2016年4月15日星期五
打造安全可信的云数据中心
——华为公有云数据中心安全解决方案
Content
1 云计算发展面临新安全挑战 2 华为数据中心安全解决方案 3 成功案例
2
数据中心网络的变化
应用弹性扩展
边界在延伸
威胁升级
安全管理复杂
• 公有云/私有云/混合云 • 应用弹性伸缩
• 虚拟化，服务器边界延伸 • 移动互联，用户边界延伸
APP1 WEB3
DB APP3
WEB2
方案描述
• 贴近应用下一跳部署，VM级细粒度安全防护 • 降低非授权访问、恶意攻击、病毒感染等风险 • VM迁移时会保留其原有的端口组及VLAN配置，
配合网管实现无缝迁移
特性和价值
• L4~L7全功能虚拟化，随需扩展收缩 • 贴近应用的“白名单”策略，精细防护 • VM迁移感知，策略随云而动 • 对接Controller，统一调度和集中管控
统一管理
• 物理+虚拟资源统一管理 • 基于业务感知的智能策略管理 • 安全态势智能感知，准确展示安全全貌
9
IDC安全需求
SaaS （按需求将应用软件为服务提供给客户）
云
PaaS
服
（中间件优化：应用服务器、数据库服 务器、门户服务器）
务
IaaS
(虚拟化服务器、存储、网络)
面
服务
向
租
虚拟化
户
SecaaS
5
云中心成为僵尸网络发起地
More Mobile
More App-DDoS More from DC
App
in 2013
250家 LTE商用网络 46% 智能终端增长
攻击工具移动化
AnDOSid/ LOIC/ Android.DDoS.1.origin
6
in 2013
42% App攻击增长 26% HTTP Flood 40% 混合型攻击增长
基于用户组、应用组的访问控制规 则，随业务变化动态适应
•沙箱 •信誉库 •大数据
独立租户
• 分层分级，差异防护
三层安全池层层联动，区分东西、 南北流量差异化、就近防护
• 层层联动，高级协防
NGFW+沙箱+vNGFW（含终端异 常检测）+大数据+信誉体系，综合 联防，抵御各种APT攻击
16
针对租ห้องสมุดไป่ตู้的SDN弹性安全
云端特征库
IDC场景支持丰富的安全服务，全面满足客户需求
FireHunter云端沙箱
云端沙箱
邮件信誉 文件信誉 Web信誉
IP信誉
云端信誉库
18
软硬件安全全面虚拟化
软硬件安全设备虚拟化，形成弹性安全池化： NGFW 1：N：M，支持4K VSYS，8台集群 vNGFW N:1集群
2~7 层全业务虚拟化：
vSwitch A B C DE VM VM VM VM VM 12345
虚拟化二层网络下，可信区域不复存在
• 虚拟化二层流量直接通过vSwitch交互，流量不可视不可控 • VM跨POD、DC或跨公有云迁移，扩大了网络犯罪者的活
动范围
安全分区与网络解耦，更底层的攻击形态出现
• 对某一台虚拟机的控制，就可以对其他虚拟机发起攻击1： N，从而获得整个服务器群的控制权
越来越多的攻击源自IDC DC server 成为肉鸡 DC 拥有极大的攻击带宽 大型攻击多源自DC
安全管理复杂
Access
vvSSwitchh
？？？
管理员
租户1
租户2
租户3 7
云的安全失控趋势，缺乏整体呈现
• 可审查性、取证困难：计算资源共享、 数 据存储位置未知、网络边界崩溃、不可控 的外部供应商
虚拟化打破传统网络安全边界
在云计算服务中，用户最关注的就是安全问题 ------IDC 的高级副总裁兼首席分析师Frank Gens
60%的虚拟化数据中心的安全性都将令人堪忧…… ------- Gartner报告
过去－1：1攻击
虚拟化二层流量直接通 过vSwitch交互
现在－1：N攻击
VM相互攻击
• 设备+沙箱联动 • 大数据威胁分析 • 层层联防，抵御APT
APT防御
12
大容量NGFW匹配云计算
吞吐 业务板
分布式架构设计： • 板卡按需配置 • 性能线性增长
…
N*160 数量
USG9500
业界水平
吞吐量 并发连接
1Tbp
7倍
150Gbps
s160GE业务板卡，线速转发，线性扩展
960M
10倍
• 内部APT攻击/Outbound DDoS • OS/WEB/APP/DB 0 day漏洞
