【正文】 戶側需求 租戶間隔離需求分析 在設計方案中我們看到，要求將各部門的業(yè)務通過邏輯隔離劃分不同的安全域，首先云平臺建設時需考慮將基礎設施資源劃分為兩個獨立的區(qū)域，兩個區(qū)域間不能直接訪問，僅能通過跨網數據交換區(qū)進行數據交換。3. 流量清洗：病毒、木馬可以通過廣域網擴散到云平臺，而終端用戶的安全意識往往比較薄弱，如果終端被黑客控制，成為黑客攻擊的跳板，將會對整個云平臺業(yè)務造成損失，因此我們需要對訪問流量進行清洗，以保證其安全性。同時云平臺管理員從安全管理平臺上能夠看到當前平臺下所有虛機的安全風險狀況，從而可以更加有效的管理整個云平臺的安全。 《國家信息化領導小組關于推進國家電子政務網絡建設的意見》（中辦發(fā)[2006]18號）；216。. 應用安全防護云環(huán)境中B/S架構的業(yè)務普遍存在，大量的底層系統(tǒng)和Web業(yè)務應用會成為黑客入侵的跳板，因此需要有效的手段防御WEB應用攻擊，防止云平臺在應用安全保護上出現短板。深信服NGAF提供了業(yè)界領先的訪問控制、入侵防御、病毒防護、漏洞保護、Web應用安全保護等功能，實時防御來自互聯網、外網的非法訪問、入侵、蠕蟲、病毒、木馬、漏洞攻擊、web攻擊、應用攻擊等威脅行為，確保用戶接入安全，保障平臺網絡和業(yè)務系統(tǒng)數據持續(xù)安全運行。l 在租戶業(yè)務系統(tǒng)的安全接入方面，我們的設計思路是從身份認證安全（訪問事前控制）、終端訪問及數據傳輸安全（訪問事中檢查）、權限和應用訪問審計（訪問事后追查），這三個方面來進行安全體系來深入考慮。利用鏈路繁忙控制、智能路由等技術，通過事先設定好負載算法，就能按照事先設定的鏈路利用策略將流量分配到不同的鏈路之上，實現多條鏈路負載運行，保障了網絡資源利用率的最優(yōu)、最大化。l 租戶虛機L2L7安全在租戶虛機的L27安全這一塊，我們?yōu)槊總€租戶部署一套虛擬防火墻并開啟FW+IPS功能模塊，通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算系統(tǒng)中若干關鍵點的信息，檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。本解決方案中將從以下方面來解決上述問題：建立虛擬機健康檢查機制，當虛擬機出現業(yè)務故障時，能夠即刻監(jiān)測，并通知管理平臺重啟虛擬機，快速恢復業(yè)務；并且當虛擬機退出和進入時，幫助用戶平滑下線和溫暖上線；通過性能優(yōu)化機制，節(jié)省服務器性能消耗，減少硬件投資成本，保障服務器高性能；建立虛機負載均衡機制，容災冗余的同時，在業(yè)務高峰期或低谷期動態(tài)增加或刪除虛擬機，使得配置更靈活，資源利用更充分；通過與虛擬化基礎架構的智能交互，簡化運維管理，實現配置自動化，提高運維效率，避免人為失誤；針對對外發(fā)布的應用，解決因用戶的網絡質量差、跨運營商訪問造成訪問速度變慢的情況，提升用戶的訪問體驗；為了保障云平臺內部應用系統(tǒng)的安全發(fā)布，并實現智能終端對業(yè)務的無縫訪問，可以部署深信服SSL VPN設備，實現云應用的授權訪問，保障遠程訪問安全，實現應用系統(tǒng)安全加固，確保合法身份通過合法行為接入合法系統(tǒng)。（4）流量整形，合理規(guī)劃帶寬資源通過應用流量可視化了解各應用的流量分布情況后，現可根據業(yè)務關鍵程度進行流量整形。 注冊開通：在授權服務器上開通216。從而將資源的調度管理更加集約化、易用化。云平臺將實現軟硬件資源所有權與使用權的分離，使用部門將在不擁有軟硬件資源的情況下享受信息服務。你必須努力，當有一天驀然回首時，你的回憶里才會多一些色彩斑斕，少一些蒼白無力。本解決方案中涉及的云安全、優(yōu)化組件只需簡單4步，就能快速部署上線，無需機房連線操作，設備的配置界面保持了與硬件設備一致的風格，讓云中心/租戶管理員只需要數分鐘時間，就可以快速完成業(yè)務的上線部署 高協(xié)同：降低信息共享和業(yè)務協(xié)同難度長期以來，IT系統(tǒng)的建設普遍存在資源分散、安全管控難等問題。