华为公有云数据中心安全解决方案主打胶片.docVIP

2016年4月15日星期五 打造安全可信的云数据中心 ——华为公有云数据中心安全解决方案 Content 1 云计算发展面临新安全挑战 2 华为数据中心安全解决方案 3 成功案例 2 数据中心网络的变化 应用弹性扩展 边界在延伸 威胁升级 安全管理复杂 ? 公有云/私有云/混合云 ? 应用弹性伸缩 ? 虚拟化，服务器边界延伸 ? 移动互联，用户边界延伸 ? 内部APT攻击/Outbound DDoS ? OS/WEB/APP/DB 0 day漏洞 ? 安全策略需跟随虚拟机变化 ? IP语言，不感知业务 3 传统安全不适应应用弹性拓展 区域DC 容灾DC 安全不适应频繁的应用扩展 新增一个业务，需要在DCN边界、DCN内网涉及数 10台安全设备连续开访问策略，花费1个多月才能处 In 理完！ 例：分区1新的WEB业务上线 ① Internet－DMZ FW －内网 FW －VM; ② Extranet/Subscriber－边界 FW －内网 FW －VM; ③ DC1 VM － DC1 内网FW －DC1边界 FW－ DC2 边网FW －DC2 内网 FW －VM ④ ……. VM VM VM VM 安全不适应VM的变化迁移 DC下VM的迁移较多且IP不变，传统安全基于IP的访 VM上线 VM迁移 VM下线 问控制策略策略，无法适应数据中心这种频繁的变化 例：VM迁移后 ① Internet－DMZ FW －内网 FW －VM; ② Extranet/Subscriber－边界 FW －内网 FW －VM; 4 虚拟化打破传统网络安全边界 在云计算服务中，用户最关注的就是安全问题 ------IDC 的高级副总裁兼首席分析师Frank Gens 60%的虚拟化数据中心的安全性都将令人堪忧…… ------- Gartner报告 过去－1：1攻击 现在－1：N攻击 VM相互攻击 vSw tch A B C D E 虚拟化二层流量直接通 过vSwitch交互 VM 1 M VM 5 虚拟化二层网络下，可信区域不复存在 安全分区与网络解耦，更底层的攻击形态出现 ? 虚拟化二层流量直接通过vSwitch交互，流量不可视不可控 ? VM跨POD、DC或跨公有云迁移，扩大了网络犯罪者的活 动范围 ? 对某一台虚拟机的控制，就可以对其他虚拟机发起攻击1： N，从而获得整个服务器群的控制权 5 云中心成为僵尸网络发起地 More Mobile More App-DDoS More from DC App in 2013 250家 LTE商用网络 46% 智能终端增长 攻击工具移动化 AnDOSid/ LOIC/ Android.DDoS.1.origin in 2013 42% App攻击增长 26% HTTP Flood 40% 混合型攻击增长 越来越多的攻击源自IDC DC server 成为肉鸡 DC 拥有极大的攻击带宽 大型攻击多源自DC 6 安全管理复杂 ？？？ 云的安全失控趋势，缺乏整体呈现 ? 可审查性、取证困难：计算资源共享、 数 管理员 据存储位置未知、网络边界崩溃、不可控 的外部供应商 ? 策略管理复杂，部署依赖手工：基于IP的 Access vSwitch 安全策略不体现业务，策略管理复杂，如 何感知业务，并自动分发到租户 ? 缺乏全局安全态势呈现：传统安全缺乏宏 观的安全态势感知，只能“事后感知”而 无法“事前防护” 租户1 租户2 租户3 7 Content 1 云计算发展面临新安全挑战 2 华为数据中心安全解决方案 3 成功案例 8 华为下一代DC安全方案价值 智能防御 ? 1.44T级防御性能，抵御各种新型攻击（Outbound DDoS） ? 虚拟化安全精细防御，抵御大二层威胁扩张 ? 智能联防，基于SDN统一调度 按需弹性 ? 安全业务分钟级开通，90%去手工 ? 感知应用，按需弹性升缩： ? VM迁移感知，策略和会话同步，0配置随行 ? L4~L7全业务虚拟化，物理+虚拟资源池化，1：M，N：1 统一管理 ? 物理+虚拟资源统一管理 ? 基于业务感知的智能策略管理 ? 安全态势智能感知，准确展示安全全貌 9 IDC安全需求 提供给租户可信的云服务 云 服 务 SaaS （按需求将应用软件为服务提供给客户） PaaS （中间件优化：应用服务器、数据库服 务器、门户服务器） IaaS (虚拟化服务器、存储、网络) 面 向 租 户 服务 效率 管理 虚拟化 自动化 管理 SecaaS 业务开通和编排 配置和报表 ? L4~L7功能虚拟化 ? 定制业务自动发放 ? 物理+虚拟策略 ? 软件硬件资源池化 ? 灵活业务编排 ? 报表 云 平 台 业务支撑服务 (客户管理、订购管理、计费) 运营支撑服务 (实例、