【正文】 心的虛擬服務進行監(jiān)測，這樣不僅可以實時發(fā)現(xiàn)出現(xiàn)故障的數(shù)據(jù)中心，同時也可以監(jiān)視虛擬服務在IP、TCP、UDP、應用和內(nèi)容等所有協(xié)議層上的工作狀態(tài)。l 租戶安全邊界我們將虛擬防火墻以虛機的方式部署在租戶虛擬網(wǎng)絡和云網(wǎng)絡的邊界，針對租戶應用系統(tǒng)的南北流量安全防護和隔離，包括租戶間的安全隔離，防止非法人員從云平臺內(nèi)部進行安全攻擊；租戶應用對外的安全防護和隔離，防止非法人員從外網(wǎng)、互聯(lián)網(wǎng)進行安全攻擊?？呻[藏的服務器包括WEB服務器、FTP服務器、郵件服務器等。作為虛擬化落地成敗的關(guān)鍵因素，重中之重，就是如何保證業(yè)務系統(tǒng)的穩(wěn)定、高性能和高可用性。事后追查：整體保障XX系統(tǒng)安全運維管理在訪問過程的進行日記記錄，提供管理日志和服務日志等日志。（3）改善網(wǎng)絡質(zhì)量通過快速重傳、選擇性重傳、改善擁塞機制、增大滑動窗口大小等幾個方面對傳統(tǒng)的TCP傳輸協(xié)議做改進，提升鏈路在丟包、延遲、抖動環(huán)境下的傳輸質(zhì)量和應用訪問速度。多應用系統(tǒng)托管部署：n 應用需求：租戶在虛擬網(wǎng)絡中部署了多個應用系統(tǒng)，需要針對不同應用系統(tǒng)虛擬機之間的訪問流量進行安全防護控制，滿足安全合規(guī)要求。 導入鏡像：將設備鏡像拷貝進入虛擬化環(huán)境216。云安全管理平臺應實現(xiàn)對多種IT資產(chǎn)進行統(tǒng)一的管理，包括服務器、網(wǎng)絡設備、安全設備、應用系統(tǒng)等設備。 平臺服務商合作運維為了實現(xiàn)IaaS架構(gòu)的統(tǒng)一管理及統(tǒng)一調(diào)度，我們支持夠通過OpenStack北向接口與第三方云管理平臺實現(xiàn)互通，通過與第三方合作開發(fā)，提供云平臺安全監(jiān)控日志、平臺訪問審計、租戶安全、優(yōu)化組件的策略自動化配置、基于業(yè)務的定期風險報表及租戶安全監(jiān)控平臺。這帶來了三大好處：一是不需要投資建立數(shù)據(jù)中心和大型機房，購買服務器和存儲設備等，從而節(jié)省建設費用；二是信息軟硬件資源交給專業(yè)的云服務商管理，不再負擔信息系統(tǒng)維護和升級，節(jié)省了運維費用。同時集中化的安全部署考慮能夠解決以前面臨的各種“安全信息孤島”問題。有時候覺得自己像個神經(jīng)病。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。云計算能從技術(shù)上降低信息共享和業(yè)務協(xié)同的難度。 高性價比：降低IT建設成本在云平臺上，所有的安全、優(yōu)化等組件均按需擴展。管理系統(tǒng)不僅要實現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理平臺與自動化服務交付是提升服務效率的重要因素。通過對租戶的分級管理，實現(xiàn)了私有云多級資源分配的要求，通過定制個性化的審批流程，使得服務的申請更符合某些特殊業(yè)務的多級審批要求。 路由部署： vAF、vWOC216。根據(jù)各個集團子公司租戶在云平臺的應用場景，可以劃分為：網(wǎng)站/應用的托管部署n 應用需求：將單個應用，完全部署在云平臺環(huán)境中，對公眾、橫向兄弟單位提供接入訪問n 建議部署組件：采用vAF提供租戶間、對外南北流量的安全防護；vAD提供虛擬機的服務器負載均衡，提升應用的可靠性應用混合云部署n 應用需求：在云平臺部署了部分應用系統(tǒng)，或者單個應用的系統(tǒng)的部分組件（如僅部署Web服務器，DB還在傳統(tǒng)數(shù)據(jù)中心），這些虛擬機依然需要與租戶的傳統(tǒng)數(shù)據(jù)中心（租戶DC）進行數(shù)據(jù)訪問；同時，為了提升對外訪問的安全性，需要進行加密傳輸和認證加固。通過流量削減，可以保障云數(shù)據(jù)中心傳統(tǒng)數(shù)據(jù)中心的專線帶寬占有率在一個較為健康的范圍之內(nèi)，即使在高峰期同樣可以順暢的進行數(shù)據(jù)同步。事中檢查：系統(tǒng)終端訪問過程安全在訪問這些應用系統(tǒng)的過程中，應該更應該考慮訪問、讀取過程的安全，而終端的接入過程影響著整個系統(tǒng)的安全，對于終端接入的安全需要從終端本身方面保證，接入的終端必須達到一定的安全標準才允許接入，避免危險終端的接入。為了保障云平臺內(nèi)部應用系統(tǒng)發(fā)布后的穩(wěn)定運行，并實現(xiàn)每一個用戶訪問業(yè)務系統(tǒng)的使用體驗。