FusionCloud云數(shù)據(jù)中心安全解決方案

1、FusionCloud云數(shù)據(jù)中心安全解決方案?jìng)鹘y(tǒng)IDC/EDC面臨的安全威脅 身份與安全管理 帳號(hào)盜用，身份仿冒，違規(guī)操作，權(quán)限濫用 應(yīng)用與數(shù)據(jù)安全 SQL注入、跨站等針對(duì)應(yīng)用層的攻擊已經(jīng)成為安全最大的威脅。破壞數(shù)據(jù)的機(jī)密性、完整性和可用性。 系統(tǒng)與主機(jī)威脅 病毒蠕蟲等將占用系統(tǒng)資源、破壞文件和數(shù)據(jù)。惡意用戶也會(huì)利用本地漏洞和配置錯(cuò)誤來(lái)獲取額外權(quán)限。網(wǎng)絡(luò)與邊界安全 針對(duì)網(wǎng)絡(luò)層的攻擊，如拒絕服務(wù)、漏洞掃描等。密碼破解權(quán)限濫用盜號(hào)違規(guī)操作SQL注入跨站攻擊數(shù)據(jù)泄露蠕蟲病毒僵尸網(wǎng)絡(luò)漏洞掃描木馬拒絕服務(wù)CC攻擊安全威脅云IDC/EDC環(huán)境下還存在新的威脅資源池層虛擬化平臺(tái)物理設(shè)備服務(wù)器存儲(chǔ)網(wǎng)絡(luò)應(yīng)用系統(tǒng)

2、辦公應(yīng)用管理應(yīng)用業(yè)務(wù)應(yīng)用PORTAL基礎(chǔ)軟件數(shù)據(jù)庫(kù)應(yīng)用中間件操作系統(tǒng)身份與安全管理應(yīng)用系統(tǒng)和資源所有權(quán)的分離，導(dǎo)致云平臺(tái)管理員可能訪問用戶數(shù)據(jù)應(yīng)用與數(shù)據(jù)安全不同安全需求的租戶可能運(yùn)行在同一臺(tái)物理機(jī)上，傳統(tǒng)安全措施難以處理系統(tǒng)與虛擬化安全虛擬化平臺(tái)運(yùn)行在操作系統(tǒng)與物理設(shè)備之間，其設(shè)計(jì)和實(shí)現(xiàn)中存在漏洞風(fēng)險(xiǎn)網(wǎng)絡(luò)與邊界安全網(wǎng)絡(luò)邊界的模糊化，威脅種類的變化以及大流量的DDoS攻擊除傳統(tǒng)威脅外，虛擬化、多租戶和特權(quán)用戶問題使得云IDC面臨更大風(fēng)險(xiǎn)！管理安全數(shù)據(jù)中心虛擬化平臺(tái)及安全架構(gòu)1234虛擬化平臺(tái)安全Content網(wǎng)絡(luò)安全數(shù)據(jù)安全5虛擬化平臺(tái)總體架構(gòu)中間件層虛擬平臺(tái)物理層辦公系統(tǒng)租戶ERP系統(tǒng)應(yīng)用層D

3、C咨詢規(guī)劃運(yùn)維優(yōu)化專業(yè)服務(wù)FusionIntegration方案設(shè)計(jì)部署與業(yè)務(wù)遷移業(yè)務(wù)管理系統(tǒng)(Portal)服務(wù)器存儲(chǔ)網(wǎng)絡(luò)安全網(wǎng)關(guān)物理硬件FusionCompute權(quán)限控制系統(tǒng)部署模板FusionStorageFusionNetworkFusionStack虛擬主機(jī)VPC安全組彈性IP負(fù)載均衡并行計(jì)算物理資源池多DC調(diào)度容災(zāi)FusionManager業(yè)務(wù)管理層故障診斷FusionSphere虛擬化平臺(tái)總體安全架構(gòu)管理安全數(shù)據(jù)中心虛擬化平臺(tái)及安全架構(gòu)1234虛擬化平臺(tái)安全Content網(wǎng)絡(luò)安全數(shù)據(jù)安全5Color ThemeCombination of three colors, main t

4、heme: company red虛擬化平臺(tái)-云操作系統(tǒng)裸機(jī)虛擬化架構(gòu)，性能損耗低于5%支持VT-X、VT-D、AMD-V硬件輔助虛擬化技術(shù)，避免修改Guest OS兼容業(yè)界主流服務(wù)器、存儲(chǔ)設(shè)備硬件層虛擬化層虛擬CPU虛擬內(nèi)存虛擬存儲(chǔ)Agent后端半虛擬化驅(qū)動(dòng)虛擬交換機(jī)文件系統(tǒng)網(wǎng)卡驅(qū)動(dòng)存儲(chǔ)驅(qū)動(dòng)Domain U前端半虛擬化驅(qū)動(dòng)軟件BIOSDomain U前端半虛擬化驅(qū)動(dòng)軟件BIOSWindows XPLinuxDomain U前端半虛擬化驅(qū)動(dòng)軟件BIOSWindows7虛擬網(wǎng)絡(luò)統(tǒng)一接口Domain 0管理層云計(jì)算的本質(zhì): 一臺(tái)超級(jí)計(jì)算機(jī), 兩層OS架構(gòu)1. 從云平臺(tái)的角度：虛擬機(jī)是云計(jì)算操作系統(tǒng)