從用戶資源的申請、審批到分配部署的智能化。216。對與數據中心同步無關的流量進行削減后，約可實現30%50%以上的削減。在虛擬化數據中心里，各種應用有可能部署在同一臺服務器上，導致邊界弱化和越權訪問等問題，難于識別虛擬化網絡內部的網絡層和應用層安全風險，安全等級難以劃分；虛擬防火墻根據國家等級保護規(guī)范，提供了完整的應用控制方案，并對虛擬機與虛擬機之間的流量進行7層的安全檢測，提供基于應用的安全控制，使不同業(yè)務之間的虛擬機互相隔離。如區(qū)域劃分、接入控制、病毒防護、入侵防護、漏洞檢測、DDoS攻擊防護、WEB安全防護、數據泄露保護、網頁篡改保護、服務器負載均衡等。NGAF采用自主研發(fā)的DOS/DDoS攻擊算法，可防護基于數據包的DOS攻擊、IP協(xié)議報文的DOS攻擊、TCP協(xié)議報文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現L2L7層的異常流量清洗。當主線路組中的某條線路中斷，則該條線路上的數據則自動切換到主線路組中的其他線路上；當主線路組中所有線路都無法使用時，則備線路組自動啟用。特征庫的數量目前已達五十萬，并且依然以每兩周升級一次的速度持續(xù)進行更新。. 防網絡病毒NGAF提供了先進的網絡級病毒防護功能，能夠有效查殺病毒木馬、僵尸網絡、APT攻擊、漏洞攻擊等威脅，防止針對云平臺的病毒入侵行為。 GB/T 222402008 信息安全技術 信息系統(tǒng)安全等級保護定級指南216。從而讓租戶管理員輕松的了解目前的安全短板所在，從而進行針對性的補足。故障、用戶的請求被錯誤的分配等問題，我們需要提供一種有效的方法實現云應用的實時監(jiān)控及訪問請求的智能調度，杜絕因虛機故障或應用假死造成訪問中斷。黑客控制著大量的僵尸“肉機”，從而發(fā)起向云平臺的大量異常請求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應的信息，嚴重消耗網絡系統(tǒng)資源，導致外聯服務平臺無法對外正常提供服務，影響云平臺和各集團子公司部門正常的業(yè)務開展。因此需要有效的手段來識別并防護針對系統(tǒng)漏洞的攻擊。歸納起來，云平臺整體安全需求如下圖所示： 平臺側需求對于云來說，平臺無疑是對外提供服務的基礎，無論是建設運營方，還是租戶，對于平臺自身的可靠性、安全性都是極為關注的。這帶來了兩大好處：一是不需要投資建立大量的數據中心和大型機房，購買服務器和存儲設備等，從而節(jié)省建設費用；二是信息軟硬件資源交給專業(yè)的云服務商管理，集團不再負擔信息系統(tǒng)維護和升級，節(jié)省了運維費用。內部云建制的科技基礎就是虛擬化云平臺，這也將成為拉動整個虛擬化云平臺市場持續(xù)走高的成長動力。第二章 需求分析集團的云平臺一般為專有云架構，專有云平臺承擔集團內部服務的內容如業(yè)務應用系統(tǒng)等，為各分公司、集團子公司的應用系統(tǒng)提供基礎設施支撐。云應用安全需求云環(huán)境的隨需部署和動態(tài)遷移，使安全策略的部署變得復雜，需要一個靈活動態(tài)安全機制來適配虛擬化網絡安全防護。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網絡入口點根據設定的安全規(guī)則，檢查經過的通信流量，在保護內部網絡安全的前提下，對兩個或多個網絡之間傳輸的數據包和聯接方式按照一定的安全策略進行檢查，來決定網絡之間的通信是否被允許。在業(yè)務的低谷期，能夠減少虛擬機來避免資源的浪費，實現資源的動態(tài)調整。在業(yè)務的低谷期，能夠減少虛擬機來避免資源的浪費。l 開放適用由于云計算平臺為各業(yè)務應用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標準接口，供開發(fā)者、用戶使用。