云環(huán)境中B/S架構(gòu)的業(yè)務普遍存在，大量的底層系統(tǒng)和Web業(yè)務應用引入各種各樣的漏洞，因此需要在安全資源池中分配虛擬防火墻對指定的業(yè)務系統(tǒng)系統(tǒng)或web應用進行防御，解決常見的web應用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風險發(fā)現(xiàn)。通過安全軟件資源池，可以實現(xiàn)按需分配、靈活部署的安全保護。這樣，只要其中一個站點可達，即可表明鏈路狀態(tài)良好。. 鏈路/全局負載均衡深信服AD產(chǎn)品是專業(yè)的應用交付設備，給云平臺提供了專業(yè)的鏈路負載均衡、服務器負載均衡解決方案，在鏈路或服務正常運行時，實現(xiàn)鏈路和服務的最優(yōu)化利用，在出現(xiàn)故障時，迅速切換到備份鏈路和冗余服務器上，杜絕因虛機故障或應用假死造成用戶訪問中斷。本方案建議根據(jù)情況，進行客戶端安全檢查結(jié)果進行相應應用訪問權(quán)限的準入和授權(quán)，同時通過SSL VPN成功接入到內(nèi)網(wǎng)中后，則自動斷開其他的Internet線路，只保留SSL VPN的通道，防止黑客通過Internet控制接入。充分的利用了各條線路，在保證線路的高穩(wěn)定性下實現(xiàn)線路價值的最大化。深信服SSL VPN網(wǎng)關(guān)也提供了專業(yè)的IPSec VPN功能，滿足云平臺業(yè)務使用IPSec VPN技術(shù)專網(wǎng)互聯(lián)的需求，實現(xiàn)各區(qū)域安全數(shù)據(jù)安全加固。 . 多業(yè)務數(shù)據(jù)隔離和交換面向外網(wǎng)用戶的公共服務區(qū)和面向互聯(lián)網(wǎng)服務的互聯(lián)網(wǎng)區(qū)，兩區(qū)之間采用強隔離技術(shù)實現(xiàn)數(shù)據(jù)交換或同步: 為了保障平臺層的安全，在互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡區(qū)出口邊界部署深信服下一代防火墻NGAF。NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制，實現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。NGAF的APT檢測功能主要解決的問題：針對平臺內(nèi)部的主機感染了病毒、木馬的機器，其病毒、木馬試圖與外部網(wǎng)絡通信時，AF識別出該流量，并根據(jù)策略進行阻斷和記錄日志。運維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側(cè)設計方案云平臺安全部署框架如上圖所示，在云平臺物理網(wǎng)絡邊界部署安全、應用交付類產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡出口提供平臺級的整體安全保護，實現(xiàn)如區(qū)域劃分、接入控制、病毒防護、入侵防護、漏洞檢測、DDoS攻擊防護、WEB安全防護、接入安全、服務器負載均衡等功能，實現(xiàn)2到7層安全防護和應用、鏈路的負載優(yōu)化，實現(xiàn)精細的區(qū)域劃分與可視化的權(quán)限訪問控制，保證云平臺和內(nèi)部業(yè)務系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。 GB/T 250582010 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南216。l 開放適用由于云計算平臺為各業(yè)務應用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標準接口，供開發(fā)者、用戶使用。l 云平臺運維：管理平臺（網(wǎng)管平臺、安全管理平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠程管理可能引入的系統(tǒng)風險。在業(yè)務的低谷期，能夠減少虛擬機來避免資源的浪費。 ：當訪問量過多，業(yè)務量太大時，用戶的訪問速度變慢，如何在不改變用戶的使用習慣的情況下，通過合理調(diào)配鏈路、虛擬機等資源來實現(xiàn)訪問速度的提升？ 租戶外網(wǎng)業(yè)務需求分析 租戶的外網(wǎng)業(yè)務主要是用于各集團子公司單位人員接入訪問或者移動辦公、出差人員的訪問，流量經(jīng)過互聯(lián)網(wǎng)或者廣域網(wǎng)，該區(qū)域存在的需求如下：1. 