【正文】 戶(hù)側(cè)需求 租戶(hù)間隔離需求分析 在設(shè)計(jì)方案中我們看到，要求將各部門(mén)的業(yè)務(wù)通過(guò)邏輯隔離劃分不同的安全域，首先云平臺(tái)建設(shè)時(shí)需考慮將基礎(chǔ)設(shè)施資源劃分為兩個(gè)獨(dú)立的區(qū)域，兩個(gè)區(qū)域間不能直接訪(fǎng)問(wèn)，僅能通過(guò)跨網(wǎng)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交換。3. 流量清洗：病毒、木馬可以通過(guò)廣域網(wǎng)擴(kuò)散到云平臺(tái)，而終端用戶(hù)的安全意識(shí)往往比較薄弱，如果終端被黑客控制，成為黑客攻擊的跳板，將會(huì)對(duì)整個(gè)云平臺(tái)業(yè)務(wù)造成損失，因此我們需要對(duì)訪(fǎng)問(wèn)流量進(jìn)行清洗，以保證其安全性。同時(shí)云平臺(tái)管理員從安全管理平臺(tái)上能夠看到當(dāng)前平臺(tái)下所有虛機(jī)的安全風(fēng)險(xiǎn)狀況，從而可以更加有效的管理整個(gè)云平臺(tái)的安全。 《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見(jiàn)》（中辦發(fā)[2006]18號(hào)）；216。. 應(yīng)用安全防護(hù)云環(huán)境中B/S架構(gòu)的業(yè)務(wù)普遍存在，大量的底層系統(tǒng)和Web業(yè)務(wù)應(yīng)用會(huì)成為黑客入侵的跳板，因此需要有效的手段防御WEB應(yīng)用攻擊，防止云平臺(tái)在應(yīng)用安全保護(hù)上出現(xiàn)短板。深信服NGAF提供了業(yè)界領(lǐng)先的訪(fǎng)問(wèn)控制、入侵防御、病毒防護(hù)、漏洞保護(hù)、Web應(yīng)用安全保護(hù)等功能，實(shí)時(shí)防御來(lái)自互聯(lián)網(wǎng)、外網(wǎng)的非法訪(fǎng)問(wèn)、入侵、蠕蟲(chóng)、病毒、木馬、漏洞攻擊、web攻擊、應(yīng)用攻擊等威脅行為，確保用戶(hù)接入安全，保障平臺(tái)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)持續(xù)安全運(yùn)行。l 在租戶(hù)業(yè)務(wù)系統(tǒng)的安全接入方面，我們的設(shè)計(jì)思路是從身份認(rèn)證安全（訪(fǎng)問(wèn)事前控制）、終端訪(fǎng)問(wèn)及數(shù)據(jù)傳輸安全（訪(fǎng)問(wèn)事中檢查）、權(quán)限和應(yīng)用訪(fǎng)問(wèn)審計(jì)（訪(fǎng)問(wèn)事后追查），這三個(gè)方面來(lái)進(jìn)行安全體系來(lái)深入考慮。利用鏈路繁忙控制、智能路由等技術(shù)，通過(guò)事先設(shè)定好負(fù)載算法，就能按照事先設(shè)定的鏈路利用策略將流量分配到不同的鏈路之上，實(shí)現(xiàn)多條鏈路負(fù)載運(yùn)行，保障了網(wǎng)絡(luò)資源利用率的最優(yōu)、最大化。l 租戶(hù)虛機(jī)L2L7安全在租戶(hù)虛機(jī)的L27安全這一塊，我們?yōu)槊總€(gè)租戶(hù)部署一套虛擬防火墻并開(kāi)啟FW+IPS功能模塊，通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。