5、的一個(gè)應(yīng)用2. 從虛擬機(jī)的角度：云計(jì)算操作系統(tǒng)就是原來(lái)的硬件層云計(jì)算安全的核心控制點(diǎn)在云操作系統(tǒng)云操作系統(tǒng)需要安全可控硬件資源 操作系統(tǒng) 系統(tǒng)軟件 應(yīng)用軟件 云計(jì)算硬件資源 操作系統(tǒng) APP OS 系統(tǒng)軟件 應(yīng)用軟件 傳統(tǒng)PC系統(tǒng)架構(gòu) 云計(jì)算操作系統(tǒng) Cloud OS 云計(jì)算系統(tǒng)架構(gòu) 操作系統(tǒng) APP OS 系統(tǒng)軟件 應(yīng)用軟件 VM1VM2Page 8CPU虛擬化及安全性保證傳統(tǒng)X86架構(gòu)的CPU指令分為Ring0-Ring3 4個(gè)特權(quán)級(jí)別，（Ring 0用于運(yùn)行操作系統(tǒng)內(nèi)核、Ring 3用于應(yīng)用程序），從而實(shí)現(xiàn)操作系統(tǒng)與應(yīng)用程序之間的隔離虛擬化環(huán)境下，支持虛擬化的CPU對(duì)指令集進(jìn)行了擴(kuò)展，對(duì)

6、指令的優(yōu)先級(jí)增加了一個(gè)維度：ROOT模式和非ROOT模式，其中ROOT模式屬于Cloud OS的指令Cloud OS負(fù)責(zé)CPU指令在ROOT模式和非ROOT模式的切換，以及維護(hù)不同VM之間非ROOT模式下指令的調(diào)度只要Cloud OS是安全可信的，指令的優(yōu)先級(jí)以及不同VM之是的指令隔離就能得到保證Page 9內(nèi)存虛擬化及安全性保證內(nèi)存虛擬化共涉及到三個(gè)內(nèi)存地址：機(jī)器地址（真實(shí)物理內(nèi)存地址）虛擬機(jī)物理地址應(yīng)用程序使用地址虛擬機(jī)物理地址與應(yīng)用程序使用地址之間的映射關(guān)系是由APP OS維護(hù)的Cloud OS是建立和維護(hù)不同VM的虛擬機(jī)物理地址與機(jī)器地址之間的映射關(guān)系，并根據(jù)這個(gè)映射關(guān)系提供內(nèi)存路由控

7、制，防止不同VM之間內(nèi)存地址的非法訪問只要Cloud OS是安全可信的，就能限制VM只能訪問為其分配的內(nèi)存，不同VM之間的內(nèi)存隔離就能得到保證云計(jì)算硬件資源 操作系統(tǒng) APP OS 系統(tǒng)軟件 應(yīng)用軟件 云計(jì)算操作系統(tǒng) Cloud OS VM1VM2操作系統(tǒng) APP OS 系統(tǒng)軟件 應(yīng)用軟件 虛擬機(jī)物理地址虛擬機(jī)物理地址機(jī)器地址Page 10內(nèi)存分配模式根據(jù)安全要求可配置VSApp虛擬化層物理硬件AppAppApp虛擬機(jī)內(nèi)存獨(dú)占式分配2G2G2G2G所需內(nèi)存：8G物理硬件App虛擬化層AppAppApp虛擬機(jī)內(nèi)存共享式分配2G2G2G2G所需內(nèi)存：6G內(nèi)存共享，寫時(shí)復(fù)制VM1VM2VM3物理內(nèi)存

8、內(nèi)存置換DiskVMVM內(nèi)存氣泡VM1VM2內(nèi)存氣泡空閑已使用已使用空閑智能復(fù)用內(nèi)存獨(dú)占模式： 可以阻止內(nèi)存復(fù)用，每個(gè)虛擬化之間內(nèi)存完全物理分開，安全性最高。犧牲VM密集度和內(nèi)存交換效率（約30%）換安全。內(nèi)存共享模式：回收客戶機(jī)物理內(nèi)存時(shí)內(nèi)存清“0”技術(shù)特點(diǎn)Page 11內(nèi)存重分配清“0”VM1VM2物理內(nèi)存釋放的內(nèi)存在hypervisor內(nèi)清零后再分配計(jì)算機(jī)的內(nèi)存一般在未掉電或重新刷新的情況下會(huì)保留上個(gè)階段運(yùn)算的信息。在云計(jì)算環(huán)境下內(nèi)存的動(dòng)態(tài)分配對(duì)安全是個(gè)極大威脅，許多高等級(jí)的攻擊極有可能利用剩余信息通過(guò)極其復(fù)雜的技術(shù)來(lái)獲得其它用戶的敏感信息，雖然這種攻擊的構(gòu)建成本會(huì)較高，但是通過(guò)適當(dāng)?shù)募?/p>

9、術(shù)可以有效地消除這種風(fēng)險(xiǎn)：在云操作系統(tǒng)將內(nèi)存重新分配給用戶的時(shí)候，云操作系統(tǒng)會(huì)對(duì)分配的內(nèi)存作寫“零”處理，從而保障在新啟動(dòng)的VM中惡意內(nèi)存檢測(cè)軟件無(wú)法檢測(cè)到有用信息。Page 12存儲(chǔ)虛擬化及安全性保證VM_1（Dom_U）存儲(chǔ)設(shè)備(邏輯卷,如/dev/sda)Guest OSVM_2（Dom_U）存儲(chǔ)設(shè)備(邏輯卷,如/dev/sdb)Guest OSBack-End DriverSCSI DriverIPSAN ControllerDom_0后端存儲(chǔ)系統(tǒng)Dom_0Cloud OSLUN1LUN2Disk存儲(chǔ)系統(tǒng)創(chuàng)建邏輯卷，并維護(hù)邏輯卷與磁盤條帶化之間的對(duì)應(yīng)關(guān)系，這是存儲(chǔ)系統(tǒng)的基本功能Clou