安全接入：訪問的人員需要經(jīng)過認證授權(quán)，防止非法訪問，同時流量流經(jīng)城/廣域網(wǎng)，需要進行加密傳輸，防止數(shù)據(jù)泄密的風險。在業(yè)務的低谷期，能夠減少虛擬機來避免資源的浪費，實現(xiàn)資源的動態(tài)調(diào)整。鏈路負載均衡云平臺接入往往多條運營商鏈路，從而保證網(wǎng)絡服務的質(zhì)量，消除單點故障，減少停機時間。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡入口點根據(jù)設定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡安全的前提下，對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查，來決定網(wǎng)絡之間的通信是否被允許。云平臺接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對托管的業(yè)務、租賃的服務進行運維管理，因此需要對接入平臺的租戶身份進行有效的認證，避免非法用戶接入帶來的危害；而對于普通用戶來說，平臺內(nèi)部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個大平臺內(nèi)部，不同的云業(yè)務及虛擬私有云之間會有大量的信息交互，因此需要考慮如何保障云間業(yè)務的安全互聯(lián)，避免信息泄露和越權(quán)訪問。云應用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復雜，需要一個靈活動態(tài)安全機制來適配虛擬化網(wǎng)絡安全防護。因此平臺層的安全建設需要從平臺安全防護，平臺的接入安全，以及平臺服務可靠性方面來建設，保證云平臺業(yè)務系統(tǒng)安全可靠運行。第二章 需求分析集團的云平臺一般為專有云架構(gòu)，專有云平臺承擔集團內(nèi)部服務的內(nèi)容如業(yè)務應用系統(tǒng)等，為各分公司、集團子公司的應用系統(tǒng)提供基礎(chǔ)設施支撐。云計算提高業(yè)務系統(tǒng)的部署效率云平臺具有較高的靈活性，集團實施新的應用系統(tǒng)時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設施，快速部署系統(tǒng)，提高應用部署速度。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺，這也將成為拉動整個虛擬化云平臺市場持續(xù)走高的成長動力。每家單位都要建立自己的云計算模式，其第一步要做的就是完成內(nèi)部云或私有云的建制。這帶來了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機房，購買服務器和存儲設備等，從而節(jié)省建設費用；二是信息軟硬件資源交給專業(yè)的云服務商管理，集團不再負擔信息系統(tǒng)維護和升級，節(jié)省了運維費用。同時，在部署了以云計算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)業(yè)務數(shù)據(jù)的統(tǒng)一共享，這對前臺服務界面的統(tǒng)一打通有著重要意義，將使得業(yè)務系統(tǒng)的統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)服務的高效與統(tǒng)一。歸納起來，云平臺整體安全需求如下圖所示： 平臺側(cè)需求對于云來說，平臺無疑是對外提供服務的基礎(chǔ)，無論是建設運營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關(guān)注的。所以云平臺安全建設需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機制。因此需要有效的手段來識別并防護針對系統(tǒng)漏洞的攻擊。訪問控制系統(tǒng)應根據(jù)各業(yè)務的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡的信息流，并且系統(tǒng)本身具有較強的抗攻擊能力。黑客控制著大量的僵尸“肉機”，從而發(fā)起向云平臺的大量異常請求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應的信息，嚴重消耗網(wǎng)絡系統(tǒng)資源，導致外聯(lián)服務平臺無法對外正常提供服務，影響云平臺和各集團子公司部門正常的業(yè)務開展。在這種情況下