测
云
云分
应用安全代理
平
平析
API安全代理
台
台
运
特
镜像安全
维
权
操
操
云主机安全防护
作
作
审
管
云平台底层 云平台
计
控
域间
流量威胁
安全防护
检测
态势感知和主 动防御
云 安 全 服 务 管理
安全 态势 感知 平台
云 资 源 管 理
威胁 情报
威胁 情报
其他安全能力 其他安全工程 云服务安全 云平台安全(安全厂商)
5 云平台安全(云厂商)
• 八：利用网络安全策略、内网VPN等手段在云内形成相互隔离的平台管理、业务访问、业务管理、安全管理等流量层。 • 九：在云网络建设中，通过区域划分、路由策略、动态引流等方式实现网络安全引流。建设云安全资源池实现面向各应用系统区
内部网络、容器网络的网络访问控制、应用安全代理、API安全代理、零信任访问控制等安全服务。 十：建设云安全管理平台，通过区域设置、安全资源生成、安全代理安装、等手段完成安全能力交付。
应用安全代理
WAF
流量探针
IPS
攻击诱捕
天眼
API安全代理
云服务安全控制
东西向安全资源池 零信防任火组墙件 天IP眼S 云网流量分析 API安全代理
云服务安全管理
云服务安全管理 零信任组件云安全中心
天眼云安全管理平台
统一服务器安全
服务器加固
漏洞扫描
流量探针
云堡垒机
日志接口
数据中心接入点 防火墙
云安全接入点
• 二：建设面向互联网的外部安全接入点，在外部安全接入点对来自互联网的网络流量进行网络层访问控制、流量监控及威胁检测， 实现对云数据中心外部边界的风险收敛及网络安全防护。
• 三：建设面向公有云的公有云安全接入点，在公有云安全接入点对连接公有云的网络流量进行网络层访问控制、流量监控及威胁 检测，实现对公有云专线接入的风险收敛及网络安全防护。
补丁与升级 虚拟化资源隔离 云计算节点系统 安全配置与加固 网络分层隔离与加密 物理设备安全防护
纵深防御
API安全代理
应用安全代理
运特
应用安全防护
维权 操 操攻
云主机安全防护
虚拟网段内防护
流 量
虚拟网段间防护
威 胁
云边界安全防护
检 测
作 作击
审 管诱
计 控捕
服服
务务
高
级
威
胁
云底层软件 应用安全防护
检
©2020 VMware, Inc.
6
云服务安全防护 访问控制
零信任组件
入侵防御
天眼
威胁检测
系统高可用
攻击诱捕
云服务安全控制
零信任组件
访问控制
天眼
入侵检测
关键流量检测
云服务安全管理
云安全服务运营
零信任组件
云安全服务管理
天眼
云安全资源管理
系统安全管理
运维安全管理 云运维代理管理
云安全接入点
云平台安全防护 云平台安全管理
• 从局部整改为主的外挂式建设模式走向深度 融合的体系化建设模式。
3
设计原则： • 对外接口收敛，缩减云数据中心攻击面 • 能力弹性扩展，全面覆盖网络纵深防御和系统安全服务 • 特权操作管控，零信任访问控制 • 能力深度结合，安全与IT业务并存并行 • 云内整体管控，云外体系联动
工程目的：从工程建设的角度，描述建设一个云数据中心的安全应该做哪些事情
• 四：在云边界建设共享的、资源可编排的云服务安全防护，提供访问控制、WAF防护、内网VPN、应用安全代理、API安全代理、 负载均衡、零信任访问控制等安全服务，实现对云服务交付层的边界网络访问控制及应用安全防护。
• 五：在云内建设数据中心统一的云服务安全管理提供软件更新/补丁分发、安全漏洞扫描、配置核查、防病毒、堡垒机、日志采集 等安全服务，实现对云服务交付层的系统级安全管理和安全运行支撑。
• 结合当前政府、运营商、金融等大型机构的网 络安全体系规划与建设的普遍性需求，借鉴了 国内外众多大型机构运行多年的网络安全最佳 实践，以及最新网络安全技术研究成果，提出 面向“十四五”期间的网络安全规划“十大工程、 五大任务”建议框架，为政企机构提供从“甲方 视角、信息化视角、网络安全全景视角”出发 的顶层规划与体系设计思路与建议。
观点：云数据中心的安全从实战角度对资产识别，纵深防御，实时检测，处置响应有完整能力覆盖。
特点：全面覆盖云数据中心的安全需求，深度结合云平台的相关业务
价值：给企业提供一个整体的面向复杂应用场景的云数据中心安全解决方案
4
应用平台层
数据平台层 云主机系统层
云服 务防 护
云网络层
云管理层 虚拟化管理层 虚拟化系统层
物理主机层 物理存储层 物理网络层
云基 础平 台防
护
基础结构安全
统
密 码 体 系
系
统 安 全 管 理
数 据 生 命 周 期 安 全
管 理
一 身
份
安 全
管 理
与
访 问
控
制
云安全资源管理 数据容灾备份 应用安全开发与加固 操作系统安全配置加固 补丁与升级服务
日志采集与存储服务
网络分层隔离与加密
云底层软件 安全配置与加固 日志采集与存储
攻击面
能力弹性扩 展，全面覆 盖网络纵深 防御和系统 安全服务
特权操作管 控，零信任 访问控制
能力深度结 合，安全与 IT业务并行
云内整体管 控，内外体
系联动
• 一：建设面向企业内网的云数据中心安全接入点，在安全接入点对进出云数据中心的网络流量进行网络层访问控制、流量监控及 威胁检测，实现对云数据中心内部边界的风险收敛及网络安全防护。
• 六：基于分层自治的原则，协同网络对云基础平台按照存储、计算、管理的物理网络结构进行划分隔离、执行白名单访问控制等 策略，通过平台底层严格控制来保障云服务交付层的灵活应用。在管理区对云基础平台提供补丁分发、堡垒机、日志采集等安全 能力，实现对云基础平台系统安全管理和安全运行支撑。
• 七：建设云特权操作管控系统、平台特权操作管控系统，开展特权用户操作和零信任访问控制，有效管控和降低资源管控、运行 维护等操作的安全风险。
数据中心接入点
互联网接入点
访问控制
公有云接入点
访问控制
云特权操作管控
访问控制
访问控制
威胁检测
云运维审计
威胁检测
入侵检测
镜像及快照
流量清洗
资源隔离
安全Βιβλιοθήκη 威胁检测攻击诱捕威胁检测
物理设备防护
系统安全管理
©2020 VMware, Inc.
7
云服务安全防护
南北向安全资源池
零信防任火组墙件
云网流量分析
V天P眼N
互联网接入点 Anti-DDOS
公有云接入点 防火墙
云平台安全防护
南北向安全资源池 防火墙
云平台安全管理
南北向安全资源池 统一服务器安全
网络威胁检测
防火墙
网络威胁检测
IPS
漏洞扫描
VPN
VPN
WAF
云堡垒机
网络威胁检测
流量探针
镜像快照安全
攻击诱捕
API安全代理
©2020 VMware, Inc.
8
对外接口 收敛，减少