本解決方案中將從以下方面來(lái)解決上述問(wèn)題：建立虛擬機(jī)健康檢查機(jī)制，當(dāng)虛擬機(jī)出現(xiàn)業(yè)務(wù)故障時(shí)，能夠即刻監(jiān)測(cè)，并通知管理平臺(tái)重啟虛擬機(jī)，快速恢復(fù)業(yè)務(wù)；并且當(dāng)虛擬機(jī)退出和進(jìn)入時(shí)，幫助用戶(hù)平滑下線(xiàn)和溫暖上線(xiàn)；通過(guò)性能優(yōu)化機(jī)制，節(jié)省服務(wù)器性能消耗，減少硬件投資成本，保障服務(wù)器高性能；建立虛機(jī)負(fù)載均衡機(jī)制，容災(zāi)冗余的同時(shí)，在業(yè)務(wù)高峰期或低谷期動(dòng)態(tài)增加或刪除虛擬機(jī)，使得配置更靈活，資源利用更充分；通過(guò)與虛擬化基礎(chǔ)架構(gòu)的智能交互，簡(jiǎn)化運(yùn)維管理，實(shí)現(xiàn)配置自動(dòng)化，提高運(yùn)維效率，避免人為失誤；針對(duì)對(duì)外發(fā)布的應(yīng)用，解決因用戶(hù)的網(wǎng)絡(luò)質(zhì)量差、跨運(yùn)營(yíng)商訪(fǎng)問(wèn)造成訪(fǎng)問(wèn)速度變慢的情況，提升用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)；為了保障云平臺(tái)內(nèi)部應(yīng)用系統(tǒng)的安全發(fā)布，并實(shí)現(xiàn)智能終端對(duì)業(yè)務(wù)的無(wú)縫訪(fǎng)問(wèn)，可以部署深信服SSL VPN設(shè)備，實(shí)現(xiàn)云應(yīng)用的授權(quán)訪(fǎng)問(wèn)，保障遠(yuǎn)程訪(fǎng)問(wèn)安全，實(shí)現(xiàn)應(yīng)用系統(tǒng)安全加固，確保合法身份通過(guò)合法行為接入合法系統(tǒng)。（4）流量整形，合理規(guī)劃帶寬資源通過(guò)應(yīng)用流量可視化了解各應(yīng)用的流量分布情況后，現(xiàn)可根據(jù)業(yè)務(wù)關(guān)鍵程度進(jìn)行流量整形。 注冊(cè)開(kāi)通：在授權(quán)服務(wù)器上開(kāi)通216。從而將資源的調(diào)度管理更加集約化、易用化。云平臺(tái)將實(shí)現(xiàn)軟硬件資源所有權(quán)與使用權(quán)的分離，使用部門(mén)將在不擁有軟硬件資源的情況下享受信息服務(wù)。你必須努力，當(dāng)有一天驀然回首時(shí)，你的回憶里才會(huì)多一些色彩斑斕，少一些蒼白無(wú)力。本解決方案中涉及的云安全、優(yōu)化組件只需簡(jiǎn)單4步，就能快速部署上線(xiàn)，無(wú)需機(jī)房連線(xiàn)操作，設(shè)備的配置界面保持了與硬件設(shè)備一致的風(fēng)格，讓云中心/租戶(hù)管理員只需要數(shù)分鐘時(shí)間，就可以快速完成業(yè)務(wù)的上線(xiàn)部署 高協(xié)同：降低信息共享和業(yè)務(wù)協(xié)同難度長(zhǎng)期以來(lái)，IT系統(tǒng)的建設(shè)普遍存在資源分散、安全管控難等問(wèn)題。從用戶(hù)資源的申請(qǐng)、審批到分配部署的智能化。216。對(duì)與數(shù)據(jù)中心同步無(wú)關(guān)的流量進(jìn)行削減后，約可實(shí)現(xiàn)30%50%以上的削減。在虛擬化數(shù)據(jù)中心里，各種應(yīng)用有可能部署在同一臺(tái)服務(wù)器上，導(dǎo)致邊界弱化和越權(quán)訪(fǎng)問(wèn)等問(wèn)題，難于識(shí)別虛擬化網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)層和應(yīng)用層安全風(fēng)險(xiǎn)，安全等級(jí)難以劃分；虛擬防火墻根據(jù)國(guó)家等級(jí)保護(hù)規(guī)范，提供了完整的應(yīng)用控制方案，并對(duì)虛擬機(jī)與虛擬機(jī)之間的流量進(jìn)行7層的安全檢測(cè)，提供基于應(yīng)用的安全控制，使不同業(yè)務(wù)之間的虛擬機(jī)互相隔離。