精选-信息安全-深信服_云安全_等保一体机_技术白皮书
信息安全保障体系服务白皮书
信息安全保障体系咨询服务技术白皮书杭州安恒信息技术有限公司二〇二〇年八月目录1.公司简介 (2)2.信息安全保障体系咨询服务 (3)2.1.概述 (3)2.2.参考标准 (4)2.3.信息安全保障体系建设的指导思想 (4)2.4.信息安全保障体系建设的基本原则 (5)3.信息安全保障体系的内容 (6)3.1.信息安全的四个领域 (6)3.2.信息安全策略体系 (6)3.2.1.信息安全战略 (7)3.2.2.信息安全政策标准体系框架 (7)3.3.信息安全管理体系 (8)3.4.信息安全技术体系框架 (9)3.5.信息安全运营体系 (11)4.信息安全保障体系的建设过程 (13)4.1.信息安全保障体系的总体建设方法 (13)4.2.信息安全策略的定义 (13)4.2.1.信息安全策略的通用性特征 (14)4.2.2.信息安全策略的建立过程 (15)4.3.企业信息安全管理体系的建设 (17)4.3.1.安全管理体系总体框架 (17)4.3.2.信息安全环境和标准体系框架 (18)4.3.3.信息安全意识培养 (18)4.3.4.信息安全组织 (21)4.3.5.信息安全审计监督 (21)4.4.企业信息安全运营体系的建设 (25)4.5.企业信息安全技术体系的建设 (27)4.5.1.安全技术设计目标 (27)4.5.2.安全技术体系的建设 (27)5.为什么选择安恒信息 (28)5.1.特性 (28)5.2.优点 (28)5.3.效益 (28)1.公司简介杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
网络信息安全培训白皮书模板
WORD格式可编辑网络信息安全培训白皮书重庆至善知本文化传播有限公司信息安全培训服务综述重庆至善知本文化传播有限公司与北京天融信公司合作,独家代理重庆地区,信息安全培训服务项目。
依托天融信在信息安全领域的优势技术、专业人才和过硬设备,以传授知识、注重实践、适应职业发展为导向,推出了四大业务:意识培养、认证培训、专项技能提升以及教学实训环境,为个人、企业和院校提供多元化、标准化、知识与实践并重的信息安全培训。
经过18年的信息安全培训从业积淀,中心拥有雄厚的师资力量,,持有CISSP、CISA、CISP、ISMS、CCIE Security、NSACE等信息安全相关国际/国家认证资质。
为十多万用户提供了各种形式的安全培训,中心已经和中国信息安全测评中心、中国信息安全认证中心、(ISC)2、互联网专家协会(AIP)、国际互联网证书机构(ICII)、国际Webmaster协会等多家单位建立了良好的合作关系。
信息安全意识培训及配套服务最近几年,国内众多组织单位,都对人员的信息安全综合能力培养非常重视。
其中,对信息安全意识培训需求旺盛。
越来越多的组织、单位、企业将信息安全意识培训作为提高自身信息安全水平的一个必要手段。
我们除了以往传统的根据课件面对面授课方式以外,在倡导信息安全意识方面实行多样化教育,利用宣传画册、海报、Flash动画、电脑桌面主题及屏保、台历等手段和方式进行安全意识实时提醒与教育。
这种因地制宜的创新培训理念和方式,先后被多家政府部门、企事业单位的客户所采用,并且受到客户的高度好评和赞誉。
信息安全培训中心根据大量的客户需求调研分析,并结合自身在信息安全培训领域极为丰富的经验,以原有的信息安全意识授课教学产品资源为基础,开发了一系列形式新颖、活泼,使用灵活,效果极佳的一系列信息安全意识教育培训产品,其中主要包括以下类型:购买方式:1. 主项目产品(培训讲座、FIASH动画、安全手册)可单独购买。
深信服解决方案
深信服解决方案一、背景介绍深信服是一家率先的网络安全解决方案提供商,致力于为企业提供全方位的网络安全保护。
其解决方案包括网络安全、云安全、终端安全、挪移安全等多个领域,能够匡助企业建立强大的网络安全谨防体系,保护企业的核心数据和网络资产。
二、深信服解决方案的特点和优势1. 多层次的网络安全防护:深信服解决方案采用多层次的网络安全防护策略,包括边界安全、内部安全、终端安全等,能够全面抵御各类网络攻击和威胁。
