安全资源池
在云数据中心部署、网络打通
策略路由
租户A 安全服务 Web安全 增强包
基础防御包
安全接入包
租户B 安全服务
云端监测包
租户C 安全服务
安全运营包
失陷主机 发现包
云端监测包
基础防御包
Web安全 增强包
计算资源 存储资源
租户A
计算资源 存储资源
租户B
云平台
计算资源 存储资源
租户C
基于超融合技术，提供安全服务。
基础防御 包
高级防御 包
云端监测 包
租户B的业务是面向公众的，系统架构为B/S架构，公众通过域名访问。为了避免系统被恶意扫描、入 侵、篡改，系统出现问题，可以及时发现，所以建议用户使用使用“基础防御包”“高级防御包”“ 云端检测包”。 另外，为了保证系统的可用性，提升服务器、业务系统的使用效率，可以建议用户选择增值服务包中 2020/3/22 的“负载均衡”
安全资源服务交付流程——发起请求
租户安全服 务需求发起
基础防御 包
高级防御 包
按组件、按需分配 安全服务
平台运营方
安全组件基 本信息配置
个性化安全 策略配置
日常安全事 件运营
租户
2020/3/22
安全运营服务
安全资源服务交付流程——定义安全服务
安全服务定义
场景定义
交付功能定义
2020/3/22
安全资源服务交付流程——分配安全服务
。
03
可运营
① 安全需求随租户迁移线性增长。 ② 运营方要求前期投入低，零库存。 ③ 支持合作运营，保障持续业务增值。
服务化交付
02
功能丰富
01
① 需满足安全业务的全生命周期。 ② 需帮助租户达成安全合规目标。
现有云安全方案实现
云安全方案建设现状
01
紧耦合方案： • 平台自带安全组件 • 安全镜像方案
通过以上，完成对外WEB业务常见 安全风险的防范
现有云架构下最优的方案
无法解决： • 为了实现引流，需要复杂
的路由、网络配置。无法 简化配置、快速交付 • 仅有平台视角，缺少租户 视角 • 硬件一虚多设备支持功能 较少（IPS、FW、LB）
2020/3/22
01
无法解决： • 完全耦合，平台不同，安全厂商融合难度大，开
租租户户A
安全接入包
基础防御 包
高级防御 包
租户A的业务主要是面向系统内部员工开放的，为了保证内部系统数据传输安全，需要使用IPSEC VPN互联，需要对内部系统开启IPS WAF 网页防篡改等功能 所以，建议租户选择“安全接入包”“基础防御包”“高级防御包”
应用
数据库
计算资源 存储资源
租户B
增值业务 包
2020/3/22
深信服云安全资源池功能概览
服
租户安全自服务
务 交
安全服务编排
安全可视化
专家在线服务
付
接入安全
业务安全
与 运
安全组网
漏洞攻击 访问控制
态势可视 威胁可视
营
Web攻击 渗透测试
平
台
安全接入
网页篡改 数据窃取
流量可视 网络可视
安全运营报告 安全加固咨询 人工应急响应
层
资产可视
安全 服务层
安全态势可 视
云端检测服务
安全运营服务
堡垒机 数据库审计
云端检测 安全咨询
云安全资源池组件
① 安全运营服务：安全运营报告、安全策略检测、人工应急响应、通报问题处理 全 ② 云端监测服务：业务可用性检测、资产暴露面、云端漏洞监测
生
命 ③ 失陷主机服务：黑链检测webshell、网页木马、恶意软件、实时漏洞分析
面向租户运营界面
2020/3/22
云安全服务中心——租户安全服务可视、可配置
流量可视模块：
由于云上流量的不可视，导致用户对自己虚拟网络架构内部应用 流量交互不清晰，流量可视模块，为用户展现网络流量组成（哪 些具体应用，流量大小等），让用户随时了解业务流量组成
安全可视模块：
安全资源池内各组件（IPS组件、WEB防火墙组件、失陷主机组件 等）的日志，通过安全可视模块进行收集，统一汇总，对用户汇总 展现当前业务系统面临的风险。
应用背景
云平台完成搭建，平台层面安全已经 建设完成。
租户对业务层面安全提出要求，平台 方运营方需要一种快速、对平台改动 最小的方案。
安全厂商将原有硬件设备以镜像化的 方式部署
与云平台无法深度耦合
实现过程
安全产品提供方，需要根据不同云平 台架构进行产品适配
云平台一般只能够提供标准操作系统 镜像（如windows Server、Linux各 版本），但安全产品镜像是非标准的 操作系统，所以需要平台方协调安装
