《网络安全整体解决方案.ppt》由会员分享,可在线阅读,更多相关《网络安全整体解决方案.ppt(47页珍藏版)》请在悟道方案上搜索。
1、网络安全整体解决方案,虚拟防火墙安全解决方案,虚拟化引入安全风险,APP1,OS1,APP2,OS2,APP3,OS3,APP4,OS4,VM1,VM2,VM3,VM4,传统安全风险,虚拟化后安全风险,网络安全风险主机安全风险应用安全风险数据安全风险,边界概念的弱化平台与租户的安全权责划分多租户间的安全风险VM之间安全访问风险Hypervisor引入的安全威胁,传统硬件安全设备在云数据中心应对不足,云数据中心,出口设备不适合制订针对不同的租户或业务的细化安全策略云数据中心出口流量巨大,不宜展开全面应用层防护虚拟化边界模糊,物理设备无法直接分区防护出口设备不能对虚拟网络东西向威胁直接过滤物理设备
2、引流防护使核心设备负载增大物理设备无法防护平台和虚机间威胁(虚机逃逸)安全不是100%,虚拟网络也要保护物理设备不满足多租户和业务分级等保需求物理设备不匹配云计算灵活弹性的特点,vAF虚拟网络安全防护,传统防火墙功能网络防病毒IPS入侵防御应用识别和控制Web应用安全网站防篡改僵尸网络监测业务漏洞监测,部署vAF前后边界区域清晰,云数据中心,Web Servers,Mail Servers,OA Servers,vRouter,Hypervisor,云数据中心,Web Servers,Mail Servers,OA Servers,vRouter,Hypervisor,vAF,vAF,vAF,
3、存在问题1、没有专门虚拟区域划分设备,导致边界混乱2、缺失虚拟区域之间的访问控制,风险范围扩大;,解决问题1、vAF提供了清晰的虚拟机区域划分逻辑,边界清晰可控2、vAF提供了严格的虚拟区域访问控制策略,防止非授权接入;,部署vAF前后防范虚机之间攻击,云数据中心,Web Servers,Mail Servers,OA Servers,vRouter,Hypervisor,风险虚机,扩散,扩散,扩散,扩散,云数据中心,Web Servers,Mail Servers,OA Servers,vRouter,Hypervisor,风险虚机,扩散,扩散,扩散,扩散,vAF,vAF,vAF,存在问题1
4、、某台虚机出现安全风险,容易将安全风险扩散到同租户的其他虚机2、某台虚机出现安全风险,容易将风险扩散到没有边界防护的其他区域或同一宿主机,解决问题1、vAF支持和vsafe结合,直接从虚拟平台底层引流,实现对同区域、同网段的风险检测和清洗2、不同区域之间的业务互访首先由vAF进行安全控制和清洗,避免了安全风险的进一步扩散,部署vAF之后防御多种攻击,Internet,云数据中心,Web Servers,Mail Servers,OA Servers,vRouter,Hypervisor,合法用户登录,黑客收集信息,伪造身份登录,种植恶意内容,vAF,vAF,vAF,解决问题1、vAF提权全面的
5、L2到L7安全功能,并根据黑客攻击过程,提供事前、事中、事后,完整的安全保护2、vAF具备和物理设备相同的安全功能,包括入侵防御、WAF、防病毒、僵尸检测、漏洞检测、防泄密、防篡改、敏感字过滤等功能3、vAF能以虚机方式部署在云平台内部,满足随需扩展和灵活适配,云数据中心安全保护,网络资源,NGAF,NGAF,NGAF保障传统安全网络安全主机安全风险应用安全风险数据安全风险,vAF保障虚拟化安全平台与租户的安全权责划分多租户间的安全风险VM之间安全访问风险Hypervisor引入的安全威胁,安全是云计算重要环节,云计算的发展趋势,传统数据中心,虚拟化数据中心,私有云,公用云,成本高昂,灵活可靠
6、,硬件设备堆砌,资源解耦,一虚多,按需取用,按需租用,云安全事件危害极大,Sony PSN 事件攻击者通过注册PSN服务,并以其为跳板对PSN云平台进行攻击,在突破隔离的基础上,充分利用了平台内部流量不可见的特性进行信息窃取,AWS成为僵尸网络沃土 Amazon EC2被ZEUS僵尸网络工具包利用建立C&C服务器;恶意人员以6美元为代价对EC2发动DDoS,VMWare vMA漏洞 vMA 4.0、4.1、5.0.0.1 等版本在实现上存在加载任意文件导致的本地权限提升漏洞,攻击者可利用此漏洞以提升的权限执行任意代码,传统数据中心安全建设,内网,外网,服务器,数据库,服务器,数据库,服务器,数
