私有（yǒu）云CSSP安全解决方案

一（yī）、私有（yǒu）云概（gài）述

云计算（suàn）颠覆性的（de）改（gǎi）变了传统IT的服务（wù）模式，在虚拟化的（de）基础上，将IT资源作为（wéi）可提供的（de）服务，实（shí）现了使用者（zhě）从以前的“购买软（ruǎn）硬件产品”向“购（gòu）买IT服务”模式转变，在虚拟（nǐ）化实现IT资源利用率大幅（fú）提升的基础上（shàng），大大提（tí）高了IT的效率和敏捷性。我们专注于网（wǎng）络（luò）安全（quán）和云计算领（lǐng）域，为客户提供更（gèng）简单，更安全（quán），更有价值的IT基（jī）础设施，为用户提（tí）供企业（yè）级（jí）私有云、政务云、行业云等（děng）云计算整体解决方案（àn），并具备专业（yè）的（de）技（jì）术服务能力。

二、私有（yǒu）云安全分析

IDC调研报告（gào）显示：约有75%的用户因云的安（ān）全性而对IT云化犹豫不决（jué），云安全（quán）问题成（chéng）为影响云计算发（fā）展的重要障碍。到底虚（xū）拟化（huà）云计（jì）算带来了（le）哪些安全问题呢？

1.安（ān）全边界（jiè）缺失，业务风险集中：采用虚拟化技术后，同（tóng）一（yī）台物理服务（wù）器上派生出多台虚拟机并承载（zǎi）不同的业（yè）务应用，不同的虚拟机之间通过（guò）虚（xū）拟交换（huàn）机（jī）进行（háng）连接，这就导致安全边界缺失，因（yīn）此一旦出（chū）现安全风险就（jiù）会快速（sù）扩（kuò）散。比如病毒一旦感染了其中一台虚（xū）机，几乎（hū）就可以在服（fú）务器内网自由传播。

2.流量不可视，风（fēng）险不可见（jiàn）：在虚拟化云（yún）计算网（wǎng）络，原有的环境里无法看（kàn）到虚拟机上的流量状况，更无法透视虚拟机交互流量（liàng）中的（de）安全风险。而（ér）云时代，东西向流量占（zhàn）比越来越大，东西（xī）向安全问题将越来越严重。比如APT攻击、病毒蠕虫、僵尸程序等安全风险都具有横向传（chuán）播特性，如果不能看清虚机上（shàng）的（de）流量内容，就无法（fǎ）识（shí）别流量中的安（ān）全风（fēng）险，更无法保（bǎo）障虚机安（ān）全。因此，一旦某台虚机被黑客控制，可能导致整个云数据（jù）中心暴漏在黑客面前（qián），从而（ér）产生（shēng）大规模的（de）安全问题。

3．业（yè）务更动态，安全难跟随：在虚拟化云计算环境（jìng）里，资源实现（xiàn）了解耦，虚（xū）机不再和底层硬（yìng）件相（xiàng）关，业（yè）务（wù）虚机会（huì）动态的部署和迁移，因此（cǐ）需要安全防护策略能够（gòu）动态的（de）迁移和跟（gēn）随。而（ér）传（chuán）统的（de）硬件安全（quán）设备由于IP、端口的固化，导致安全防护策略无法实（shí）时跟（gēn）随虚机（jī）漂移（yí），从而（ér）出（chū）现安全防（fáng）护间隙。

4.虚拟（nǐ）化层带来新的风险（xiǎn）：虚拟化层Hypervisor是新引入（rù）的（de）操作系统（tǒng），会带来新（xīn）的安全漏洞，比（bǐ）如（rú）虚拟机溢出、虚（xū）拟机逃逸等安全风险，就是Hypervisor漏（lòu）洞（dòng）导致（zhì）的，虚拟机可以（yǐ）利用（yòng）这些漏洞直（zhí）接攻击Hypervisor，控制host机，造成严重的安全后果。

三、解决方案

我们提（tí）供云安全服务平台（CSSP）以保护客户资产（虚机）和（hé）业（yè）务为核（hé）心，以安全防（fáng）护单元（yuán）虚拟化下（xià）一代（dài）防火墙为基础，以持续提供真实（shí）可靠的安全防护为目（mù）标，对客户的（de）资产和业务进行全面的（de）、立（lì）体（tǐ）的安全防护，切实保（bǎo）障虚拟化云环（huán）境的安全需求（qiú）。

