私有云（yún）CSSP安全解决方案

一、私有云概述

云计（jì）算颠覆性的改（gǎi）变了传（chuán）统IT的（de）服务模式，在虚拟（nǐ）化的基础上（shàng），将（jiāng）IT资（zī）源作为可提供（gòng）的服（fú）务，实现了使用者从以前（qián）的“购买（mǎi）软硬件产品”向“购买IT服务”模式转变，在虚拟（nǐ）化实现IT资源利用率大（dà）幅提升（shēng）的基础上，大（dà）大提高了IT的（de）效率和敏捷性。我们专（zhuān）注于网络（luò）安全和云计算领域（yù），为客户提供更简单（dān），更（gèng）安全（quán），更有价值的IT基础设施（shī），为用（yòng）户提供（gòng）企业（yè）级私有云、政务（wù）云、行业云等（děng）云（yún）计（jì）算整体解决方案，并具备专业的技术服务能力。

二、私有云安（ān）全分析

IDC调研（yán）报告显示：约有75%的用户因云的（de）安全（quán）性而对IT云化犹豫不决，云安全问题成为影响（xiǎng）云计算发展（zhǎn）的（de）重要障碍（ài）。到底虚拟化云计算带来了哪（nǎ）些安全问题呢？

1.安全边（biān）界缺失，业务风险集中：采用虚拟化技术（shù）后（hòu），同一台（tái）物理服务器上（shàng）派生（shēng）出多（duō）台虚拟机并承载不（bú）同的（de）业（yè）务应用，不（bú）同的虚拟机（jī）之间（jiān）通（tōng）过虚拟交换（huàn）机进行连接，这就导致（zhì）安全边界（jiè）缺失，因此一旦出现（xiàn）安全风险就会快速扩散。比（bǐ）如病（bìng）毒一（yī）旦感染（rǎn）了其（qí）中一台虚机，几乎就可以在服务器内网（wǎng）自由传播。

2.流量不（bú）可视，风险不可见：在虚拟（nǐ）化云计算（suàn）网络，原有的环境（jìng）里（lǐ）无法看到虚拟机上（shàng）的流量（liàng）状况，更无法透视虚拟（nǐ）机交互流量中的安全风险。而云时代，东西向流量占比越来越大，东西向（xiàng）安全问题将越来（lái）越严（yán）重。比如APT攻（gōng）击、病毒蠕虫、僵尸程序等安全（quán）风（fēng）险都具有横向传播（bō）特性，如果不能（néng）看清虚机上（shàng）的流量内容，就无法（fǎ）识别流量中的安全（quán）风险（xiǎn），更无法（fǎ）保（bǎo）障虚（xū）机安全。因此，一旦某（mǒu）台虚机被黑客控制，可能导致整个云数据中心暴漏在黑客面前，从而产生大规模的安全（quán）问题。

3．业务更动（dòng）态（tài），安全难跟随（suí）：在虚（xū）拟（nǐ）化云计算环（huán）境里，资源实现了解耦，虚机不再和（hé）底层硬（yìng）件相关，业务虚机会动态的部署（shǔ）和迁移，因此需（xū）要（yào）安全防（fáng）护（hù）策略能（néng）够（gòu）动（dòng）态的迁移和跟随。而传统的硬件安全（quán）设备由于IP、端口的固（gù）化（huà），导致安全防护策略无（wú）法实时跟随虚（xū）机漂移，从而出（chū）现安全（quán）防护间隙。

4.虚拟（nǐ）化层带来新的风险：虚拟化层（céng）Hypervisor是新（xīn）引入的操作系统，会带来新的安（ān）全漏洞，比如虚拟机溢（yì）出、虚拟机逃逸等（děng）安全风（fēng）险，就是Hypervisor漏洞导致的（de），虚拟机可以利用这（zhè）些漏（lòu）洞直接攻击Hypervisor，控制host机，造成严重的安全后果。

三（sān）、解决（jué）方（fāng）案

我们提供云安全服务平（píng）台（tái）（CSSP）以保护客户资产（虚机）和业务为核（hé）心，以安全防（fáng）护单元虚拟（nǐ）化下（xià）一代（dài）防火墙为基础，以持续提供真（zhēn）实可靠的安全防（fáng）护为目标，对客户的资产和业务进行全面的、立体的安全防（fáng）护（hù），切实（shí）保障虚拟化云环境的安全需求。

云安全防护（hù）平台，可以无缝集成到（dào）Vmware平台，为虚拟化环境提供专业的安全防护。CSSP平台集成了专业的云安全防护组件，保障（zhàng）虚拟网络内部的L2-L7层（céng）安全需求，满足虚拟网络的区（qū）域划分和访问控制，透（tòu）视虚拟机上的交互流量内容，实时发现（xiàn）并阻止安全风险进出虚拟网络，有效保障云计算（suàn）网络（luò）安全。

