超市卖什么商品，与渠道无关，看别人挣钱（政务云建设后，租户上云，集成项目明显减少）开一家安防超市（建一个政务云）过去现在我们和建筑商合伙开个安防超市，建筑商出房子（硬件），我们管装修（运营平台）+出货架（虚拟化平台）；超市装修好后，两方合伙出钱进货；进货成本共担，我们以货抵钱，建筑商出一半进货钱。超市投入运营，大家一起卖货，谁卖的谁得奖（以谁做了市场工作，谁先报备为判定依据）。其中

13、涉及到分成比例，可根据当地运营方的能量灵活调整。但，底线是不能低于listlist价的3.53.5折。最终报价前，需发我、马程、殷浩审核。股东商品店员List价*0.9假设1成损耗1成机动奖励如：8成盈利股东对半分成举例说明安全资源池的合作运营模式（合伙开超市的故事）IDC与政企云2022-11-3当地比较大型的IDC服务提供商（如万国、美橙、安畅），运营商IDC（政企云）1.用户被公有云分流严重2.碍于自身建设模式，能够提供的增值功能越来越少3.安全可以成为IDC“增值”服务的一环围绕痛点1.现在IDC的网络组建方式，增加硬件设备十分困难，安全资源池灵活 2.多样化的组件、丰富的功能，满足I

14、DC用户对安全的需求围绕合作模式1.本身IDC盈利模式越来越不清晰，不可能是一下子投入巨大的安全设备，强调我们初次投入和合作方式痛点打法目标客户销售场景总结2022-11-3优先主推第二主推保持沟通1.已建政务云、租户数量较多、曾经发生过安全事件痛过2.私有云：租户属性明显，有预算的一锤子买卖，回收快1.正在规划、设计阶段的政务云2.私有云：租户属性不明显，需要通过安全资源池产品特色提升方案整体竞争力暂时搁置1.主管方关系差，决策链比较长1.主管方意愿较差，需要突破2.被浪潮之类的包干，没有预算三、竞争分析竞争对手2022-11-3硬件一虚多防火墙软件类安全SDN安全类安全资源池竞争对手202

15、2-11-31.SDN类云平台厂商（h3c、华为）、启明、绿盟2.软件+硬件+服务360，七七八八的软件安全厂商如安全狗，青藤云3.与我司形态相似类启明、绿盟、安恒1.SDN类2022-11-3ISPISPvSwitchvADCvADCvFWvFWvSwitchVMVMVMVMvSwitchVMVMVMVMSDN Controller数据层面控制层面FWLBIPSvCenter东西流量南北流量租户1租户2租户nFWLBIPSFWADCWAFMSG重点关注1.SDN controller2.云管平台3.硬件安全池4.东西、南北向流量组成SDN方案在沟通中重点关注SDN方案分析2022-11-3理

16、想中的SDN方案：想象一个场景，客户跟你讲SDN方案超级牛逼，流量随便调度，根据流表指哪打哪，根据流表调度策略可以先后经过预设的NFV设备或硬件设备。现实中的SDN方案：1.其实就是使用了VXLAN2.边界设备如防火墙通过接口调用来生成策略，这还不叫SDN，如华为，租户业务虚拟机建立好之后，控制器会调用USG设备的接口，建立租户对应的vrf、网关等配置，从而完成自动化交付3.引流后网络中过多的流量开销如何解决？4.你区域的云，用了SDN的有多少？活生生的“卖家秀”与“买家秀”的区别2022-11-32.与我司形态类似安恒方案首页平台界面分析2022-11-3在分析优势之前，我们先把大家的安全资

17、源池方案拆解一下：1.安恒（天池）硬件服务器（他们叫一体机）+基于openstack开发的安全资源池平台+镜像类安全组件（目前已知基于阿里云版本的云堡垒机、云数据库审计、从华为OEM过来的下一代防火墙镜像已经具备）+云waf能力（安恒玄武盾配置界面融合在天池界面中）引流方式 目前来看，安恒的引流采用是天池内部一台虚拟机来引流，单台虚拟机的流量“据说”是500M上限。但对外宣传材料上写的是安恒可以基于SDN、flow、策略路由的方式引流。具体安恒资料，见知识库云安全竞争分析部分优劣分析2022-11-3从上文来看，安恒也是基于虚拟化，也是需要引流，那就从这两方面开始分析虚拟化层：这是我们的优势，

