云安全解决方案白皮书

华为云安全解决方案篇一：云安全解决方案XX绿盟科技云安全解决方案XX NSFOCUS Cloud Security Solution目录一云计算典型体系结构1云计算系统分类 1 云计算系统典型物理架构 1 云计算系统逻辑结构3二云计算安全威胁和需求分析4安全威胁分析 4 安全需求和挑战7三云安全防护总体架构设计7设计思路 8 安全保障目标 9 安全保障体系框架9 安全保障体系总体技术实现架构设计11四云平台安全域划分和防护设计 14安全域划分 14 安全防护设计21五云计算安全防护方案的演进38虚拟化环境中的安全防护措施部署 38 软件定义安全体系架构 39 安全运营43六云安全技术服务44私有云安全评估和加固 44 私有云平台安全设计咨询服务45七云安全解决方案52作者和贡献者 52 关注云安全解决方案53八关于绿盟科技 53图表图一.1云典型架构 ................................................ ...................2 图一.2云典型逻辑结构 ................................................ .. (3)图三.3云平台安全保障体系框架......................................... 10 图三.4云平台安全技术实现架构......................................... 12 图三.5具有安全防护机制的云平台体系架构 ..................... 13 图四.6云平台安全域逻辑划分 (15)图四.7安全域划分示例 ................................................ ......... 18 图四.8传统安全措施的部署 .................................................21 图四.9虚拟化防火墙部署 ................................................ ..... 24 图四.10异常流量监测系统部署 ........................................... 27 图四.11网络入侵检测系统部署图....................................... 29 图四.12虚拟化Web应用防火墙部署 ................................. 31 图四.13堡垒机应用场景 ................................................ ....... 33 图四.14堡垒机部署图 ................................................ ........... 34 图四.15安全管理子区 ................................................ ........... 35 图五.16SDN典型架构 ................................................ ........... 39 图五.17软件定义安全防护体系架构 ................................... 40 图五.18使用SDN技术的安全设备部署图 ..........................41 图五.19使用SDN技术实现流量牵引的原理图 .................. 42 图五.20基于手工配置的IPS防护模式 ................................ 43 图六.21服务提供者与客户之间的安全控制职责范围划分 46 图六.22云计算关键领域安全...............................................49图六.23安全咨询服务思路 ................................................ .. 50关键信息本方案首先研究了云计算系统的典型结构，分析了云计算系统面临的安全威胁、安全需求和挑战，进而对云安全防护总体架构，包括保障内容和实现机制、部署方法进行了设计和详细阐述，并介绍了云安全相关的安全技术服务内容和范围，最后给出了典型的云安全防护场景。

[转载]瑞星“云安全”（Cloud Security）计划白皮书构想：互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全目标：全民防御，绝杀木马关键词：“云安全”（Cloud Security）、瑞星“木马/恶意软件自动分析系统”（Rs Automated Malware Analyzer，简称RsAMA）、“瑞星安全资料库”（Rising Security Database，简称RsSD）、瑞星卡卡6.0版我们今天面临的困境：电脑用户的痛苦和安全厂商的困境自从1988年莫里斯蠕虫病毒出现直到2004年，全球截获的电脑病毒总数有10万个；国内最大的安全公司瑞星最新公布的数据，目前每天截获的新病毒数量就高达8-10万个，仅2008年上半年瑞星全球反病毒监测网就发现了近156万个病毒，其中大部分是木马病毒。

电子邮件带毒、即时通信工具带毒、网上下载的电影和MP3带毒、网页上被植入木马……可以说，只要电脑接入互联网，就会立刻面临木马病毒的包围。

但是电脑用户不是专业安全人士，在感染了木马病毒后，大部分的用户根本没有感觉，也不懂得如何通过检查注册表、可疑进程等信息进行分析并上报。

一个普通的病毒分析工程师，每天最多能分析20个左右新病毒，面对成几何级数爆炸增长的新木马病毒，反病毒公司何以承担如此严峻的任务？如果依然沿袭以往的反病毒模式，安全厂商将被淹没在木马病毒的汪洋大海中。