云安全防（fáng）护平台，可以无缝集成（chéng）到Vmware平台，为虚（xū）拟化环境提供专业的安全防护。CSSP平台集成了专业的云安全防护（hù）组件，保障虚拟（nǐ）网络内部的L2-L7层安（ān）全需求（qiú），满足（zú）虚（xū）拟网络（luò）的区域划分和访问控制，透（tòu）视虚（xū）拟机上的交互流量内容（róng），实（shí）时发现并阻止安全风险进出虚拟网（wǎng）络，有效保障云计算网（wǎng）络（luò）安全。

CSSP云安全解（jiě）决方案平台架（jià）构

CSSP能够统一下发虚拟（nǐ）防火（huǒ）墙防护组件，每一个受保（bǎo）护的（de）Host设备上（shàng）都（dōu）有一（yī）个虚（xū）拟防火墙实例，CSSP平台实现对虚（xū）拟防火墙的分布式集中管理。虚拟防火墙利用引流插（chā）件与VMsafe接（jiē）口实（shí）现联动，实现从Vmware底层引流到虚拟防火墙进（jìn）行检测和（hé）清洗，并对（duì）干净流量进（jìn）行回注。在极限（xiàn）情况下，CSSP自动启用bypass模式，不再从VMsafe接口引流，流量将（jiāng）按照原有的机制转发而不经过CSSP，从而保障业（yè）务服务0中断。

1.统一管理

云安（ān）全服务（wù）平台CSSP支持对（duì）虚拟防火墙进行自动部署（shǔ），并实现对已部署的安（ān）全组件进行统一配置，因此客户全（quán）组（zǔ）织内可以执行统一的安全策略，在极大的减少运维人员工作（zuò）量的（de）同（tóng）时，也（yě）能（néng）充分保障安全策略（luè）的一致（zhì）性，避免出现不必要的错乱而（ér）带来安全风险。

在进行安全防护的过程中，虚拟防火墙（qiáng）组（zǔ）件会将自身捕获（huò）到的（de）安全信（xìn）息反（fǎn）馈给CSSP，由CSSP进行统计、分（fèn）析和展示。

2.资产发现（xiàn）

CSSP通过调（diào）用Vim::find_entity_views接口与（yǔ）vCenter进行通信（xìn），能够自（zì）动发现已部署（shǔ）的（de）资（zī）产（包括主（zhǔ）机和网络（luò）设备（bèi）），并能对资产的变动进行及时的（1分（fèn）钟内）信息更新。另外（wài），用户可以（yǐ）对重（chóng）点（diǎn）资产进行核心标记，以（yǐ）便在相关安全图示中（zhōng）能够（gòu）更清（qīng）晰（xī）的看（kàn）到重点所（suǒ）在（zài）。

3.区域划分

通过CSSP的（de）部署（shǔ），客户网络将被自动划分为两大区域，其中受到虚拟防火墙（qiáng）组（zǔ）件保护的区域被称（chēng）之为信任（rèn）区域，而没有受到安全组件保护的区域被（bèi）称为非信任（rèn）区域。除了这种自动划分以外（wài），用户还可以对信（xìn）任区域的资产进行逻辑区域的划分，从而方便用户能够更精确的对资产应用安全策（cè）略。

4.虚（xū）机（jī）微隔离

对于CSSP而言，客户网（wǎng）络（luò）中（zhōng）的流量被（bèi）归纳为两大类，所有信任区（qū）域与非信任区域（yù）之（zhī）间的（de）流量被称之为南北向流（liú）量，所有信任区域与信（xìn）任（rèn）区域之间（jiān）的流量被称之为东西向流量。而对于所（suǒ）有（yǒu）非（fēi）信（xìn）任区域与非信任区域之间的流（liú）量，因（yīn）为它们无法受到安（ān）全组件的保护（hù），所（suǒ）以不在CSSP监（jiān）管之（zhī）列（liè）。

通过将安全组件植入（rù）网络结构（gòu）之中，对网络进行信任区域和非信任（rèn）区域（yù）的划分，可以（yǐ）更细致的监控区域之间（jiān）的（东西向/南（nán）北向）流（liú）量并强制实施L2-L7各层（céng）规则（zé）以（yǐ）阻止或允许流量通过，从而能够有效的阻止（zhǐ）威胁流量在客户网络（luò）中（zhōng）横冲直闯，实现的更加灵活又（yòu）安（ān）全的“微隔离”。

5.流（liú）量可视

深（shēn）植于网（wǎng）络结构（gòu）之中的虚拟（nǐ）防火墙（qiáng）安全（quán）组件能够实时的监控（kòng）和分析网络中的流量，并将相（xiàng）应的安全信息（xī）数（shù）据汇聚到CSSP，由CSSP进（jìn）行统计分析（xī）后以图形化的方式呈现（xiàn）到用户面前，从而实现网络流量可视。