2025年01SANGOR-AF-數(shù)據(jù)中心安全解決方案V20

數(shù)據(jù)中心場景安全解決方案安全BU需求背景2025/1/18彩頁使用場景：銷售人員拜訪客戶進(jìn)行需求引導(dǎo)時(shí)使用，類似于“白板”的作用PPT使用場景：產(chǎn)品經(jīng)理做正式的需求引導(dǎo)匯報(bào)需求背景：

數(shù)據(jù)中心是安全的主要產(chǎn)量地，需求量大、型號(hào)高。

過去我們?cè)诨ヂ?lián)網(wǎng)出口、DMZ取得比較好的成績，數(shù)據(jù)中心我們也需要進(jìn)行系統(tǒng)的需求引導(dǎo)。數(shù)據(jù)中心安全建設(shè)通常在項(xiàng)目立項(xiàng)會(huì)有兩個(gè)階段：1、新建數(shù)據(jù)中心：往往會(huì)設(shè)計(jì)網(wǎng)絡(luò)同時(shí)規(guī)劃安全域，會(huì)采購傳統(tǒng)防火墻進(jìn)行安全域隔離；2、建成后的安全加固：經(jīng)常可以看到有XX系統(tǒng)、XX數(shù)據(jù)中心安全加固項(xiàng)目，對(duì)數(shù)據(jù)中心安全進(jìn)行統(tǒng)一梳理，并購買安全設(shè)備彌補(bǔ)短板。使用場景及目標(biāo)客戶2025/1/18新建數(shù)據(jù)中心：推廣方案1：數(shù)據(jù)中心安全域隔離解決方案

目標(biāo)客戶：全行業(yè)目標(biāo)客戶（如政府、企業(yè)、教育等），只要聽到客戶準(zhǔn)備新建數(shù)據(jù)中心，就需要進(jìn)行引導(dǎo)。找（客戶/網(wǎng)絡(luò)集成商/弱電集成商）進(jìn)行需求引導(dǎo)，引導(dǎo)客戶/渠道替換數(shù)據(jù)中心網(wǎng)絡(luò)集成方案中的傳統(tǒng)防火墻，使用下一代防火墻，作為在數(shù)據(jù)中心替換傳統(tǒng)防火墻場景的主要方案。

解決問題：解決傳統(tǒng)墻在安全域隔離存在的策略管理復(fù)雜的問題、彌補(bǔ)應(yīng)用層防護(hù)短板、并能檢測邊界防御失陷這三個(gè)問題。建設(shè)完成后的安全加固：銷售方案2：數(shù)據(jù)中心應(yīng)用層安全加固解決方案

目標(biāo)客戶：全行業(yè)目標(biāo)客戶（如政府、企業(yè)（一些企業(yè)甚至連防火墻也沒有）等），當(dāng)客戶已經(jīng)完成建設(shè)，通常會(huì)有防火墻做安全域隔離，或者少量IPS、WAF等。找客戶引導(dǎo)安全加固通常理由比較充分，需要重點(diǎn)引導(dǎo)使用深信服方案的能夠解決的問題。

解決問題：解決數(shù)據(jù)中心僅僅部署傳統(tǒng)防火墻，應(yīng)用層安全防護(hù)存在短板、防御失效導(dǎo)致數(shù)據(jù)中心邊界防御失效和管理復(fù)雜（可視）三個(gè)問題。需求引導(dǎo)關(guān)鍵點(diǎn)2025/1/18數(shù)據(jù)中心安全基本原則通過防火墻劃分安全域傳統(tǒng)墻安全域隔離的問題：策略管理復(fù)雜上線、新增、管理全生命周期并且還面臨新挑戰(zhàn)：1、應(yīng)用層攻擊2、APT、0day等繞過所以需要以下一代防火墻為核心的深信服安全域隔離解決方案安全域設(shè)計(jì)建議（通用設(shè)計(jì)原則，不作為重點(diǎn)）方案特點(diǎn)1、應(yīng)用層的ACL（舉例）2、向?qū)娇梢暬牟呗怨芾恚ㄅe例不需要講全）3、支持防護(hù)和檢測的擴(kuò)展案例：重點(diǎn)表明大客戶都認(rèn)可下一代墻，并開啟了應(yīng)用層防護(hù)，下一代墻滿足高性能高可靠要求方案1：重點(diǎn)引導(dǎo)思路，引導(dǎo)客戶下一代防火墻解決ACL管理的問題，更重要的是引導(dǎo)客戶需要開啟應(yīng)用層防護(hù)模塊和檢測功能需求引導(dǎo)關(guān)鍵點(diǎn)2025/1/18方案2：重點(diǎn)引導(dǎo)思路，引導(dǎo)應(yīng)用層不能有短板，架構(gòu)需要精簡；并且需要加強(qiáng)檢測防止防御被繞過，并且通過可視化、精簡架構(gòu)、云化服務(wù)可以簡化管理?