私有云（yún）CSSP安全解决方案

一、私有云概述

云计算颠覆性的改变了传统IT的（de）服（fú）务模式，在虚拟化的（de）基础上，将IT资源（yuán）作（zuò）为可提供的服务，实现了使（shǐ）用者（zhě）从以前的“购买软硬件产品”向“购买IT服务”模（mó）式转变（biàn），在虚拟（nǐ）化实现IT资源（yuán）利用率大幅提升的基（jī）础上，大大提（tí）高了IT的效率和敏（mǐn）捷性（xìng）。我们专注于网（wǎng）络安全和云计算领域，为客户提供更简单（dān），更安全，更有价值的IT基础设施，为用（yòng）户提供企业级私有云、政务云、行（háng）业（yè）云等云计算整体解决（jué）方案，并具备（bèi）专业的技术服务能力。

二、私（sī）有（yǒu）云安全分析

IDC调研（yán）报告显示：约有75%的（de）用户（hù）因云的安全性而对IT云化犹豫（yù）不决，云安（ān）全问题成为影响云计算发展的重要障碍（ài）。到底虚拟化云计算带来了哪些安全问题呢？

1.安全（quán）边界缺失，业务风（fēng）险集（jí）中：采用虚拟化（huà）技术后（hòu），同一台物理服务器上派生出多台虚拟（nǐ）机并承载不同（tóng）的业务应用，不同的虚拟机之间通过（guò）虚拟交换机进（jìn）行连接（jiē），这就导致安全边界缺失（shī），因此一旦出现安全风险就会（huì）快（kuài）速扩散。比如病毒（dú）一旦（dàn）感染了（le）其中一台虚机，几乎就可（kě）以在服务器内网（wǎng）自（zì）由传（chuán）播。

2.流量不可视，风险（xiǎn）不可见（jiàn）：在虚拟化（huà）云计算网络，原有（yǒu）的环境里无（wú）法看到虚拟机上的流量状（zhuàng）况，更（gèng）无法透（tòu）视虚拟（nǐ）机交互流量（liàng）中的安全风险。而云时代，东西向流量占比越来越大，东西向安全问题（tí）将越来越严重。比如APT攻击、病毒蠕虫、僵（jiāng）尸程（chéng）序等安全风险（xiǎn）都具有横向传播特性，如果不能看清虚机上的流量内（nèi）容，就无法识别流量中的（de）安全风险，更无法（fǎ）保障虚（xū）机安全。因此，一旦某台虚机被黑客控（kòng）制，可（kě）能（néng）导致整个（gè）云数（shù）据中心暴漏在黑（hēi）客面前（qián），从而产生大规（guī）模的安全问题（tí）。

3．业务（wù）更动（dòng）态（tài），安全难跟随（suí）：在（zài）虚拟（nǐ）化云计算环境（jìng）里（lǐ），资源实现了解耦，虚（xū）机不再（zài）和底层（céng）硬件相关，业务（wù）虚机会动态的部（bù）署和迁移（yí），因此需要安（ān）全防护策略能够动（dòng）态（tài）的迁移和跟随。而传统（tǒng）的硬件安全设（shè）备由于IP、端口的固化，导致安全防护策略无法实时跟（gēn）随虚机（jī）漂移，从（cóng）而出现（xiàn）安全防护间隙。

4.虚拟化层带来新的（de）风（fēng）险（xiǎn）：虚拟化层Hypervisor是新引入的（de）操作系统，会带（dài）来新的（de）安全漏洞，比如虚（xū）拟机（jī）溢出、虚拟机逃逸等安（ān）全风险，就是Hypervisor漏洞导（dǎo）致（zhì）的，虚拟机可以利用这些漏（lòu）洞直接攻击（jī）Hypervisor，控制host机，造（zào）成严重的（de）安（ān）全后果（guǒ）。

三、解决方案

我（wǒ）们提（tí）供云安全服务平台（CSSP）以保护客户资产（虚机）和业务为核心，以安全防护单元虚拟化下一代防火墙（qiáng）为基础（chǔ），以持续提（tí）供真实可靠的安（ān）全防护为目标，对客（kè）户的（de）资（zī）产和（hé）业务进行全面（miàn）的（de）、立体的安全防护（hù），切实保障虚（xū）拟化云环境的安全需求。

