汉柏云安全防护系统oCloudEye产品交流-v21

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,汉柏,OPC-Sec,云安全产品,交流,汉柏科技有限公司 云安全事业部,2015,年,5,月,8,日,3,、汉柏,OPC-Sec,产品化说明,1,、什么是云计算安全,2,、云安全防护汉柏之道,目录,4,、汉柏,OPC-Sec,产品规格与发展路线,3,2,1,什么是云计算安全,汉柏云安全之道,OPC-Sec,产品化说明,4,OPC-Sec,规格及发展路线,云计算与大数据时代的到来,随云而来的变化,数据大爆炸,以数据为中心的计算,呼,唤灵活的,IT,架构,云计算的兴起,云计算的痛处,云计算发展的如日中天，云安全姗姗来迟！,云计算,云安全,云计算用户,云计算,的安全保护需求,对于云计算的安全保护，通过单一的手段是远远不够的，需要有一个完备的体系，涉及多个层面，需要从,法律、技术、监管,三个层面进,行。,法律,技术,监管,随云而来的安全威胁,序号,云计算的特点,安全威胁,1,数据和服务外包,（,1,）隐私泄露,（,2,）代码被盗,2,多租户和跨域共享,（,1,）信任关系的建立、管理和维护更加困难,;,（,2,）服务授权和访问控制变得更加复杂；,（,3,）反动、黄色、钓鱼欺诈等不良信息的云缓冲,（,4,）恶意,SaaS,应用,3,网络无边界,（,1,）传统网络防护方案失效,（,2,）虚拟网络流量牵引无统一标准,4,虚拟化,（,1,）用户通过租用大量的虚拟服务使得协同攻击变得更加容易，隐蔽性更强；,（,2,）资源虚拟化支持不同租户的虚拟资源部署在相同的物理资源上，方便了恶意用户借助共享资源实施侧通道攻击。,云计算面临的安全挑战,云计算安全的关键问题在哪里？,用户身份安全问题,共享业务安全问题,用户数据安全问题,云计,算安全的意义和价值,“云安全”,为个人和企业放心地使用,云计算服务,提供了保证，从而可促进云计算持续、深入的发展。,Trust,&,Security,汉柏眼中的云安全,云计算安全,安全云,（保护云计算本身的安全性）,（安全成为云计算的一种服务）,云安全,汉柏,汉,柏云安全之道：基于,SDN,架构,的立,体式防护,汉柏云安全防护系统,汉柏之道,传统安全防护,汉柏云安全,何为汉柏云安全,汉柏云安全介绍,产品定义,汉柏,用什,么样的产品来满,足,云计算消,费市,场对安全的需,求,架,构设计,系统运行模式，层次结构,，调,用关系,以及实现技,术类型,关,键特性,汉柏云安全的关键特性以及功,能亮点介绍,系,统组件,汉柏云安全有哪些组件构成，,其作用和功能如何,互联网,安全,硬件设,备、软件软,件、,数据、隐私的安全,移动互联网,安全,移动安全,+,数据中心安全,云,安全,移动安全,+,云数据中心安全,安全在不同阶段的定义及演进,产品定义,架构,设计,系统组件,关,键特性,通道安全问题,数据传输加密,带宽管理,质量保障,云环境下的安全分析,产品定义,架构,设计,系统组件,关,键特性,云网络平台,业务平台,中间件,管理平台,云计算平台,云计算物理环境,物理安全,数据安全,虚拟化安全,应用安全,管理安全,网络安全,接入安全,身份认证安全,Internet,网络传输通道,终端安全问题,安全漏洞,安全合规性,非法终端,前端应用,数据中心安全问题,访问控制,带宽保障,入侵攻击,应用交付,数据安全,云服务中心,何为汉柏云安全,汉柏云安全定义,架构,技术,管理,设备,是指基于云计算商业模式应用,的汉柏安,全软件，硬件,，管理和服务的安,全云平台的总,称！,基于,SDN,架构,安全,OS+X86,平台,云感知自动化防护,分布式集群管理,产品定义,架构,设计,系统组件,关键特性,产品定义,汉柏云安,全,软件定义网络（,Software Defined Network,SDN,）,是一,种新型网络创新架构，核心理念,是将,网络功能和业务处理抽象化,，并,且通过外置控制器来控制这些抽象化的对象。