“云安全”（Cloud Security）计划：让每一台电脑都变成一个木马监测站因此，除了利用主动防御技术、未知病毒分析技术等提高杀毒软件的查杀能力之外，我们还需要对传统的木马病毒截获、分析处理方法做根本性的变革，才可以有效应对木马病毒泛滥的严峻局势。

瑞星“云安全”（Cloud Security）计划的内容是，将用户和瑞星技术平台通过互联网紧密相连，组成一个庞大的木马/恶意软件监测、查杀网络，每个“瑞星卡卡6.0”用户都为“云安全”（Cloud Security）计划贡献一份力量，同时分享其他所有用户的安全成果。

绿盟云安全集中管理系统NCSS产品白皮书【绿盟科技】■ 文档编号 ■ 密级 完全公开■ 版本编号 ■ 日期■ 撰 写 人 ■ 批准人© 2018 绿盟科技■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。

任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■ 版本变更记录时间 版本 说明 修改人2017-09-04 V1.1 起草 冯超目 录一. 云安全风险与挑战 (3)1.1云安全产品缺乏统一管理 (3)1.2安全责任边界界定不清 (3)1.3用户与平台安全边界不清 (3)1.4云安全缺乏有效监督 (3)1.5云计算不可避免的虚拟化安全 (4)二. 设计理念 (4)2.1安全资源池化 (4)2.2云平台安全管理 (4)2.3用户按需服务 (5)2.4合规性原则 (5)2.5符合云计算的特性 (5)三. 绿盟星云 (6)3.1运维门户 (7)3.2租户门户 (7)3.3资源池控制器 (8)3.4日志分析 (8)3.5安全资源池 (8)四. 特色和优势 (8)4.1统一管理 (8)4.2按需服务 (9)4.3便捷部署 (9)4.4弹性扩容 (9)4.5安全合规 (9)4.6高可用性 (10)4.7升级维护方便 (10)4.8开放的资源池兼容性 (10)4.9丰富的服务组合 (11)五. 客户收益 (11)5.1云平台安全保障 (11)5.2等保合规要求 (12)5.3安全责任清晰 (12)5.4安全增值可运营 (12)5.5降低运维成本 (13)六. 部署方式 (13)6.1典型部署 (13)6.2分布式部署 (14)七. 总结 (15)一. 云安全风险与挑战1.1 云安全产品缺乏统一管理与传统环境下安全防护都由硬件设备组成不同，云环境下由传统硬件和虚拟化产品组成；传统环境中可以通过运维管理系统、安全管理中心等对安全设备进行统一管理，但是仍没法解决不同厂家安全设备的策略、管理统一调度的问题，多数的安全设备还需要各自登录设备进行操作管理。

千机盾云防御系统产品介绍为移动端APP量身打造的网络安全解决方案日期：2018年9月目录 (1)1.APP版简介 (4)2.防护简介 (4)3.防护优势 (7)4.适用场景 (8)1.APP版简介千机盾云防御系统使用先进的防御体系，攻击者所有的请求都会进入虚拟防护节点上，通过每个节点自带的安全防护功能，进行流量清洗过滤，真实的服务器始终隐藏在千机盾云防御系统的防护之下，避免黑客对其发动攻击。

由于使用分布式的防御体系，可以轻松瓦解大流量攻击。

以全新算法、海量分布式节点为基础，对每个连接进行安全识别，精确判断是真实应用还是恶意攻击，保证每一个连接的安全，通过多维度智能调度系统实现防护IP无感切换打破传统防火墙依赖于高防IP本身防护能力的限制，解决以往攻击防护资源不对等问题，以终端视角彻底解决DDOS攻击问题。

同时高强度加密算法可保护APP通信协议不受破解，可有效解决游戏外挂和业务欺诈。

智能调度保证了终端的最佳网络链路，提升用户体验。

2.防护简介千机盾云防御系统改变了以往抗DDOS攻击依赖一个或数个高防IP的模式，依赖于精巧的调度算法和分布式服务节点，通过算法赢得DDoS攻防对抗的胜利。

整个防护由三大模块组成，分别是客户端SDK、智能调度和身份验证。

2.1.客户端千机盾云防御系统是专门为APP应用开发的集防护加速为一体的安全产品，在使用时用户需要在自身APP中嵌入安全SDK，SDK全面覆盖IOS、Android、Windows。

