SANGFOR_AF_方案模板_数据中心应用层安全加固方案V2.0.docxVIP

深信服数据中心应用层安全加固解决方案 深信服科技版权所有 PAGE \* Arabic 2 / NUMPAGES \* Arabic 21 深信服数据中心应用层安全加固解决方案 深信服科技股份有限公司 20XX年XX月XX日  目录 TOC \o 1-3 \h \z \u 深信服数据中心应用层安全加固解决方案 1 目录 2 1 应用背景 3 2 需求分析 4 2.1 数据中心一期建设拓扑图 4 2.2 数据中心安全仍面临的挑战 4 2.2.1 应用层防护存在短板 4 2.2.2 边界防御面临失陷的风险 4 2.3 复杂的业务环境导致安全管理困难 5 3 安全加固目标 7 4 方案设计 8 4.1.1 方案概述 8 4.1.2 方案拓扑 9 5 方案特点 11 5.1 完整、精简的安全架构，满足高可靠要求 11 5.2 独特的双向检测技术，有效发现失陷主机 12 5.3 可视化的安全态势感知，更简化的安全管理 12 5.3.1 全局安全可视 13 5.3.2 实时漏洞发现 15 5.3.3 简化运维管理 16 6 产品选型 18 6.1 产品选型 18 6.2 服务列表 18 7 关于深信服 19  应用背景 数据中心是IT建设数据大集中的产物，作为业务集中化部署、发布、存储的区域，数据中心承载着业务的核心数据以及机密信息。为了保证用户能够更安全，更便捷的访问数据中心的业务，数据中心新建时完成了第一期初步的网络安全的建设。在一期初步的网络安全建设规划方案中，防火墙被用作主要的网络安全设备对安全域进行了划分，将数据中心区域分割成为应用服务区、数据库服务器区、边界接入区、安全管理区域等多个网络层相互逻辑隔离的区域，防止内、外部安全风险危害各个业务区域。 由于数据中心业务变得越来越开放、攻击变得越来越复杂导致数据中心安全面临更大的风险。以防火墙为核心规划的数据中心安全仅仅是数据中心安全建设的第一步，还需要辅助更多的安全技术手段，对数据中心进行安全加固，以提升数据中心安全防护能力。针对数据中心主流的安全威胁，仅仅部署了传统防火墙的数据中心依然存在大量的安全隐患。  需求分析 数据中心一期建设拓扑图 数据中心安全仍面临的挑战 应用层防护存在短板 应用层防护存在短板，数据中心边界容易被突破。根据Gartner的报告，用户面临的网络攻击中75%来自应用层，包括Web攻击、僵尸木马、应用程序漏洞攻击等。不同于网络层的攻击，应用层的攻击面向系统、应用程序，数据库，发生频率更大，操作更简单，对数据中心的业务、数据造成损失更严重。而当前数据中心以防火墙为核心进行了安全域的划分，在应用层攻击的防护上存在明显的短板，是本次安全加固方案中首先需要解决的问题。 边界防御面临失陷的风险 边界防御面临失陷的风险，失陷主机导致数据被盗。RSA总裁AmitYoran认为2014年的网络安全是“Mega Breach”（Breach，失陷），而2015年的安全形势比2014年更糟，将是“Super Mega Breach”的一年。 因为数据中心面临更高级的安全威胁，有太多的攻击手段可以绕过传统的防御工事，比如各种欺诈、0Day攻击、APT攻击等。而攻击者一旦突破了边界，就会在数据中心内部潜伏下来，通过控制一些主机，进行隐蔽的、慢速的，通过不容易被发现的横向移动的方式持续对数据中心的数据进行持续的窃取。比如通过僵尸主机作为跳板对数据中心核心的业务系统。由于边界的防御缺乏持续对失陷主机进行持续检测的能力，导致数据中心存在大量被控制的主机也无法察觉。 由于传统防火墙以及防御体系主要是基于由外到内的数据流量，而失控主机往往利用好的是由内到外的数据流量，因此在检测手段和方法方面，存在着严重的不足和滞后。而一旦域内某台主机被感染恶意程序或木马（APT、系统漏洞、恶意文件等手段），就会成为攻击者手中的“合法跳板”，这对于企业内部网络、高级用户的终端、服务器进行肆意的窥探，窃取更有价值的数据和文件。 复杂的业务环境导致安全管理困难 IT已经成为提升组织业务效率必不可少的重要手段，“业务型的IT”使得数据中心肩负的职能越来越高。自组织数据中心建设已来，已上线大量的应用和系统，使得数据中心业务的复杂度也越来越高。业务的复杂对安全管理提出了更高的挑战，如何应对业务快速上线带来的安全管理的挑战？如何准确的了解数据中心安全态势？如何及时发现数据中心存在的安全隐患？并通过简单有效的手段及时解决问题？成为数据中心安全管理的几个核心问题。 缺乏整体安全视角 在一期建设中，数据中心的安全采用了防火墙等一些割裂的