7、据库,安全风险三:外联业务,如数据中心和分支连接,远程管理等,必然引入外联过程中的安全风险安全风险四:来自数据中心内部不同业务区域的安全风险传播,非授权互访等安全风险安全风险五:多链路接入的智能选路、链路负载;应用服务负载、网络带宽分级保障,流量统计等。,安全风险一:数据中心需要开放面对公众的服务,这必然导致存在来自互联网各种攻击风险安全风险二:内部办公网的员工电脑存在有意识或者无意识攻击行为。这些攻击,可能来自本地的办公网络,也可能来自远端经过广域网的分支机构网络,传统数据中心安全需求,核心交换区,链路负载,IPSec VPN,SSL VPN统一接入平台,广域网安全隔离,边界安全,移动接入区
8、,分支接入区,业务发布区,网络接入区,DMZ服务器,链路负载,出口安全,互联网接入,流控,服务器,数据库,服务器,数据库,服务器,数据库,网络以区域为边界安全部署在区域边界,传统数据中心安全方案,云数据中心带来的变化,虚拟化云计算的变化,Hardware,Hardware,Hardware,APPOS,Hypervisor,Hypervisor,软硬件的分离引入虚拟化层(Hypervisor),实现操作系统与硬件的解耦,APPOS,APP,OS,Hardware,APP,OS,Hardware,APP,OS,Hardware,APP,OS,Hardware,APP,OS,Hardware,AP
9、P,OS,Hardware,APPOS,APPOS,APPOS,APPOS,APPOS,APPOS,虚拟化云计算网络变化,SERVER-1,SERVER-2,SERVER-n,云计算虚拟化网络,业务1,业务2,业务3,云计算虚拟化带来新的安全问题,Hypervisor,Hypervisor,Hypervisor,Hypervisor,东西向流量不可视东西向安全不可控安全边界缺失虚机安全接入,不同安全级VM共Host虚拟机动态漂移Hypervisor引入漏洞虚机业务负载,云计算虚拟化网络安全问题,如何在新环境中建立安全架构、机制和防护措施?传统IT威胁、弱点新威胁、新弱点,边界缺失东西向攻击南北
10、向安全Hypervisor引入漏洞VM迁移后的安全接入虚机安全虚机业务负载,非授权访问DoS/DDoS网络入侵平台漏洞接入安全链路负载,传统的安全问题依旧存在,新技术引入新问题,FWAnti-DDoSIPS漏洞识别VPNLB,硬件产品解决平台边界安全,新型防护体系如何构建?,云数据中心安全方案,云数据中心安全建设需求,虚拟化云计算网络内部,主机安全,云数据中心物理网络边界,平台防护,流量管理,接入安全,木马、病毒,僵尸主机,漏洞攻击,运维平台,入侵防御,访问控制,平台漏洞,DDoS防护,智能选路,流量统计,链路可靠性,带宽分级保障,云间安全互联,运维安全接入,基础平台网络安全监控,虚拟化网络安
11、全监控,关联DC安互联入,用户访问安全接入,应用漏洞攻击,渗透测试,网页篡改,Web攻击,应用访问控制,数据窃取,统一管理平台,安全策略集中下发,安全日志统一收集运维,南北向网络安全,业务安全,业务接入,东西向网络安全,虚机逃逸,APT,访问控制,数据窃取,Web安全,业务负载,业务接入,环境安全,云数据中心安全建设方案,云计算虚拟化网络,云数据中心物理网络边界,平台防护,流量管理,接入安全,运维平台,入侵防御,访问控制,平台漏洞,DDoS防护,智能选路,流量统计,链路可靠性,带宽分级保障,云间安全互联,运维安全接入,基础平台网络安全监控,虚拟化网络安全监控,关联DC安全接入,用户访问安全接入
12、,应用漏洞攻击,渗透测试,网页篡改,Web攻击,应用访问控制,数据窃取,统一管理平台,安全策略集中下发,安全日志统一收集运维,南北向网络安全,业务安全,业务接入,东西向网络安全,虚机逃逸,APT,访问控制,数据窃取,Web安全,业务负载,业务接入,NGAF,硬件VPN,硬件AC,硬件AD,vAF(云固),vAF(云基/云固),vVPN,vAD,环境安全,主机安全,木马、病毒,僵尸主机,漏洞攻击,vAF(云固),云安全服务,SC平台、外置数据中心、vAF vCenter、标准API、合作开发,硬件解决物理网络边界安全,功能专业:5款产品入围Gartner魔力象限,NGAF获NSS LAB最高评价