10、d OS是建立和維護(hù)不同的VM與后端存儲(chǔ)系統(tǒng)邏輯卷之間的映射關(guān)系，并根據(jù)這個(gè)映射關(guān)系提供存儲(chǔ)路由控制，防止不同VM之間邏輯卷的非法訪問只要Cloud OS是安全可信的，VM就只能訪問分配的邏輯卷，不同VM之間的存儲(chǔ)隔離就能得到保證。Page 13用戶剩余信息徹底清除、不留痕業(yè)界模式：虛擬卷通過(guò)格式化方式清除數(shù)據(jù)，不徹底，可恢復(fù)，存在信息泄漏風(fēng)險(xiǎn)用戶A1 租用2 使用3退租4 租用虛擬卷對(duì)虛擬卷每一個(gè)物理Bit位清“零”華為模式：對(duì)銷戶虛擬卷采用物理Bit清零措施，確保數(shù)據(jù)不可恢復(fù)，杜絕信息泄漏風(fēng)險(xiǎn)用戶A1 租用2 使用3退租用戶B4 租用5使用恢復(fù)軟件，獲取數(shù)據(jù)虛擬卷虛擬卷格式化，數(shù)據(jù)未完全清

11、除風(fēng)險(xiǎn)安全用戶BPage 14123#！123#！123#！123#！00000000網(wǎng)絡(luò)虛擬化及安全性保證虛擬網(wǎng)卡有獨(dú)立的MAC和IP地址，從物理服務(wù)器以外的網(wǎng)絡(luò)上看，與物理的服務(wù)器是相同的；vSwitch為交換型（非共享型）交換機(jī)，不同VM的數(shù)據(jù)包被轉(zhuǎn)發(fā)到指定的虛擬端口；在Hypervisor層禁止虛擬網(wǎng)卡工作在“混雜模式”，用戶無(wú)法手動(dòng)打開，因此無(wú)法通過(guò)TCPDUMP或者嗅探軟件獲取同一臺(tái)物理宿主機(jī)上的其它用戶VM的數(shù)據(jù)包；虛擬機(jī)的IP地址和MAC地址綁定，防止IP地址欺騙和ARP地址欺騙；在物理服務(wù)器內(nèi)部，VM之間隔離與互通的控制在vSwitch上實(shí)現(xiàn)：不同VLAN的通信流量導(dǎo)出到網(wǎng)關(guān)

12、；同一VLAN的通信流量直接交換，但接受安全組的安全策略檢查；APP OSAppvSwitch（vFW）APP OSAppCloud OS物理網(wǎng)卡VMVMVMVMVMVMVMVM安全組1安全組2安全組3提供基于硬件的可信安全保證在系統(tǒng)中引入可信任的TPM芯片，軟硬件配合保護(hù)云環(huán)境的安全可信！虛擬化平臺(tái) / HypervisorTPM可信度量根（可選2）：Intel TXT安全擴(kuò)展度量/信任鏈傳遞保存度量值報(bào)告度量值/可信狀態(tài)可信存儲(chǔ)根可信報(bào)告根應(yīng)用程序 / 虛擬機(jī)CPUBIOS硬件ROM引導(dǎo)扇區(qū) / Bootloader計(jì)算節(jié)點(diǎn)可信驗(yàn)證服務(wù)器虛擬化管理服務(wù)器可信度量根 （可選1）: UEFI

13、BIOS安全啟動(dòng) 利用服務(wù)器上TPM芯片，提供Clould OS完整性保護(hù)方案，實(shí)現(xiàn)云平臺(tái)的可信啟動(dòng)和可信運(yùn)行 符合TPM1.2 和 TPM2.0規(guī)范 其中TPM2.0 支持中國(guó)商密算法SMx，滿足國(guó)內(nèi)合規(guī)性要求支持基于UEFI BIOS安全啟動(dòng)機(jī)制、或Intel 可信執(zhí)行技術(shù)（TXT）特點(diǎn)Page 16虛擬化防病毒Page17虛擬化平臺(tái)無(wú)關(guān)的集中掃描：利用常規(guī)網(wǎng)絡(luò)協(xié)議將防病毒掃描工作offload到集中的掃描服務(wù)器上，客戶端無(wú)掃描引擎，僅需要安裝瘦代理。有效降低防病毒掃描、病毒庫(kù)更新對(duì)用戶虛擬機(jī)的資源占用，提升用戶體驗(yàn)。支持的產(chǎn)品：McAfee Move 2.5隨機(jī)化掃描和更新、掃描結(jié)果緩存

14、：定時(shí)掃描在一個(gè)時(shí)間段內(nèi)隨機(jī)啟動(dòng)，避免AV風(fēng)暴本地虛擬Insight緩存：使用共享的Insight Cache優(yōu)化掃描，避免不同的VM掃描相同的文件。提升掃描效率、降低對(duì)用戶VM的資源占用，提升用戶體驗(yàn)。支持的產(chǎn)品：Symantec SEP12虛擬化防病毒：華為云平臺(tái) + SEP121、VM間共享掃描緩存SIC：強(qiáng)制多臺(tái)VM并發(fā)掃描時(shí)，SIC可減少每個(gè)VM的一半掃描時(shí)間（從平均73分鐘下降到34分鐘），掃描期間對(duì)CNA節(jié)點(diǎn)和VM的性能消耗都基本不變。2、隨機(jī)化措施： 1）VM啟動(dòng)全盤掃描的時(shí)間點(diǎn)隨機(jī)分布，并發(fā)掃描的VM變小，幾乎接近串行，占用的CNA資源占用明顯下降，包括CPU（峰值90%-8

