私有云CSSP安全解决方案

一、私有云概述

云计（jì）算颠覆（fù）性（xìng）的改变了传（chuán）统IT的服务模（mó）式，在虚拟化的基础上，将IT资源作为（wéi）可（kě）提供的服务，实（shí）现了使用者从以前的“购（gòu）买软硬件产品”向“购买IT服务”模式（shì）转变，在虚（xū）拟化实现IT资源利用率大幅（fú）提升的基础（chǔ）上，大大提高了IT的效率和敏捷性。我们专注于（yú）网络安全和云计算领域，为客户提供更简单，更安全，更（gèng）有价值的IT基础设施，为用（yòng）户提（tí）供企业级私有云、政（zhèng）务云、行业云等（děng）云计（jì）算整体（tǐ）解决方（fāng）案，并具备专业的技术服务能力（lì）。

二、私有云安全分析（xī）

IDC调研报告显示：约有75%的用户因云（yún）的安全性而对IT云化犹（yóu）豫不决（jué），云安全问题（tí）成为影响（xiǎng）云计算发展的（de）重要障碍（ài）。到底虚拟化云计（jì）算（suàn）带来了哪些安全问题呢？

1.安全边界缺失，业务风（fēng）险集中：采用虚拟化技术后，同一台物（wù）理服（fú）务器上（shàng）派生出多台虚拟机并（bìng）承载不同的业务应用，不同的虚拟机之间（jiān）通过虚（xū）拟（nǐ）交换机进行连接，这就导致安全边界缺失，因此一旦（dàn）出现安全风险（xiǎn）就会快速扩散。比如病毒（dú）一旦感染了其中一台虚机，几（jǐ）乎就可以（yǐ）在服务（wù）器内网自由传播。

2.流量不（bú）可视，风险不可见：在虚（xū）拟化云计算网络，原有的环境里无法看到（dào）虚拟机上的流量状况，更无法透视虚拟机交（jiāo）互流量中的安（ān）全风险（xiǎn）。而云时代，东西向（xiàng）流量占比（bǐ）越来（lái）越大（dà），东（dōng）西向安全问（wèn）题将越来越严重。比如APT攻击、病毒蠕虫（chóng）、僵尸（shī）程序（xù）等安全风险都具有横向传播特性，如果不能看清虚机上的流（liú）量内容，就无法识别流量中的安全风险（xiǎn），更（gèng）无法保障虚机安（ān）全。因此，一旦某台虚机被黑客（kè）控制，可能导致整个（gè）云（yún）数据中心暴漏在黑客面前，从而产生（shēng）大规模的安全（quán）问题。

3．业务（wù）更动态，安全难跟（gēn）随：在虚拟化云计算环（huán）境里，资源实现了解耦，虚机不再和底层硬件相（xiàng）关，业务虚机会动态的部署和迁移，因（yīn）此（cǐ）需要安全防护策略能够动（dòng）态（tài）的迁（qiān）移（yí）和跟随。而传统的硬件安全设备由（yóu）于IP、端口的固（gù）化，导（dǎo）致安（ān）全防护策略无法实时跟随虚机漂移，从而出现安全防护间隙（xì）。

4.虚拟（nǐ）化（huà）层带来新的风险：虚拟化层Hypervisor是新引入的操作系统，会带来新（xīn）的安全（quán）漏洞（dòng），比如虚拟机溢出、虚拟机逃逸等（děng）安全风险，就是Hypervisor漏（lòu）洞导致的，虚（xū）拟机（jī）可以利用这些漏洞直接攻（gōng）击Hypervisor，控制host机（jī），造成严重的（de）安（ān）全（quán）后果。

三、解决方案（àn）

我们提供云安全服务平台（CSSP）以保护客户资产（虚机）和业务为核（hé）心，以安全防护单元（yuán）虚拟化下一（yī）代防火（huǒ）墙为基础，以持续（xù）提供真实可靠的安全防护为目标，对客户（hù）的资产（chǎn）和业务进行全面的（de）、立体的安全防（fáng）护（hù），切（qiē）实保障（zhàng）虚拟化云环境的安全需求。

云安全防护平台，可以（yǐ）无缝集成到Vmware平（píng）台，为虚（xū）拟化（huà）环境提供专（zhuān）业的安全防护。CSSP平台集（jí）成（chéng）了专业的云安全（quán）防（fáng）护组件，保障虚拟网（wǎng）络（luò）内部的（de）L2-L7层安全需求（qiú），满足虚拟网络（luò）的（de）区域划分和访问（wèn）控制（zhì），透视虚拟机上的交互流（liú）量内（nèi）容（róng），实时发现并阻止安（ān）全风险进出虚拟网（wǎng）络，有效保障云计算网络安（ān）全。