2. 全面的安全管理平台:深信服提供全面的安全管理平台,能够对企业的网络安全进行实时监控和管理,及时发现和应对安全漏洞和威胁。
3. 强大的威胁情报和分析能力:深信服拥有强大的威胁情报和分析能力,能够及时获取全球范围内的安全威胁信息,并对其进行分析和处理,匡助企业预防和应对各类网络攻击。
4. 高性能的网络设备和解决方案:深信服的网络设备和解决方案具有高性能和高可靠性,能够满足企业对网络带宽和稳定性的需求,保障企业的网络运行顺畅。
5. 客户定制化的解决方案:深信服能够根据客户的实际需求,提供定制化的解决方案,满足企业不同行业和规模的网络安全需求。
三、深信服解决方案的应用场景1. 企业网络安全防护:深信服解决方案可以匡助企业建立完善的网络安全防护体系,包括边界防护、内部防护、终端防护等,保护企业的核心数据和网络资产。
2. 云安全保护:深信服提供的云安全解决方案可以匡助企业保护云平台上的数据安全,防止云安全漏洞和攻击。
3. 挪移设备安全管理:深信服解决方案可以匡助企业对挪移设备进行安全管理,包括挪移设备的访问控制、数据加密、应用管理等,保护企业挪移设备的安全。
4. 金融行业安全保护:深信服解决方案可以匡助金融行业建立强大的网络安全防护体系,保护金融机构的核心业务数据和客户信息安全。
5. 政府机构网络安全保护:深信服解决方案可以匡助政府机构建立安全的网络环境,保护政府机构的敏感信息和网络资产。
四、深信服解决方案的成功案例1. 某大型金融机构:该金融机构采用了深信服的网络安全解决方案,建立了完善的网络安全防护体系,有效防止了各类网络攻击和威胁,保护了客户的资金和信息安全。
SANGFOR_CSSP_4.0.5R1_等保一体机方案简介
防火墙 VPN WAF
运维审计 漏洞扫描 数据库审计
日志审计 配置核查 风险监测 端点安全
ALL IN 等级保护一体机
方案架构
出口设备 核心交换
流量编排
EDR
web服务
数据库
VM 二级业务区域
EDR
web服务
数据库
VM 三级业务区域
EDR
web服务
数据库
VM 其他业务区域
IT基础设施(云环境、物理环境)
(一)制定内部安全管理制度和操作规程,确定网络 安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等 危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件 的技术措施,并按照规定留存相关的网络日志不少于 六个月;
(四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
负载均衡 思福迪堡垒机 聚铭日志审计
组件功能
必选安全服务
提供FW、IPS、WAF、防篡改服务。 提供数据库审计服务
提供SSL VPN安全接入 提供网络日志审计 提供运维审计服务
提供主机安全检测与响应 提供日志采集、分析及展示服务 提供漏洞扫描和配置核查服务
可选服务
提供应用服务负载均衡服务 提供运维审计服务
深信服等保一体机 方案介绍
内容目录
n 等级保护背景介绍 n 等保一体机方案介绍
01 等级保护背景介绍
等级保护发展历程
1994年-国务院147号令
第九条: 计算机信息系统实行安全 等级保护。
2003年-中办发27号文
信息安全保障纲领性文件 第二条: 实行信息安全等级保护。
1999年-GB 17859
超融合技术白皮书
深信服超融合架构技术白皮书深信服科技有限公司修订记录深信服超融合架构技术白皮书文档密级:内部第1章、前言 (8)1.1IT时代的变革 (8)1.2白皮书总览 (9)第2章、深信服超融合技术架构 (11)1.1超融合架构概述 (11)1.1.1超融合架构的定义 (11)1.2深信服超融合架构组成模块 (11)1.2.1.1系统总体架构 (11)1.2.1.2aSV计算虚拟化平台 (12)1.2.1.2.1概述 (12)1.2.1.2.2aSV技术原理 (13)1.2.1.2.2.1aSV的Hypervisor架构 (14)1.2.1.2.2.2Hypervisor虚拟化实现 (17)1.2.1.2.3aSV的技术特性 (25)1.2.1.2.3.1内存NUMA技术 (25)1.2.1.2.3.2SR-IOV (26)1.2.1.2.3.3Faik-raid (27)1.2.1.2.3.4虚拟机生命周期管理 (28)1.2.1.2.3.5虚拟交换机 (29)1.2.1.2.3.6动态资源调度 (30)1.2.1.2.4aSV的特色技术 (30)1.2.1.2.4.1快虚 (30)1.2.1.2.4.2虚拟机热迁移 (31)1.2.1.2.4.3虚拟磁盘加密 (32)1.2.1.2.4.4虚拟机的HA (33)1.2.1.2.4.5多USB映射 (33)1.2.1.3aSAN存储虚拟化 (35)1.2.1.3.1存储虚拟化概述 (35)1.2.1.3.1.1虚拟后对存储带来的挑战 (35)1.2.1.3.1.2分布式存储技术的发展 (35)1.2.1.3.1.3深信服aSAN概述 (36)1.2.1.3.2aSAN技术原理 (36)1.2.1.3.2.1主机管理 (36)1.2.1.3.2.2文件副本 (37)1.2.1.3.2.3磁盘管理 (38)1.2.1.3.2.4SSD读缓存原理 (39)1.2.1.3.2.5SSD写缓存原理 (45)1.2.1.3.2.6磁盘故障处理机制 (49)1.2.1.3.3深信服aSAN功能特性 (60)1.2.1.3.3.1存储精简配置 (60)1.2.1.3.3.2aSAN私网链路聚合 (61)1.2.1.3.3.3数据一致性检查 (61)1.2.1.4aNet网络虚拟化 (61)1.2.1.4.1网络虚拟化概述 (61)1.2.1.4.2aNET网络虚拟化技术原理 (62)1.2.1.4.2.1SDN (62)1.2.1.4.2.2NFV (63)1.2.1.4.2.3aNet底层的实现 (64)1.2.1.4.3功能特性 (68)1.2.1.4.3.1aSW分布式虚拟交换机 (68)1.2.1.4.3.2aRouter (68)1.2.1.4.3.3vAF (69)1.2.1.4.3.4vAD (69)1.2.1.4.4深信服aNet的特色技术 (69)1.2.1.4.4.1网络探测功能 (69)1.2.1.4.4.2全网流量可视 (70)1.2.1.4.4.3所画即所得业务逻辑拓扑 (70)1.2.2深信服超融合架构产品介绍 (71)1.2.2.1产品概述 (71)1.2.2.2产品定位 (71)第3章、深信服超融合架构带来的核心价值 (73)1.1可靠性: (73)1.2安全性 (73)1.3灵活弹性 (73)1.4易操作性 (73)第4章、超融合架构最佳实践 (74)第1章、前言1.1 IT时代的变革20 世纪90 年代,随着Windows 的广泛使用及Linux 服务器操作系统的出现奠定了x86服务器的行业标准地位,然而x86 服务器部署的增长带来了新的IT 基础架构和运作难题,包括:基础架构利用率低、物理基础架构成本日益攀升、IT 管理成本不断提高以及对关键应用故障和灾难保护不足等问题。
深信服服务器虚拟化-技术白皮书
深信服服务器虚拟化产品技术白皮书深信服科技声明市深信服电子科技所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容,除另有特别注明外,其著作权或其它相关权利均属于市深信服电子科技。
未经市深信服电子科技书面同意,任何人不得以任何方式或形式对本文档的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。
免责条款本文档仅用于为最终用户提供信息,其容如有更改,恕不另行通知。
