构建安全的云计算平台架构课件

,8/25/2018,#,构建安全的云计算平台架构,构建安全的云计算平台架构,1,概述,云平台基础架构安全,云用户数据安全,云平台运营管理安全,云平台安全实践,目录,概述目录,2,概述,PART,随着用户对云接受程度,的,增加,和,云计,算,商业,模,式的成,1,熟，越来越多的个人和,企,业都,开,始使,用,云。,移,动、大,数据、物联网、社交等,应,用类,的,发展,带,动云,发,展的同,时也给云带来了安全方,面,的巨,大,挑战,。,云计,算,相对于,传统的计算，使用模式,发,生了,革,命性,的,变化,，,安全也,随之发生很大变化：威,胁,更多,，,攻击,面,更大,，,目标价 值更高，影响面更广。,因,此对,于,安全,防,范也,面,临新的 挑战，,本,议,题,主要深,入,分,享,包括物,理,安,全,、数据,安,全、计算安全、网络安全、,威,胁分,析,、防,护,探讨,等,一系列 问题。,概述PART随着用户对云接受程度的增加和云计算商业模式的成,3,2,PART,云平台基础架构安全,云平台整体架构安全,云平台虚拟化安全,2PART 云平台基础架构安全云平台整体架构安全,4,云平台整体架构安全,云平,台,整体架构安全,既,包括,云,平台,物,理架,构,的安,全,，也,包,含云,平,台虚 拟架构的安全。,云平台物,理架构,安,全,包,含机,房,的安,全,，云,平,台物,理,网络,架,构的,安,全,，,在物理网络架构安全设,计,中要,包,含防,范,各种,各,样的,威,胁，,如,病毒,，,木马，,DDos,攻击,，Web,攻击等。,云平台虚拟架构的安,全,中，,传,统的,安,全设,备,可能,使,不上,力,，比,如,同一 宿主机上的虚机之间的,安,全访,问,，这,就,要借,用,虚拟,防,火墙,。,在云,平,台虚拟 架构的安全设计中，我,们,将网,络,安全,设,备资,源,池化,，,形成,一,个资,源,池，在 需要安全的地方调用合,适,的安,全,资源,。,且这,种,安全,设,备资,源,池化,后,，具有 弹性扩展功能，更能适,应,云平,台,的弹,性,伸缩,的,架构。,云平台整体架构安全云平台整体架构安全既包括云平台物理架构的安,5,统一网络架构,物理网络平台安全,云平台整体架构安全,虚拟网络平台安全,防Ddos安全设计,呼 唤,云平台整体架构安全,统一网络架构云平台整体架构安全虚拟网络平台安全防Ddos安全,6,数据管理,可信管理,CORE,SW,C,ORE,SW,Hypervisor,VM,VM,VM,vSwit,c,h,LB,TOR,TOR,TOR,VXLAN,Network,W,AN,Hypervisor,VM,VM,VM,vSwit,c,h,VXLAN,、,VTEP,、,GW,统一管理,业务东西流量管理,业务南北流量管理,网络管理控制中心,OpenFlow,+,OVSDB,OpenFlow,+,Netconf,服务器,FW,Ro,u,ter,OpenStack,Neutron,Server,Nova,VM,Plug-in,NET,Plug-in,vRouter,vRouter,创建网络：VX,LA,N,vRouter,创建,将,Subnet,绑定到对应的,vRouter,同一个,subnet,的网关逻辑上分散在各个,VTEP,上,vRouter,vRouter,vRouter,DD,os,W,AF,VM,VM,VM,多租户虚拟机,云平台整体架构安全,-,统一的网络构架,数据管理 可信管理CORE SWCORE SWHyper,7,云平台整体架构安全,-,物理网络平台安全,网络防护层通过,抗,DDOS,设备对,进入数据中心的 流量进行清洗,下一代防火墙 和,WAF,能对,3,层,到,7,层数据进行。安全过滤。,核心交换机间通,过虚拟化成一台 设备，保证网络 的高可用性。,做,到,Hypervisor,、虚机安全；用户 数据的安全隔离；存储资源重分配 之前信息删除。