FusionCloud云数据中心安全解决方案PPT课件下载推荐.pptx

FusionCloud云数据中心安全解决方案PPT课件下载推荐.pptx

《FusionCloud云数据中心安全解决方案PPT课件下载推荐.pptx》由会员分享，可在线阅读，更多相关《FusionCloud云数据中心安全解决方案PPT课件下载推荐.pptx（48页珍藏版）》请在冰豆网上搜索。

,Page,管理安全,数据中心虚拟化平台及安全架构,虚拟化平台安全,Content,网络安全,12345,Page,数据安全,虚拟化平台总体架构,中间件层,虚拟平台,物理层,租户,ERP系统,应用层,咨询规划,运维优化,专业服务FusionIntegration,方案设计,部署D与C业务迁移,办公系统业务管理系统（Portal）,服务器,存储,网络,安全网关,物理硬件,权限控制,系统部署,模板,Fusionstorage,FusionNetwork,FusionStack,虚拟主机,VPC,负载均衡,并行计算,物理资源池,多DC调度,容灾,FusionManager,业务管理层,故障诊断,安全组弹性IPFusionSphereFusionCompute,Page,虚拟化平台总体安全架构,Page,管理安全,数据中心虚拟化平台及安全架构,Content,网络安全,数据安全,Page,12虚拟化平台安全345,虚拟化平台-云操作系统,硬件层裸机虚拟化架构，性能损耗低于5%支持VT-X、VT-D、AMD-V硬件辅助虚拟化技术，避免修改GuestOS兼容业界主流服务器、存储设备,虚拟化层,虚拟CPU,虚拟内存,虚拟存储,后端半虚拟化驱动,虚拟交换机网卡驱动,文件系统存储驱动,DomainU,DomainU,WindowsXP前端半虚拟化驱动软件BIOS,Linux前端半虚拟化驱动软件BIOS,DomainU,Windows7前端半虚拟化驱动软件BIOS,虚拟网络,统一接口,Domain0,Page,管理层Agent,云计算的本质:

一台超级计算机,两层OS架构,从云平台的角度：

虚拟机是云计算操作系统的一个应用从虚拟机的角度：

云计算操作系统就是原来的硬件层,云计算安全的核心控制点在云操作系统云操作系统需要安全可控,传统PC系统架构应用软件系统软件操作系统硬件资源,操作系统APPOS操作系统APPOS云计算操作系统CloudOS云计算硬件资源,云计算系统架构,VM1应用软件系统软件,VM2应用软件系统软件,Page8,CPU虚拟化及安全性保证,传统X86架构的CPU指令分为Ring0-Ring34个特权级别，（Ring0用于运行操作系统内核、Ring3用于应用程序），从而实现操作系统与应用程序之间的隔离虚拟化环境下，支持虚拟化的CPU对指令集进行了扩展，对指令的优先级增加了一个维度：

ROOT模式和非ROOT模式，其中ROOT模式属于CloudOS的指令CloudOS负责CPU指令在ROOT模式和非ROOT模式的切换，以及维护不同VM之间非ROOT模式下指令的调度只要CloudOS是安全可信的，指令的优先级以及不同VM之是的指令隔离就能得到保证,Page9,内存虚拟化及安全性保证,内存虚拟化共涉及到三个内存地址：

机器地址（真实物理内存地址）虚拟机物理地址应用程序使用地址虚拟机物理地址与应用程序使用地址之间的映射关系是由APPOS维护的CloudOS是建立和维护不同VM的虚拟机物理地址与机器地址之间的映射关系，并根据这个映射关系提供内存路由控制，防止不同VM之间内存地址的非法访问只要CloudOS是安全可信的，就能限制VM只能访问为其分配的内存，不同VM之间的内存隔离就能得到保证,云计算硬件资源,系统软件,云计算操作系统CloudOS,VM1应用软件,系统软件,VM2应用软件,操作系统APPOS虚拟机物理地址,Page10,操作系统APPOS虚拟机物理地址,机器地址,内存分配模式根据安全要求可配置,VS,虚拟化层,物理硬件,2GApp,2GApp,2GApp,2GApp,虚拟机内存独占式分配,所需内存：

8G,物理硬件,虚拟化层,2GApp,2GApp,2GApp,2GApp,虚拟机内存共享式分配,所需内存：

6G,内存共享，写时复制,VM1VM2,VM3,物理内存,Disk,内存置换VMVM,内存气泡,VM2,内存气泡,VM1空闲,已使用,已使用,空闲,智能复用,内存共享模式：

回收客户机物理内存时内存清“0”,技术特点内存独占模式：

可以阻止内存复用，每个虚拟化之间内存完全物理分开，安全性最高。

牺牲VM密集度和内存交换效率（约30%）换安全。

Page11,内存重分配清“0”,VM1,VM2,释放的内存在hypervisor内清零后再分配,Page12,物理内存计算机的内存一般在未掉电或重新刷新的情况下会保留上个阶段运算的信息。

在云计算环境下内存的动态分配对安全是个极大威胁，许多高等级的攻击极有可能利用剩余信息通过极其复杂的技术来获得其它用户的敏感信息，虽然这种攻击的构建成本会较高，但是通过适当的技术可以有效地消除这种风险：