市深信服电子科技在编写本文档的时候已尽最大努力保证其容准确可靠,但市深信服电子科技不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈如果您有任何宝贵意见,请反馈:信箱:省市学苑大道1001号南山智园A1栋邮编:518055电话:09传真:09您也可以访问深信服科技:获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释Hypervisor Hypervisor虚拟机管理器(和VMM同义)VMM VMM Virtual Machine Manager 虚拟机监视器HA HighAvailability 高可用性vMotion vMotion 实时迁移DRS Distributed Resource Scheduler 分布式资源调度程序FC Fibre Channel 光纤通道HBA Host Bus Adapter 主机总线适配器RAID Redundant Arrays of IndependentDisks磁盘阵列IOPS Input/Output Operations Per Second 每秒读写(I/O)操作的次数VM Virtual Machine 虚拟机LUN Logical Unit Number 逻辑单元号目录第1章服务器虚拟化介绍 (1)第2章深信服服务器虚拟化aSV解决方案 (2)2.1技术原理 (2)2.2解决方案 (4)2.3计算虚拟化 (5)2.4存储虚拟化 (6)2.5网络虚拟化 (8)2.6高可用 (8)2.7管理与运维 (9)2.8备份与恢复 (10)第3章深信服aSV特色技术............................................ 错误!未定义书签。
SANGFORAD技术白皮书
深信服应用交付产品技术白皮书深信服科技有限公司2013年版权声明深圳市深信服电子科技有限公司版权所有,并保留对本文档及本声明的最终解释权和修改权。
本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其着作权或其它相关权利均属于深圳市深信服电子科技有限公司。
未经深圳市深信服电子科技有限公司书面同意,任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。
免责条款本文档仅用于为最终用户提供信息,其内容如有更改,恕不另行通知。
深圳市深信服电子科技有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠,但深圳市深信服电子科技有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。
信息反馈如果您有任何宝贵意见,请反馈:信箱:广东省深圳市学苑大道1001号南山智园A1栋邮编:518055电话:9传真:9您也可以访问深信服科技网站:获得最新技术和产品信息缩写和约定英文缩写英文全称中文解释ACL Access Control List访问控制列表ADC Application Delivery Controller应用交付设备BRAS Broadband Remote Access Server宽带接入服务器DNAT Destination NAT目的地址NATDNS Domain Name Service域名服务DR Direct Route直达路由FTP File Transfer Protocol文件传输协议HA High Availability高可用性HTTP Hypertext Transfer Protocol超文本传输协议ICMP Internet Control Message Protocol因特网控制报文协议ISP Internet Service Provider Internet服务提供商MAC Media Access Control介质访问控制NAT Network Address Translation网络地址转换OSPF Open Shortest Path First开放最短路径优先RADIUS Remote Authentication Dial In UserService 远程用户拨号认证系统RIP Routing Information Protocol路由信息协议RTT Round Trip Time往返时间STP Spanning Tree Protocol生成树协议SNAT Source NAT源地址NAT SNMP Simple Network Management Protocol简单网络管理协议SOA Service Oriented Architecture面向服务架构SSL Secure Socket Layer安全套接层TCP Transmission Control Protocol传输控制协议UDP User Datagram Protocol用户数据报协议URI Uniform Resource Identifier统一资源标识符URL Uniform Resource Locator统一资源定位符VLAN Virtual Local Area Network虚拟局域网目录第1章应用交付,后负载均衡时代的选择 ......... 错误!未定义书签。
