华为云安全解决方案.docx

1、华为云安全解决方案华为云安全解决方案篇一：云安全解决方案 XX绿盟科技云安全解决方案 XX NSFOCUS Cloud Security Solution 目录 一云计算典型体系结构 1 云计算系统分类 1 云计算系统典型物理架构 1 云计算系统逻辑结构 3 二云计算安全威胁和需求分析 4 安全威胁分析 4 安全需求和挑战 7 三云安全防护总体架构设计 7 设计思路 8 安全保障目标 9 安全保障体系框架 9 安全保障体系总体技术实现架构设计 11 四云平台安全域划分和防护设计 14 安全域划分 14 安全防护设计 21 五云计算安全防护方案的演进 38 虚拟化环境中的安全防护措施部署 38

2、软件定义安全体系架构 39 安全运营 43 六云安全技术服务 44 私有云安全评估和加固 44 私有云平台安全设计咨询服务 45 七云安全解决方案 52 作者和贡献者 52 关注云安全解决方案 53 八关于绿盟科技 53 图表 图一.1云典型架构 .2 图一.2云典型逻辑结构 .3 图三.3云平台安全保障体系框架 . 10 图三.4云平台安全技术实现架构 . 12 图三.5具有安全防护机制的云平台体系架构 . 13 图四.6云平台安全域逻辑划分 . 15 图四.7安全域划分示例 . 18 图四.8传统安全措施的部署 . 21 图四.9虚拟化防火墙部署 . 24 图四.10异常流量监测系统部署

3、. 27 图四.11网络入侵检测系统部署图 . 29 图四.12虚拟化Web应用防火墙部署 . 31 图四.13堡垒机应用场景 . 33 图四.14堡垒机部署图 . 34 图四.15安全管理子区 . 35 图五.16SDN典型架构 . 39 图五.17软件定义安全防护体系架构 . 40 图五.18使用SDN技术的安全设备部署图 . 41 图五.19使用SDN技术实现流量牵引的原理图 . 42 图五.20基于手工配置的IPS防护模式 . 43 图六.21服务提供者与客户之间的安全控制职责范围划分 46 图六.22云计算关键领域安全 . 49 图六.23安全咨询服务思路 . 50 关键信息 本方案

4、首先研究了云计算系统的典型结构，分析了云计算系统面临的安全威胁、安全需求和挑战，进而对云安全防护总体架构，包括保障内容和实现机制、部署方法进行了设计和详细阐述，并介绍了云安全相关的安全技术服务内容和范围，最后给出了典型的云安全防护场景。 其中关于软件定义安全体系架构，在之前发布的XX绿盟科技软件定义安全SDS白皮书中有详述。 “ 随着云计算技术的不断完善和发展，云计算已经得到了广泛的认可和接收，许多组织已经或即将进行云计算系统建设。同时，以信息/服务为中心的模式深入人心，大量的应用正如雨后春笋般出现，组织也开始将传统的应用向云中迁移。同时，云计算技术仍处于不断发展和演进，系统更加开放和易用，功

5、能更加强大和丰富，接口更加规范和开放。例如软件定义网络（简称SDN）技术、NFV（网络功能虚拟化）等新技术。这必将推动云计算技术的更加普及和完善。 云计算技术给传统的IT基础设施、应用、数据以及IT运营管理都带来了革命性改变，对于安全管理来说，既是挑战，也是机遇。首先，作为新技术，云计算引入了新的威胁和风险，进而也影响和打破了传统的信息安全保障体系设计、实现方法和运维管理体系，如网络与信息系统的安全边界的划分和防护、安全控制措施选择和部署、安全评估和审计、安全监测和安全运维等方面；其次，云计算的资源弹性、按需调配、高可靠性及资源集中化等都间接增强或有利于安全防 护，同时也给安全措施改进和升级、

