XXX云资源池安全建设方案1.需求分析等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策，是综合性的安全系统工程，等级保护制度同样适用于云环境，在云环境中，各私有云之间和各用户之间的边界模糊化，无法划分区域，从而导致无法根据不同区域面临的防护需求制定不同的安全策略，无法满足等保要求。

云和虚拟化的安全首先是要解决虚拟环境中网络流的调度，其次根据网络流所属的安全域，提供不同的检测和防护手段，最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。

XXX云资源池对安全的需求为：➢实现集中采集根据XXX云资源池的网络结构和应用特点，应采用“流量集中采集、安全产品自主分流”的方式，避免多头采集带来的性能损耗。

➢实现集中管理和部署实现对安全产品的统一管理。

使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询，而不必面对多个管理入口，从而有效提高管理效率。

➢实现虚拟安全域可视化能够直观的展现虚拟安全域的网络流连接情况，使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况，资产之间的实际流量连接关系拓扑等。

从而有效的避免虚拟资产黑箱化的风险。

➢实现虚拟流量的入侵检测能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为（如P2P上传/下载、网络游戏、视频/音频、网络炒股）等威胁进行检测能力，防止利用虚拟机被作为攻击跳板的行为。

➢实现虚拟流量的网络及数据库行为审计能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报，用来帮助用户事前规划预防，事中实时监视、违规行为响应，事后合规报告、事故追踪溯源，促进核心资产数据库、服务器等的正常运营。

➢实现虚拟环境下访问控制能够提供针对租户南北向的访问控制，集防火墙、VPN等多种安全技术于一身，同时全面支持各种路由协议、QoS等功能，为租户网络边界提供了访问控制以及远程VPN接入实现数据的全程加密访问。

2.设计原则根据以上对XXX云安全需求的分析，XXX云安全资源池的建设应遵循以下原则：➢多样产品组合，产生协同效应：单一的安全产品是无法满足高级别的安全合规要求（例如等保），安全资源池支持多个虚拟安全产品并行运行，不同种类的安全产品组合在一起，产生协同效应，不但可以产生出新的安全价值，而且可以更好的满足安全合规要求。

➢高效利用资源，节省运维成本：安全资源池可以将多个安全产品以虚拟机的方式运行在一台硬件设备中，充分发挥了硬件性能，提高了硬件使用效率。

另外，在节约了硬件成本的同时，还节省了以往多台硬件消耗的机架租金、电力、人力维护等运维成本。

多个安全产品部署在同一台设备中，可节约交换机物理端口资源的占用，缩短了产品上线时间。

➢快速部署实现，即时应急响应：安全资源池可以从安全市场获得各种安全产品虚机映像，通过虚机映像可以快速创建各种虚拟化的安全产品，这个过程最多十几分钟，最快甚至只需要1~2分钟，从而实现了快速部署安全产品。

使得用户在面对安全威胁时，迅速以安全产品组织防御体系，帮助用户做到对安全事件的及时响应，维护用户利益。

➢产品平滑升级，保障系统稳定：安全产品会经常面临特征库或软件版本的升级。

有些谨慎的用户，希望在保障业务的前提下进行升级操作。

如升级中发现问题，用户希望能迅速回退到最近的正常状态。

使用安全资源池可开启多个虚拟机分别运行升级前后的软件。

如升级后发现问题，可迅速切换。

保障业务稳定运行。

➢灵活扩展组件，持续提升能力：安全资源池既支持在单机硬件资源允许的条件下，用户通过创建安全产品虚拟机，快速扩展自己的安全能力；同时也要支持分布式系统架构，在单机硬件资源不够时，可将多台主机组成硬件资源池，通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式，近乎无限扩展安全能力。

➢具备未来扩展到软件定义网络的能力：随着云平台网络虚拟化技术的升级，安全资源池应具备扩展支持SDN的能力，能够与SDN网络对接，实现安全资源服务能力的业务编排，并统一虚拟安全资源和物理安全资源。

3.整体架构基于软件定义安全的思想，实现了网络安全设备与它们的接入模式、部署位置解耦合。

智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。

●安全资源池由各种物理形态或虚拟形态的网络安全设备组成，兼容各家厂商的产品。

这些安全设备不再采用单独部署、各自为政的工作模式，而是由管理中心统一部署、管理、调度，以实现相应的安全功能。

安全资源可以按需取用，支持高扩展性、高弹性，就像一个资源池一样。

●转发层本方案中转发层实现可根据XXX云资源池实际情况提供两种部署模式，即SDN模式和虚拟导流模式。

实现对IDC资源池虚拟流量的牵引。

➢SDN模式：适用于云资源池采用SDN技术的环境，即软件定义网络（Software Defined Network，SDN）中的硬件交换机。

将网络安全设备接入转发层后，通过将流导入或绕过安全设备，即可实现安全设备的部署和撤销，采用该模式需要与各云资源池的SDN控制器进行联动，通过云资源池控制器对宿主机内部的虚拟流量进行牵引或复制。

➢虚拟导流模式：适用于云资源池采用非SDN技术的环境，支持Vmware 和KVM，通过虚拟导流技术实现对虚拟机流量复制并导出到外部安全资源池进行检测和审计，采用该模式需要在每台物理主机上（宿主机）安装虚拟导流器。

●平台管理中心由侧重于安全方面的应用组成，包含用户交互界面，将用户配置的或运行中实时产生的安全功能需求转化为具体的安全资源调度策略下发给转发层予以实现，做到安全防护的智能化、自动化、服务化。