信息安全等级保护目标白皮书
信息安全等级保护目标白皮书信息安全等级保护目标白皮书(覆盖等保二级和三级)目录1.第二级等保安全目标 (3)1.1. 技术目标 (3)1.2. 管理目标 (5)2.第三级等保安全目标 (7)2.1. 技术目标 (7)2.2. 管理目标 (10)3.等级保护二级、三级要求比较 (13)3.1. 技术要求比较 (13)3.2. 管理要求比较 (27)1.第二级等保安全目标第二级信息系统应实现以下目标。
1.1.技术目标O2-1. 应具有抵抗一般强度地震、台风等自然灾难造成破坏的能力O2-2. 应具有防止雷击事件导致重要设备被破坏的能力O2-3. 应具有防水和防潮的能力O2-4. 应具有灭火的能力O2-5. 应具有检测火灾和报警的能力O2-6. 应具有温湿度自动检测和控制的能力O2-7. 应具有防止电压波动的能力O2-8. 应具有对抗短时间断电的能力O2-9. 应具有防止静电导致重要设备被破坏的能力O2-10. 具有基本的抗电磁干扰能力O2-11. 应具有对传输和存储数据进行完整性检测的能力O2-12. 应具有对硬件故障产品进行替换的能力O2-13. 应具有系统软件、应用软件容错的能力O2-14. 应具有软件故障分析的能力O2-15. 应具有合理使用和控制系统资源的能力O2-16. 应具有记录用户操作行为的能力O2-17. 应具有对用户的误操作行为进行检测和报警的能力O2-18. 应具有控制机房进出的能力O2-19. 应具有防止设备、介质等丢失的能力O2-20. 应具有控制机房内人员活动的能力O2-21. 应具有控制接触重要设备、介质的能力O2-22. 应具有对传输和存储中的信息进行保密性保护的能力O2-23. 应具有对通信线路进行物理保护的能力O2-24. 应具有限制网络、操作系统和应用系统资源使用的能力O2-25. 应具有能够检测对网络的各种攻击并记录其活动的能力O2-26. 应具有发现所有已知漏洞并及时修补的能力O2-27. 应具有对网络、系统和应用的访问进行控制的能力O2-28. 应具有对数据、文件或其他资源的访问进行控制的能力O2-29. 应具有对资源访问的行为进行记录的能力O2-30. 应具有对用户进行唯一标识的能力O2-31. 应具有对用户产生复杂鉴别信息并进行鉴别的能力O2-32. 应具有对恶意代码的检测、阻止和清除能力O2-33. 应具有防止恶意代码在网络中扩散的能力O2-34. 应具有对恶意代码库和搜索引擎及时更新的能力O2-35. 应具有保证鉴别数据传输和存储保密性的能力O2-36. 应具有对存储介质中的残余信息进行删除的能力O2-37. 应具有非活动状态一段时间后自动切断连接的能力O2-38. 应具有网络边界完整性检测能力O2-39. 应具有重要数据恢复的能力1.2.管理目标O2-40. 应确保建立了安全职能部门,配备了安全管理人员,支持信息安全管理工作O2-41. 应确保配备了足够数量的管理人员,对系统进行运行维护O2-42. 应确保对主要的管理活动进行了制度化管理O2-43. 应确保建立并不断完善、健全安全管理制度- 10 -O2-44. 应确保能协调信息安全工作在各功能部门的实施O2-45. 应确保能控制信息安全相关事件的授权与审批O2-46. 应确保建立恰当可靠的联络渠道,以便安全事件发生时能得到支持O2-47. 应确保对人员的行为进行控制O2-48. 应确保对人员的管理活动进行了指导O2-49. 应确保安全策略的正确性和安全措施的合理性O2-50. 应确保对信息系统进行合理定级O2-51. 应确保安全产品的可信度和产品质量O2-52. 应确保自行开发过程和工程实施过程中的安全O2-53. 