，F(xiàn)狀：1期新建時(shí)部署了傳統(tǒng)防火墻但僅僅是第一步，需要安全加固僅部署防火墻存在的問題1、應(yīng)用層防護(hù)存在短板；2、APT、0DAY、欺詐等使防御失效并且數(shù)據(jù)中心業(yè)務(wù)多，管理復(fù)雜1、缺乏整體視角2、漏洞等暴露面發(fā)現(xiàn)不及時(shí)3、解決問題的能力不夠方案部署的建議講一下需要在哪些地方部署方案特點(diǎn)1、完整、精簡的架構(gòu)，滿足高可靠要求2、獨(dú)特雙向檢測，發(fā)現(xiàn)失陷主機(jī)3、可視化態(tài)勢感知，更簡化的安全管理4、還可以與云聯(lián)動(dòng)，提供云化安全即服務(wù)所以需要進(jìn)行安全加固1、消除短板，提升攻擊成本2、防御失效也能檢測到3、解決數(shù)據(jù)中心管理復(fù)雜的問題1數(shù)據(jù)中心安全域隔離解決方案數(shù)據(jù)中心的安全建設(shè)的現(xiàn)狀2025/1/18分區(qū)分域的安全管理思路以防火墻為核心進(jìn)行安全域劃分辦公網(wǎng)生產(chǎn)網(wǎng)互聯(lián)網(wǎng)DMZ區(qū)數(shù)據(jù)中心安全域隔離存在的問題2025/1/18中等規(guī)模的數(shù)據(jù)中心ACL策略可能有幾百到上千條40%的安全事件因?yàn)榘踩呗耘渲貌划?dāng)全過程：管理復(fù)雜、可視性差業(yè)務(wù)新增快要求策略新增頻繁業(yè)務(wù)變更多產(chǎn)生無效策略傳統(tǒng)墻無法感知資產(chǎn)新增或者變更的情況，導(dǎo)致策略調(diào)整浪費(fèi)精力可視性差很難判斷策略用于哪些系統(tǒng)或者訪問規(guī)則策略不敢輕易調(diào)整，如果調(diào)整反而容易影響業(yè)務(wù)，無效策略影響防火墻性能上線部署業(yè)務(wù)新增運(yùn)維管理傳統(tǒng)防火墻仍面臨新的安全挑戰(zhàn)2025/1/1870%的攻擊來自于應(yīng)用層，防火墻防護(hù)存在短板APT、0day、欺詐等威脅出現(xiàn)，使邊界防御失陷根據(jù)Gartner的報(bào)告，用戶面臨的網(wǎng)絡(luò)攻擊中75%來自應(yīng)用層數(shù)據(jù)中心雖然劃分了安全域，但在應(yīng)用層攻擊防護(hù)上存在明顯的短板RSA認(rèn)為2014年-2015年安全防御幾乎“失陷”各類0Day攻擊、APT攻擊、欺詐等高級(jí)威脅可繞過數(shù)據(jù)中心防火墻，使數(shù)據(jù)中心防御“失陷”邊界的防御基于靜態(tài)特征，防護(hù)外到內(nèi)攻擊，缺乏持續(xù)對(duì)失陷主機(jī)進(jìn)行持續(xù)檢測的能力，導(dǎo)致數(shù)據(jù)中心存在大量被控制的主機(jī)也無法察覺深信服數(shù)據(jù)中心安全域隔離解決方案2025/1/18滿足安全域劃分的要求精細(xì)到應(yīng)用的訪問控制粒度向?qū)娇梢暬牟呗怨芾碇С指鼜?qiáng)防護(hù)和檢測能力的擴(kuò)展以下一代防火墻為核心數(shù)據(jù)中心安全域設(shè)計(jì)建議2025/1/18核心交換區(qū)數(shù)據(jù)中心區(qū)外聯(lián)邊界區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)局域網(wǎng)區(qū)管理區(qū)廣域網(wǎng)接入?yún)^(qū)廣域網(wǎng)外聯(lián)網(wǎng)互聯(lián)網(wǎng)數(shù)據(jù)中心安全域設(shè)計(jì)建議2025/1/18集中管理平臺(tái)互聯(lián)網(wǎng)接入第三方接入分