,SDN,网络架构,SDN,价值,架构设计,系统组件,关,键特性,SDN,为网,络提,供了更多的灵活,性；,SDN,加快了新业务引入的速,度；,SDN,降低了网络的运营费,用和出,错,率；,SDN,有助于实现网络的虚拟化；,SDN,让网络乃至所有,IT,系统更好地以业务目标为导向。,产品定义,汉柏云安,全,汉柏云安全产品系统架构来源于,SDN,，发展于,SDN,SDN,网络架构,汉柏云安全产品设计,架构设计,系统组件,关,键特性,管,理与控制方面,借鉴了,SDN,的思路，采用,Controller,与,worker,相分离的思路,，控,制服务平面一,般会运行在一台或多台物理服务器之上。,转发语隔离层面,云,安全系,统一,是要能够按需提,供网络与安全服务，,二是必须要能够做到租户服务之间的逻辑隔,离,安,全防护层面,汉柏云安全提供信息安全服务通过三种网络功能虚拟化,NFV,技术实现租户安全服务的灵活定制与隔离。,汉,柏云安全,汉柏云安全实现了控制部分与转发部分的分离,。,配,置节点、控制节点、分析节点共同承担了控制平面的职责,，,vRouter,负责报文的转发,配置节点,核,心的功能就是对用户下发的配置进行解析，并转换成内存中的各种数据结构,。,控制节,点,控制节点承担了,SDN,控制平面中的核心功能，通过,XMPP,协议与,vRouter,进行交互，实现对转发的控制。,分析节,点,分析节点的,主要功能是收集信息、汇聚日志和事件、查询分析。,产,品定义,架构设计,系统组件,关,键特性,汉柏云安全,汉柏云安全产品主要构成,APIs,1,管理平台,（,OPC-Sec,Manager）,2,控制器,（,Controller Cluster,）,3,虚拟网络设备,（,vRouter,）,4,防火墙,（,FW,、,NGFW,、,vFW,、,vNGFW,5,虚拟安全组件,（,DDos IPS AV WAF LBS.,）,6,客户端,（,VDI Client,、,BYOD Client,）,7,运维管理组件,（,UMS,、,SOC,）,8,产品定义,架构设计,系,统组件,关键特性,汉,柏云安全,虚拟化层,物理层,云端,L23,L47,Ctrl,Mgr,pSwitch,OPC-Sec,Controller,Cluster,OPC-Sec,Manager,OPC-Sec,APIs,运维管理,合作伙伴/用户,第三方管理软件,SDN Plugins,IPS,SoC,VDI client,BYOD client,UMS,vFW,LAN/WAN,vRouter,VM,VM,v,IPS,vRouter,VM,VM,v,IPS,Physical,Edge Services,(Router、FW、LB),NGFW,DDoS,IPS,AV,汉柏云安,全实现了云计算的全方位立体式防护，集安全、管理于一体,产,品定义,架构设计,系,统组件,关,键特性,控制器分布式架构无单点设计,实时保证,3,台主机提供控制器服务，控制器无单点故障,实,时监控，保证同一服务有,3,份运行在不同的节点上,一点出现主节点故障，系统会自动、随机、选举管理服务主机,配置,控制,分析,监控,Host A,Master,SubMaster,SubMaster,配置,控制,分析,监控,Host B,配置,控制,分析,监控,Host C,DHCP,PXE,DNS,TFTP,Host D,配置,控制,分析,监控,Host E,配置,控制,分析,监控,Host N,配置,控制,分析,监控,Host,B,配置,控制,分析,监控,Host D,Master,SubMaster,宿主于计算节点的分布式控制器,产,品定义,架构设计,系统组件,关,键特性,汉,柏云安全之道（一）,功能,支持虚拟安全设备集群部署的基础,IT,架构,价值,安全设备处理能力线性扩展,会话,响应动态负载均衡,故,障自动化切换,x86服务器,独特的异构集群部署，突破,1000G,性能,产,品定义,架构设计,系统组件,关,键特性,汉柏云安全之道（二）,功能与价值,自动识别低延时业务，优先保证转发；对待突发情况，软件会自动调整,硬件工作分,配优先保障突发优先业务的处理。