CSSP云安全（quán）解决方案平台架构

CSSP能（néng）够（gòu）统（tǒng）一下发虚拟防火墙防护组（zǔ）件，每一个受（shòu）保（bǎo）护（hù）的Host设备上都有一个（gè）虚拟防火墙（qiáng）实例，CSSP平（píng）台实现对虚拟（nǐ）防火（huǒ）墙的分（fèn）布式集中管理。虚（xū）拟防（fáng）火墙利用引流插件与VMsafe接（jiē）口实现联动（dòng），实现从Vmware底层引流（liú）到虚拟（nǐ）防火墙进行检测（cè）和清（qīng）洗，并（bìng）对（duì）干净流量进行回注。在极限情况下，CSSP自（zì）动启用bypass模式，不再从VMsafe接（jiē）口引流，流（liú）量将按（àn）照原有的（de）机（jī）制转发而不经过（guò）CSSP，从而保（bǎo）障业务服务0中断。

1.统一管理

云安全服务平台CSSP支持对虚拟防火墙进行自动部署，并实现对已部署的安全组件进行统一（yī）配置（zhì），因（yīn）此客户（hù）全组织内可以执行（háng）统一的安全策略，在极（jí）大的减少运维人员工作量的同（tóng）时，也能充分保障安全策（cè）略的（de）一（yī）致性，避免出现不必要的错乱而（ér）带来安全风险。

在进行（háng）安全防护的过程中，虚拟防火墙组件（jiàn）会（huì）将自身（shēn）捕获到的安全信（xìn）息反（fǎn）馈给CSSP，由（yóu）CSSP进行统计（jì）、分析和（hé）展示。

2.资产发现

CSSP通过调用Vim::find_entity_views接口与vCenter进行通信，能（néng）够自动发现已（yǐ）部署的资产（包括主（zhǔ）机和网络设备（bèi）），并能对资（zī）产（chǎn）的变动进行（háng）及时（shí）的（de）（1分钟内（nèi））信（xìn）息（xī）更新。另外，用户可以对重点资（zī）产进行核心标（biāo）记，以（yǐ）便在（zài）相（xiàng）关（guān）安全图示中能（néng）够（gòu）更清晰的看到（dào）重点所在（zài）。

3.区域划分

通过CSSP的（de）部署，客户网络将被（bèi）自动划分为两大区（qū）域，其中受到虚拟（nǐ）防（fáng）火墙组（zǔ）件（jiàn）保护的区域被称之为信任区域（yù），而没有受到安全组件保护的区域被称为非信任（rèn）区域。除了这种自动划分以（yǐ）外（wài），用户还可以对信任区域（yù）的资产进行逻辑区域的（de）划（huá）分，从而（ér）方（fāng）便用户能够更精确的对资（zī）产应用安全（quán）策略。

4.虚机微隔离（lí）

对于CSSP而言（yán），客户网络中的（de）流量被（bèi）归纳为两大类（lèi），所有信任区域与（yǔ）非信任区（qū）域（yù）之间的流量（liàng）被称（chēng）之为南北向流量，所有信任（rèn）区域与信任区域之间的流量被（bèi）称之为东西向流量。而对于所有非信任区域与非（fēi）信（xìn）任区域之间（jiān）的流量，因（yīn）为它们无法受到安全（quán）组（zǔ）件的（de）保护，所以不在CSSP监（jiān）管之（zhī）列。

通过将安全组件植（zhí）入网络结构之中，对网络进行信任区域和非信任区域的划分，可以更细（xì）致的监控区域之间的（东西向/南北向）流量并（bìng）强（qiáng）制实施L2-L7各层规则以（yǐ）阻（zǔ）止或允（yǔn）许（xǔ）流量（liàng）通过，从（cóng）而能够有效的阻止威（wēi）胁流量（liàng）在客户（hù）网络（luò）中横冲直闯，实现的更加灵活又（yòu）安全的“微隔离”。

5.流量可视

深（shēn）植于网络（luò）结构之（zhī）中（zhōng）的虚拟防火（huǒ）墙安全组件（jiàn）能够（gòu）实（shí）时的监控和分析网络中的流量，并将（jiāng）相应的安全（quán）信息（xī）数据汇聚到CSSP，由（yóu）CSSP进（jìn）行统计分析后（hòu）以（yǐ）图形化的方式呈现到（dào）用户（hù）面（miàn）前（qián），从而实（shí）现（xiàn）网（wǎng）络（luò）流量可视（shì）。