支接入核心交換區(qū)內(nèi)網(wǎng)辦公區(qū)運(yùn)維管理區(qū)·對(duì)外業(yè)務(wù)核心業(yè)務(wù)內(nèi)部應(yīng)用業(yè)務(wù)區(qū)接入?yún)^(qū)辦公區(qū)無線辦公區(qū)分為4大區(qū)域業(yè)務(wù)區(qū)：安全等級(jí)高接入?yún)^(qū)：安全等級(jí)中辦公區(qū)：安全等級(jí)低運(yùn)維管理區(qū)：安全等級(jí)中特點(diǎn)：精細(xì)到應(yīng)用的訪問控制粒度2025/1/18精細(xì)到應(yīng)用的訪問控制粒度多種的用戶識(shí)別數(shù)據(jù)中心常見應(yīng)用控制特點(diǎn)：向?qū)娇梢暬牟呗怨芾?025/1/18簡單準(zhǔn)確主動(dòng)發(fā)現(xiàn)可視便捷策略有效性統(tǒng)計(jì)，可快速識(shí)別無效策略場景化的策略部署，增強(qiáng)安全策略匹配度向?qū)降牟呗圆渴?，簡化部署的流程一鍵安全策略復(fù)制，相同權(quán)限快速新增多維度策略可視化，便于理解策略的作用主動(dòng)發(fā)現(xiàn)新增資產(chǎn)，一鍵增加安全策略基于業(yè)務(wù)查詢搜索方式，快速管理安全策略上線部署新增業(yè)務(wù)策略管理向?qū)降牟呗圆渴?，簡化部署的流?025/1/18簡單的向?qū)讲渴饒鼍盎陌踩呗灾鲃?dòng)發(fā)現(xiàn)新增資產(chǎn)，一鍵增加安全策略2025/1/18特點(diǎn)：支持更強(qiáng)防護(hù)和檢測能力的擴(kuò)展2025/1/18探測邊界突破持續(xù)滲透安裝工具橫向移動(dòng)竊取/破壞提權(quán)獲取權(quán)限修改腳本W(wǎng)ebshell惡意軟件僵尸木馬后門擴(kuò)展應(yīng)用層防護(hù)功能支持雙向檢測能力擴(kuò)展破解HashRDP漏洞利用遠(yuǎn)程控制跳板攻擊多跳攻擊數(shù)據(jù)泄露數(shù)據(jù)銷毀清除痕跡Web攻擊應(yīng)用漏洞攻擊系統(tǒng)漏洞利用緩沖區(qū)溢出0day探測端口掃描漏洞掃描社會(huì)工程學(xué)2數(shù)據(jù)中心應(yīng)用層安全加固解決方案2025/1/18以防火墻為核心的數(shù)據(jù)中心安全仍面臨挑戰(zhàn)2025/1/18核心交換區(qū)數(shù)據(jù)中心區(qū)外聯(lián)邊界區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)局域網(wǎng)區(qū)管理區(qū)廣域網(wǎng)接入?yún)^(qū)廣域網(wǎng)外聯(lián)網(wǎng)互聯(lián)網(wǎng)數(shù)據(jù)中心安全現(xiàn)狀建設(shè)之初防火墻被用作主要的網(wǎng)絡(luò)安全設(shè)備對(duì)安全域進(jìn)行了劃分以防火墻為核心規(guī)劃的數(shù)據(jù)中心安全，僅僅是數(shù)據(jù)中心安全建設(shè)的第一步業(yè)務(wù)變得越來越開放、攻擊變得越來越復(fù)雜使數(shù)據(jù)中心安全面臨挑戰(zhàn)還需要對(duì)數(shù)據(jù)中心進(jìn)行安全加固，以提升數(shù)據(jù)中心安全防護(hù)能力挑戰(zhàn)1：70%的攻擊來自于應(yīng)用層，邊界防御存在短板2025/1/18根據(jù)Gartner的報(bào)告，用戶面臨的網(wǎng)絡(luò)攻擊中75%來自應(yīng)用層數(shù)據(jù)中心雖然劃分了安全域，但在應(yīng)用層攻擊防護(hù)上存在明顯的短板挑戰(zhàn)2：APT、0day、欺詐等威脅出現(xiàn)，使邊界防御失陷2025/1/18RSA認(rèn)為2014年-2015年安全防御幾乎“失陷”各類0Day攻擊、APT攻擊、欺詐等高級(jí)威脅可繞過數(shù)據(jù)中心防火墻，使數(shù)據(jù)中心防御