,云平台整体架构安全-物理网络平台安全网络防护层通过 抗DDO,8,云平台整体架构安全,-,DD,O,S,DDos,攻击介绍：,指借助于客,户/,服务器,技,术，将多个,计,算机联合起,来,作为攻击平,台,，对一 个或多个目标发动,DDoS,攻击，,从,而成,倍,地提,高,拒绝,服,务攻,击,的威,力,。,防,DDos,攻击方法：,攻击者控制多台傀儡,机,从世,界,各地,向,攻击,目,标发,动,攻击,，,其实,攻,击的是 我们在各个数据中心部,署,的,CDN,网,络,CDN中,的,流量,检,测设,备,检测,到,后，送 给清洗,设,备,，,清洗后,的,流,量,就送给,攻,击,目,标，这,样,就,减,轻了攻,击,目,标,的压力。,云平台整体架构安全-DDOSDDos攻击介绍：,9,云平台整体架构安全,-,DD,O,S,攻击,DC1,DC3,DC2,傀儡机,攻击者,流量清洗,CDN,CDN,D,C,N,流,量,清,洗,CD,N,流量,清,洗,攻击目标,D,WDM,流量清洗,云平台整体架构安全-DDOS攻击DC1DC3DC2傀儡机攻击,10,云平台整体架构安全,-,虚拟网络平台安全,Hypervisor,VTEP,VM1,VM2,VM3,Hypervisor,VTEP,VM1,VM2,VM3,vxlan,gateway,vIPS,vWAF,vAudit,vFW,Core vxlan,gateway,Core vxlan,gateway,FW,FW,Anti-DDOS,Anti-DDOS,Vxlan,网络,internet,物理硬件设备,（,CPU,、内存、网卡、硬盘）,虚拟安全应用池,VM,根据自身的安全 需要，通过调用虚 拟安全池中的虚拟 安全防护设备对自 身进行安全防护。,Hypervisor,层安 全控制,:,通过调 用,Hypervisor,层 的,API,，,在,VM,访,问物理硬,件,资 源时进行安全控,制。,物理层 网络防护,云平台整体架构安全-虚拟网络平台安全HypervisorVT,11,云平台虚拟化安全,同台物理机器上运行,多,台虚,拟,机，,共,用cpu,资,源，,实,现对,CPU,指令 集的扩展和虚拟机运行,模,式的,控,制。,内存安全,同台物理机器上运行,多,台虚,拟,机，,多,台虚,拟,机共,享,使用,物,理主,机,的 内存空间。,存储安全,虚拟机镜像无论在静,止,还是,运,行状,态,都有,被,窃取,或,篡改,脆,弱漏,洞,。,对 应的解决方案是在任何,时,候对,虚,拟机,镜,像进,行,加密,和,逻辑,镜,像隔,离,。,网络安全,虚拟化对网络安全带,来,巨大,的,威胁,，,虚拟,机,间可,能,通过,内,存而,不,是网 络进行通讯，因此这些,通,讯流,量,对标,准,的网,络,安全,控,制来,说,是不,可,见的,。,云平台虚拟化安全同台物理机器上运行多台虚拟机，共用cpu资源,12,云平台基础架安全,-,虚拟化安全,C,P,U,虚拟化安全性保证,内存虚拟化安全性保证,虚拟化安全,存储虚拟化安全性保证,网络虚拟化安全性保证,呼,唤,云平台基础架安全-虚拟化安全CPU虚拟化安全性保证内存虚拟化,13,虚拟化安全,-CPU,虚拟化安全性保证,cpu,虚 拟 化 安 全：,1.,传统的软件辅助虚拟化使用优先级压 缩和二进制代码翻译相结合的方式来实,现完全虚拟化，但这种方式存在虚拟化,漏洞。,2.,基于,intel,VT-x,硬件虚拟化的技术，对,cpu,的指令进行扩展，对指令的优先 级增加了一个维度，即,root,模式和非,r,o,o,t模式，,Hype,r,vis,o,r,运行,在,r,oot模式 下，客户虚拟机运行在非,root,模式，当 执行敏感指令时被,Hype,r,vis,o,r截获，能 有效避免虚拟化漏洞。