深信服云安全资源池解决方案PPT课件.ppt

深信服云安全服务 依托于深信服企业级公有云平台（xyclouds）提供安全增值服务，服务交付方式为轻量级交付，具体为： 修改DNS CNAME记录，使用户流量经过云平台清洗后返回源站。 提供如下功能： 资产发现：自动识别域名、IP、服务、网站、应用资产； 风险感知：发现漏洞风险、配置风险、内容风险、数据风险、资产风险、应用风险； 风险预警：企业应用漏洞预警、全球安全事件预警、高危风险预警； 专家咨询：专家咨询、漏洞验证、人工渗透、应急响应 * 安全资源服务交付流程 平台方运营方界面 * 安全资源服务交付流程——发起请求 基础防御包 高级防御包 租户 计算资源 存储资源 应用 数据库 安全接入包 租户A 增值业务包 基础防御包 云端监测包 计算资源 存储资源 应用 数据库 租户B 租户A的业务主要是面向系统内部员工开放的，为了保证内部系统数据传输安全，需要使用IPSEC VPN互联，需要对内部系统开启IPS WAF 网页防篡改等功能 所以，建议租户选择“安全接入包”“基础防御包”“高级防御包” 租户B的业务是面向公众的，系统架构为B/S架构，公众通过域名访问。为了避免系统被恶意扫描、入侵、篡改，系统出现问题，可以及时发现，所以建议用户使用使用“基础防御包”“高级防御包”“云端检测包”。 另外，为了保证系统的可用性，提升服务器、业务系统的使用效率，可以建议用户选择增值服务包中的“负载均衡” 高级防御包 * 安全资源服务交付流程——定义安全服务 安全服务定义 场景定义 交付功能定义 安全资源服务交付流程——分配安全服务 * 安全资源服务交付流程——安全服务编排 * 租户A安全服务 租户B安全服务 基础防御包 高级防御包 云端监测包 云端监测包 安全接入包 高级防御包 授权资源池 安全服务编排，释放租户需要的安全服务 自动化网络基础信息配置（IP、路由等） 云安全资源池 安全资源服务运营-安全资源管理员 资源管理员： 根据租户选择的服务包类型，分配服务包到租户账户下，安全资源管理员拥有安全服务编排权限 安全资源运行报告与日志： 根据安全资源池租户使用情况，按照月、季度、年生成资源运行报告，针对资源使用/分配情况占比，资源利用率等维度，为租户、平台运维方提供有效资源配置建议 * 安全资源服务日常运营流程 面向租户运营界面 云安全服务中心——租户安全服务可视、可配置 流量可视模块： 由于云上流量的不可视，导致用户对自己虚拟网络架构内部应用流量交互不清晰，流量可视模块，为用户展现网络流量组成（哪些具体应用，流量大小等），让用户随时了解业务流量组成 安全可视模块： 安全资源池内各组件（IPS组件、WEB防火墙组件、失陷主机组件等）的日志，通过安全可视模块进行收集，统一汇总，对用户汇总展现当前业务系统面临的风险。 租户自管理界面： 未租户提供安全服务包管理界面，每个租户可以对自己的个性化WAF、访问控制、IPS等安全策略进行配置，支持租户定义不同等级的管理员。 * 云安全资源池价值展现 面向租户界面 * 01 04 02 03 权责清晰、安全合规 安全可视、持续检测 能力运营、业务增值 交付便捷、运维简化 05 生态开放、快速上云 深信服云安全资源服务的价值 * 权责清晰、安全合规 平台权责 租户权责 合理利用平台提供的相关安全技术，维护业务安全 满足相关部门合规性要求 对自身业务安全策略进行维护 保证平台安全，避免平台层漏洞成为攻击跳板 平台层合规性 提供流程化的用户需求实现方案 满足用户多样化安全需求 * 能力运营、业务增值 传统硬件方案仅能够满足云平台初期建设基本需求 如何将硬件设备提供的安全服务运营起来？打造“云化”安全 基础计算资源已经没有增值空间了，如何在租户安全上实现增值 现在的解耦合方案（如云WAF）要么功能较少，要么对云平台要求比较高，难以交付 平台运营方不掌握安全能力，无法运营 将安全服务能力交付给平台运营方 平台运营方具备根据用户场景打包安全服务能力 平台运营方可以将安全服务与基础计算资源打包实现业务增值 基础防御包 高级防御包 基础防御包 * 安全可视、持续检测 完整的攻击链条 探测 边界 突破 持续 渗透 安装 工具 横向 移动 窃取/破坏 基础防御包 失陷主机发现包 失陷主机发现包 攻击路径可视 * 交付便捷、运维简化 服务化交付，仅需要配置用户安全服务IP，每个租户安全服务完全隔离 平台层交付安全服务，保障安全服务可用，租户配置个性化安全策略，简化运维数据流 VLAN分配 路由策略 IPS策略 WAF策略 自动化业务流 租户隔离 服务化交付 其他安全策略 平台方交负责平台安全运维 复杂的安全交付 日常运维 变得简单 过去的云安全交付、运维 现在的云安全交付、运维