应确保能顺利地接管和维护信息系统O2-54. 应确保安全工程的实施质量和安全功能的准确实现O2-55. 应确保机房具有良好的运行环境O2-56. 应确保对信息资产进行标识管理O2-57. 应确保对各种软硬件设备的选型、采购、发放、使用和保管等过程进行控制O2-58. 应确保各种网络设备、服务器正确使用和维护O2-59. 应确保对网络、操作系统、数据库管理系统和应用系统进行安全管理O2-60. 应确保用户具有鉴别信息使用的安全意识O2-61. 应确保定期地对通信线路进行检查和维护O2-62. 应确保硬件设备、存储介质存放环境安全,并对其的使用进行控制和保护O2-63. 应确保对支撑设施、硬件设备、存储介质进行日常维护和管理O2-64. 应确保系统中使用的硬件、软件产品的质量O2-65. 应确保各类人员具有与其岗位相适应的技术能力O2-66. 应确保对各类人员进行相关的技术培训O2-67. 应确保提供的足够的使用手册、维护指南等资料O2-68. 应确保内部人员具有安全方面的常识和意识O2-69. 应确保具有设计合理、安全网络结构的能力O2-70. 应确保密码算法和密钥的使用符合国家有关法律、法规的规定O2-71. 应确保任何变更控制和设备重用要申报和审批,并对其实行制度化的管理O2-72. 应确保在事件发生后能采取积极、有效的应急策略和措施O2-73. 应确保信息安全事件实行分等级响应、处置2.第三级等保安全目标第三级信息系统应实现以下目标。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 前言1.1 等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。
开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。
同时等级保护建设是一项体系化的工程,在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。
1.2 深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求,推出软件定义、轻量级、快速交付的实用有效的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评,同时通过丰富的安全能力,可帮助用户为各项业务按需提供个性化的安全增值服务。
采用基于标准X86平台打造的等保一体机,无需交付过多专有硬件设备,即可完成等级保护合规交付。
2 深信服等保一体机技术架构2.1 系统整体架构深信服等保一体机架构由两部分组成:一是超融合基础架构,二是一体机管理平台。
在等保一体机架构上,客户可以基于自身安全需求按需构建等级保护安全建设体系。
超融合基础架构以虚拟化技术为核心,利用计算虚拟化、存储虚拟化、网络虚拟化等模块,将计算、存储、网络等虚拟资源融合到一台标准X86服务器中,形成基础架构单元。
并且多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,形成统一的等保一体机资源池。
一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力;通过接口自动化部署组件,降低组网难度,减少上架工作量;借助虚拟化技术的优势,提升用户弹性扩充和按需购买安全的能力,从而提高组织的安全服务运维效率。
2.2 超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成,从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。
2.2.1 计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。
深信服等保一体机创新性的使用计算资源虚拟化技术,通过通用的x86服务器经过服务器虚拟化模块,呈现标准的安全设备虚拟机。
安全设备虚拟机不是由真实的电子元件组成,而是由一组虚拟组件(文件)组成,这些虚拟组件与物理服务器的硬件配置无关。
Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(VMM,Virtual Machine Monitor)。
Hypervisor是所有虚拟化技术的核心。
非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。
当服务器启动并执行Hypervisor时,它会给每一台安全组件分配适量的内存、CPU、网络和磁盘,并加载所有安全组件的客户操作系统。
VMM (Virtual Machine Monitor)对物理资源的虚拟可以划分为三个部分:CPU 虚拟化、内存虚拟化和I/O 设备虚拟化,其中又以CPU 的虚拟化最为关键。
计算虚拟化在传统虚拟化技术基础上进行了多项针对化的改进和优化,这包括如下几个方面。
2.2.1.1 安全组件生命周期管理计算虚拟化提供了安全组件从创建至删除整个过程中的全面管理,就像人类的生命周期一样,安全组件最基本的生命周期就是创建、使用和删除这三个状态。
当然还包含如下几个状态:➢创建安全组件➢安全组件开关机、重启、挂起➢更新安全组件硬件配置➢迁移安全组件及/或安全组件的存储资源➢分析安全组件的资源利用情况➢删除安全组件2.2.1.2 安全组件的HAHA全称是High Availability(高可用性)。
在等保一体机平台中,安全组件所在物理主机的网线被拔出或存储不能访问等出现的物理故障时,会将此安全组件切换到其他的主机上重新启动运行,保障安全组件正常使用。
计算虚拟化存在后台进程,通过轮询的机制,每隔5s检测一次安全组件状态是否异常,发现异常时,切换安全组件到其他主机运行。
下面任意一种情况发生,都会触发安全组件切换主机:1、连续三次检测到安全组件所连接的物理网卡被拔出(不包括网卡被禁用情况);2、连续两次检测到安全组件所在的当前主机无法访问安全组件的存储;通过计算虚拟化的HA技术,提供了安全防护的高可用性,极大缩短了由于各种主机物理或者链路故障引起的安全防护中断时间。
2.2.1.3 动态资源调度在等保一体机方案中,计算虚拟化管理平台提供动态资源调度技术,通过引入一个自动化机制,持续地动态平衡资源能力,将安全组件迁移到有更多可用资源的主机上,确保每个安全组件在任何节点都能及时地调用相应的资源。
计算虚拟化的动态资源调度功能其实现原理:通过跨越集群之间的心跳机制,定时监测集群内主机的CPU和内存等计算资源的利用率,并根据用户自定义的规则来判断是否需要为该主机在集群内寻找有更多可用资源的主机,以将该主机上的安全组件通过安全组件迁移技术迁移到另外一台具有更多合适资源的服务器上。
2.2.1.4 动态资源扩展在传统的硬件解决方案中,经常会遇到资源计算的问题,如何保证资源刚刚好是一个非常令客户头痛的问题。
等保一体机的硬件资源动态热添加功能,能够非常有效地利用主机资源,并且全自动化以减少运维成本。
2.2.2 存储虚拟化传统硬件安全解决方案提供的硬件存储资源一般存在资源不足或者资源冗余的情况。
深信服等保一体机创新性的使用存储资源虚拟化技术,融合了分布式缓存、SSD读写缓存加速、多副本机制保障、故障自动重构机制等诸多存储技术,能够充分保证安全组件高效稳定可靠的运行。
存储虚拟化通过主机管理、磁盘管理、缓存技术、存储网络、冗余副本等技术,管理等保一体机平台内所有硬盘,“池化”集群所有硬盘存储的空间,通过向计算虚拟化提供访问接口,使得安全组件可以进行安全配置策略以及安全日志的保存、管理和读写等整个存储过程中的操作。
2.2.2.1 存储自动精简配置如果采用传统的硬件安全方案,需要用户对当前和未来业务发展规模进行正确的预判,提前做好安全应用存储资源的规划。
但在实际中,由于对应用系统规模的估计不准确,往往会造成容量分配的浪费。
即使是最优秀的系统管理员,也不可能恰如其分的为安全应用分配好存储资源,而没有任何的浪费。
自动精简配置(Thin Provisioning)是一种先进的、智能的、高效的容量分配和管理技术,它扩展了存储管理功能,可以用小的物理容量为操作系统提供超大容量的虚拟存储空间。
并且随着应用的数据量增长,实际存储空间也可以及时扩展,而无须手动扩展。
一句话而言,自动精简配置提供的是“运行时空间”,可以显著减少已分配但是未使用的存储空间。