提供北向API接口，接受上层综合管理系统的管理。

4.安全资源池技术要求安全产品虚拟化就是使软件和硬件相互分离，把软件从主要安装硬件中分离出来，使得安全产品的系统可以直接运行在虚拟环境上，可允许多个安全产品同时运行在一个或N个物理硬件之上，形成安全资源池，对外提供各项安全服务。

如下图所示：安全资源池系统架构图安全资源池管理系统负责安全产品的虚机管理、授权管理以及系统的自身管理。

具有可集成多种虚拟安全产品于一身的强大扩展能力，可根据云的实际需求动态调整相应的虚拟安全产品，而无需经过复杂的硬件产品上架过程。

安全资源池主要功能要求如下：➢主机管理支持对主机（宿主机Host）的CPU、内存、硬盘资源使用情况进行监控，支持监控主机运行时间，支持远程关机、重启等操作。

➢虚机管理支持对虚机（安全产品虚机）创建、删除、启动、关闭、重启、暂停等操作，支持VNC（用于远程控制的软件）、串口、HTTP几种对虚机的管控方式。

支持虚机实时和24小时的CPU、内存、磁盘读写的监控。

支持虚机自定义设置CPU、内存、硬盘、网卡等资源，支持选择产品映像模板（安全市场中下载）创建对应的安全产品虚机实例，实现相应安全功能。

虚机支持32位或64位CPU，支持共享和绑定CPU两种方式，网络接口支持桥、I/O 透传和I/O虚拟化三种应用方式。

➢产品市场支持安全市场客户端，可以从安全市场源服务器下载各种安全产品映像和产品文档，用于创建虚机实例和配置虚机实例。

安全市场客户端支持下载第三方ISO文件，用于安装第三方产品虚拟机（例如windows、Centos linux）。

更新安全市场源服务器上的内容，无需更新安全资源池系统版本，即可创建更多类型的安全产品虚机，满足日益增长的安全需求。

➢授权中心支持对系统和安全产品虚机的授权管理，用户可以导入授权或追加授权。

➢网络管理支持以太网接口、桥接口、路由、DNS等常用网络配置管理。

支持对本地提供的服务http、https、ssh、ping、mysql、vnc提供访问控制，支持串口管理。

➢系统管理系统具有丰富的自身配置管理功能，包括A或B双系统启动、补丁管理，支持NTP和手工时间同步。

➢日志查询支持对系统日志、虚机日志、操作日志的查询，可根据时间、级别、模块等多种条件进行查询。

5.安全资源池安全产品软件要求安全产品需要部署在安全资源池的虚拟平台上，并满足以下需求：5.1.入侵检测5.2.网络审计5.3.安全域流量审计5.4.安全网关6.虚拟导流器转发技术网络安全产品通常部署在网络边界。

如下图所示，传统网络环境下的安全域的边界就是安全域所在交换机的上行链路。

对该链路上的网络流量进行监控，就可以对安全域的边界进行防护。

防护安全域1防护安全域2安全域1安全域2传统网络边界防护原理图而在虚拟网络环境中，同一个安全域内的虚拟机可能分布在不同的虚拟化服务器中。

并不能通过一条物理或虚拟的链路就可以监听到安全域中的所有边界流量，即通常所说的“网络边界消失”了。

“网络边界消失”后，基于网络边界进行防护的网络安全产品就无法部署到虚拟化环境中。

虚拟网络监控系统利用技术手段，梳理出虚拟网络的边界，使得利用物理网络安全产品对虚拟网络进行防护成为可能。

虚拟网络监控系统在每个虚拟化服务器中部署一个导流虚拟机(AGT)。

AGT本质上是一个虚拟机。

它的主要功能是将虚拟交换机上的网络报文按照策略要求导引到指定的位置。

如下图所示，在AGT的辅助下，可以将分散在多个虚拟化服务器中的安全域中(边界或内部)的网络流量分流汇聚到指定的物理交换机端口或物理设备上。

通过这种方式就构造出了虚拟安全域中的网络流量汇聚点。

基于这个汇聚点，就可以通过物理网络安全设备对虚拟网络安全域进行安全防护。

策略控制中心是虚拟网络监控系统的管理控制中心。

通过策略控制中心可以划分和管理安全域，下发和管理安全域的安全防护策略，控制导流虚拟机的行为，查看导流虚拟机的工作状态和统计信息。

抓包（VMXNet3）导流（安全域1防护安全域1防护安全域2图虚拟网络监控系统原理图虚拟网络监控系统用于对虚拟化计算环境的虚拟安全域进行防护。

虚拟化管理中心和虚拟化服务器(ESXi Server)是被保护的对象。

虚拟网络监控系统对被保护对象几乎不做调整。

在虚拟化计算环境的网络可达位置，需要部署一个策略控制中心，对虚拟化网络监控系统进行监控。

uplink 55.251uplinkpassthrough 55.253图 虚拟网络监控系统典型部署场景导流虚拟机是一个具有特定功能的虚拟机。

导流虚拟机通常至少有3个网卡。

一个网卡用于作为管理端口；一个网卡(通常是物理直通网卡)用于转发网络报文，将流量导引到指定的位置；其它的虚拟网卡都用于抓取网络报文。

虚拟网络监控系统需要在每一台虚拟化服务器中都部署一个导流虚拟机。

导流虚拟机的抓包网卡需要连接到虚拟交换机的混杂端口组。

每个需要被监控的虚拟机所在的虚拟交换机上都需要配置混杂端口组，并将导流虚拟机的一个抓包网卡连接到这个端口组中，用于抓取网络报文。

导流虚拟机的转发网卡可以是物理网卡通过PCI passthrough 技术直接赋给导流虚拟机使用，也可以是虚拟网卡。