“失陷”邊界的防御基于靜態(tài)特征，防護(hù)外到內(nèi)攻擊，缺乏持續(xù)對(duì)失陷主機(jī)進(jìn)行持續(xù)檢測的能力，導(dǎo)致數(shù)據(jù)中心存在大量被控制的主機(jī)也無法察覺復(fù)雜的業(yè)務(wù)環(huán)境導(dǎo)致安全管理困難2025/1/18缺乏整體安全視角技術(shù)手段單一，缺乏統(tǒng)一可視的技術(shù)手段安全問題見微不見廣，難以對(duì)數(shù)據(jù)中心整體安全進(jìn)行管理暴露面發(fā)現(xiàn)不及時(shí)業(yè)務(wù)更新多、上線快，難以進(jìn)行全面的上線前安全檢查難以再通過周期性的滲透測試服務(wù)了解數(shù)據(jù)中心的風(fēng)險(xiǎn)暴露面業(yè)務(wù)多管理復(fù)雜業(yè)務(wù)更新多、上線快，對(duì)策略管理、風(fēng)險(xiǎn)管理提出更高的要求安全管理過于復(fù)雜，使安全跟不上業(yè)務(wù)的發(fā)展解決問題能力不夠數(shù)據(jù)中心出現(xiàn)安全問題無法及時(shí)發(fā)現(xiàn)安全相對(duì)專業(yè)，即使發(fā)現(xiàn)了問題，也難以有效解決深信服數(shù)據(jù)中心應(yīng)用層安全加固解決方案2025/1/18應(yīng)用層安全加固消除邊界防御的短板，提升黑客攻擊成本漏洞攻擊、web攻擊、病毒木馬、僵尸網(wǎng)絡(luò)等增強(qiáng)安全檢測技術(shù)繞過防御邊界的安全檢測手段，檢測邊界防御失陷的安全事件失陷主機(jī)、異常行為、篡改事件、黑鏈?zhǔn)录群喕踩芾斫鉀Q數(shù)據(jù)中心管理復(fù)雜的問題安全可視報(bào)表、實(shí)時(shí)漏洞發(fā)現(xiàn)、簡化運(yùn)維管理、云化安全服務(wù)深信服數(shù)據(jù)中心應(yīng)用層安全加固解決方案2025/1/18虛擬化服務(wù)器數(shù)據(jù)中心安全邊界云化安全即服務(wù)SandBox在線專家云掃描未知威脅檢測硬件服務(wù)器云監(jiān)測下一代防火墻下一代防火墻威脅情報(bào)快速響應(yīng)微信公眾號(hào)管理中心安全可視化平臺(tái)集中管理平臺(tái)運(yùn)維界面安全云數(shù)據(jù)庫區(qū)數(shù)據(jù)中心區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)內(nèi)網(wǎng)辦公區(qū)分支接入?yún)^(qū)軟件定義安全傳統(tǒng)防火墻傳統(tǒng)防火墻下一代防火墻下一代防火墻下一代防火墻核心交換核心交換應(yīng)用服務(wù)區(qū)下一代防火墻下一代防火墻部署建議2025/1/18部署位置部署產(chǎn)品價(jià)值數(shù)據(jù)中心核心下一代防火墻（NGAF）構(gòu)建邊界的L2-7的完整安全防御體系安全檢測模塊發(fā)現(xiàn)繞過邊界防御的攻擊行為及失陷主機(jī)數(shù)據(jù)中心外聯(lián)邊界下一代防火墻（NGAF）構(gòu)建的數(shù)據(jù)中心外延邊界的防護(hù)體系包括互聯(lián)網(wǎng)接入?yún)^(qū)、分支接入?yún)^(qū)、內(nèi)網(wǎng)辦公區(qū)數(shù)據(jù)中心內(nèi)部安全域下一代防火墻（NGAF）保護(hù)重要業(yè)務(wù)系統(tǒng)，并對(duì)安全域間的威脅進(jìn)行檢測虛擬化的數(shù)據(jù)中心軟件定義的下一代防火墻（VSS）解決VMware虛擬化平臺(tái)的安全問題解決東西向流量的威脅安全管理中心安全可視化平臺(tái)數(shù)據(jù)中心整體安全態(tài)勢集中呈現(xiàn)集中管理平臺(tái)（SC）日志進(jìn)行收集、設(shè)備統(tǒng)一管理云化安全即服務(wù)基于NGAF的安全即服務(wù)提供未知威脅、安全事件、云掃描、云檢測、在線專家、快速響