15、.8%)、磁盤(90MB/s-3.5MB/s)、網(wǎng)絡(luò)(85MB/s-6.6MB/s)； 2）隨機(jī)啟動(dòng)時(shí)，首次掃描時(shí)第一個(gè)VM基本是全盤掃描，VM之間的共同文件掃描結(jié)果放到SIC上，后續(xù)VM用SIC的數(shù)據(jù)，只掃每個(gè)VM獨(dú)有的文件；再次掃描時(shí)，每個(gè)VM本地有可信標(biāo)記，所以掃描時(shí)間也很短(縮短掃描時(shí)間3倍以上：由平均34分鐘-11.3分鐘)。評(píng)估結(jié)論：通過(guò)各種性能優(yōu)化措施，使得當(dāng)VM進(jìn)行全盤掃描時(shí)對(duì)Host性能影響很小，CNA的CPU峰值下降為10%左右（未優(yōu)化前可能會(huì)達(dá)到90%），整體上來(lái)看SEP 12.1在華為云上運(yùn)行的情況比較良好。VM1Dom0VM2VM22CNA2SEPM+SICDom0C

16、NA1VRMSwitchWIN2003SEPSEPSEP隨機(jī)啟動(dòng)掃描時(shí)涉及的隨機(jī)啟動(dòng)掃描時(shí)的掃描持續(xù)時(shí)間：8小時(shí)配置SIC共享掃描緩存服務(wù)器，開啟客戶端的SIC功能測(cè)試項(xiàng)包括全盤掃描和更新病毒碼：全盤掃描考慮首次掃描和再次掃描，組合SIC打開和關(guān)閉，關(guān)注各種資源變化情況。病毒碼更新主要考察SEPM、CNA、Dom0、DomU各種資源，重點(diǎn)觀察帶寬占用。沒有測(cè)試隨機(jī)掃描（和虛擬化平臺(tái)的相關(guān)性較?。y(cè)試組網(wǎng)：測(cè)試結(jié)果：測(cè)試環(huán)境配置：傳統(tǒng)安全：系統(tǒng)加固+ 補(bǔ)丁+ 防病毒由于軟件存在bug，在安全上就可能引起相應(yīng)的漏洞，通過(guò)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用的加固以及補(bǔ)丁管理，可以修補(bǔ)這些漏洞通過(guò)嚴(yán)格的服務(wù)裁剪

17、、網(wǎng)絡(luò)端口掃描、操作權(quán)限及訪問控制等措施，保證主機(jī)平臺(tái)對(duì)外安全可靠 完整性保護(hù) 安全測(cè)試 安全配置系統(tǒng)加固操作系統(tǒng)加固數(shù)據(jù)庫(kù)加固應(yīng)用加固（Web加固）加固領(lǐng)域加固流程具體方法裁撤不必要的組件、服務(wù)等代碼遵從代碼規(guī)范遵從業(yè)界配置加固規(guī)范，如CIS采用業(yè)界掃描工具如Appscan完整性校驗(yàn)工具實(shí)現(xiàn)審查 代碼安全最小化裁剪補(bǔ)丁管理防病毒遵守IPD安全研發(fā)流程，實(shí)現(xiàn)業(yè)界最佳的安全質(zhì)量Page 20安全活動(dòng)DCP/TR檢查點(diǎn)IPD安全活動(dòng)融入決策檢查點(diǎn)，合同和技術(shù)評(píng)審/其他評(píng)審或檢查點(diǎn)安全需求安全設(shè)計(jì)安全開發(fā)安全測(cè)試安全交付和維護(hù)安全需求分析安全威脅分析安全架構(gòu)/特性設(shè)計(jì)開源第三方軟件選型代碼安全檢視代

18、碼安全掃描報(bào)告安全測(cè)試方案和用例安全測(cè)試報(bào)告（包括開源軟件）安全補(bǔ)?。ê_源軟件及第三方軟件)軟件外包(安全需求傳遞， 設(shè)計(jì)評(píng)審，代碼安全審查，安全測(cè)試驗(yàn)收）配置管理 (代碼，文檔，研發(fā)工具，開源軟件) 安全基線、規(guī)范、標(biāo)準(zhǔn)、指導(dǎo)書ConceptTR1PlanTR2TR3DevelopmentTR4TR4ATR5QualifyTR6LaunchGALifecycleCharterCDCPPDCPADCP嚴(yán)格的流程，只能減少系統(tǒng)的安全漏洞，不能完全杜絕，還需要技術(shù)手段保障Cloud OS安全Page 20管理安全數(shù)據(jù)中心虛擬化平臺(tái)及安全架構(gòu)1234虛擬化平臺(tái)安全Content網(wǎng)絡(luò)安全數(shù)據(jù)安全5虛

19、擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全總體方案管理和業(yè)務(wù)平面隔離計(jì)算、管理在不同的VLAN平面計(jì)算和存儲(chǔ)物理隔離獨(dú)立的存儲(chǔ)網(wǎng)絡(luò)各個(gè)虛擬化業(yè)務(wù)區(qū)域隔離設(shè)計(jì)支持VDC、信任域、安全組三級(jí)隔離機(jī)制VDC間路由隔離信任域之間通過(guò)虛擬防火墻進(jìn)行網(wǎng)絡(luò)隔離信任域內(nèi)可以根據(jù)業(yè)務(wù)需要靈活劃分安全組，比如把WEBAPPDB劃在不同的安全組業(yè)務(wù)安全在核心交換機(jī)上部署應(yīng)用層安全設(shè)備，如IPS/IDS、WAF、郵件安全網(wǎng)關(guān)、SSL VPN、DDoS等，按需引流合理有效的內(nèi)部安全隔離設(shè)計(jì)是保障數(shù)據(jù)中心網(wǎng)絡(luò)安全的有效手段。InternetVMVMVMVMVMVMWANInterconnect AreaLBFWSSLLBAnti-DDoSFW