如區(qū)域劃分、接入控制、病毒防護(hù)、入侵防護(hù)、漏洞檢測(cè)、DDoS攻擊防護(hù)、WEB安全防護(hù)、數(shù)據(jù)泄露保護(hù)、網(wǎng)頁(yè)篡改保護(hù)、服務(wù)器負(fù)載均衡等。NGAF采用自主研發(fā)的DOS/DDoS攻擊算法，可防護(hù)基于數(shù)據(jù)包的DOS攻擊、IP協(xié)議報(bào)文的DOS攻擊、TCP協(xié)議報(bào)文的DOS攻擊、基于HTTP協(xié)議的DOS攻擊等，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)層、應(yīng)用層的各類(lèi)資源耗盡的拒絕服務(wù)攻擊的防護(hù)，實(shí)現(xiàn)L2L7層的異常流量清洗。當(dāng)主線(xiàn)路組中的某條線(xiàn)路中斷，則該條線(xiàn)路上的數(shù)據(jù)則自動(dòng)切換到主線(xiàn)路組中的其他線(xiàn)路上；當(dāng)主線(xiàn)路組中所有線(xiàn)路都無(wú)法使用時(shí)，則備線(xiàn)路組自動(dòng)啟用。特征庫(kù)的數(shù)量目前已達(dá)五十萬(wàn)，并且依然以每?jī)芍苌?jí)一次的速度持續(xù)進(jìn)行更新。. 防網(wǎng)絡(luò)病毒NGAF提供了先進(jìn)的網(wǎng)絡(luò)級(jí)病毒防護(hù)功能，能夠有效查殺病毒木馬、僵尸網(wǎng)絡(luò)、APT攻擊、漏洞攻擊等威脅，防止針對(duì)云平臺(tái)的病毒入侵行為。 GB/T 222402008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南216。從而讓租戶(hù)管理員輕松的了解目前的安全短板所在，從而進(jìn)行針對(duì)性的補(bǔ)足。故障、用戶(hù)的請(qǐng)求被錯(cuò)誤的分配等問(wèn)題，我們需要提供一種有效的方法實(shí)現(xiàn)云應(yīng)用的實(shí)時(shí)監(jiān)控及訪(fǎng)問(wèn)請(qǐng)求的智能調(diào)度，杜絕因虛機(jī)故障或應(yīng)用假死造成訪(fǎng)問(wèn)中斷。黑客控制著大量的僵尸“肉機(jī)”，從而發(fā)起向云平臺(tái)的大量異常請(qǐng)求，這種攻擊行為使得Web等系統(tǒng)充斥大量需要響應(yīng)的信息，嚴(yán)重消耗網(wǎng)絡(luò)系統(tǒng)資源，導(dǎo)致外聯(lián)服務(wù)平臺(tái)無(wú)法對(duì)外正常提供服務(wù)，影響云平臺(tái)和各集團(tuán)子公司部門(mén)正常的業(yè)務(wù)開(kāi)展。因此需要有效的手段來(lái)識(shí)別并防護(hù)針對(duì)系統(tǒng)漏洞的攻擊。歸納起來(lái)，云平臺(tái)整體安全需求如下圖所示： 平臺(tái)側(cè)需求對(duì)于云來(lái)說(shuō)，平臺(tái)無(wú)疑是對(duì)外提供服務(wù)的基礎(chǔ)，無(wú)論是建設(shè)運(yùn)營(yíng)方，還是租戶(hù)，對(duì)于平臺(tái)自身的可靠性、安全性都是極為關(guān)注的。這帶來(lái)了兩大好處：一是不需要投資建立大量的數(shù)據(jù)中心和大型機(jī)房，購(gòu)買(mǎi)服務(wù)器和存儲(chǔ)設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專(zhuān)業(yè)的云服務(wù)商管理，集團(tuán)不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級(jí)，節(jié)省了運(yùn)維費(fèi)用。內(nèi)部云建制的科技基礎(chǔ)就是虛擬化云平臺(tái)，這也將成為拉動(dòng)整個(gè)虛擬化云平臺(tái)市場(chǎng)持續(xù)走高的成長(zhǎng)動(dòng)力。