云安全防护平台，可以无缝集成到Vmware平（píng）台，为（wéi）虚拟化环境提（tí）供专业的（de）安（ān）全防护。CSSP平台集成（chéng）了专业（yè）的云安全（quán）防（fáng）护组件，保障虚拟网络（luò）内部的L2-L7层安（ān）全需求，满足虚拟网络的区域（yù）划分和访问控制，透视虚拟机上的交互（hù）流（liú）量内容，实时发现并阻止安全风险进（jìn）出虚拟网络，有效保障（zhàng）云计算网络安全。

CSSP云安（ān）全（quán）解决方案平台架构

CSSP能够统一下发虚（xū）拟（nǐ）防火（huǒ）墙防护组件，每一个受（shòu）保（bǎo）护的Host设备上都有一个虚拟（nǐ）防火墙实例，CSSP平（píng）台实（shí）现对虚（xū）拟防火墙（qiáng）的分布式集中管理。虚拟防火墙（qiáng）利用引流插件与VMsafe接口实现联（lián）动，实现（xiàn）从Vmware底层引流到（dào）虚（xū）拟防火（huǒ）墙进行（háng）检（jiǎn）测和清洗，并（bìng）对干净流量进行回注。在极限情（qíng）况下，CSSP自动启（qǐ）用bypass模式（shì），不再从VMsafe接口（kǒu）引流，流量（liàng）将（jiāng）按照原有的机（jī）制转发而不经过CSSP，从（cóng）而保障业务服务（wù）0中断。

1.统（tǒng）一管理

云安全服（fú）务平台CSSP支持对虚拟防火墙进行自动部署，并实（shí）现对已部署的安全组件进行统一配置，因此（cǐ）客（kè）户全组织（zhī）内可以执行统一（yī）的安全策（cè）略，在极大的减少（shǎo）运维人（rén）员工作量的同时，也能（néng）充分（fèn）保障安全策略的一致性，避免出现不必（bì）要的（de）错（cuò）乱而带来安全风险。

在进行安全（quán）防护的过程（chéng）中，虚拟防火墙组件会将（jiāng）自身捕（bǔ）获到的安全信（xìn）息（xī）反馈给CSSP，由CSSP进（jìn）行统计、分析（xī）和展示。

2.资产发现

CSSP通过调（diào）用（yòng）Vim::find_entity_views接口与vCenter进行通信，能（néng）够（gòu）自动（dòng）发现已部（bù）署的资产（包括（kuò）主（zhǔ）机和网络设备），并能对资产的变（biàn）动进行及时的（1分钟内）信息更新（xīn）。另外，用户可（kě）以对重点资产进行核心标记，以便在相关安全（quán）图示中（zhōng）能够更清（qīng）晰的看到重点（diǎn）所（suǒ）在。

3.区域（yù）划分

通过CSSP的部署（shǔ），客户网（wǎng）络将被自动划分为两大区域，其中受到虚拟防火墙组件保护的（de）区（qū）域被称之（zhī）为信任区域，而没有受到安（ān）全组件保护的区域被称为非信（xìn）任区域。除了（le）这（zhè）种自动划分以外，用户还（hái）可以对信（xìn）任区域（yù）的资（zī）产进行逻辑（jí）区域的划分（fèn），从而方（fāng）便用户能（néng）够（gòu）更（gèng）精确的（de）对资产应用安全策略。

4.虚机（jī）微隔离

对于CSSP而言，客（kè）户网络中的流量被归纳为两大类，所有（yǒu）信（xìn）任区域与非（fēi）信任区域之间的流量被称之为南北向流量，所有信任区域与（yǔ）信任区域之间的流量被称（chēng）之为东西向（xiàng）流量。而对于所有非信任区域与非信任区（qū）域之间的流量，因为它（tā）们无法（fǎ）受到安（ān）全组件（jiàn）的保护，所以不在CSSP监管之列。

通（tōng）过将安全组件植入网（wǎng）络结构之中，对网络进行信任区（qū）域和非信任（rèn）区域（yù）的划分，可（kě）以更细致的监控区域之（zhī）间的（东西向/南北向）流量（liàng）并强制实施L2-L7各层规则以阻止或允（yǔn）许流（liú）量（liàng）通过，从（cóng）而能够有效（xiào）的阻止威胁流量在客（kè）户网络中横冲直闯（chuǎng），实现的（de）更加灵活（huó）又安全的“微隔离”。

5.流（liú）量可视

深植于网（wǎng）络结构之中（zhōng）的虚拟（nǐ）防火墙安全组件（jiàn）能够（gòu）实时的监控和（hé）分析网络中的流量，并将相应的安全信息数据汇聚（jù）到（dào）CSSP，由CSSP进行统计（jì）分析后以图形化的（de）方式呈现到用（yòng）户面前，从而实现网络（luò）流量可视（shì）。