20、/IPSDMZLBFWSSLIPS/IDS/WAFIPS/IDS/WAFLB多租戶云數(shù)據(jù)中心iStackVMVMVMVMVMVMiStackVMVMVMVMVMVMiStackVMVMVMVMVMVMIPS/IDS/WAFIPS/IDS/WAFPage 22Page 23虛擬防火墻VSA, virtual service appliance支持DHCP Server功能支持NAT/NAPT功能支持帶狀態(tài)的ACL過(guò)濾功能支持ASPF應(yīng)用感知的報(bào)文過(guò)濾功能支持安全防攻擊能力支持基于流量的統(tǒng)計(jì)/限速功能支持IPsec VPN虛擬防火墻支持硬件/軟件兩形態(tài)：硬件一虛多：在這種部署下，若干個(gè)虛擬防火墻共

21、用一個(gè)物理防火墻資源，但是在資源和管理上完全獨(dú)立、互不影響。軟件VSA：這種形式的虛擬化設(shè)備部署在某個(gè)VM上，以網(wǎng)關(guān)方式工作。提供REST管理接口，管理員可以在云安全管理平臺(tái)中配置安全策略，自動(dòng)下發(fā)到相應(yīng)的VSA上。VLAN1VMVMVMVLAN3VMVMVMVLAN2VMVMVMVSA/vFWvFWvFWvFWvFW特點(diǎn)：功能豐富，按需部署虛擬防火墻隔離-網(wǎng)絡(luò)粒度的接入控制基于網(wǎng)關(guān)虛擬化的多租戶隔離Page 24 云數(shù)據(jù)中心 部門A部門B部門C 部門C部門B部門AMPLS VPN CMPLS VPN BMPLS VPN AVlan 100Vlan 200Vlan 300VMVMVMVMVMV

22、MVMVMVMVMVMVMVMVMVMVMVMVM各個(gè)部門在數(shù)據(jù)中心的業(yè)務(wù)區(qū)，采用VLAN隔離；VSYS CVSYS BVSYS A防火墻通過(guò)MPLS VPN與各個(gè)部門互聯(lián)；防火墻啟用虛擬系統(tǒng)(VSYS)：外網(wǎng)口，通過(guò)VPN標(biāo)簽，識(shí)別來(lái)自不同部門的數(shù)據(jù)流，并送入對(duì)應(yīng)的VSYS；內(nèi)網(wǎng)口，通過(guò)VLAN-ID，識(shí)別來(lái)自不同部門的數(shù)據(jù)流，并送入對(duì)應(yīng)VSYS；虛擬系統(tǒng)具有完全獨(dú)立的體驗(yàn)：獨(dú)立的設(shè)備管理；獨(dú)立的設(shè)備資源享用；獨(dú)立的安全策略部署；獨(dú)立的日志報(bào)表查看；Page 24Page 25VLAN 1安全組1VMVMVM安全組2VMVMVMVLAN 2安全組3VMVMVM外部客戶端防火墻同時(shí)支持安全組間

23、的訪問控制策略，和安全組內(nèi)成員間的互訪策略在虛擬機(jī)交換機(jī)上實(shí)現(xiàn)，原理上相當(dāng)于Hypervisor層的虛擬化防火墻每個(gè)VM一組ACL，互不影響,VM遷移時(shí)安全策略自動(dòng)刷新提供VM粒度的隔離機(jī)制，解決VLAN資源不足、配置工作量大的問題。分布式策略控制，報(bào)文無(wú)需迂回到集中的策略控制點(diǎn)，避免形成性能瓶頸?？梢院瓦吔绶阑饓餐渴?，構(gòu)筑立體安全防護(hù)能力（南北向流量控制+東西向流量控制）。Internet目的端口80技術(shù)特點(diǎn)價(jià)值安全組：具有相同的安全策略的一組VM的集合。安全組隔離 VM粒度的接入控制安全邊界和網(wǎng)絡(luò)邊界解耦，可靈活定義Page 26FirewallvSwitchVMVMVMVMTenan

24、tBTenantAvSwitch外置防火墻控制子網(wǎng)間安全，存在流量迂回GatewayDC FirewallVirtual NetworkvSwitch租戶/安全區(qū)Zone Segment數(shù)據(jù)中心安全vDC Segment基于業(yè)務(wù)的3級(jí)安全策略集中定義App業(yè)務(wù)安全組APP SegmentVMVMVMVMOpenFlow 按業(yè)務(wù)需求統(tǒng)一定義任意目標(biāo)源組合的安全策略定義下發(fā)到Controller 子網(wǎng)內(nèi)互訪，首包上送Controller，動(dòng)態(tài)下發(fā)安全過(guò)濾規(guī)則，源頭扼殺攻擊 子網(wǎng)間互訪，動(dòng)態(tài)下發(fā)快轉(zhuǎn)流表，避免迂回 實(shí)現(xiàn)傳輸路徑的軟件控制，按需插入IDS/IPS、DDoS、郵件安全網(wǎng)關(guān)等安全增值服務(wù)S

