私有云CSSP安全解决方案

一、私有云概（gài）述

云计（jì）算颠覆（fù）性的改变了传统IT的服务模（mó）式，在虚拟化的基础上，将（jiāng）IT资源作为（wéi）可提供的服务，实现了使用（yòng）者从（cóng）以前（qián）的“购买（mǎi）软（ruǎn）硬件产品”向“购买（mǎi）IT服务”模（mó）式转变，在虚拟化实现（xiàn）IT资源利用率大幅提（tí）升的基础上，大大提高了IT的效率和敏捷（jié）性。我们专注于网（wǎng）络（luò）安全和云（yún）计算领域（yù），为客户（hù）提供更简单，更（gèng）安全（quán），更有价（jià）值的IT基（jī）础设施（shī），为用户提供企（qǐ）业（yè）级私有云、政务云、行业云等云计算整体解决方（fāng）案，并具备专业的技术服务能（néng）力（lì）。

二、私（sī）有云安全分析

IDC调研（yán）报告显示：约有75%的用（yòng）户因（yīn）云的安全性而对IT云化犹豫不决，云安全问题成为影（yǐng）响云计（jì）算（suàn）发展的重要障碍（ài）。到底虚拟化云计算带来了哪些安全（quán）问题呢？

1.安（ān）全边界缺失，业务风险集（jí）中：采用虚拟化技术（shù）后，同一台物理服务器（qì）上派（pài）生出多台虚拟机并（bìng）承载不同的业务（wù）应用，不（bú）同的虚拟机之（zhī）间（jiān）通过虚（xū）拟交换机进行连接，这就导致安全边（biān）界缺失，因（yīn）此一（yī）旦出现安全风（fēng）险就（jiù）会（huì）快速扩散。比如病毒（dú）一旦（dàn）感染了其中（zhōng）一台虚机，几（jǐ）乎就可（kě）以在服务器（qì）内（nèi）网（wǎng）自（zì）由传播。

2.流量不（bú）可视，风险不（bú）可见：在虚拟化云计算网（wǎng）络，原（yuán）有的环境里无法（fǎ）看（kàn）到虚拟机上的流量状（zhuàng）况（kuàng），更无法透视虚拟机（jī）交互流量中的安（ān）全风险。而云时代，东西（xī）向（xiàng）流量（liàng）占比越（yuè）来（lái）越大，东（dōng）西向（xiàng）安全问题将越来越严重。比（bǐ）如（rú）APT攻击、病毒蠕虫、僵尸程序等（děng）安全风险都具有横向传播特性（xìng），如（rú）果不能看（kàn）清虚机上的流量内容（róng），就无法识别流量中的（de）安全（quán）风险，更无法（fǎ）保障虚（xū）机安（ān）全。因此，一旦某台（tái）虚机（jī）被黑客（kè）控制，可能导致整（zhěng）个云数据中心暴漏在黑（hēi）客面前，从（cóng）而产生（shēng）大规模的安全问题。

3．业务更动态，安全难跟随：在虚拟化云（yún）计算环境里（lǐ），资源实现了解耦，虚机不再和（hé）底层硬件相（xiàng）关，业务（wù）虚机会动态（tài）的部署和迁移，因此需（xū）要安全防护策略能够动态的迁（qiān）移和跟随。而（ér）传统的硬（yìng）件安全设备（bèi）由于（yú）IP、端口的固（gù）化，导致安全防护策略无法（fǎ）实时跟（gēn）随虚机（jī）漂移，从而出现安全防护间隙。

4.虚拟化层带来新的风险：虚拟化层Hypervisor是新引入的操作（zuò）系统（tǒng），会带（dài）来新的（de）安全漏洞，比如虚拟机溢出、虚拟机逃逸等安全风险，就是（shì）Hypervisor漏洞导致的（de），虚拟机（jī）可以利用（yòng）这些漏洞直接攻击Hypervisor，控制host机，造成严重的安全后（hòu）果（guǒ）。

三、解决方案

我（wǒ）们提供云安全服（fú）务平台（CSSP）以保护客户资产（虚机）和业务（wù）为（wéi）核心，以安全（quán）防护单元虚拟化下一代防火墙为基础，以（yǐ）持（chí）续提供真实可靠的（de）安全（quán）防护（hù）为目标，对客（kè）户的（de）资产和业务进行全面的、立体的安全防护，切实保（bǎo）障虚（xū）拟化云环境的安全需求（qiú）。