,User,Apps,Guest,OS,Hypervisor,Host,H,a,r,d,w,a,r,d,Ring,3,Ring,0,N,o,n,-,r,oo,t,Mode,Ring,2,Ring,1,Root,M,o,d,e,虚拟化安全-CPU虚拟化安全性保证 cpu 虚 拟 化,14,虚拟化安全,-,内存虚拟化安全性保证,虚拟机运行时用到三种内存地址：,1,.,虚拟机虚拟地址，虚拟机物理地,址,，主机物理地址。,2,.,虚拟机的虚拟地址和虚拟机物理地址 是由虚拟机操作系统完成的，,3.虚拟机物理地址和主机物理地址转换,是由Hypervisor完成的。,4.,基于,intel,VT-x,的,EPT,技术,，,一方面 能加快内存访问的效率，,另一方面能够限制vm只访问分配到的 内存，从而实现虚拟机之间的内存隔离,。,VM,VM,虚拟机内存,物理地址,主机内存,虚拟化安全-内存虚拟化安全性保证虚拟机运行时用到三种内存地,15,虚拟化安全,-,存储虚拟化安全性保证,创建虚拟机系统盘和数据盘，维护磁盘 到后端存储的映射和磁盘数据加密的基 本功能,1.Hype,r,vis,o,r实现对不,同,虚拟机的逻辑 磁盘的管理和安全隔离。,2.,分布式存储实现一份数据保存多份，,防丢失。,3.,分布式存储实现所有数据故障的检测 和自动恢复,。,恢复不需要人工介入，在 恢复期间，可以保持正常的数据访问。,VM,Hyper,v,i,s,o r,OpenStack,No,v,a,Neutron,Server,VM,Plug-in,NET,Plug-in,scsi-dri,v,er,分布式存,储,数据加密管理,数据隔离,VM,虚拟化安全-存储虚拟化安全性保证创建虚拟机系统盘和数据盘，,16,虚拟化安全,-,网络虚拟化安全性保证,虚拟网络安全性保证，不同租户创建,不同的vlan网络：,1.,实现多虚拟化网络全方位的安全管 理功能，所有的虚拟机数据在没有流,出网络之前都可以实现网络数据加密。,Hype,r,vis,o,r实现高安全网络数据加 密功能。,bridg,e,实现网络的安全访问控制。,4.br-int,实现不同的vlan,网络划分和 访问隔离。,5,.,b,r,-tu,n,实现同其它物理机器和外网 的通信访问功能。,VM,1,VM,2,租户,2,ve,th,br,idg,e,br,idg,e,ve,th,v,e,th,v,e,th,o,v,s,b,r,-,int,VM,1,租,户,1,br,idg,e,ve,th,v,e,th,o,v,s,b,r,-tun,ve,th,patch-tun,patch-int,H,ype,r,visor,虚拟化安全-网络虚拟化安全性保证虚拟网络安全性保证，不同租,17,P,A,R,T 3,云用户数,据,安全,PART 3云用户数据安全,18,云用户数据安全,在云中虚拟化的效率要,求,多个,租,户的,虚,拟机,共,存于,同,一物,理,资源,上,。虽然传统的数据中心的,安,全仍,然,适用,于,云环,境,，物,理,隔离,和,基于,硬,件的 安全不能保护防止在同,一,服务,器,上虚,拟,机之,间,的攻,击,。,管理访问是通过互联网,，,而不,是,传统,数,据中,心,模式,中,所坚,持,的受,控,制 的和限制的直接连接或,到,现场,的,连接,。,这增,加,了风,险,和暴,露,，将,需,要对 系统控制和访问控制限,制,的变,化,进行,严,密监,控,。,云用户数据安全在云中虚拟化的效率要求多个租户的虚拟机共存于同,19,用户数据安全隔离,用户数据存储安全,用户数据安全,用户数据访问控制安全,用户数据传输安全,呼,唤,云用户数据安全,用户数据安全隔离用户数据存储安全用户数据安全用户数据访问控制,20,用户数据安全,-,创建多租户逻辑隔离的安全网络,租户,1,v,Router,APP,Network(VXLAN2),subnet,DB,Network(VXLAN3),subnet,VMVMVM,WEB,Network(VXLAN1),subnet,E,xt,ernal Network,FW,v,FW,v,I,P,S,v,LB,租户,2,WEB,Net