應(yīng)等服務(wù)方案特點(diǎn)：完整、精簡的安全架構(gòu)，滿足高可靠要求2025/1/18下一代防火墻L2-7層雙向防御體系應(yīng)用層安全網(wǎng)絡(luò)層安全Web攻擊防護(hù)應(yīng)用內(nèi)容的訪問控制基于應(yīng)用訪問控制策略路由NATIP/MAC綁定包過濾狀態(tài)檢測流量會(huì)話管理抗拒絕服務(wù)攻擊基于用戶的訪問控制入侵防御惡意代碼防護(hù)信息泄露防護(hù)僵尸網(wǎng)絡(luò)防護(hù)軟件架構(gòu)：單次解析引擎硬件架構(gòu)：多核并行處理架構(gòu)HA/AA部署安全聯(lián)動(dòng)【模塊間智能聯(lián)動(dòng)、云安全聯(lián)動(dòng)、策略智能聯(lián)動(dòng)】Webshell防護(hù)黑鏈防護(hù)VPN方案特點(diǎn)：獨(dú)特的雙向檢測技術(shù)，有效發(fā)現(xiàn)失陷主機(jī)2025/1/18探測邊界突破持續(xù)滲透安裝工具橫向移動(dòng)竊取/破壞提權(quán)獲取權(quán)限修改腳本W(wǎng)ebshell惡意軟件僵尸木馬后門邊界安全防御雙向行為檢測技術(shù)破解HashRDP漏洞利用遠(yuǎn)程控制跳板攻擊多跳攻擊數(shù)據(jù)泄露數(shù)據(jù)銷毀清除痕跡Web攻擊應(yīng)用漏洞攻擊系統(tǒng)漏洞利用緩沖區(qū)溢出0day探測端口掃描漏洞掃描社會(huì)工程學(xué)方案特點(diǎn)：可視化的安全管理，感知全局安全態(tài)勢2025/1/18業(yè)務(wù)脆弱性業(yè)務(wù)系統(tǒng)威脅數(shù)據(jù)風(fēng)險(xiǎn)1、可視化的安全管理，感知全局安全態(tài)勢2025/1/18幫助決策層從管理的視角看到風(fēng)險(xiǎn)并做出決策2、實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測技術(shù)，及時(shí)彌補(bǔ)業(yè)務(wù)漏洞2025/1/18NGAF主動(dòng)+實(shí)時(shí)掃描代碼更新實(shí)時(shí)新漏洞告警SQL注入跨站腳本……資產(chǎn)=業(yè)務(wù)威脅=攻擊脆弱性=漏洞威脅識(shí)別脆弱性識(shí)別資產(chǎn)識(shí)別2、實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測技術(shù)，及時(shí)彌補(bǔ)業(yè)務(wù)漏洞2025/1/18威脅情報(bào)共享快速自檢工具一鍵策略防護(hù)實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測技術(shù)，及時(shí)彌補(bǔ)業(yè)務(wù)漏洞3、場景化的部署，任務(wù)化的安全事件管理2025/1/18任務(wù)化事件管理簡單的向?qū)讲渴饒鼍盎陌踩呗詧鼍盎牟渴穑蝿?wù)化的安全事件管理4、融合云化安全服務(wù)，提升安全響應(yīng)的能力2025/1/181.日志匯總深信服安全云3.威脅情報(bào)推送2.云端專家分析安全團(tuán)隊(duì)安全管理員微信安全平臺(tái)快速響應(yīng)流程4.事件處理5.專家復(fù)查4.應(yīng)急響應(yīng)綜述2025/1/18全局安全可視實(shí)時(shí)漏洞發(fā)現(xiàn)簡化運(yùn)維管理云化安全服務(wù)全局業(yè)務(wù)安全報(bào)表攻擊+漏洞+失陷主機(jī)篡改黑鏈等安全事件實(shí)時(shí)漏洞檢測業(yè)務(wù)風(fēng)險(xiǎn)檢測新威脅快速檢測場景化的安全策略任務(wù)化安全事件管理可視化風(fēng)險(xiǎn)管理界面安全運(yùn)營服務(wù)事件預(yù)警服務(wù)快速響應(yīng)服務(wù)數(shù)據(jù)中心案例介紹2025/1/18國土資源部：在數(shù)據(jù)