在云操作系统将内存重新分配给用户的时候，云操作系统会对分配的内存作写“零”处理，从而保障在新启动的VM中恶意内存检测软件无法检测到有用信息。

存储虚拟化及安全性保证,存储设备（逻辑卷,如/dev/sda）VM_1（Dom_U）,存储设备（逻辑卷,如/dev/sdb）VM_2（Dom_U）,GuestOSGuestOS,Back-EndDriver,SCSIDriver,IPSANController,后端存储系统,Dom_0CloudOS,LUN1,LUN2,Disk,Page13,存储系统创建逻辑卷，并维护逻辑卷与磁盘条带化之间的对应关系，这是存储系统的基本功能CloudOS是建立和维护不同的VM与后端存储系统逻辑卷之间的映射关系，并根据这个映射关系提供存储路由控制，防止不同VM之间逻辑卷的非法访问只要CloudOS是安全可信的，VM就只能访问分配的逻辑卷，不同VM之间的存储隔离就能得到保证。

用户剩余信息彻底清除、不留痕,业界模式：

虚拟卷通过格式化方式清除数据，不彻底，可恢复，存在信息泄漏风险,用户A,1租用,2使用3退租,4租用,对虚拟卷每一个物理Bit位清“零”,华为模式：

对销户虚拟卷采用物理Bit清零措施，确保数据不可恢复，杜绝信息泄漏风险,用户A,1租用,2使用3退租,用户B,4租用,5使用恢复软件，获取数据,虚拟卷,虚拟卷格式化，数据未完全清除,风险,安全,虚拟卷123#！

用户B,123#！

Page14,123#！

123#！

0000,0000,网络虚拟化及安全性保证,虚拟网卡有独立的MAC和IP地址，从物理服务器以外的网络上看，与物理的服务器是相同的；

vSwitch为交换型（非共享型）交换机，不同VM的数据包被转发到指定的虚拟端口；

在Hypervisor层禁止虚拟网卡工作在“混杂模式”，用户无法手动打开，因此无法通过TCPDUMP或者嗅探软件获取同一台物理宿主机上的其它用户VM的数据包；

虚拟机的IP地址和MAC地址绑定，防止IP地址欺骗和ARP地址欺骗；

在物理服务器内部，VM之间隔离与互通的控制在vSwitch上实现：

不同VLAN的通信流量导出到网关；

同一VLAN的通信流量直接交换，但接受安全组的安全策略检查；

APPOS,App,vSwitch（vFW）,APPOS,App,CloudOS,物理网卡,VM,VM,VM,VM,VM,VM,VM,VM,安全组1安全组2安全组3,提供基于硬件的可信安全保证,在系统中引入可信任的TPM芯片，软硬件配合保护云环境的安全可信！

Page16,虚拟化平台/Hypervisor,可信度量根（可选2）：

IntelTXT安全扩展,度量/信任链传递,保存度量值,报告度量值/可信状态,TPM可信存储根可信报告根,应用程序/虚拟机,CPU,BIOS,硬件ROM,引导扇区/Bootloader,计算节点,可信验证服务器,虚拟化管理服务器,可信度量根（可选1）:

UEFIBIOS安全启动,特点利用服务器上TPM芯片，提供ClouldOS完整性保护方案，实现云平台的可信启动和可信运行符合TPM1.2和TPM2.0规范其中TPM2.0支持中国商密算法SMx，满足国内合规性要求支持基于UEFIBIOS安全启动机制、或Intel可信执行技术（TXT）,虚拟化防病毒,Page17,随机化扫描和更新、扫描结果缓存：

定时扫描在一个时间段内随机启动，避免AV风暴本地虚拟Insight缓存：

使用共享的InsightCache优化扫描，避免不同的VM扫描相同的文件。

提升扫描效率、降低对用户VM的资源占用，提升用户体验。

支持的产品：

SymantecSEP12虚拟化平台无关的集中扫描：

利用常规网络协议将防病毒扫描工作offload到集中的扫描服务器上，客户端无扫描引擎，仅需要安装瘦代理。

有效降低防病毒扫描、病毒库更新对用户虚拟机的资源占用，提升用户体验。

McAfeeMove2.5,虚拟化防病毒：

华为云平台+SEP12,1、VM间共享扫描缓存SIC：

强制多台VM并发扫描时，SIC可减少每个VM的一半扫描时间（从平均73分钟下降到34分钟），扫描期间对CNA节点和VM的性能消耗都基本不变。

2、随机化措施：

VM启动全盘扫描的时间点随机分布，并发扫描的VM变小，几乎接近串行，占用的CNA资源占用明显下降，包括CPU（峰值90%-8.8%）、磁盘（90MB/s-3.5MB/s）、网络（85MB/s-6.6MB/s）；

随机启动时，首次扫描时第一个VM基本是全盘扫描，VM之间的共同文件扫描结果放到SIC上，后续VM用SIC的数据，只扫每个VM独有的文件；

再次扫描时，每个VM本地有可信标记，所以扫描时间也很短（缩短扫描时间3倍以上：

由平均34分钟-11.3分钟）。

评估结论：

通过各种性能优化措施，使得当VM进行全盘扫描时对Host性能影响很小，CNA的CPU峰值下降为10%左右（未优化前可能会达到90%），整体上来看SEP12.1在华为云上运行的情况比较良好。

CNA1CNA2,SEPM+SIC,Dom0,VRM,Switch,WIN2003,VM1SEP,VM2SEPDom0,VM22SEP,测试组网：

测试结果：

测试环境配置：

随机启动扫描时涉及的随机启动扫描时的扫描持续时间：

8小时配置SIC共享扫描缓存服务器，开启客户端的SIC功能测试项包括全盘扫描和更新病毒码：

全盘扫描考虑首次扫描和再次扫描，组合SIC打开和关闭，关注各种资源变化情况。

病毒码更新主要考察SEPM、CNA、Dom0、DomU各种资源，重点观察带宽占用。

没有测试随机扫描（和虚拟化平台的相关性较小）,传统安全：

系统加固+补丁+防病毒,由于软件存在bug，在安全