云平台安全体系解读课件

,京华云平台安全体系解读,京华云平台安全体系解读,云平台安全体系,2,3,云平台管理、协议安全,1,云平台安全分析,云平台安全体系23云平台管理、协议安全1云平台安全分析,虚拟机安全现状,JingCloud,虚拟化后的状况,所有虚拟机共享资源,虚拟机和应用程序随时可能移动或变更,VM1,App1,OS1,VM2,App2,OS2,VM3,App3,OS3,App4,OS4,VM4,传统安全防护的模型,每个物理环境相对独立,安全产品保护服务器和应用程序,虚拟化后的信息安全问题,应该重新思考,虚拟机的安全新挑战,虚拟机安全现状JingCloud虚拟化后的状况VM1App1,虚拟机安全现状,资源争夺,1,传统安全软件如何造成“防病毒风暴“？,定期扫描,CPU,IO,网络,硬盘,病毒库更新,网络,IO,病毒库于内存所常驻,重复的,内存,使用,传统安全软件,造成资源冲突,降低虚拟机密度,防病毒风暴,虚拟机安全现状 资源争夺1传统安全软件如何造成“防病毒风暴,虚拟机安全现状,虚拟机安全漏洞,攻击在虚拟器之中发生,虚拟机之间攻击,防护盲点,3,资源争夺,1,随时启动的防护间隙,2,虚拟机安全现状虚拟机安全漏洞攻击在虚拟器之中发生 虚拟机之,虚拟机安全现状,快照等带来的安全风险,资源争夺,1,随时启动的防护间隙,2,激活,重新激活,安全策略过期,虚拟机必须带,有,已配置完整的,客户端,和最新的,病毒库,新生成,虚拟机,休眠,虚拟机安全现状快照等带来的安全风险 资源争夺1 随时启动,云平台安全体系,2,3,云平台管理、协议安全,1,云平台安全分析,云平台安全体系23云平台管理、协议安全1云平台安全分析,虚拟机文件安全,云平台安全,安全检测进程针对,VM,文件内容、注册表等进行检测；,协议层安全；,传输层安全；,40,万的病毒库扫描；,虚拟机文件安全云平台安全安全检测进程针对VM文件内容、注册表,虚拟机网络安全,云平台安全,基于防火墙式的安全防护；,针对各种协议防护；,7000,多种攻击检测和防护；,虚拟机网络安全云平台安全基于防火墙式的安全防护；,解决方案,云平台安全,虚拟机之间攻击,防护盲点,3,资源争夺,1,随时启动的防护间隙,2,解决方案,：无代安全具备虚拟环境感知能力，基于,虚拟机整体,资源所分发的安全任务有效避免资源争夺,解决方案,：,基于安全模块的实时,使用最新威胁特征库,解决方案,：与虚拟化平台所集成的虚拟环境感知安全解决方案,解决方案云平台安全 虚拟机之间攻击防护盲点3 资源争夺,管理平台高可用,架构层安全,管理,Server,可部署为物理机或虚拟机,为,保证性能与冗余性可横向扩展管理,Server,的,数量,数据库可配置为主从复制，读写分离,管理服务器单,节点部署,管理服务器多节点,部署,数据库,管理,服务器,用户接口,管理接口,数据库备,数据库主,管理,服务器,管理,服务器,管理,服务器,用户接口,管理接口,负载均衡器,X,价值：保障整体平台稳定运行,管理平台高可用架构层安全管理Server可部署为物理机或虚拟,HA,高可用,功能层安全,防止意外宕机,增强业务持续性,降低故障,损失,计划内系统维护,加强业务,灵活性,价值：,加强平台应用业务连续性,做到,7*24,小时业务可用,Remote VM guest storage,Bare Metal Hardware,KVM,Hypervisor,Free,Tool Stack,Device Drivers,Bare Metal Hardware,KVM,Hypervisor,Free,Tool Stack,Device Drivers,Bare Metal Hardware,KVM,Hypervisor,Free,Tool Stack,Device Drivers,HA高可用功能层安全防止意外宕机Remote VM gues,网关负载均衡,访问层安全,LB,（,Load Balancer,）负载均衡,Session,管理,用户管理（认证、鉴权）,Broker,代理、转发、分发，协议选择。,内外,网隔离，多接入点,支持,VDI,、,vDGA,、,Soft WS,GW,vGW,TC,P,C,ZC,Workstation,PCoIP Agent,VM,Server,Agent,GW POOL,网关负载均衡访问层安全LB（Load Balancer）负载,系统加固、访问加密,系统层安全,不需要的端口封闭,安全实验室定期扫描、更新漏洞,裁剪不需要的程序,系统文件严格权限控制,系统密码强制修改,管理访问,https,加密访问,模块、接口调用,SSL,加密处理,SSH,低权限登录验证,系统加固、访问加密系统层安全不需要的端口封闭管理访问http,云平台安全体系,2,3,云平台管理、协议安全,1,云平台安全分析,云平台安全体系23云平台管理、协议安全1云平台安全分析,协议安全,传输访问层安全,协议安全传输访问层安全,通道加密安全,传输访问层安全,打印机,DLL,存储,DLL,摄像头,DLL,其他,DLL,TC,API,打印机,DLL,存储,DLL,摄像头,DLL,其他,DLL,VM,API,SSL,加密处理,键盘,/,鼠标显示器,协议,通道,通道加密安全传输访问层安全打印机DLL存储DLL摄像头DLL,网络不传密：,私有协议不传输涉密数据，只传输图像点阵和操作,支持传输加密,终端,不,存,密：,嵌入式封闭系统,终端不留存任何数据,所有的数据都存在后端,传输访问层安全,数据安全,网络不传密：终端不存密：传输访问层安全数据安全,针对用户进行外设管控,支持不同外设类型进行分类管控,支持特定类型下的特定设备管控,支持,USB,、并口和串口分类管控,传输访问层安全,外设安全,针对用户进行外设管控传输访问层安全外设安全,数据安全：,终端不存密、网络不传密、所有数据都保存于服务器,设备安全：,TC,系统裁剪加固、仅客户端访问,传输安全：,数据传输都是基于,SSL,加密访问传输,行为安全：,系统将记录用户的所有操作，基于日志可进行行为审计,数据安全,设备安全,传输安全,行为安全,总体安全,传输访问层安全,数据安全：终端不存密、网络不传密、所有数据都保存于服务器设备,