【正文】 心的虛擬服務(wù)進(jìn)行監(jiān)測，這樣不僅可以實(shí)時發(fā)現(xiàn)出現(xiàn)故障的數(shù)據(jù)中心，同時也可以監(jiān)視虛擬服務(wù)在IP、TCP、UDP、應(yīng)用和內(nèi)容等所有協(xié)議層上的工作狀態(tài)。l 租戶安全邊界我們將虛擬防火墻以虛機(jī)的方式部署在租戶虛擬網(wǎng)絡(luò)和云網(wǎng)絡(luò)的邊界，針對租戶應(yīng)用系統(tǒng)的南北流量安全防護(hù)和隔離，包括租戶間的安全隔離，防止非法人員從云平臺內(nèi)部進(jìn)行安全攻擊；租戶應(yīng)用對外的安全防護(hù)和隔離，防止非法人員從外網(wǎng)、互聯(lián)網(wǎng)進(jìn)行安全攻擊?？呻[藏的服務(wù)器包括WEB服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等。作為虛擬化落地成敗的關(guān)鍵因素，重中之重，就是如何保證業(yè)務(wù)系統(tǒng)的穩(wěn)定、高性能和高可用性。事后追查：整體保障XX系統(tǒng)安全運(yùn)維管理在訪問過程的進(jìn)行日記記錄，提供管理日志和服務(wù)日志等日志。（3）改善網(wǎng)絡(luò)質(zhì)量通過快速重傳、選擇性重傳、改善擁塞機(jī)制、增大滑動窗口大小等幾個方面對傳統(tǒng)的TCP傳輸協(xié)議做改進(jìn)，提升鏈路在丟包、延遲、抖動環(huán)境下的傳輸質(zhì)量和應(yīng)用訪問速度。多應(yīng)用系統(tǒng)托管部署：n 應(yīng)用需求：租戶在虛擬網(wǎng)絡(luò)中部署了多個應(yīng)用系統(tǒng)，需要針對不同應(yīng)用系統(tǒng)虛擬機(jī)之間的訪問流量進(jìn)行安全防護(hù)控制，滿足安全合規(guī)要求。 導(dǎo)入鏡像：將設(shè)備鏡像拷貝進(jìn)入虛擬化環(huán)境216。云安全管理平臺應(yīng)實(shí)現(xiàn)對多種IT資產(chǎn)進(jìn)行統(tǒng)一的管理，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)等設(shè)備。 平臺服務(wù)商合作運(yùn)維為了實(shí)現(xiàn)IaaS架構(gòu)的統(tǒng)一管理及統(tǒng)一調(diào)度，我們支持夠通過OpenStack北向接口與第三方云管理平臺實(shí)現(xiàn)互通，通過與第三方合作開發(fā)，提供云平臺安全監(jiān)控日志、平臺訪問審計、租戶安全、優(yōu)化組件的策略自動化配置、基于業(yè)務(wù)的定期風(fēng)險報表及租戶安全監(jiān)控平臺。這帶來了三大好處：一是不需要投資建立數(shù)據(jù)中心和大型機(jī)房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級，節(jié)省了運(yùn)維費(fèi)用。同時集中化的安全部署考慮能夠解決以前面臨的各種“安全信息孤島”問題。有時候覺得自己像個神經(jīng)病。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。云計算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。 高性價比：降低IT建設(shè)成本在云平臺上，所有的安全、優(yōu)化等組件均按需擴(kuò)展。管理系統(tǒng)不僅要實(shí)現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進(jìn)行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理平臺與自動化服務(wù)交付是提升服務(wù)效率的重要因素。通過對租戶的分級管理，實(shí)現(xiàn)了私有云多級資源分配的要求，通過定制個性化的審批流程，使得服務(wù)的申請更符合某些特殊業(yè)務(wù)的多級審批要求。 路由部署： vAF、vWOC216。根據(jù)各個集團(tuán)子公司租戶在云平臺的應(yīng)用場景，可以劃分為：網(wǎng)站/應(yīng)用的托管部署n 應(yīng)用需求：將單個應(yīng)用，完全部署在云平臺環(huán)境中，對公眾、橫向兄弟單位提供接入訪問n 建議部署組件：采用vAF提供租戶間、對外南北流量的安全防護(hù)；vAD提供虛擬機(jī)的服務(wù)器負(fù)載均衡，提升應(yīng)用的可靠性應(yīng)用混合云部署n 應(yīng)用需求：在云平臺部署了部分應(yīng)用系統(tǒng)，或者單個應(yīng)用的系統(tǒng)的部分組件（如僅部署Web服務(wù)器，DB還在傳統(tǒng)數(shù)據(jù)中心），這些虛擬機(jī)依然需要與租戶的傳統(tǒng)數(shù)據(jù)中心（租戶DC）進(jìn)行數(shù)據(jù)訪問；同時，為了提升對外訪問的安全性，需要進(jìn)行加密傳輸和認(rèn)證加固。通過流量削減，可以保障云數(shù)據(jù)中心傳統(tǒng)數(shù)據(jù)中心的專線帶寬占有率在一個較為健康的范圍之內(nèi)，即使在高峰期同樣可以順暢的進(jìn)行數(shù)據(jù)同步。事中檢查：系統(tǒng)終端訪問過程安全在訪問這些應(yīng)用系統(tǒng)的過程中，應(yīng)該更應(yīng)該考慮訪問、讀取過程的安全，而終端的接入過程影響著整個系統(tǒng)的安全，對于終端接入的安全需要從終端本身方面保證，接入的終端必須達(dá)到一定的安全標(biāo)準(zhǔn)才允許接入，避免危險終端的接入。