绿盟云安全集中管理系统NCSS产品白皮书【绿盟科技】■ 文档编号 ■ 密级 完全公开■ 版本编号 ■ 日期■ 撰 写 人 ■ 批准人© 2018 绿盟科技■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■ 版本变更记录时间 版本 说明 修改人2017-09-04 V1.1 起草 冯超目 录一. 云安全风险与挑战 (3)1.1云安全产品缺乏统一管理 (3)1.2安全责任边界界定不清 (3)1.3用户与平台安全边界不清 (3)1.4云安全缺乏有效监督 (3)1.5云计算不可避免的虚拟化安全 (4)二. 设计理念 (4)2.1安全资源池化 (4)2.2云平台安全管理 (4)2.3用户按需服务 (5)2.4合规性原则 (5)2.5符合云计算的特性 (5)三. 绿盟星云 (6)3.1运维门户 (7)3.2租户门户 (7)3.3资源池控制器 (8)3.4日志分析 (8)3.5安全资源池 (8)四. 特色和优势 (8)4.1统一管理 (8)4.2按需服务 (9)4.3便捷部署 (9)4.4弹性扩容 (9)4.5安全合规 (9)4.6高可用性 (10)4.7升级维护方便 (10)4.8开放的资源池兼容性 (10)4.9丰富的服务组合 (11)五. 客户收益 (11)5.1云平台安全保障 (11)5.2等保合规要求 (12)5.3安全责任清晰 (12)5.4安全增值可运营 (12)5.5降低运维成本 (13)六. 部署方式 (13)6.1典型部署 (13)6.2分布式部署 (14)七. 总结 (15)一. 云安全风险与挑战1.1 云安全产品缺乏统一管理与传统环境下安全防护都由硬件设备组成不同，云环境下由传统硬件和虚拟化产品组成；传统环境中可以通过运维管理系统、安全管理中心等对安全设备进行统一管理，但是仍没法解决不同厂家安全设备的策略、管理统一调度的问题，多数的安全设备还需要各自登录设备进行操作管理。

而云环境下面临虚拟化、物理安全设备，如何进行统一的管理也成为新的问题；1.2 安全责任边界界定不清传统环境中网络边界明确，对于安全责任的界定可以通过运维合同中的条款进行描述，一般遵循谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清楚。

云计算环境下，不同的服务和部署模式增加了用户和平台交互的复杂性，同时也增加了云上信息系统与云计算平台的责任界定难度；1.3 用户与平台安全边界不清传统环境中由平台整体提供了从物理网络到应用层的安全防护能力；但随着云计算技术和应用的不断发展，伴随着业务需要，客户需要定制化的、自主可控的安全服务，实时了解掌握自身业务系统运行的安全状态，并根据自身需要和安全风险调整安全策略；网络信息安全等级保护、云计算安全服务能力等相关制度规范也明确用户和平台都需要承担相应的安全风险和责任；1.4 云安全缺乏有效监督云计算环境下，用户业务系统、数据、操作行为等都存放于云端；云计算平台安全也由云平台负责；那么如何保障这些海量数据在云平台上的安全问题；1.5 云计算不可避免的虚拟化安全传统的网络安全设备无法解决虚拟化安全问题；虚拟化主机之间的交互，部署在物理网络中的安全设备无法察觉，自然也无法提供相应的防护能力；虚拟主机之间、虚拟主机跨不同的物理载体之间、外部攻击针对某一虚拟网络等层出不穷的问题急需满足虚拟化形式的安全防护能力；二. 设计理念2.1 安全资源池化在云计算环境下，计算、存储、网络都变成一个个资源池，并可以根据用户需要对外提供服务能力。

那么我们也可以将安全变成一个资源池，利用现有的硬件设备资源、虚拟化安全设备资源，在这些设备的基础之上，构建一个个具有不同能力的安全资源池，并且可以利用这些池化能力，提供诸如入侵防护、访问控制、Web防护等安全功能；在云中心的出口部署一个安全资源池处理南北向流量，流量通过安全资源池的入口，可以对这些从外向内的流量进行如抗拒绝服务攻击、访问控制和Web防护等处理；通过安全资源池还可以实现云平台内部东西向流量的安全防护，通过引流、分流的方式，将虚拟机的流量接入安全节点，进行处置后在被发送到目的地；2.2 云平台安全管理云平台安全管理通过统一的运维门户对安全资源池的资源进行管理、分配、服务编排；还可以掌握安全资源池的运行状态，使用率；配合虚拟化技术形成安全能力弹性扩展；可对资源池内物理安全设备、虚拟化安全设备提供丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络管理功能，从而实现了对云内所有分布的安全资源进行统一的管理，统一的运行监控。