第二章 需求分析集團(tuán)的云平臺(tái)一般為專(zhuān)有云架構(gòu)，專(zhuān)有云平臺(tái)承擔(dān)集團(tuán)內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為各分公司、集團(tuán)子公司的應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。云應(yīng)用安全需求云環(huán)境的隨需部署和動(dòng)態(tài)遷移，使安全策略的部署變得復(fù)雜，需要一個(gè)靈活動(dòng)態(tài)安全機(jī)制來(lái)適配虛擬化網(wǎng)絡(luò)安全防護(hù)。訪(fǎng)問(wèn)控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點(diǎn)根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過(guò)的通信流量，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來(lái)避免資源的浪費(fèi)，實(shí)現(xiàn)資源的動(dòng)態(tài)調(diào)整。在業(yè)務(wù)的低谷期，能夠減少虛擬機(jī)來(lái)避免資源的浪費(fèi)。l 開(kāi)放適用由于云計(jì)算平臺(tái)為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開(kāi)放性，提供開(kāi)放標(biāo)準(zhǔn)接口，供開(kāi)發(fā)者、用戶(hù)使用。運(yùn)維管理網(wǎng)邊界：下一代防火墻、一套集中管理系統(tǒng)SC 平臺(tái)側(cè)設(shè)計(jì)方案云平臺(tái)安全部署框架如上圖所示，在云平臺(tái)物理網(wǎng)絡(luò)邊界部署安全、應(yīng)用交付類(lèi)產(chǎn)品，如下一代防火墻NGAF、安全網(wǎng)關(guān)SSL VPN、應(yīng)用交付AD等產(chǎn)品，形成安全硬件資源池，在物理網(wǎng)絡(luò)出口提供平臺(tái)級(jí)的整體安全保護(hù)，實(shí)現(xiàn)如區(qū)域劃分、接入控制、病毒防護(hù)、入侵防護(hù)、漏洞檢測(cè)、DDoS攻擊防護(hù)、WEB安全防護(hù)、接入安全、服務(wù)器負(fù)載均衡等功能，實(shí)現(xiàn)2到7層安全防護(hù)和應(yīng)用、鏈路的負(fù)載優(yōu)化，實(shí)現(xiàn)精細(xì)的區(qū)域劃分與可視化的權(quán)限訪(fǎng)問(wèn)控制，保證云平臺(tái)和內(nèi)部業(yè)務(wù)系統(tǒng)具備更高的安全性、可用性、持續(xù)性，以及快速性。NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過(guò)程的動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向的內(nèi)容檢測(cè)，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見(jiàn)的web攻擊。深信服SSL VPN網(wǎng)關(guān)也提供了專(zhuān)業(yè)的IPSec VPN功能，滿(mǎn)足云平臺(tái)業(yè)務(wù)使用IPSec VPN技術(shù)專(zhuān)網(wǎng)互聯(lián)的需求，實(shí)現(xiàn)各區(qū)域安全數(shù)據(jù)安全加固。