為了保障云平臺內(nèi)部應(yīng)用系統(tǒng)發(fā)布后的穩(wěn)定運(yùn)行，并實(shí)現(xiàn)每一個用戶訪問業(yè)務(wù)系統(tǒng)的使用體驗(yàn)。云環(huán)境中B/S架構(gòu)的業(yè)務(wù)普遍存在，大量的底層系統(tǒng)和Web業(yè)務(wù)應(yīng)用引入各種各樣的漏洞，因此需要在安全資源池中分配虛擬防火墻對指定的業(yè)務(wù)系統(tǒng)系統(tǒng)或web應(yīng)用進(jìn)行防御，解決常見的web應(yīng)用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風(fēng)險發(fā)現(xiàn)。通過安全軟件資源池，可以實(shí)現(xiàn)按需分配、靈活部署的安全保護(hù)。這樣，只要其中一個站點(diǎn)可達(dá)，即可表明鏈路狀態(tài)良好。. 鏈路/全局負(fù)載均衡深信服AD產(chǎn)品是專業(yè)的應(yīng)用交付設(shè)備，給云平臺提供了專業(yè)的鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡解決方案，在鏈路或服務(wù)正常運(yùn)行時，實(shí)現(xiàn)鏈路和服務(wù)的最優(yōu)化利用，在出現(xiàn)故障時，迅速切換到備份鏈路和冗余服務(wù)器上，杜絕因虛機(jī)故障或應(yīng)用假死造成用戶訪問中斷。本方案建議根據(jù)情況，進(jìn)行客戶端安全檢查結(jié)果進(jìn)行相應(yīng)應(yīng)用訪問權(quán)限的準(zhǔn)入和授權(quán)，同時通過SSL VPN成功接入到內(nèi)網(wǎng)中后，則自動斷開其他的Internet線路，只保留SSL VPN的通道，防止黑客通過Internet控制接入。充分的利用了各條線路，在保證線路的高穩(wěn)定性下實(shí)現(xiàn)線路價值的最大化。深信服SSL VPN網(wǎng)關(guān)也提供了專業(yè)的IPSec VPN功能，滿足云平臺業(yè)務(wù)使用IPSec VPN技術(shù)專網(wǎng)互聯(lián)的需求，實(shí)現(xiàn)各區(qū)域安全數(shù)據(jù)安全加固。 . 多業(yè)務(wù)數(shù)據(jù)隔離和交換面向外網(wǎng)用戶的公共服務(wù)區(qū)和面向互聯(lián)網(wǎng)服務(wù)的互聯(lián)網(wǎng)區(qū)，兩區(qū)之間采用強(qiáng)隔離技術(shù)實(shí)現(xiàn)數(shù)據(jù)交換或同步: 為了保障平臺層的安全，在互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)區(qū)出口邊界部署深信服下一代防火墻NGAF。NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊。NGAF的APT檢測功能主要解決的問題：針對平臺內(nèi)部的主機(jī)感染了病毒、木馬的機(jī)器，其病毒、木馬試圖與外部網(wǎng)絡(luò)通信時，AF識別出該流量，并根據(jù)策略進(jìn)行阻斷和記錄日志。運(yùn)維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側(cè)設(shè)計方案云平臺安全部署框架如上圖所示，在云平臺物理網(wǎng)絡(luò)邊界部署安全、應(yīng)用交付類產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應(yīng)用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺級的整體安全保護(hù)，實(shí)現(xiàn)如區(qū)域劃分、接入控制、病毒防護(hù)、入侵防護(hù)、漏洞檢測、DDoS攻擊防護(hù)、WEB安全防護(hù)、接入安全、服務(wù)器負(fù)載均衡等功能，實(shí)現(xiàn)2到7層安全防護(hù)和應(yīng)用、鏈路的負(fù)載優(yōu)化，實(shí)現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪問控制，保證云平臺和內(nèi)部業(yè)務(wù)系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。 GB/T 250582010 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南216。l 開放適用由于云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標(biāo)準(zhǔn)接口，供開發(fā)者、用戶使用。l 云平臺運(yùn)維：管理平臺（網(wǎng)管平臺、安全管理平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠(yuǎn)程管理可能引入的系統(tǒng)風(fēng)險。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費(fèi)。 ：當(dāng)訪問量過多，業(yè)務(wù)量太大時，用戶的訪問速度變慢，如何在不改變用戶的使用習(xí)慣的情況下，通過合理調(diào)配鏈路、虛擬機(jī)等資源來實(shí)現(xiàn)訪問速度的提升？ 