,全部流量,自动业务模型（,ERP,）,进程、标题、端口、用户,自动业务模型（,OA,）,标题、端口、用户、包长,自动业务模型（报税）,进程、标题、用户、包长,手工业务模型（公积金）,进程、标题、端口、包长,非业务模型（在线视频）,应用、进程、端口,流量控制,安全防护,业务可视,业务模型,模型管控,策略生成,策略生成,识别学习,业务建模,APP signature,应用动态识别，性能按需动态扩展,产品定义,架构设计,系统组件,关,键特性,汉柏云安全之道（三）,“云数据泄露”和“云应用防污染”解决方,案,“,数据泄露”,筑围墙,加锁,登记,审核,做标记,备份,追踪,未交付,管理,汉,柏云安全之道（四）,NAT,FW,VPN,IPS,抗,DOS,AV,基于虚机之间的安全访问控制,基于物理主机之间的安全访问控制,VM,VM,VM,VM,VM,VM,VM,VM,同一物理主机上的虚机之间的安全访问控制。,不同物理主机上的虚机之间的安全访问控制。,云平台东西流,量的解决方案,汉,柏云安全之道（五）,VM,VM,汉柏安全,网关,外部流量,虚拟化引擎,ESXi,、,Hyper-v,、,Xen,、,OPV,、,KVM,v,Router,VM,流量,内部流量,云,防病毒,云,web,防火墙,4,5,云流量清洗,云入侵防御,2,3,云负载均衡,6,云防火墙,1,云平台南北流量的解决方案,汉,柏云安全之道（六）,每个计算节点上运行一个,vRouter,（即,security agent,），计算节点之间建立,VXLAN,或,MPLS over UDP,隧道，服务节点通过服务链机制加入到不同安全区域,VN,之间提供安全防护。,汉柏云安全之道（七）,云平台租户内部流量的解决方案,每个节点上以虚机形式运行虚拟病毒查杀网关，检查进出虚机的流量从而发现并处理病毒,汉柏无代理病毒防护方案优势：,提升物理服务器的效率相同硬件配置提高搭载虚机数量和提升虚机性能。,基于物理节点，简化管理基于主机安装，一次安装。虚机无需安装代理。,自动继承的防护 虚机镜像即装即防。,云平台防病毒解决方案,汉,柏云安全之道（八）,混合云,公有云,私有云,汉柏,OPV-Suite,汉柏,OPV-Suite,汉柏,OPV-Suite,桥接,OPC-Sec,实现了对无物理边界的云平台按需防护,应用场景部署,汉柏云安全,OPC-Sec,产品的典,型应用场景如公,有云、私有云和混合云,汉柏,OPC-Sec,典型应用场景：安全云,汉,柏安全云解决方案,云检测,云防御,云修复,汉柏云租户,安全服务,租户安全一站式服务,通过云服务平台预置和封装，将底层虚拟安全资源的以服务的形式向用户提供。,租户安全服务：租户可自行定义和部署自己的安全策略,租户安全策略：,增值安全业务：,通过虚拟化技术，为租户提供虚拟化业 务设备，从而租户可以部署自己的安全策略。汉柏云安全服务所提供的业务能力包括防火墙、IPS、流量控制、审计等。,虚拟化业务设备同时可以作为虚拟路由网关使用。,提供防,DDoS,攻击、,Web,安全防御、防病毒、抗,DNS,攻击、流量清洗、漏洞扫描等,租户安全策略定义,汉,柏安全云解决方案（续）,汉柏云安全优势,强大,迅速,主动,汉,柏云安全是网络时代信息安全的最新体现，它融合了集群技术、并行处理、未知病毒行为判断、应用智能感知等新兴技术和概念,汉柏云安全技术应用后，识别和查杀病毒不再依靠用户本地硬盘中的病毒库，二是依靠庞大的在线网络服务，实施进行采集，分析以及处理。大大提高了安全效率，加上安全软件的实时处理，得以把威胁扼杀在到达之前,汉柏云安全最