本方案建議根據(jù)情況，進(jìn)行客戶(hù)端安全檢查結(jié)果進(jìn)行相應(yīng)應(yīng)用訪(fǎng)問(wèn)權(quán)限的準(zhǔn)入和授權(quán)，同時(shí)通過(guò)SSL VPN成功接入到內(nèi)網(wǎng)中后，則自動(dòng)斷開(kāi)其他的Internet線(xiàn)路，只保留SSL VPN的通道，防止黑客通過(guò)Internet控制接入。這樣，只要其中一個(gè)站點(diǎn)可達(dá)，即可表明鏈路狀態(tài)良好。云環(huán)境中B/S架構(gòu)的業(yè)務(wù)普遍存在，大量的底層系統(tǒng)和Web業(yè)務(wù)應(yīng)用引入各種各樣的漏洞，因此需要在安全資源池中分配虛擬防火墻對(duì)指定的業(yè)務(wù)系統(tǒng)系統(tǒng)或web應(yīng)用進(jìn)行防御，解決常見(jiàn)的web應(yīng)用安全問(wèn)題，如SQL注入攻擊，跨站腳本攻擊攻，CSRF即跨站請(qǐng)求偽造，網(wǎng)站掃描攻擊，文件包含漏洞攻擊，目錄遍歷漏洞及弱口令風(fēng)險(xiǎn)發(fā)現(xiàn)。事中檢查：系統(tǒng)終端訪(fǎng)問(wèn)過(guò)程安全在訪(fǎng)問(wèn)這些應(yīng)用系統(tǒng)的過(guò)程中，應(yīng)該更應(yīng)該考慮訪(fǎng)問(wèn)、讀取過(guò)程的安全，而終端的接入過(guò)程影響著整個(gè)系統(tǒng)的安全，對(duì)于終端接入的安全需要從終端本身方面保證，接入的終端必須達(dá)到一定的安全標(biāo)準(zhǔn)才允許接入，避免危險(xiǎn)終端的接入。根據(jù)各個(gè)集團(tuán)子公司租戶(hù)在云平臺(tái)的應(yīng)用場(chǎng)景，可以劃分為：網(wǎng)站/應(yīng)用的托管部署n 應(yīng)用需求：將單個(gè)應(yīng)用，完全部署在云平臺(tái)環(huán)境中，對(duì)公眾、橫向兄弟單位提供接入訪(fǎng)問(wèn)n 建議部署組件：采用vAF提供租戶(hù)間、對(duì)外南北流量的安全防護(hù)；vAD提供虛擬機(jī)的服務(wù)器負(fù)載均衡，提升應(yīng)用的可靠性應(yīng)用混合云部署n 應(yīng)用需求：在云平臺(tái)部署了部分應(yīng)用系統(tǒng)，或者單個(gè)應(yīng)用的系統(tǒng)的部分組件（如僅部署Web服務(wù)器，DB還在傳統(tǒng)數(shù)據(jù)中心），這些虛擬機(jī)依然需要與租戶(hù)的傳統(tǒng)數(shù)據(jù)中心（租戶(hù)DC）進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)；同時(shí)，為了提升對(duì)外訪(fǎng)問(wèn)的安全性，需要進(jìn)行加密傳輸和認(rèn)證加固。通過(guò)對(duì)租戶(hù)的分級(jí)管理，實(shí)現(xiàn)了私有云多級(jí)資源分配的要求，通過(guò)定制個(gè)性化的審批流程，使得服務(wù)的申請(qǐng)更符合某些特殊業(yè)務(wù)的多級(jí)審批要求。 高性?xún)r(jià)比：降低IT建設(shè)成本在云平臺(tái)上，所有的安全、優(yōu)化等組件均按需擴(kuò)展。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無(wú)反顧，勇往直前，輕松自如地走好人生路上的每一步3. 花一些時(shí)間，總會(huì)看清一些事。有時(shí)候覺(jué)得自己像個(gè)神經(jīng)病。這帶來(lái)了三大好處：一是不需要投資建立數(shù)據(jù)中心和大型機(jī)房，購(gòu)買(mǎi)服務(wù)器和存儲(chǔ)設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專(zhuān)業(yè)的云服務(wù)商管理，不再負(fù)擔(dān)信息系統(tǒng)維護(hù)和升級(jí)，節(jié)省了運(yùn)維費(fèi)用。