深信服云安全资源池解决.pptx

深信服云安全资源池解决方案
深信服安全BU
安全是云计算重要环节
安全是云计算发展最大担忧
云计算所面临的挑战中,安全问题排在首位
75%用户在安全性上犹豫不决
Source:IDC Enterprise Panel(国际数据公司IDC)
安全权责划分与合规的需求
16/8/15
云安全不再是平台技术提供方或是平台运营方的事情
A.
B.
C.
D.
E.
技术提供方
平台运营方
租户
监管机构
ISV
为租户提供可选择的安全方案。
运营安全生态
云平台技术对网络、数据等提供安全保障
保证平台物理层安全
通过使用平台提供的安全服务,保证自身业务安全
为云环境下平台、租户安全提供指导,通过制度保证平台、租户安全
云平台技术对网络、数据等提供安全保障
保证平台物理层安全
减少租户上云顾虑、满足业务安全的需求
16/8/15
在以上流程中,亟需平台方去解决的是:
现有应用架构,特别是数据库能否正常运行
安全如何保障,平台方能否提供与线下原有数据中心匹配的安全能力
上云前咨询
云上基础
架构规划
安全架构规划
迁云实施
租户上云流程
为租户提供安全可视、可自定义配置的需求
16/8/15
线下原有数据中心
租户云上数据中心
安全可配置
安全可视
“黑盒”
平台层打包“安全服务”,租户只管上云。
所有安全服务打包在“黑盒”中,无法提供租户个性化配置界面
?
?
安全不可视
流量路径不可视
持续增值和安全生态运营的需求
16/8/15
硬件设备提供的安全能力,如何以增值服务的方式提供给租户?
平台运营方如何快速掌握安全能力,并交付用户?
租户的安全需求是持续的、不断更新的,如何通过安全生态运营满足不断变化的安全需求
现有云安全方案实现
云安全建设现状
16/8/15
01
03
02
紧耦合方案:
平台自带安全组件
安全镜像方案
部分解耦合:
硬件一虚多
完全解耦合:
DNS引流方案
虚拟机引流方案
硬件一虚多方案
16/8/15
Cloud
硬件一虚
多设备
VM1
VM2
VM2
租户A购买的套餐需要提供防火墙、IPS和负载功能,保证处理能力的10%
租户B购买的套餐需要提供防火墙、LB功能,保证处理能力5%
其他租户购买的套餐需要提供防火墙功能,限制处理能力5%
租户与VLAN关联,入站出站流量需经过该硬件进行清洗。
当前能够支持一虚多的硬件云安全解决方案,支持功能较少,大多数仅支持IPS、FW、LB功能。
vSwitch
VFW
Web
Server
App
Server
DB
Server
vlan100(租户A)
Vlan200(租户B)
vlan500(租户C)
应用背景
实现过程