18、虚拟网络、虚拟存储这些都是我们的优势，既然虚拟化层，就直接用虚拟化层的高性能、稳定性、高可用直接pk掉安恒，具体话术去看看超融合已经整理好的高可靠、高可用描述（一定要学会几个概念，比如numa、气泡内存等，来武装自己）第一回合，深信服完胜，目前比分1-0引流方式：我们之所以靠策略路由或者静态路由就可以完成引流，主要还是得益于我们虚拟化的vrouter，安恒没有这个技术，所以他引流的方式现在靠一台独立的虚拟机引流，但虚拟机严重依赖于平台分配的性能和稳定性，我们的vrouter运行位置比vm还要低，属于虚拟化操作系统级别。但后续安恒可能使用ovs或者vtap方式，总部保持跟进。第二回合，深信服完胜

19、，目前比分2-0优劣分析2022-11-31.从公司层面来看，安恒的安全组件后续可能比深信服要多，但我们已经整合了外部的安全能力2.安恒天池的另一个优势是安全感知，整合了安恒的态势感知系统，客户可能会比较认同五、标准化测试流程标准化测试&汇报流程2022-11-3项目需求判断方案可行性测试迁租户测试优势汇报迁更多租户测试项目前期沟通2022-11-3项目前期沟通输出标准化文档：不同环境的对接方案，前期确认环境信息等包含内容目的动作研发接口人：余涛63947邮件将环境确认表内容填写好发送余涛、抄送陈科、陶超、陈杨国、陈立峰前期技术选型、对接方案等测试项目POC、竞争测试测试接口人：陈科a.需要将

20、测试项目信息、测试遇到的问题及时发送陈科，抄送陶超、陈杨国、陈立峰b.建立口袋助理讨论组尽量规避在测试过程中遇到的问题便于及时跟进产品功能改进2022-11-3测试准备u 申请测试key流程1.在测试系统中申请超融合key，备注项目为安全资源池项目2.收到超融合key后，把超融合key的Id发送给刘志勇86668，刘志勇开通序列号后输入到安全资源池序列号界面u 测试机的准备1.服务器数量：1台以上（仅测试功能仅需要一台，如需测试平台迁移、故障漂移等功能则2台起）2.服务器配置：CPU：最低配置：64位CPU，主频2.0GHz以上，必须支持Intel VT-x 推荐配置：E5-2660 V3(1

21、0C/20T 2.6GHZ)内存：最低配置：32G 推荐配置：128G ECC DDR4 硬盘：最低配置：系统盘至少64GB，数据盘至少1T，推荐配置：系统盘:128GB，缓存盘:240GB Intel SSD，数据盘:4*2TB SATA(7.2K RPM)六、FAQ2022-11-3M i crosoft W ord 常见用户问题与回复2022-11-3如何打消用户对安全资源池平台的顾虑2022-11-3平台稳定性平台性能扩充平台冗余性2022-11-3安全资源池多层次高可用设计n 链路、硬件、软件多层次高可用技术n 实现秒级的故障恢复和切换n 平台故障，策略路由自动ByPassn 安全组

22、件支持动态资源平衡和负载均衡CoreCore网络数据交换网双链路存储数据交换网双链路vSSL审计审计vSSLvAFvAF堡垒机堡垒机审计审计vSSL堡垒机堡垒机审计审计VRVR堡垒机堡垒机漏扫漏扫失控发现失控发现失控发现失控发现漏扫漏扫秒级切换策略路由ByPass安全服务漂移vAF组件热恢复ByPass2022-11-3安全资源池多层次性能优化单台NGAF：2G+单台AD：2G+单机群：万兆，200租户业务底层驱动优化SRIOV虚拟网卡优化跨主机通信优化VR绑定内核TSO/LRO大包优化多队列转发优化按需流量牵引DPDK/SPDK动态热添加服务组件负载均衡存储数据IO调度优化服务组件Docke

23、r化NFV性能优化虚拟网络优化超融合平台优化未来50%+50%+40%+100+%安全资源池平台稳定性2022-11-3 实现云安全资源池安全服务高可用，无需使用昂贵、复杂的传统安全硬件设备集群解决方案 最大限度地减少硬件、软件故障造成的安全服务中断时间 提高整个基础架构范围内的保护力度 基础防御包高级防御包基础防御包云端监测包安全接入包高级防御包租户A安全服务租户B安全服务安全资源池平台性能线性扩充基础防御包（10M授权）高级防御包（10M授权）云端监测包（5M授权）安全接入包（5M授权）高级防御包（5M授权）平台线性扩容 平台性能不足时，可以通过扩充标准服务器加入到集群中，保障平台性能 当用户分配安全服务性能不足时，亦可线性扩充性能租户A安全服务租户B安全服务基础防御包（5M授权）租户安全服务包性能不足基础防御包（50M授权）高级防御包（50M授权）THANKS!