深信服雲安全解決方案

深信服電子科技****

2023年11月7日

雲計算的興起，給人們的工作方式以及商業模式帶來根本性變化，甚至可能掀起資訊科技的第三次「浪潮」。目前，雲計算在電信、網際網路、it行業以及金融等方面都扮演著舉足輕重的角色。正如業界虛擬化領域的一位資深專家所言：

「以前大家對於雲計算可謂眾說紛紜，都有各自不同的見解和看法，而現在業界已逐漸形成共識：雲計算就是下一代運算模式的演變。每家單位都要建立自己的雲計算模式，其第一步要做的就是完成內部雲或私有雲的建制。

內部雲建制的科技基礎就是虛擬化雲平台，這也將成為拉動整個虛擬化雲平台市場持續走高的成長動力。」

在大企業，虛擬化雲平台能幫助單位在業務層面實現彈性架構和資源池化，一方面可以大幅提公升儲存計算等各種硬體資源的利用效率，另一方面還可明顯提公升辦公、對外服務的開通時間、可用性以及災難恢復等能力。著名諮詢公司gartner將虛擬化雲平台技術列為2023年十大戰略技術第一位，而在2023年初發布**中，更是大膽斷言到2023年20%的單位將不再擁有it資產。尤其在大企業，因為多個內在關聯的趨勢正在推動大企業逐步減少it硬體資產，這些趨勢主要是虛擬化雲平台、雲計算服務、虛擬化的桌面交付等。

而虛擬化雲平台技術，作為雲計算的乙個支撐技術，必將成為未來最重要的最值得研究的it技術之一。

雲平台的搭建將有助於it系統從粗放式、離散化的建設模式向集約化、整體化的可持續發展模式轉變，使it管理服務從各自為政、相互封閉的運作方式向跨部門跨區域的協同互動和資源共享轉變。

1、雲計算能夠降低資訊化成本

在雲環境下，可以將資訊科技資源交給專業的第三方雲服務商管理，由雲服務商提供需要的資訊科技基礎架構、軟硬體資源和資訊服務等，各子公司、集團根據按需付費的原則定製需要的資訊服務。這帶來了兩大好處：一是不需要投資建立大量的資料中心和大型機房，購買伺服器和儲存裝置等，從而節省建設費用；二是資訊軟硬體資源交給專業的雲服務商管理，集團不再負擔資訊系統維護和公升級，節省了運維費用。

2、雲計算提高業務系統的部署效率

雲平台具有較高的靈活性，集團實施新的應用系統時，不必購買額外的軟硬體，而是利用已有雲基礎設施，快速部署系統，提高應用部署速度。開發者在乙個平台上構建和部署應用程式，大大提高了資訊系統部署效率。

3、雲計算降低資訊共享和業務協同難度

長期以來，各應用系統普遍存在各自為政、資源分散等問題。儘管資訊難以共享的根源在於業務系統機制問題，但雲計算能從技術上降低資訊共享和業務協同的難度。通過雲平台，多個部門/集團子公司可以共用相應的基礎架構，實現各業務系統之間的軟硬體共享，提高資訊共享的效率，擴大資訊共享範圍；軟硬體資源和資訊資源的共享將有利於促進各部門內部與部門之間的業務系統的整合，為各部門業務協同創造條件。

4、雲計算有助於提高服務效率

通過雲平台實現軟硬體資源所有權與使用權的分離，各子公司將在不擁有軟硬體資源的情況下享受資訊服務。因此，集團的it部門能夠集中人力物力進行本部門的業務運轉，從而減輕行政負擔，能有更多的精力專注於面向公眾的公共服務，提高效率。同時，在部署了以雲計算為技術支撐的雲平台以後，後台資訊的煙囪式部署方式的壁壘將被打破，從而實現業務資料的統一共享，這對前台服務介面的統一打通有著重要意義，將使得業務系統的統一化不再停留在前台展示層面，而切切實實的實現服務的高效與統一。

集團的雲平台一般為專有雲架構，專有雲平台承擔集團內部服務的內容如業務應用系統等，為各分公司、集團子公司的應用系統提供基礎設施支撐。

雲資源共享專區通過安全隔離措施訪問公有雲（網際網路）、公眾服務專區；各子公司需要對互聯發布的業務系統應根據服務物件逐步遷移至雲平台上，實現集中集約部署。

從整個雲平台整體安全角度來看，我們需要考慮三個方面的設計：雲平台安全、租戶側安全、安全運維管理和便捷性。

圖2.1-2雲平台安全需求框架

雲計算平台和傳統計算平台的最大區別在於計算環境，雲平台的計算環境比傳統意義上的計算環境要更加複雜。對雲平台的計算環境的保護也是雲平台下資訊保安整體保護體系的重中之重。

除了平台的安全問題，租戶側也面臨一些安全問題，比如接入環境是否滿足安全要求、業務系統是否安全、使用者訪問或接入業務的安全風險、虛機之間資訊交換是否安全、業務系統服務可靠性等需求。

