私有云CSSP安全（quán）解决方案

一、私有（yǒu）云概述

云计算颠（diān）覆性的改变了传统IT的（de）服（fú）务模式，在虚拟化的基础上，将IT资源作为（wéi）可提（tí）供的服务，实现了使（shǐ）用者从以前的“购买软硬件（jiàn）产（chǎn）品”向（xiàng）“购买（mǎi）IT服务”模式转变，在虚拟（nǐ）化（huà）实现IT资源（yuán）利用率大幅提升的基础上，大大提高（gāo）了IT的效率和敏捷（jié）性（xìng）。我们专注于网络（luò）安全和（hé）云计算领域，为（wéi）客户提供更简（jiǎn）单，更安全，更有价（jià）值（zhí）的IT基础设（shè）施，为用户提（tí）供企业级（jí）私有云、政务云、行业云等（děng）云计算整体解决方案，并具备专业的（de）技术服务（wù）能（néng）力。

二、私（sī）有云安全分析

IDC调研报告（gào）显示：约有75%的用户因云的安全性而（ér）对IT云化犹豫不决，云（yún）安全（quán）问题成为影响云计算发展的（de）重要（yào）障碍。到（dào）底虚拟化云计（jì）算（suàn）带来了哪些（xiē）安全问（wèn）题呢？

1.安全边界缺失，业务风险（xiǎn）集中（zhōng）：采用虚拟化技术后，同一台物理（lǐ）服务器上派生出多（duō）台虚拟机并承载（zǎi）不同的（de）业务应用，不同的虚拟机之间通过（guò）虚拟交换机进（jìn）行连（lián）接（jiē），这就（jiù）导致安全边界（jiè）缺失，因此一旦出现（xiàn）安（ān）全风险（xiǎn）就会快速（sù）扩（kuò）散。比如病毒（dú）一旦感染了其中（zhōng）一台虚机，几乎就可以（yǐ）在服务器内网自由传播。

2.流量不可视，风险不可见（jiàn）：在虚拟化云计算网络，原有的环境里无法看到（dào）虚拟机上（shàng）的流量状况，更无法透（tòu）视虚拟机交互流量（liàng）中的（de）安全风险。而云时代，东西向（xiàng）流量占（zhàn）比越来越大，东西（xī）向安全（quán）问题将越来越严（yán）重。比如（rú）APT攻击、病毒蠕虫、僵尸程（chéng）序等安（ān）全风险都（dōu）具（jù）有横向传播特性，如果不（bú）能看清虚机上的流（liú）量（liàng）内容，就无法识别流量中（zhōng）的安（ān）全风险（xiǎn），更无（wú）法保障虚机安全。因此，一旦某台虚机被黑客控制（zhì），可能导致（zhì）整个云数（shù）据中心（xīn）暴漏在黑客面前，从而产生大规模的（de）安（ān）全（quán）问题。

3．业务（wù）更动（dòng）态，安全难跟随：在虚拟化云计（jì）算环境里，资源实现了解耦（ǒu），虚（xū）机不再和底层硬件相关，业务虚机会（huì）动态的部署和迁移，因此需要安全防护策（cè）略能够动态（tài）的迁移和跟随。而传统的（de）硬件安全设（shè）备由（yóu）于IP、端口的（de）固化，导致安（ān）全防护（hù）策略（luè）无法实时跟随虚机漂移，从而出现安全防（fáng）护间隙（xì）。

4.虚拟化层带来新的风险：虚（xū）拟化层（céng）Hypervisor是新（xīn）引入的操作系统，会带（dài）来新的安全漏洞，比（bǐ）如虚拟机溢出（chū）、虚拟机逃逸等安全风险，就是Hypervisor漏洞（dòng）导致的（de），虚拟（nǐ）机（jī）可以（yǐ）利用这些漏洞（dòng）直接（jiē）攻击Hypervisor，控制host机，造成（chéng）严重的（de）安全（quán）后（hòu）果（guǒ）。

三、解决方案

我（wǒ）们提供云安全（quán）服务平（píng）台（tái）（CSSP）以保护客户资产（虚机）和业务（wù）为核心，以安全防护单元虚拟化下一代防火墙为基础，以持续（xù）提供真（zhēn）实可（kě）靠的安全防护为目标，对客（kè）户的资（zī）产（chǎn）和业务进行（háng）全面的（de）、立体的安（ān）全防护，切（qiē）实（shí）保障虚拟化云环境的安全需（xū）求。