CSSP云安（ān）全解决方（fāng）案平（píng）台架构（gòu）

CSSP能够（gòu）统一下发虚拟防火墙防护组（zǔ）件，每一个受保（bǎo）护的Host设备上都（dōu）有一个虚拟防火墙实例，CSSP平台实现（xiàn）对虚（xū）拟防火墙的分（fèn）布式集中管理。虚拟防火墙利用引流（liú）插（chā）件与VMsafe接口实现联动，实现从Vmware底（dǐ）层引流（liú）到虚拟防（fáng）火墙进行检测和清洗，并（bìng）对干净流量进（jìn）行回注（zhù）。在（zài）极（jí）限情况下，CSSP自动（dòng）启用bypass模（mó）式（shì），不再从VMsafe接口引流，流量将按照原（yuán）有的机（jī）制转发而不（bú）经（jīng）过CSSP，从而保障业务服务0中断。

1.统一管理（lǐ）

云安全服务平（píng）台CSSP支持对虚拟防火墙进行自动部署（shǔ），并实（shí）现对已部署的安全组件（jiàn）进行统一配置（zhì），因此客户全组织（zhī）内可以执行统一的安全策略（luè），在极大的（de）减少运维人员（yuán）工作量的同（tóng）时，也能充分保障安（ān）全策略的一致性，避免出现不必（bì）要的错乱（luàn）而（ér）带来安全风（fēng）险。

在进行安（ān）全防护的过程中，虚拟防火墙（qiáng）组件会将自身捕获到的安全信息反（fǎn）馈给CSSP，由（yóu）CSSP进（jìn）行统（tǒng）计（jì）、分（fèn）析和展示。

2.资产发现

CSSP通（tōng）过调用Vim::find_entity_views接口与vCenter进行通（tōng）信，能够自动发现已部署的资产（包（bāo）括主机和网络设备），并能对资产（chǎn）的变动进行及时的（1分钟内）信息更新。另外（wài），用户可（kě）以对重点资（zī）产进行核（hé）心标记，以便在相关（guān）安（ān）全图示（shì）中能够（gòu）更清（qīng）晰的（de）看到重点所在。

3.区（qū）域划分

通过CSSP的（de）部署（shǔ），客（kè）户网络将被（bèi）自动划分（fèn）为两大区域，其中受到（dào）虚拟防火墙组（zǔ）件（jiàn）保（bǎo）护的（de）区域被（bèi）称之（zhī）为信任区域，而没有受（shòu）到安（ān）全组（zǔ）件保护的区域被称（chēng）为非（fēi）信任（rèn）区域。除了这种自动划分以外，用户（hù）还可以对（duì）信任区域的资产进行逻辑区域的划分，从而方便用户能够更精（jīng）确的对资（zī）产应用（yòng）安（ān）全（quán）策略。

4.虚机微隔离（lí）

对于CSSP而言，客（kè）户（hù）网（wǎng）络中的流量被归纳为两大类，所有信任区域与（yǔ）非信任区（qū）域之间的流（liú）量被称之（zhī）为南北（běi）向流量，所（suǒ）有信（xìn）任区域与信任区（qū）域（yù）之间的流量被称之为东西向流量。而对于（yú）所有非信任区域与非信任区域（yù）之间的流量（liàng），因为它们（men）无法受到安全组件的保（bǎo）护，所以（yǐ）不（bú）在（zài）CSSP监管之列。

通过将（jiāng）安全组件植入网络结构之中，对网络进行（háng）信任（rèn）区域和非信任区域的划分，可以更细致的监控（kòng）区域之间的（东西向/南（nán）北向）流量并强制实（shí）施L2-L7各层规则以阻止或（huò）允（yǔn）许流（liú）量通过，从（cóng）而（ér）能够有效的阻止（zhǐ）威胁流（liú）量在客户网络中横冲直闯，实现的更加灵活又安（ān）全的“微（wēi）隔离”。

5.流量可视

深（shēn）植于网络结构之中的（de）虚拟防火墙安全组件能够实时的监控和分析网络（luò）中的流（liú）量，并将相应的安全信（xìn）息数据汇聚到CSSP，由CSSP进行统计分析后以图（tú）形（xíng）化的方式呈现到用户面前（qián），从而（ér）实现（xiàn）网络流量可视。