整個雲平台安全運維也成了一大難題，首先平台本身以及平台中的業務系統的安全現狀難以實時監測，因此無法做到有效審計，不能追溯安全問題；其次，對於資源池中的安全服務，如何做到動態靈活的統一管理、智慧型分配，滿足雲環境下動態高效的需求；再次，租戶業務系統遷入後，如何快速的獲得所需的安全配額，實現針對性的策略配置和自主運維。

歸納起來，雲平台整體安全需求如下圖所示：

圖2.1-3雲平台整體安全需求

對於雲來說，平台無疑是對外提供服務的基礎，無論是建設運營方，還是租戶，對於平台自身的可靠性、安全性都是極為關注的。因此平台層的安全建設需要從平台安全防護，平台的接入安全，以及平台服務可靠性方面來建設，保證雲平台業務系統安全可靠執行。

平台需要直接連線網際網路，面臨著非法接入、網路入侵、黑客攻擊、病毒傳播、蠕蟲攻擊、web應用保護、殭屍木馬、ddos攻擊等各種安全問題，並且其底層和其上的系統軟體可能存在的安全漏洞將影響到整個平台系統的安全，攻擊者在利用漏洞入侵到平台之後，可以對整個平台內部的資源進行各種破壞，從而導致系統不可用，或者資料丟失、資料洩露，其潛在的威脅將無法估量。

分區分域需求

在安全設計方案中，我們需要將省級部門的業務通過邏輯隔離劃分不同的安全域，首先雲平台建設時需考慮將基礎設施資源劃分為兩個獨立的區域，分別為網際網路業務區、公用網路區，兩個區域間不能直接訪問，僅能通過跨網資料交換區進行資料交換。

每個等保區域內不同租戶應用間通過vlan/vxlan網路隔離，租戶間通過訪問控制裝置進行訪問控制，禁止非授權訪問。

雲平台支援虛擬私有雲，可以在乙個雲資料中心裡靈活設定多個虛擬私有雲，多個私有雲之間使用vpn技術或vxlan技術，達到端到端的隔離效果。

防網路病毒需求

雲平台的核心是計算和資料資源，因此也是網路入侵者最主要的目標。病毒、蠕蟲、木馬等惡意**一旦感染雲平台系統或應用，就可能在平台內部快速傳播，消耗網路資源，劫持平台應用，竊取敏感資訊，傳送垃圾資訊，甚至重定向使用者到惡意網頁。所以雲平台安全建設需要包含檢測和清除病毒蠕蟲木馬等惡意內容的機制。

雲應用安全需求

雲環境的隨需部署和動態遷移，使安全策略的部署變得複雜，需要乙個靈活動態安全機制來適配虛擬化網路安全防護。因為應用只與虛擬層互動，而與真正的硬體隔離，導致應用層的安全威脅缺乏監管而氾濫，安全管理人員看不到裝置背後的安全風險，伺服器變得更加不固定和不穩定。

雲環境中b/s架構的業務普遍存在，大量的web業務應用引入各種各樣的漏洞，給了入侵者可乘之機。黑客能夠利用這些漏洞發起對雲應用的攻擊，比如sql注入、跨站指令碼攻擊等，進而實現對內部敏感資訊監控、竊取、篡改等目的。因此需要有效的裝置來識別並防護針對業務系統漏洞的攻擊。

防止漏洞攻擊

雲平台內部有大量業務伺服器，其底層和業務應用系統會不斷產生新的安全漏洞，給了入侵者可乘之機。黑客能夠利用這些漏洞發起對雲平台的攻擊，比如mail漏洞、後門漏洞、作業系統漏洞、ftp漏洞、資料庫漏洞，實現對**敏感資訊監控、竊取、篡改等目的。因此需要有效的手段來識別並防護針對系統漏洞的攻擊。

雲平台接入安全首先要考慮租戶的安全接入，租戶接入的目的主要是對託管的業務、租賃的服務進行運維管理，因此需要對接入平台的租戶身份進行有效的認證，避免非法使用者接入帶來的危害；而對於普通使用者來說，平台內部哪些資源是對其開放的，哪些資源不能訪問需要界定；在整個大平台內部，不同的雲業務及虛擬私有雲之間會有大量的資訊互動，因此需要考慮如何保障雲間業務的安全互聯，避免資訊洩露和越權訪問。

雲間安全互聯

雲平台裡面可能包含了多個部門資料中心或虛擬私有雲，跨部門或跨級別之間也會進行資訊的流轉，傳統資料中心和雲平台系統進行資訊互動，這些資訊往往涉及到機密等級的問題，應予以嚴格保密。因此，在資訊傳遞過程中，必須採取適當的加密方法對資訊進行加密。基於ipsec的加密方式被廣泛採用，其優點顯而易見：

ipsec對應用系統透明且具有極強的安全性，同時也易於部署和維護，這對於龐大的雲平台來說，顯得極有好處。

深信服雲安全解決方案

深信服解決方案

深信服企業辦公桌面雲解決方案

深信服多鏈路負載方案

深信服雲安全解決方案

深信服解決方案

深信服企業辦公桌面雲解決方案

深信服多鏈路負載方案

相關推薦