25、DN-Controller公有云， 多租戶共享子網(wǎng)。常規(guī)的安全組隔離方案，僅在目的端進(jìn)行過(guò)濾, 無(wú)法解決DoS攻擊對(duì)系統(tǒng)資源的消耗問題FirewallVirtual NetworkvSwitchVMVMVMVMSubnet2Subnet 1VMVMvSwitchTenant A/Subnet1Tenant A/Subnet2TenantBVSAVirtual Network基于SDN的一體化安全隔離：更強(qiáng)大、更智能同VLAN下虛擬機(jī)間IPS/DDoS防護(hù)VMVMVMvSwitchVMVMVMvSwitchVMVMVMvSwitchLAN Switch流量定向流量定向虛擬環(huán)境威脅檢測(cè)將vSwit

26、ch流量定向到USG9500設(shè)備上進(jìn)行威脅檢測(cè)，提供虛擬環(huán)境可視。惡意軟件檢測(cè)蠕蟲木馬間諜軟件廣告軟件僵尸網(wǎng)絡(luò)DDOS檢測(cè)針對(duì)應(yīng)用服務(wù)的DoS針對(duì)操作系統(tǒng)的DoS掃描探測(cè)服務(wù)器攻擊檢測(cè)防止對(duì)HTTP、FTP、DNS、Mail等服務(wù)器的各種攻擊：緩沖區(qū)溢出、系統(tǒng)或服務(wù)漏洞攻擊、暴力破解等。Web攻擊檢測(cè)檢測(cè)Web應(yīng)用相關(guān)攻擊，包括Web2.0及后臺(tái)數(shù)據(jù)庫(kù)； 對(duì)注入攻擊、跨站腳本、目錄穿越等提供重點(diǎn)防護(hù)。Page 27USG9500數(shù)據(jù)中心外部接入Anti-DDOS方案Page 28鏡像流量清洗后流量清洗前流量管理流量流量及攻擊日志高強(qiáng)度支持從2G到160G的大流量清洗,是業(yè)界業(yè)界平均水平3-5倍

27、;高精度有效識(shí)別流量型攻擊、應(yīng)用型攻擊、掃描窺測(cè)型攻擊和畸形包攻擊等類型,支持小流量應(yīng)用層攻擊防范/支持低速攻擊防范;可運(yùn)營(yíng)可以為不同的用戶提供不同的清洗服務(wù)，并配置不同的DDoS防御策略，輸出獨(dú)立豐富的安全報(bào)表；靈活部署可直路、旁路、集中式、分布式部署；系列化針對(duì)不同的數(shù)據(jù)中心規(guī)模，用不同的產(chǎn)品組合：E1000E-D2G6GE8000E-D6G-160G核心交換機(jī)匯聚交換機(jī)云計(jì)算中心回注引流流量鏡像 DDOS清洗中心（E8000E/E1000E） DDOS檢測(cè)中心（E8000E/E1000E）Internet安全管理中心Page29IDS入侵檢測(cè)方案(NIP1000) 攻擊檢測(cè)，并記錄入侵過(guò)

28、程重新配置防火墻終止入侵NIP入侵檢測(cè)報(bào)警日志記錄云計(jì)算中心E1000E/E1000E-X流量鏡像被入侵NIP1000強(qiáng)大的入侵檢測(cè)能力，可識(shí)別千余種入侵行為，及時(shí)感知安全隱患；詳盡的網(wǎng)絡(luò)監(jiān)控能力, 提供郵件、通訊、文件傳輸、服務(wù)器狀態(tài)監(jiān)控，防止信息外泄；豐富的流量統(tǒng)計(jì)功能，準(zhǔn)確掌握網(wǎng)絡(luò)運(yùn)行情況和安全狀態(tài)；強(qiáng)大的協(xié)作聯(lián)動(dòng)能力，可同防火墻、路由器等設(shè)備進(jìn)行聯(lián)動(dòng)，抵抗非法攻擊，凈化網(wǎng)絡(luò)環(huán)境；精準(zhǔn)的攻擊識(shí)別能力，采用IP重組、TCP流優(yōu)化等技術(shù)，提高了檢測(cè)效率及其準(zhǔn)確度，確保低誤、漏報(bào)率。IDS只能檢測(cè)，不能阻止入侵，但可以記錄更多的安全威脅供分析IPS入侵防御方案防火墻業(yè)務(wù)板IPS業(yè)務(wù)板高端防火墻

29、硬件平臺(tái)接口板主控板防火墻處理模塊IPS業(yè)務(wù)處理模塊總流量需要IPS處理的流量只需要防火墻處理的流量IPS分流流程IPS指紋庫(kù)全球最大 IPS指紋庫(kù)增新最快 升級(jí)服務(wù)器范圍最廣5 個(gè)SOC+61 個(gè)受監(jiān)控的國(guó)家+6個(gè)安全響應(yīng)Lab+29 個(gè)全球支持中心 通過(guò)多種方法(復(fù)合簽名,狀態(tài)簽名,協(xié)議異常)抵御來(lái)自應(yīng)用層的攻擊 HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM, 廣泛的協(xié)議支持IPS引擎與防火墻共平臺(tái)，ALL IN ONE 防火墻可以設(shè)置策略，把需要IPS保護(hù)的流量引流到IPS業(yè)務(wù)模塊（E1000E/E1000E-X）或業(yè)務(wù)板(E8000E)上進(jìn)行處理;