（DNS引流仅支持web流量） • 大多为服务交付，平台方不掌
握运营能力
02
03
深信服云安全资源池方案
2020/3/22
整体拓扑架构示意图
清洁流量
DNS引流
安全即服务 基于深信服公有云
XYclouds
云端 web安 全防护
网站 安全 报表
资产暴 业务可 安全应 露面 用监测 急服务
云安全服务
平台层物理安全 核心交换
资源管理员： 根据租户选择的服务包类型，分配服务包到租户账户下，安全资源管理员拥有安全服务编排 权限
安全资源运行报告与日志： 根据安全资源池租户使用情况，按照月、季度、年生成资源运行报告，针对资源使用/分配 情况占比，资源利用率等维度，为租户、平台运维方提供有效资源配置建议
安全资源服务日常运营流程
深信服云安全资源池解决方案
深信服安全BU
安全是云计算重要环节
政务云的尴尬现状与挑战
原因 现状 挑战
只顾平台合规 安全建设迷茫 合规标准滞后
租户上云缓慢 租户安全顾虑多 租户安全无保障
1、云运营方如何 持续产出？
2、租户差异化安 全需求如何满足？
2020/3/22
政务云租户的安全需求
① 服务化交付，符合采购要求。 ② 租户自服务，简化运维。 ③ 权责明晰，打消安全顾虑快速上云
安全接入服务
基础防御服务
Web安全增强服 失陷主机发现服务 务
能
IPSEC VPN
L4-L7应用控制
入侵防御
Web防护
力
支 撑
SSL VPN
防病毒功能
网页防篡改
数据防泄密
层
深信服超融合基础平台
安全运营管理
平台层安全运营
统安一全安资全源资 统源一分分配配
安全服务编排
安全日志 统一运维
安全状态监控
安全风险 统一分析
周
期 ④ Web安全增强服务：WAF、防篡改、数据防泄密
安
全 ⑤ 基础防御服务：应用控制、病毒网关、IPS ⑥ 安全接入服务：提供IPSEC VPN、SSL VPN
2020/3/22
安全资源服务交付流程
平台方运营方界面
2020/3/22
安全资源服务交付流程——发起请求
应用
数据库
计算资源 存储资源
硬件一虚 多设备
实现过程
租户与VLAN关联，入站出站流量需 经过该硬件进行清洗。
当前能够支持一虚多的硬件云安全解 决方案，支持功能较少，大多数仅支 持IPS、FW、LB功能。
vSwitch
2020/3/22
Web Server
App Server
vlan100（租户A）
DB Server
VM1
VM2
租户自管理界面：
未租户提供安全服务包管理界面，每个租户可以对自己的个性化 WAF、访问控制、IPS等安全策略进行配置，支持租户定义不同等 级的管理员。
云安全资源池价值展现
2020/3/22
深信服云安全资源服务的价值
2020/3/22
技术特色
深信服安全能力
✓ 最早适配阿里云、亚马逊云、腾讯云的安全厂商 ✓ 从2013年末阿里云推出第三方安全镜像合作开始，深信服就提供了SSL VPN与第二代防
Vlan200（租户B）
VFW
VM2
vlan500（租户C）
设备镜像化交付方案
互联网
vFW镜像
vSSL VPN镜像
堡
C业务安全组
B业务安全组
垒
XX业务安全组
机
镜
A业务ECS
B业务ECS
……
XX ECS
像
A业务RDS
B业务RDS
省安全组
省级管理平台 ECS
XX RDS
负
载
均
衡
镜
像
政务外网
2020/3/22
由于网站业务的特性，租户需要对网 站经常受到的篡改、SQL注入、跨站 等攻击进行防范。
能够对DDoS、CC攻击具备一定的流 量清洗能力。
实现过程
针对租户网站业务，提供SAAS安全 服务，即网站用户访问流量经过 SAAS安全服务清洗后，返回到源站 IP。
需要用户在DNS服务商处修改 CNAME记录，CNAME指向指定的 地址，从而完成流量牵引
火墙产品适配阿里云平台 ✓ 至今已经成交超过千笔
2020/3/22
深信服技术能力表现
2020/3/22
安全市场
虚拟化市场
THANKS!
2020/3/22
部分解耦合： • 硬件一虚多
02
完全解耦合： • DNS引流方案 • 虚拟机引流方
案
03
硬件一虚多方案:点题 Cloud
应用背景
租户A购买的套餐需要提供防火墙 、IPS和负载功能，保证处理能力 的10%