云安全（quán）防（fáng）护平台，可以无（wú）缝（féng）集（jí）成（chéng）到（dào）Vmware平台，为虚拟化环境提供专（zhuān）业的安全防护（hù）。CSSP平台集成了专（zhuān）业的云安全防护组件，保（bǎo）障虚拟网络内部（bù）的L2-L7层安全需求，满（mǎn）足（zú）虚拟网络的区域划（huá）分和访问控制，透（tòu）视虚拟（nǐ）机上的交互流量内（nèi）容，实时发现并（bìng）阻止（zhǐ）安全风险进出虚拟网络，有效保障云计算网络安全。

CSSP云安全解决方（fāng）案平台架（jià）构

CSSP能（néng）够统一下发虚拟防火墙防护（hù）组（zǔ）件（jiàn），每一（yī）个受（shòu）保护的（de）Host设备上都（dōu）有（yǒu）一个虚（xū）拟防火墙实例，CSSP平台实现对虚拟防（fáng）火墙的（de）分布（bù）式集中管理（lǐ）。虚拟防火（huǒ）墙利用引流插件与VMsafe接（jiē）口实（shí）现联动，实现从Vmware底层引流（liú）到虚拟防火墙进（jìn）行检测和清洗，并对（duì）干净流量（liàng）进行回注。在极限情况下（xià），CSSP自动启用bypass模（mó）式，不再从（cóng）VMsafe接口引流，流量将按照（zhào）原有的（de）机制转发而（ér）不经（jīng）过CSSP，从而（ér）保障业（yè）务服务0中断（duàn）。

1.统一管（guǎn）理

云安全（quán）服务平台CSSP支持（chí）对虚拟防火（huǒ）墙进（jìn）行自动部署，并实现对已部署的安全（quán）组件进行（háng）统一配置（zhì），因此客（kè）户全组织内可以执行统一的（de）安全策（cè）略，在极大的（de）减少（shǎo）运维人员（yuán）工作量的同时（shí），也能充分保障安全策略的一（yī）致性，避（bì）免出（chū）现不必要的错乱而（ér）带来安全（quán）风险。

在进行安全防护（hù）的过程中，虚（xū）拟防（fáng）火墙组件会将自（zì）身捕获到的安全（quán）信息反馈（kuì）给CSSP，由CSSP进行统计、分（fèn）析和展示。

2.资（zī）产发现（xiàn）

CSSP通过调用Vim::find_entity_views接口（kǒu）与vCenter进（jìn）行通信，能够（gòu）自（zì）动发（fā）现已（yǐ）部（bù）署的资产（包（bāo）括主机和网（wǎng）络设备），并（bìng）能对资（zī）产的变（biàn）动进行及时的（1分钟内）信息更新（xīn）。另外，用户（hù）可（kě）以对重点资产进行核心标记，以便在相关安全（quán）图示中能够更清（qīng）晰（xī）的看到（dào）重点所在。

3.区域划（huá）分

通过CSSP的部（bù）署，客（kè）户网（wǎng）络将被自动划分为两大区（qū）域，其中受到（dào）虚（xū）拟防火墙（qiáng）组件保护的（de）区域被称之为信任区域，而没有受到安（ān）全组（zǔ）件保护的区域被称为非信任区域。除了（le）这种自动划（huá）分（fèn）以外，用户还可以对信任区域的资产进行（háng）逻辑（jí）区域（yù）的划分，从（cóng）而方便用户能够更精确的对资产应用安全策略（luè）。

4.虚机微隔离

对于CSSP而言（yán），客户网络中（zhōng）的（de）流量被归纳为两大类，所有信任区域与非信任区域之（zhī）间（jiān）的流量被称之为南北向流量（liàng），所（suǒ）有信任区域与信任区（qū）域（yù）之间的流量被称之（zhī）为（wéi）东西向流（liú）量。而对于所有（yǒu）非信任区域与（yǔ）非信（xìn）任区域（yù）之间的流量，因（yīn）为它（tā）们（men）无法受到安（ān）全组件（jiàn）的保护，所以不（bú）在（zài）CSSP监管之列。

通过将安（ān）全组件植入网络结构之中，对网络进行信任区域和非信（xìn）任区域的划分，可以更细（xì）致的监控区域之间的（东西向（xiàng）/南北（běi）向（xiàng））流量并强制实施（shī）L2-L7各层规则以（yǐ）阻（zǔ）止或允许流量通过，从而能够有（yǒu）效的阻止威胁流量在客户网络中横冲直闯，实现的更加灵（líng）活又安全的“微隔离”。

5.流量可视（shì）

深植于网络结构之中的（de）虚拟防火墙（qiáng）安（ān）全组件能够实时（shí）的监控和分析（xī）网（wǎng）络中的流量，并将相（xiàng）应的安全信息数（shù）据汇聚到CSSP，由CSSP进行（háng）统计（jì）分析后以图形化（huà）的方式呈现到用（yòng）户面前，从（cóng）而（ér）实（shí）现网络流量（liàng）可视。