通过SDK可以精准定位每个终端当前环境信息、是否可信，为智能调度、攻击防护提供多维度参考数据。

通过对APP进行加固有效防治破解、欺诈、外挂等验证影响应用运营安全问题。

2.2.智能调度系统智能调度系统主要对IP地址池中的节点做健康检查，并按照智能调度算法排序，将IP池分为正常组和风险组，正常情况下会给客户端返回3个可用节点IP，一旦3个IP被打死，客户端再次请求将会分配风险组池中的IP，如果依然被打死，此客户端将被加入黑名单，列入高风险客户端，同时不再给它分配任何IP节点，并将客户端IP以及特征码存储，以备后续定位反查攻击者。

HiSec@CloudFabric解决方案技术白皮书目录1 方案背景 (1)1.1 云安全风险分析 (1)1.2 云计算业务特点与业务需求 (1)1.3 安全需求总结 (2)1.4 方案价值 (2)2 方案概述 (3)2.1 方案架构 (3)3 方案介绍 (5)3.1 安全服务化 (5)3.1.1 方案概述 (5)3.1.2 方案设计 (5)3.1.2.1 方案架构 (5)3.1.2.2 安全资源池 (7)3.1.2.3 租户级安全服务 (8)3.1.2.3.1 业务链编排 (8)3.1.2.3.2 V AS服务类型 (11)3.1.2.3.3 V AS服务使用场景 (11)3.2 网安一体化联动方案 (13)3.2.1 方案概述 (13)3.2.2 数据采集 (14)3.2.3 威胁检测 (16)3.2.3.1 WEB异常检测原理 (17)3.2.3.2 邮件异常检测原理 (17)3.2.3.3 C&C异常检测原理 (17)3.2.3.4 流量基线异常检测原理 (17)3.2.3.5 隐蔽通道异常检测原理 (18)3.2.3.6 恶意文件检测原理 (18)3.2.3.7 关联分析原理 (18)3.2.3.8 威胁判定原理 (19)3.2.3.9 云端威胁情报 (19)3.2.4 联动闭环 (19)3.2.4.1 保护网段 (19)3.2.4.2 威胁闭环 (19)3.2.4.2.1 主机隔离 (20)3.2.4.2.2 基于IP阻断 (20)4 典型部署场景 (21)4.1 网安一体联动典型部署场景 (21)4.2 网安一体联动（软件墙）典型部署场景 (22)1方案背景1.1 云安全风险分析1.2 云计算业务特点与业务需求1.3 安全需求总结1.4 方案价值1.1 云安全风险分析虽然云计算给用户提供了一种新型的计算、网络、存储环境，但是在系统和应用上提供的服务等方面却并未发生革命性的改变。

云安全管理平台产品白皮书版本信息文档名称密级创建人云安全管理平台产品技术白皮书2.0.3V1.0公开云安全公司修订记录修订日期修订内容修订人2019.7新建，适用于云安全管理平台V2.0.3，文档版本2.0.3V1.0云安全公司版权声明：奇安信集团及其关联公司对其发行的或与合作伙伴共同发行的产品享有版权，本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程描述等内容，除另有特别注明外，所有版权均属奇安信集团及其关联公司所有；受各国版权法及国际版权公约的保护。

对于上述版权内容，任何个人、机构未经奇安信集团或其关联公司的书面授权许可，不得以任何方式复制或引用本文的任何片断；超越合理使用范畴、并未经上述公司书面许可的使用行为，奇安信集团或其关联公司均保留追究法律责任的权利。

免责声明奇安信集团，是专注于为政府、军队、企业，教育、金融等机构和组织提供企业级网络安全技术、产品和服务的网络安全公司，包括但不限于以下主体：北京奇安信科技有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司，以及上述主体直接或者间接控制的法律实体。