• 安全策略需跟随虚拟机变化 • IP语言，不感知业务
3
传统安全不适应应用弹性拓展
Internet
区域DC
分支
Extranet/ 租户
WAN
容灾DC
vSwitch
VM
VM
VM
VM
VM上线
VM迁移 VM下线
HOST1
HOST2
HOST3
15
HOST4
基于SDN感知应用，分层分级，层层联防
通过AC感知应用，统一调度三层安全资源池，联动沙箱、大数据实现高级防御
特性和价值
边界安全资源池
通过FW/Anti-DDoS防御外界攻击 通过IPSec/SSL VPN提供安全接入 公用策略，集中控制
内网安全资源池
通过VFW实现多租户安全 通过IPS对流量深度防御
Management zone
虚拟层安全资源池
通过vNGFW实现VM“白名单式”精细 化防护
分布式部署，就近防护
Public
Internet
DC 出口 DC 核心网络
共享租户
• Agile Controller 感知业务的访问控制规则
智能防御 按需弹性
• 1.44T级防御性能，抵御各种新型攻击（Outbound DDoS） • 虚拟化安全精细防御，抵御大二层威胁扩张 • 智能联防，基于SDN统一调度
• 安全业务分钟级开通，90%去手工 • 感知应用，按需弹性升缩： • VM迁移感知，策略和会话同步，0配置随行 • L4~L7全业务虚拟化，物理+虚拟资源池化，1：M，N：1
1.安全资源池-边界 2.安全资源池-租户 3.安全资源池-租户内
• 1.44T NGFW • 双向AntiDDoS • 入侵防御 • SSL VPN
网络安全
租户1
租户2
租户3
Router Core Switch
AntiDDoS NGFW IPS 安全插板
Agile Controller
Access Switch
Virtual System3
LPU1 LPU2 SPU1 SPU2
VLAN资源 VLAN资源 VLAN资源 接口资源 接口资源 接口资源 IP地址资源 IP地址资源 IP地址资源 策略会话 策略会话 策略会话 带宽资源 带宽资源 带宽资源
租户1 19
租户2
租户3
防火墙
IPS/IDS 安全管理
AntiDDoS
AntiDDoS8160 AntiDDoS8080 AntiDDoS8030 AntiDDoS1000
AntiDDoS
SVN5800 SVN5600 SVN5500 SVN2200
SSL VPN
vNGFW500 vNGFW300 vNGFW200 vNGFW100
vNGFW
应用特征库 URL分类库 IPS特征库 AV特征库
100M
满足多业务在线，提供稳定服务能力
新建连接
12M/s
12倍
1M/s
应对突发流量，匹配大规模用户上下线
虚拟防火 墙
4K
4倍
1K
资源灵活分配，多租户独立专享
业界首个T级防火墙，高扩展能力从容应对流量增长
13
基于大数据的分析抵御新型DDoS攻击
60+
全流量逐包检测
• 100%全流量检测 • 3-7层逐包检测 • TCP会话行为 • URI访问行为
60+流量模型分析
• 5种维度 • 8大协议族 • 38种协议状态 • 60+种流量模型
全面信誉体系
• 全球僵尸网络IP信誉 • 本地实时会话信誉 • 僵尸网络主动防御特征库
Out-bound DDoS攻击
VM Zombies
VM
VM
VM VM VM
DC
从源头防止DC out-bound DDoS生成
• L4~L7功能虚拟化
• 软件硬件资源池化
提供给租户可信的云服务
效率
管理
自动化
业务开通和编排 • 定制业务自动发放 • 灵活业务编排
管理 配置和报表 • 物理+虚拟策略 • 报表
业务支撑服务
(客户管理、订购管理、计费)
合规
运营支撑服务
面
性
云 平 台
(实例、映像、资源、资产管理)
虚拟化资源 （虚拟网络、服务器、存储）
虚
拟
Public Network
Shared Network1
Isolated Network1
Isolated Network2
化
VM VM VM VM
VM VM VM VM
VM VM VM VM
VM VM VM VM
安
vSwitch
vSwitch
vSwitch
vSwitch
全
vNGFW