13、形态多样:硬件产品、NFV产品、虚拟化插件产品、云安全服务性能齐全:百兆、千兆、万兆、超万兆集群,软件定义云计算网络内部安全,功能与硬件一致,安全资质齐全,百兆-千兆性能,云数据中心整体安全架构,SERVER-1,SERVER-2,SERVER-n,核心交换区,云计算虚拟化网络,支撑运维区,网管、SOC、认证等,业务1,业务2,业务3,链路负载,IPSec VPN,SSL VPN统一接入平台,广域网安全隔离,边界安全,移动接入区,分支接入区,业务发布区,网络接入区,DMZ服务器,链路负载,出口安全,互联网接入,流控,软件定义安全,SERVER-1,SERVER-2,SERVER-n,虚拟化云计
14、算网络,业务1,业务2,业务3,业务远程接入访问IT远程接入运维远端分支DC互联,虚机服务负载应用健康检测服务智能加速,东西向安全(云固)南北向安全防护L2-L7层整体安全流量可视/策略跟随,软件定义安全,软件定义安全级,在虚拟化内部解决安全问题,功能/性能按需选配和扩展,2018/3/27,云安全的价值,灵活扩展不依赖于专用硬件,快速形成软件安全资源池根据云业务量,动态扩展所需安全组件/服务降低投资利旧已有虚拟化基础设施,降低整体采购成本避免安全专用硬件设备的超前投资,提升利润率一台虚机即可搞定安全问题,提升安全投资效率增强安全保障在最接近虚拟机的区域提供安全,提升防护效果vNGAF提供了全
15、面的安全保障,消除防护短板,案例-X省移动云数据中心项目,安全管理平台,云固,云固,云固,案例-Z集团云数据中心,.,Z集团云数据中心,子公司A:邮件系统,互联网,子公司C:研发系统,互联网,互联网,子公司B:财务系统,vAD,vSSL,软件版AD,云基,选择云安全产品原因:安全性高,深入到云内部提供安全,并基于业务实际需求制定安全策略按业务部门数量,灵活按需部署节省投资,不依赖于专用硬件,并缩短上线周期,云基,云基,网络安全攻防实验室方案,网络信息安全教育的特点,与时俱进,信息安全教育,持续教育,面向需求,深入实践,信息安全领域知识覆盖面宽信息安全知识更新快,信息安全教育注重应用和实践能力需
16、要建立专业的实践环境,信息安全教育是一种持续教育需要专业的、可持续发展的企业给予支持,信息安全教育需要面向多样化、多层次的人才需求人才的培养应该与社会的发展相结合,3,如何建立网络信息安全实验室,网络信息安全实验的方向,网络安全实验室和信息安全实验室针对不同层面的培养方向,建立不同的实验室建立综合实验室信息安全课程初级实验辅助信息安全初级课程,提供学员动手操作环境信息安全课程高级实验将信息安全扩展到网络、设备层面,提供学员动手操作环境信息安全科研实验提供教研室进行信息安全的科研环境重点是信息安全出现的热点、难点,及经验的交流,网络信息安全实验的内容,认知实验信息安全常识防病毒常识个人终端安全防
17、护,普教,职教、高教,高教、科研,初级、中级实验路由与交换安全防火墙和入侵检测操作系统安全数据库与中间件安全,高级实验黑客攻防技术渗透方法,4,网络安全攻防实验室介绍,典型组件搭配效果展示,信息安全云平台,教师电脑,云平台控制器,Switch,攻防实验“网页篡改”的体验与防御,按照实验说明对目标机开始渗透!,存在漏洞的WEB服务器!,取得权限后,植入代码!,对漏洞进行修复!,再次进行渗透尝试!,防护手段启效!,vepms,网络安全实验设备应用教学,具有安全威胁的系统!,根据实验操作提示,利用目标机制造网络威胁,加入网络安全设备IPS,通过操作IPS控制平台便可以查看网络威胁告警,vepms,全网安全监测平台方案,一、分支机构安全建设薄弱,成为入侵的短板 二、全网分支机构安全无法统一管理,风险不可控三、全网的安全要求难以落地,安全层次不齐 四、分支机构安全无人管理,分支机构安全意识 五、总部无法了解分支端的风险,分支机构引起的安 全事件难以追溯差,全网安全监测平台部署设计方案,全网安全监控方案可帮用户,通过最小的投入实现最大的全网安全监控的价值:全网统一安全监控安全设备集约管理分支管理成本控制安全日志统一分析有效事件一目了然,与中国互联网应急响应中心共享僵尸网络库,国内两家安全厂商之一!,THANKS!,