云平台安全管理作为平台系统还具备了对接其他平台的能力；可通过对接云资源管理平台实现云租户账号同步、云资源信息告警等，对接运维管理系统可实现运维工单流转、安全设备运行状态告警等；对接计费系统为提供用户可选的安全服务运营提供支撑；另外，还可以结合全流量分析、漏洞威胁预警、大数据安全感知等平台，实现对云平台安全态势的统计监控分析和预警处理，并可以通过自身展示某一阶段内安全运行状态和报告输出。

2.3 用户按需服务对于购买云计算的用户，安全方面越来越受到重视；而且云租户在云环境下对于安全的了解和认识也有了新的变化，对于安全的需求和细粒度划分都有了自己的想法；传统的安全模式以及云上安全整合不再是用户所需的；用户需要的是按照自己业务定制的安全能力，可以按需选择并且一定条件下针对租户购买资源的使用人员进行二次分配的能力。

用户可以对购买的服务进行一些简单的配置，在不影响云平台安全的情况下，云平台将影响用户的一些安全能力交由用户进行自主配置，通过这些用户可以查看自己业务运行的安全态势、漏洞信息、攻击事件、报表信息等。

2.4 合规性原则云计算除了提供IaaS、PaaS、SaaS服务的基础平台外，还有配套的云管理平台、运维管理平台等。

要保障云的安全，必须从整体出发，保障云承载的各种业务、服务的安全。

借鉴等级保护的思想，依据公安部、工信部关于等级保护的要求，对云平台和云租户等不同的保护对象实行不同级别的安全保护，满足安全等级保护要求。

2.5 符合云计算的特性云计算的特点是按需分配、资源弹性、自动化、重复模式，并以服务为中心的。

因此，对于安全控制措施选择、部署、使用也需尽量满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足云计算平台的安全保障要求。

三. 绿盟星云绿盟云安全集中管理系统是为了解决云计算安全问题而提供的一整套方案型产品，产品包括了运维门户、租户门户、安全资源池、安全资源池控制器和日志管理系统等组件，通过提供安全服务和安全运维等功能，可以保护私有云和专有云等环境中的云平台及其用户的安全。

基于绿盟云安全集中管理系统的解决方案遵循以业务为中心，风险为导向的，基于安全域的纵深主动防护思想，综合考虑云平台安全威胁、需求特点和相关要求，对安全防护体系架构、内容、实现机制及相关产品组件进行了优化设计。

方案通过传统的硬件安全设备来保障云计算的基础设施安全，通常都部署在云计算数据中心的边界。

还通过提供基于虚拟化资源池的安全服务来保障云计算用户的安全。

云计算满足按需分配、资源弹性、自动化和以服务为中心的。

因此，对安全设备的选择、部署和使用也需尽量满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足用户的安全保障要求。

在云计算环境中，还存在的传统的物理网络和物理主机，同时虚拟化主机中也有相应的操作系统、应用和数据，传统的安全控制措施仍旧可以部署、应用和配置，充分发挥防护作用。

对于虚拟化环境中的防护，也可以部署在虚拟化平台上，进行虚拟化平台中的东西向流量进行检测和防护。

云平台的安全运营，会出现大量虚拟化安全实例的增加和消失，该方案会对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。

图 1绿盟星云架构图3.1 运维门户通过运维门户对安全资源池的资源进行统一管理，对提供的安全服务进行服务组合；并能通过运维门户对安全资源池进行统一的监控、对事件告警进行统一的查看，并可以查看整个安全资源池的运行状态、服务使用率，实时掌握安全资源池动态。