30、如果是高端防火墻（E8000E），具有獨(dú)立的IPS業(yè)務(wù)板，可以按需靈活配置；高性能 IPS防護(hù)性能：最高8G*8管理安全數(shù)據(jù)中心虛擬化平臺(tái)及安全架構(gòu)1234虛擬化平臺(tái)安全Content網(wǎng)絡(luò)安全數(shù)據(jù)安全5安全管理用戶管理資源域管理日志管理操作審計(jì)個(gè)人設(shè)置組織管理權(quán)限管理業(yè)務(wù)模板設(shè)計(jì)業(yè)務(wù)部署、管理組織設(shè)計(jì)、組織管理系統(tǒng)管理員業(yè)務(wù)管理員資源管理角色管理用戶管理組織管理最終用戶資源使用角色管理以角色為核心的權(quán)限管理，靈活的分權(quán)分域，支持用戶組靈活、全面的安全管理分權(quán)分域和三權(quán)分立Page 33分權(quán)分域：支持設(shè)備和業(yè)務(wù) “分權(quán)分域管理模式”，使得管理員不能越權(quán)管理；管理支持集群和跨集群授權(quán)，粒度可具體到

31、虛擬機(jī)。三權(quán)分立: 1.系統(tǒng)安裝時(shí)，生成系統(tǒng)管理員、安全管理員、安全審計(jì)員。2.系統(tǒng)中的不同用戶相互監(jiān)督、相互制約，每個(gè)管理員各司其職。安全管理員安全審計(jì)員系統(tǒng)管理員日志審計(jì)安全管理用戶管理權(quán)限管理安全策略管理.系統(tǒng)管理虛擬機(jī)管理存儲(chǔ)管理網(wǎng)絡(luò)管理.超級(jí)管理員單點(diǎn)登錄Page 34Uni PortalSSO ServerFusionManagerSSO ClientFusionComputeSSO Clientfuction1User DBstep1 發(fā)起http請(qǐng)求，如http:/service/VRM/createVMStep2 獲取VRM的代理票據(jù)PGT step3 返回代理票據(jù)PGTSt

32、ep4 使用代理票據(jù)PGT向VRM發(fā)起請(qǐng)求http:/service/VRM/createVM Step5使用代理票據(jù)PGT向SSO server認(rèn)證Step5.1認(rèn)證成功Step5.2返回信息Step5.3 返回信息統(tǒng)一管理入口， 所有的基礎(chǔ)設(shè)施管理，包括服務(wù)器，網(wǎng)絡(luò)、存儲(chǔ)與虛擬化資源都在統(tǒng)一的管理入口; 支持最終用戶和管理員共用Portal。統(tǒng)一認(rèn)證授權(quán)，用戶一次登錄可以使用所有管理基礎(chǔ)設(shè)施的功能，無(wú)需二次認(rèn)證。支持多種管理員身份認(rèn)證方式Page 35用戶虛擬機(jī)桌面云用戶2、用戶查看虛擬機(jī)列表3. 用戶點(diǎn)擊VM，成功登錄VM1. TC中插入U(xiǎn)SB Key，輸入PIN碼登錄TC域用戶密碼指紋

33、USBkey密碼+指紋支持管理員用戶身份認(rèn)證與通過(guò)保密認(rèn)證的身份認(rèn)證系統(tǒng)無(wú)縫對(duì)接Page 36VMVM企業(yè)應(yīng)用郵件CRMOA認(rèn)證管控中心身份認(rèn)證網(wǎng)關(guān)桌面門戶身份認(rèn)證網(wǎng)關(guān)桌面協(xié)議安全PIN碼通道TC登錄UK認(rèn)證VM登錄UK認(rèn)證應(yīng)用登錄UK認(rèn)證ADVM登錄AD認(rèn)證密碼代填與國(guó)內(nèi)通過(guò)保密局資質(zhì)認(rèn)證的主要廠家的身份認(rèn)證系統(tǒng)已經(jīng)完成對(duì)接！防止管理員對(duì)磁盤“誤掛接”由于網(wǎng)絡(luò)管理員的操作“失誤”，可能存在磁盤“誤掛接”的風(fēng)險(xiǎn)，導(dǎo)致用戶的數(shù)據(jù)泄露。是對(duì)每個(gè)用戶的虛擬機(jī)設(shè)置與用戶關(guān)聯(lián)的標(biāo)記，在操作系統(tǒng)掛接磁盤的時(shí)候，自動(dòng)檢測(cè)虛擬機(jī)的屬主與標(biāo)記之間的對(duì)應(yīng)關(guān)系，從而防止磁盤“誤”掛接。Page 37用戶A標(biāo)識(shí)：用戶

34、A123#！用戶B虛擬卷不能把一個(gè)用戶的虛擬卷掛到其他用戶虛擬機(jī)上管理安全數(shù)據(jù)中心虛擬化平臺(tái)及安全架構(gòu)1234虛擬化平臺(tái)安全Content網(wǎng)絡(luò)安全數(shù)據(jù)安全5虛擬機(jī)磁盤加密私有云公共云加密虛擬機(jī)管理(High Availability)秘匙管理(High Availability）加密虛擬機(jī)部署于虛擬機(jī)部署于機(jī)要室加密管理系統(tǒng)（VEM）密鑰管理系統(tǒng)（KMC & CA）用戶虛擬機(jī)(Agent)業(yè)務(wù)管理Portal虛擬磁盤加密 對(duì)系統(tǒng)卷、數(shù)據(jù)卷進(jìn)行全盤的加密，對(duì)上層應(yīng)用程序透明集中管理 部署集中管理服務(wù)器，對(duì)客戶端進(jìn)行統(tǒng)一的策略管理和維護(hù)加密硬件加速 基于CPU硬件加密指令，性能損失10%算法合規(guī)性