云安全防护平台，可（kě）以无缝集成到Vmware平（píng）台，为虚（xū）拟化环（huán）境提（tí）供（gòng）专业的安全防护。CSSP平台集（jí）成了专业的云安全防护组件，保障虚拟网络内部（bù）的L2-L7层安全（quán）需求，满足虚拟网（wǎng）络的（de）区域划分和访问控制，透视（shì）虚拟（nǐ）机上（shàng）的交互流量内容，实（shí）时（shí）发（fā）现并阻止安全风险（xiǎn）进（jìn）出虚拟（nǐ）网络，有效保障云计算网络安全。

CSSP云安全解决（jué）方案平（píng）台架构

CSSP能够统一下（xià）发虚拟（nǐ）防火（huǒ）墙防护组件（jiàn），每一个受保护的（de）Host设（shè）备上（shàng）都（dōu）有一个虚拟防火（huǒ）墙实例（lì），CSSP平台实（shí）现对（duì）虚拟（nǐ）防火墙的分（fèn）布式集（jí）中（zhōng）管理。虚拟防火（huǒ）墙（qiáng）利（lì）用引流插件与（yǔ）VMsafe接口（kǒu）实现（xiàn）联动，实现从Vmware底（dǐ）层引流到虚拟防火（huǒ）墙（qiáng）进行检测（cè）和清洗（xǐ），并（bìng）对（duì）干净流（liú）量进行（háng）回注（zhù）。在极限情况下，CSSP自动启用bypass模式，不再从VMsafe接口（kǒu）引流，流（liú）量将按照原有的机制转发而不经过CSSP，从而保障业务服务0中断。

1.统一管理（lǐ）

云安全服务平台CSSP支持对虚拟防（fáng）火墙（qiáng）进行自动部署，并实（shí）现对（duì）已部署的（de）安（ān）全（quán）组（zǔ）件（jiàn）进行（háng）统一配（pèi）置，因此客户全组（zǔ）织内（nèi）可以执行统一的安全（quán）策略（luè），在极大的减少运维人员工作量的同时，也能充分保障安全策略的一致性（xìng），避免出现不必要的错乱而带来安全风险。

在进（jìn）行安全防护的过程（chéng）中，虚（xū）拟防火墙组件会将自身捕获到（dào）的安全信息反馈给CSSP，由CSSP进行统计、分析和展示。

2.资产发现

CSSP通过（guò）调用Vim::find_entity_views接（jiē）口与vCenter进行通信（xìn），能够（gòu）自动发现已部署的资产（包括主机和网络（luò）设备），并能对资产的变动进行及时的（de）（1分钟内）信息更新（xīn）。另外（wài），用户可以对重点（diǎn）资产进行核心标记（jì），以便在相关安全（quán）图示中（zhōng）能够更清晰的（de）看到（dào）重点所在。

3.区域划分

通过（guò）CSSP的部署，客户网络将被自动划分为两大区域，其中受到虚拟防（fáng）火墙组件保护的区域被称（chēng）之为信任（rèn）区域，而没有（yǒu）受（shòu）到安全组件保护的区域被（bèi）称为非信任区（qū）域。除（chú）了这种自动划（huá）分以外，用户还可以（yǐ）对信任区域的资产进行逻辑（jí）区域的划分，从而方便用户（hù）能够更（gèng）精确的对资产应用安（ān）全策略（luè）。

4.虚机微隔（gé）离

对于CSSP而言，客户网络中的流量被归纳为（wéi）两（liǎng）大类，所有信任区域与（yǔ）非信任（rèn）区域之（zhī）间的流量被称之为南北向流量，所有信（xìn）任区域与信任区（qū）域之间的（de）流量被称之为东西向流量。而对于所有非信任区域与（yǔ）非信任区（qū）域之间的流量，因（yīn）为它（tā）们无法受到安全组件（jiàn）的保护，所以不在CSSP监管之（zhī）列。

通过将安（ān）全组件（jiàn）植入（rù）网络结构（gòu）之中，对（duì）网络进行信任区域和（hé）非信（xìn）任（rèn）区域的划（huá）分，可以更细致的监控区域之间的（东西向/南（nán）北（běi）向）流量并强制实（shí）施L2-L7各层规则（zé）以阻止或允许流量通（tōng）过，从而能够有效的阻止威（wēi）胁流量在客户网（wǎng）络中横冲（chōng）直闯，实现的更加灵活（huó）又安全的（de）“微隔离”。

5.流量可视

深植于网络结构之（zhī）中（zhōng）的虚拟（nǐ）防火墙安全组件能够实时的监控（kòng）和分析网络（luò）中（zhōng）的流量，并将相应（yīng）的安（ān）全信息数据（jù）汇聚到CSSP，由CSSP进行统计分析后以图（tú）形化的方（fāng）式呈现到用户面前，从而实现（xiàn）网络流量可视。