等保一体机采用了自动精简配置技术有效的解决了存储资源的空间分配难题,提高了资源利用率。
采用自动精简配置技术的数据卷分配给用户的是一个逻辑的虚拟容量,而不是一个固定的物理空间,只有当用户向该逻辑资源真正写数据时,才按照预先设定好的策略从物理空间分配实际容量。
2.2.2.2 私网链路聚合等保一体机采用存储虚拟化的私网链路聚合技术是为了提高网络可靠性和性能设置,使用私网链路聚合功能不需要交换机上配置链路聚合,由存储私网负责链路聚合的功能,使用普通的二层交换机,保证正确的连接即可。
传统的链路聚合是按主机IP进行均分,即每两台主机间只能用一条物理链路。
而私网链路聚合采用按照TCP连接进行均分,两台主机间的不同TCP连接可使用不同物理链路。
在保障可靠性的同时,还达到了更加充分的利用所有链路资源的能力。
2.2.2.3 数据一致性检查等保一体机的存储虚拟化采用一致性复制协议来保证多个副本数据的一致性,即只有当所有副本都写成功,才返回写入磁盘成功。
正常情况下存储虚拟化会保证每个副本上的数据都是完全一致,从任一副本读到的数据都是相同的。
如果某个副本中的某个磁盘短暂故障,存储虚拟化会暂时不写这个副本,等恢复后再恢复该副本上的数据;如果磁盘长时间或者永久故障,存储虚拟化会把这个磁盘从群集中移除掉,并为副本寻找新的副本磁盘,再通过重建机制使得数据在各个磁盘上的分布均匀。
2.2.3 网络虚拟化等保一体机的网络虚拟化设计基于netmap和dpdk的方案,针对数据IO 密集型网络应用程序而设计,从而解决安全组件的高性能和安全组件的自编排。
2.2.3.1 支持专有网卡和通用网卡等保一体机平台对于Intel和Broadcom的e1000e,igb,ixgbe,bnx2,tg3,bnx2x等可编程网卡支持高性能方案,对e1000等网卡支持通用方案,保证硬件兼容性。
2.2.3.2 跨安全组件的全局内存池等保一体机平台设计并实现了零拷贝的数据面环境,一个跨内核跨进程的全局内存引用机制,真正做到网卡收包一次拷贝,所有安全组件共享引用的方式,数据可以从网卡传送到安全组件而无需再次拷贝,减少对网络传输和网络延迟的影响。
2.2.3.3 避免中断处理和上下文切换单数据线程亲和锁定到硬件线程,避免内核和用户空间之间的上下文切换、线程切换和中断处理,同时每个线程有直接的高速缓冲,避免了缓冲区争用。
在理想情况下,当数据包到达系统时,所有处理该数据包所需的信息最好都已经在内核的本地高速缓存中。
我们可以设想一下,如果当数据包到达时,查找表项目、数据流上下文、以及连接控制块都已经在高速缓存中的话,那么就可以直接对数据包进行处理,而无需“挂起”并等待外部顺序内存访问完成。
2.2.3.4 安全组件数据更稳定等保一体机平台设计了检测监控机制,在最极端的情况,即使进程意外死亡,也能秒级别做到安全组件无感知的网络恢复。
数据平面负责报文的转发,是整个系统的核心,数据平面由多个数据转发线程和一个控制线程组成,控制线程负责接收控制进程配置的消息,数据线程是实现报文的处理。
系统中所有的报文都是由数据线程接收的,需要做转发的报文,不需要送到linux协议栈,直接在数据线程中处理后从网卡发出,对于到设备本身的报文(如ssh,telnet,ospf, bgp, dhcp等等),数据线程无法直接处理,通过TUN接口将报文重新送到linux协议栈处理,从linux协议栈的发出的报文需经过数据线程中转后才可从折本发出。
数据面为底层处理和数据包IO提供了与硬件打交道的功能,而应用层协议栈在上方提供了一个优化的网络堆栈实现。
与Linux SMP 解决方案相比,降低了对Linux 内核的依赖性,从而具有更好的扩展性和稳定性。
2.3 一体机管理平台架构一体机管理平台主要由平台管理CSSP、安全组件两大模块构成,其中安全组件提供各类安全服务,而CSSP作为统一的管理中心,承担对安全组件的管理与编排、与外部的UI接口以及日志、告警等信息处理系统。
一体机管理平台的整体技术架构如下图所示,利用超融合基础架构提供的资源,将各类安全组件进行统一部署和管理,对内利用安全服务链可以将任意安全组件进行自由组合,对外提供自由的安全编排服务能力。