租戶外網(wǎng)業(yè)務(wù)需求分析 租戶的外網(wǎng)業(yè)務(wù)主要是用于各集團(tuán)子公司單位人員接入訪問或者移動辦公、出差人員的訪問，流量經(jīng)過互聯(lián)網(wǎng)或者廣域網(wǎng)，該區(qū)域存在的需求如下：1. 安全接入：訪問的人員需要經(jīng)過認(rèn)證授權(quán)，防止非法訪問，同時流量流經(jīng)城/廣域網(wǎng)，需要進(jìn)行加密傳輸，防止數(shù)據(jù)泄密的風(fēng)險。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來避免資源的浪費(fèi)，實(shí)現(xiàn)資源的動態(tài)調(diào)整。鏈路負(fù)載均衡云平臺接入往往多條運(yùn)營商鏈路，從而保證網(wǎng)絡(luò)服務(wù)的質(zhì)量，消除單點(diǎn)故障，減少停機(jī)時間。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點(diǎn)根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。云平臺接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對托管的業(yè)務(wù)、租賃的服務(wù)進(jìn)行運(yùn)維管理，因此需要對接入平臺的租戶身份進(jìn)行有效的認(rèn)證，避免非法用戶接入帶來的危害；而對于普通用戶來說，平臺內(nèi)部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個大平臺內(nèi)部，不同的云業(yè)務(wù)及虛擬私有云之間會有大量的信息交互，因此需要考慮如何保障云間業(yè)務(wù)的安全互聯(lián)，避免信息泄露和越權(quán)訪問。云應(yīng)用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復(fù)雜，需要一個靈活動態(tài)安全機(jī)制來適配虛擬化網(wǎng)絡(luò)安全防護(hù)。因此平臺層的安全建設(shè)需要從平臺安全防護(hù)，平臺的接入安全，以及平臺服務(wù)可靠性方面來建設(shè)，保證云平臺業(yè)務(wù)系統(tǒng)安全可靠運(yùn)行。第二章 需求分析集團(tuán)的云平臺一般為專有云架構(gòu)，專有云平臺承擔(dān)集團(tuán)內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為各分公司、集團(tuán)子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。云計算提高業(yè)務(wù)系統(tǒng)的部署效率云平臺具有較高的靈活性，集團(tuán)實(shí)施新的應(yīng)用系統(tǒng)時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高應(yīng)用部署速度。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺，這也將成為拉動整個虛擬化云平臺市場持續(xù)走高的成長動力。每家單位都要建立自己的云計算模式，其第一步要做的就是完成內(nèi)部云或私有云的建制。這帶來了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機(jī)房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，集團(tuán)不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級，節(jié)省了運(yùn)維費(fèi)用。同時，在部署了以云計算為技術(shù)支撐的云平臺以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得業(yè)務(wù)系統(tǒng)的統(tǒng)一化不再停留在前臺展示層面，而切切實(shí)實(shí)的實(shí)現(xiàn)服務(wù)的高效與統(tǒng)一。歸納起來，云平臺整體安全需求如下圖所示： 平臺側(cè)需求對于云來說，平臺無疑是對外提供服務(wù)的基礎(chǔ)，無論是建設(shè)運(yùn)營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關(guān)注的。所以云平臺安全建設(shè)需要包含檢測和清除病毒蠕蟲木馬等惡意內(nèi)容的機(jī)制。因此需要有效的手段來識別并防護(hù)針對系統(tǒng)漏洞的攻擊。訪問控制系統(tǒng)應(yīng)根據(jù)各業(yè)務(wù)的安全級別要求和全網(wǎng)安全策略控制出入網(wǎng)絡(luò)的信息流，并且系統(tǒng)本身具有較強(qiáng)的抗攻擊能力。黑客控制著大量的僵尸“肉機(jī)”，從而發(fā)起向云平臺的大量異常請求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應(yīng)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外聯(lián)服務(wù)平臺無法對外正常提供服務(wù)，影響云平臺和各集團(tuán)子公司部門正常的業(yè)務(wù)開展。在這種情況下