3.2 租户门户满足用户细粒度的安全需求和自主可控、可管理的安全目标；用户可掌握在Web应用防护、监测、扫描等服务配置的细粒度；用户还可以通过服务监控、服务报表了解自己购买服务的运行情况和业务系统的安全态势；3.3 资源池控制器资源池控制器可控制硬件和虚拟化安全设备，提供安全策略管理、配置管理、安全能力管理等与特定安全密切相关的功能，根据应用场景的不同，可灵活配置和扩展；运维门户通过控制器可以实现安全服务的开通，针对虚拟化的安全设备可以控制设备的生命周期管理，实现启动、关闭、重启和删除等操作。

资源池控制器还可以对接引流系统，把南北向或东西向流量牵引到安全资源池内做监测和防护。

3.4 日志分析日志管理系统可以收集设备日志，能够实现日志的统一管理，支持Syslog、SNMP Trap、FTP、SFTP等多种日志采集方式，能够采集、分类，过滤，强化和存储各种设备和系统日志，将设备用户行为记录下来，便于IT运维人员进行快速分析和查询。

在日志管理的基础上，提供日志的管理分析和实时告警功能，能够对日志进行报表展现。

3.5 安全资源池支持物理安全设备和虚拟安全设备等类型的安全资源，接受资源池控制器的管理，对外提供相应的安全能力。

目前该方案提供的安全资源池包含了vWAF、vRSAS和vWVSS以及硬件ADS安全组件。

四. 特色和优势4.1 统一管理将传统网络环境中硬件设备、云环境下的虚拟化安全组件统一的管理起来，打破各自为战，数据不共享，服务不连续的阻碍，通过绿盟云安全集中管控系统为管理员带来便利的管理方式，大大的减轻了管理员的压力；通过运维门户提供的事件管理、服务统计等功能模块为管理员呈现一个统一管理、统一监控、统一服务模版配置的服务平台。

4.2 按需服务租户可以根据自身的安全需求阶段性的选择安全能力，例如：某会议期间业务网站防攻击、防篡改压力大，那么租户可以在这一阶段向云平台购买Web安全防护能力、检测能力，通过租户自行选购配置，发挥云计算安全资源池的优势，共享、按需交付的特性；4.3 便捷部署传统安全设备通过硬件盒子方式，云平台需要通过硬件采购、运输、上架、安装、调试、网络配置的一系列繁琐的操作，不但需要根据用途改变云平台网络架构，而且盒子式的设备在运行故障方面要多一些，产品在进行下一次迭代的时候，也需要重新采购，重新部署；而采用虚拟化技术的安全资源池，不需要物理设备，仅需云平台提供现有计算节点，根据云平台的安全需求，选择自己合适的产品，通过绿盟云集中管控系统中的资源池控制器进行统一的管理，后续的更新及维护仅需要对安全镜像进行维护，大大的减轻了运维人员、实施人员的压力；4.4 弹性扩容云平台需要掌握目前云平台安全能力的使用情况，随着云用户的不断接入，租户的业务系统也越来越多、越来越大，安全所需要的资源和能力也越来越高；通过绿盟云集中管控系统可以实时掌握安全资源池的运行状态，在安全资源池能力不足时进行扩容；安全资源池具备云计算特征，可以通过增加承载安全组件的计算节点，实现快速的横向和纵向扩容，横向是指自动增加虚拟机集群，提升安全防护能力，纵向是指通过调整虚拟安全组件的单台虚拟机的CPU、内存等能力，快速提供单台虚拟设备的安全防护能力；4.5 安全合规随着云计算的发展，传统的等级保护已经不能满足云环境下的要求；目前，云计算环境下信息系统等级保护规范正在草案阶段，规范中不再仅针对信息系统进行等级保护定级，更是要求承载信息系统的云平台也要进行定级；2017年7月1号，国家网络安全法发布，等级保护作为法规中明确要求的规范，将迎来新一波云平台安全热；绿盟云安全集中管控系统不但为租户提供符合等级保护要求的安全产品和安全服务，更是为云平台提供符合云等保要求的云安全解决方案；4.6 高可用性安全资源池实现了高可用性，避免传统网络环境中的单点故障在这里出现；另一方面，高可用性的体现有两个方面，一个是指安全资源池控制器的高可用，避免了网络故障影响了控制器进行引流、分流；一个是指安全设备的高可用性，在虚拟化环境下，安全设备像传统网路环境一样，可以实现负载分担、集群、双机热备等高可用性特性；4.7 升级维护方便虚拟化资源池通过镜像的方式升级安全组件。