運維管理網邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺側設計方案云平臺安全部署框架如上圖所示，在云平臺物理網絡邊界部署安全、應用交付類產品，如下一代防火墻NGAF、安全網關SSL VPN、應用交付AD等產品，形成安全硬件資源池，在物理網絡出口提供平臺級的整體安全保護，實現如區(qū)域劃分、接入控制、病毒防護、入侵防護、漏洞檢測、DDoS攻擊防護、WEB安全防護、接入安全、服務器負載均衡等功能，實現2到7層安全防護和應用、鏈路的負載優(yōu)化，實現精細的區(qū)域劃分與可視化的權限訪問控制，保證云平臺和內部業(yè)務系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。NGAF有效結合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機制，實現雙向的內容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。深信服SSL VPN網關也提供了專業(yè)的IPSec VPN功能，滿足云平臺業(yè)務使用IPSec VPN技術專網互聯的需求，實現各區(qū)域安全數據安全加固。本方案建議根據情況，進行客戶端安全檢查結果進行相應應用訪問權限的準入和授權，同時通過SSL VPN成功接入到內網中后，則自動斷開其他的Internet線路，只保留SSL VPN的通道，防止黑客通過Internet控制接入。這樣，只要其中一個站點可達，即可表明鏈路狀態(tài)良好。云環(huán)境中B/S架構的業(yè)務普遍存在，大量的底層系統(tǒng)和Web業(yè)務應用引入各種各樣的漏洞，因此需要在安全資源池中分配虛擬防火墻對指定的業(yè)務系統(tǒng)系統(tǒng)或web應用進行防御，解決常見的web應用安全問題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請求偽造，網站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風險發(fā)現。事中檢查：系統(tǒng)終端訪問過程安全在訪問這些應用系統(tǒng)的過程中，應該更應該考慮訪問、讀取過程的安全，而終端的接入過程影響著整個系統(tǒng)的安全，對于終端接入的安全需要從終端本身方面保證，接入的終端必須達到一定的安全標準才允許接入，避免危險終端的接入。根據各個集團子公司租戶在云平臺的應用場景，可以劃分為：網站/應用的托管部署n 應用需求：將單個應用，完全部署在云平臺環(huán)境中，對公眾、橫向兄弟單位提供接入訪問n 建議部署組件：采用vAF提供租戶間、對外南北流量的安全防護；vAD提供虛擬機的服務器負載均衡，提升應用的可靠性應用混合云部署n 應用需求：在云平臺部署了部分應用系統(tǒng)，或者單個應用的系統(tǒng)的部分組件（如僅部署Web服務器，DB還在傳統(tǒng)數據中心），這些虛擬機依然需要與租戶的傳統(tǒng)數據中心（租戶DC）進行數據訪問；同時，為了提升對外訪問的安全性，需要進行加密傳輸和認證加固。通過對租戶的分級管理，實現了私有云多級資源分配的要求，通過定制個性化的審批流程，使得服務的申請更符合某些特殊業(yè)務的多級審批要求。 高性價比：降低IT建設成本在云平臺上，所有的安全、優(yōu)化等組件均按需擴展。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時間，總會看清一些事。有時候覺得自己像個神經病。這帶來了三大好處：一是不需要投資建立數據中心和大型機房，購買服務器和存儲設備等，從而節(jié)省建設費用；二是信息軟硬件資源交給專業(yè)的云服務商管理，不再負擔信息系統(tǒng)維護和升級，節(jié)省了運維費用。