35、 支持中國(guó)商密SMx算法用戶掌握虛擬磁盤加密的密鑰，防止虛擬機(jī)數(shù)據(jù)被管理員獲取技術(shù)特點(diǎn)Page 39多級(jí)別數(shù)據(jù)備份方案快照備份服務(wù)器FusionSphere引擎OSAPPOSAPPOSAPP虛 擬 機(jī)物理服務(wù)器存儲(chǔ)Site A虛擬機(jī)快照備份(DPS備份)存儲(chǔ)備份(陣列復(fù)制)文件級(jí)備份(NBU、HDP3500E)FusionSphere引擎OSAPPOSAPPOSAPP虛 擬 機(jī)物理服務(wù)器存儲(chǔ)Site B技術(shù)特點(diǎn)多種備份方案、靈活方便周期性增量、全量備份快照備份最小備份周期可達(dá)1小時(shí)（業(yè)界領(lǐng)先）備份快照可恢復(fù)到任意虛擬機(jī)快照備份支持10個(gè)備份系統(tǒng)集中管理 適用場(chǎng)景多級(jí)別、多場(chǎng)景數(shù)據(jù)備份Page

36、40虛擬機(jī)快照技術(shù)特點(diǎn)支持磁盤增量快照和內(nèi)存快照，完整保存虛擬機(jī)所有信息支持虛擬機(jī)運(yùn)行時(shí)備份支持快照恢復(fù)到任意虛擬機(jī)支持快照l(shuí)ive合并CPU內(nèi)存磁盤虛擬機(jī)內(nèi)容COPY讀寫重定向Delta磁盤CPU、內(nèi)存快照虛擬機(jī)快照1虛擬機(jī)快照2虛擬機(jī)快照n 適用場(chǎng)景虛擬機(jī)數(shù)據(jù)備份與恢復(fù)HyperDP數(shù)據(jù)備份系統(tǒng)技術(shù)特點(diǎn)靈活備份策略：周期性全量、增量備份，快照備份最小備份周期可達(dá)1小時(shí)（業(yè)界領(lǐng)先）數(shù)據(jù)恢復(fù)靈活：備份快照可恢復(fù)到原虛擬機(jī)、新虛擬機(jī)、以及指定虛擬機(jī)支持最多10個(gè)備份服務(wù)器統(tǒng)一管理支持多站點(diǎn)數(shù)據(jù)備份每個(gè)備份系統(tǒng)最多可保護(hù)200個(gè)VMHDP備份服務(wù)器大容量NAS 應(yīng)用價(jià)值實(shí)現(xiàn)靈活的數(shù)據(jù)備份需要大幅提

37、升數(shù)據(jù)備份系統(tǒng)的管理效率VM快照恢復(fù)VM快照備份VRM集群1VMVMVMVMVMVMFusionComputeVRM集群2VMVMVMVMVMVMFusionComputeVM快照恢復(fù)VM快照備份VRM集群3VMVMVMVMVMVMFusionComputeHDP備份 服務(wù)器VM快照恢復(fù)VM快照備份HDP管理服務(wù)器管理服務(wù)器和備份服務(wù)器都支持虛擬機(jī)部署站點(diǎn)A站點(diǎn)B大二層互聯(lián)FC交換機(jī)鏡像VIS集群FC交換機(jī)心跳第三地仲裁VIS實(shí)時(shí)業(yè)務(wù)容災(zāi)系統(tǒng)VMVMVMVMVMVMFusionComputeVMVMVMVMVMVMFusionCompute存儲(chǔ)資源池存儲(chǔ)資源池技術(shù)特點(diǎn)業(yè)務(wù)接近零中斷： RTO：

38、分鐘級(jí) （準(zhǔn)實(shí)時(shí)）數(shù)據(jù)零丟失： RPO：0分鐘（實(shí)時(shí)）故障自動(dòng)切換 任意虛擬機(jī)單點(diǎn)故障，自動(dòng)HA切換（優(yōu)先本地） 適用場(chǎng)景要求實(shí)時(shí)應(yīng)用業(yè)務(wù)級(jí)雙城容災(zāi)場(chǎng)景最大距離： 100KM最大環(huán)回時(shí)延: 5msFusionCompute客戶機(jī)客戶機(jī)站點(diǎn)AUltraVR異地容災(zāi)系統(tǒng)技術(shù)特點(diǎn)最大滿足1,000虛擬機(jī)容災(zāi)要求RTO 4小時(shí)RPO：151440分鐘無(wú)業(yè)務(wù)中斷測(cè)試（容災(zāi)演練）支持自動(dòng)實(shí)施災(zāi)難恢復(fù)故障切換 適用場(chǎng)景高可靠業(yè)務(wù)容災(zāi)場(chǎng)景陣列遠(yuǎn)程復(fù)制客戶機(jī)客戶機(jī)FusionCompute站點(diǎn)BUltraVRUltraVR主備站點(diǎn)容災(zāi)配置信息同步、聯(lián)動(dòng)iSCSI華為云操作系統(tǒng)安全合規(guī)按照分級(jí)保護(hù)機(jī)密增強(qiáng)級(jí)設(shè)計(jì)華為云計(jì)算按照BMB17分級(jí)保護(hù)標(biāo)準(zhǔn)機(jī)密增強(qiáng)級(jí)要求進(jìn)行產(chǎn)品設(shè)計(jì)，通過(guò)與國(guó)內(nèi)安全產(chǎn)品集成和配合企業(yè)相應(yīng)的管理規(guī)范，提供滿足保密局要求的云計(jì)算解決方案。涉密信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求基本要求物理安全運(yùn)行安全信息安全保密物理隔離安全保密產(chǎn)品選型安全域間邊界防護(hù)密級(jí)標(biāo)識(shí)環(huán)境安全設(shè)備安全介質(zhì)安全備份與恢復(fù)計(jì)算機(jī)病毒與惡意代碼防護(hù)應(yīng)急響應(yīng)運(yùn)行管理身份鑒別訪問控制信息加密電磁泄