奇安信集团在此特别声明，对如下事宜不承担任何法律责任：1、本产品经过详细的测试，但不能保证与所有的软硬件系统或产品完全兼容，不能保证本产品完全没有错误。

如果出现不兼容或错误的情况，用户可拨打技术支持电话将情况报告奇安信集团，获得技术支持。

2、在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的个人损害、商业盈利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，奇安信集团不承担任何责任。

3、对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生的损失，奇安信集团不承担任何责任，但将尽力减少因此而给用户造成的损失和影响。

4、对于用户违反本协议规定，给奇安信集团造成损害的，奇安信集团将有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。

1 前言1.1 等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。

开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现。

同时等级保护建设是一项体系化的工程，在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。

1.2 深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求，推出软件定义、轻量级、快速交付的实用有效的一站式解决方案，不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评，同时通过丰富的安全能力，可帮助用户为各项业务按需提供个性化的安全增值服务。

采用基于标准X86平台打造的等保一体机，无需交付过多专有硬件设备，即可完成等级保护合规交付。

2 深信服等保一体机技术架构2.1 系统整体架构深信服等保一体机架构由两部分组成：一是超融合基础架构，二是一体机管理平台。

在等保一体机架构上，客户可以基于自身安全需求按需构建等级保护安全建设体系。

超融合基础架构以虚拟化技术为核心，利用计算虚拟化、存储虚拟化、网络虚拟化等模块，将计算、存储、网络等虚拟资源融合到一台标准X86服务器中，形成基础架构单元。

并且多套单元设备可以通过网络聚合起来，实现模块化的无缝横向扩展，形成统一的等保一体机资源池。

一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力；通过接口自动化部署组件，降低组网难度，减少上架工作量；借助虚拟化技术的优势，提升用户弹性扩充和按需购买安全的能力，从而提高组织的安全服务运维效率。

2.2 超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成，从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。

2.2.1 计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。

深信服等保一体机创新性的使用计算资源虚拟化技术，通过通用的x86服务器经过服务器虚拟化模块，呈现标准的安全设备虚拟机。

HiSec@CloudFabric解决方案技术白皮书目录1 方案背景 (1)1.1 云安全风险分析 (1)1.2 云计算业务特点与业务需求 (1)1.3 安全需求总结 (2)1.4 方案价值 (2)2 方案概述 (3)2.1 方案架构 (3)3 方案介绍 (5)3.1 安全服务化 (5)3.1.1 方案概述 (5)3.1.2 方案设计 (5)3.1.2.1 方案架构 (5)3.1.2.2 安全资源池 (7)3.1.2.3 租户级安全服务 (8)3.1.2.3.1 业务链编排 (8)3.1.2.3.2 V AS服务类型 (11)3.1.2.3.3 V AS服务使用场景 (11)3.2 网安一体化联动方案 (13)3.2.1 方案概述 (13)3.2.2 数据采集 (14)3.2.3 威胁检测 (16)3.2.3.1 WEB异常检测原理 (17)3.2.3.2 邮件异常检测原理 (17)3.2.3.3 C&C异常检测原理 (17)3.2.3.4 流量基线异常检测原理 (17)3.2.3.5 隐蔽通道异常检测原理 (18)3.2.3.6 恶意文件检测原理 (18)3.2.3.7 关联分析原理 (18)3.2.3.8 威胁判定原理 (19)3.2.3.9 云端威胁情报 (19)3.2.4 联动闭环 (19)3.2.4.1 保护网段 (19)3.2.4.2 威胁闭环 (19)3.2.4.2.1 主机隔离 (20)3.2.4.2.2 基于IP阻断 (20)4 典型部署场景 (21)4.1 网安一体联动典型部署场景 (21)4.2 网安一体联动（软件墙）典型部署场景 (22)1方案背景1.1 云安全风险分析1.2 云计算业务特点与业务需求1.3 安全需求总结1.4 方案价值1.1 云安全风险分析虽然云计算给用户提供了一种新型的计算、网络、存储环境，但是在系统和应用上提供的服务等方面却并未发生革命性的改变。