XXX云资源池安全建设方案.docxVIP

XXX云资源池安全建设方案 需求分析 等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策， 是综合性的安全系统工程，等级保护制度同样适用于云环境，在云环境中，各私有云之间和各用户之间的边界模糊化，无法划分区域，从而导致无法根据不同区域面临的防护需求制定不同的安全策略，无法满足等保要求。 云和虚拟化的安全首先是要解决虚拟环境中网络流的调度，其次根据网络流所属的安全域，提供不同的检测和防护手段，最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。 XXX云资源池对安全的需求为： 实现集中采集 根据XXX云资源池的网络结构和应用特点，应采用“流量集中采集、安全产品自主分流”的方式，避免多头采集带来的性能损耗。 实现集中管理和部署 实现对安全产品的统一管理。使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询，而不必面对多个管理入口，从而有效提高管理效率。 实现虚拟安全域可视化 能够直观的展现虚拟安全域的网络流连接情况，使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况，资产之间的实际流量连接关系拓扑等。从而有效的避免虚拟资产黑箱化的风险。 实现虚拟流量的入侵检测 能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/下载、网络游戏、视频/音频、网络炒股）等威胁进行检测能力，防止利用虚拟机被作为攻击跳板的行为。 实现虚拟流量的网络及数据库行为审计 能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，促进核心资产数据库、服务器等的正常运营。 实现虚拟环境下访问控制 能够提供针对租户南北向的访问控制，集防火墙、VPN等多种安全技术于一身，同时全面支持各种路由协议、QoS等功能，为租户网络边界提供了访问控制以及远程VPN接入实现数据的全程加密访问。 设计原则 根据以上对XXX云安全需求的分析，XXX云安全资源池的建设应遵循以下原则： 多样产品组合，产生协同效应：单一的安全产品是无法满足高级别的安全合规要求（例如等保），安全资源池支持多个虚拟安全产品并行运行，不同种类的安全产品组合在一起，产生协同效应，不但可以产生出新的安全价值，而且可以更好的满足安全合规要求。 高效利用资源，节省运维成本：安全资源池可以将多个安全产品以虚拟机的方式运行在一台硬件设备中，充分发挥了硬件性能，提高了硬件使用效率。另外，在节约了硬件成本的同时，还节省了以往多台硬件消耗的机架租金、电力、人力维护等运维成本。多个安全产品部署在同一台设备中，可节约交换机物理端口资源的占用，缩短了产品上线时间。 快速部署实现，即时应急响应：安全资源池可以从安全市场获得各种安全产品虚机映像，通过虚机映像可以快速创建各种虚拟化的安全产品，这个过程最多十几分钟，最快甚至只需要1~2分钟，从而实现了快速部署安全产品。使得用户在面对安全威胁时，迅速以安全产品组织防御体系，帮助用户做到对安全事件的及时响应，维护用户利益。 产品平滑升级，保障系统稳定：安全产品会经常面临特征库或软件版本的升级。有些谨慎的用户，希望在保障业务的前提下进行升级操作。如升级中发现问题，用户希望能迅速回退到最近的正常状态。使用安全资源池可开启多个虚拟机分别运行升级前后的软件。如升级后发现问题，可迅速切换。保障业务稳定运行。 灵活扩展组件，持续提升能力：安全资源池既支持在单机硬件资源允许的条件下，用户通过创建安全产品虚拟机，快速扩展自己的安全能力；同时也要支持分布式系统架构，在单机硬件资源不够时，可将多台主机组成硬件资源池，通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式，近乎无限扩展安全能力。 具备未来扩展到软件定义网络的能力：随着云平台网络虚拟化技术的升级，安全资源池应具备扩展支持SDN的能力，能够与SDN网络对接，实现安全资源服务能力的业务编排，并统一虚拟安全资源和物理安全资源。 整体架构 基于软件定义安全的思想，实现了网络安全设备与它们的接入模式、部署位置解耦合。智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。 安全资源池 由各种物理形态或虚拟形态的网络安全设备组成，兼容各家厂商的产品。这些安全设备不再采用单独部署、各自为政的工作模式，而是由管理中心统一部署、管理、调度，以实现相应的安全功能。安全资源可以按需取用，支持高扩展性、高弹性，就像一个资源池一样。 转发层 本方案中转发层实现可根据XXX云资源池实际情况提供两种部署模式，即SDN模式和虚拟导流模式。实现对IDC资源池虚拟流量的牵引。 SDN模式：适用于云资源池采用SDN技术的环境，即软件定义网络（Software