6、安全应用设计和实现、安全运维和管理等带来了问题和挑战，也推进了安全服务内容、实现机制和交付方式的创新和发展。 根据调研数据，信息安全风险是客户采用云计算所考虑重大问题之一，且国家和行业安全监管愈加严格，安全已经成为组织规划、设计、建设和使用云计算系统而急需解决的重大问题之一，尤其是不断出现的与云计算系统相关事件让组织更加担心自身的云计算系统安全保障问题。 本方案基于绿盟科技长期对云计算安全的探索和研究，借鉴行业最佳实践，结合绿盟科技近期云计算安全建设经验，提出了云计算安全保障框架和方法。 篇二：初探“云安全解决方案” 初探“云安全” 一、云计算的发展及应用情况 云计算是近几年互联网高速发展的产

7、物，其通过对大量分散计算资源的统一调度和管理，构成一个计算资源池向用户提供按需服务；因极佳的便捷性，得到了用户的广泛认可，国际上知名的云计算平台有微软的Windows Azure平台 、Google App 、亚马逊的弹性计算云EC2、IBM 的蓝云等。 云计算的固有属性包括：资源共享、可扩展、弹性计算、可计量、按需自服务等，图1是NIST定义的云计算模型： 图1 NIST定义的云计算模型 二、云计算环境下的安全问题 云计算在降低IT成本、带来便利性的同时，也带来了一定的安全隐患。云计算主要的安全问题包括三个方面：第一，云服务提供商的基础设施是否安全，是否有被黑客入侵的可能？会不会造成数据泄密

8、或者丢失？第二，由于云计算是多租户共享资源,多个虚拟资源很可能会被绑定到相同的物理资源上，如果云平台中的虚拟化软件中存在安全漏洞,那么用户的数据就可能被其他用户访问，因此需要考虑租户间数据安全隔离的问题。第三，云平台的身份认证问题，云计算 的发展也伴随着由欺诈行为驱动的“黑云”的出现，而要解决此问题，需要强大的身份认证和欺诈识别能力来对抗XX的接入、网络钓鱼、恶意软件等行为。 针对云计算遇到的安全问题，笔者通过调查研究，搜罗到几个主流的解决方案，罗列如下： 三、云安全解决方案 1、 VMware_vShield云安全解决方案 VMware_vShield是VMware(威睿)公司针对云计算和虚

9、拟化环境的应对方案，由vShield Edge、vShield App and Zones、vShield Endpoint及vShield Manager四部分构成（具体架构详见图2）。 图2 VMware_vShield安全云架构 在VMware_vShield解决方案中，vShield Edge提供多租户、多组织环境下的隔离功能，以保证各租户数据中心的独立性，同时提供边界安全策略、VPN、负载均衡等保障服务，vShield Edge扮演着传统数据中心安全接入网关的角色； vShield App and Zones提供虚拟环境和物理环境之间以及虚拟环境和虚拟环境之间的安全边界，其本质是一个

10、保护虚拟机和分析虚拟网络流量的虚拟防火墙，可以实现传统网络安全防护方案中安全域隔离的功能。 vShield Endpoint提供云环境下的防病毒措施，具有无代理、快速部署、 低负载等特性；vShield Manager实现云安全的集中化管理。 2、 JUNIPER VGW云安全解决方案 VGW虚拟化网关是JUNIPER公司针对云部署环境和虚拟数据中心的安全解决方案，包括hypervisor层的状态检测防火墙、一体化的入侵检测系统、虚拟环境的防病毒保护和云安全管理中心，具体架构如图3所示： 图3 JUNIPER VGW云安全架构 VGW是一种基于hypervisor的虚拟化安全解决方案，它利用虚

11、拟机自省（VM Introspection）等技术对每个虚拟机进行“X光”检查。利用这一优势，VGW能够监控每个虚拟机的安全性，当虚拟机安全状态发生改变时发出警报，并采取相应的保护措施。 3、 赛门铁克O3云身份和访问控制 为保护云计算数据安全，赛门铁克O3提供一个数据安全访问控制点，该控制点为云应用提供访问控制、信息安全和信息管理三层保护，O3的一大创新是支持通过移动方式接入云中心的设备。此外，赛门铁克O3能够捕获访问信息和安全事件，可以达到合规管理的要求。 图4 赛门铁克O3云身份和访问控制 赛门铁克O3提供单点登录SSO功能、SaaS和web应用服务，可集成现有的AD域、LDAP和关系型

12、数据库身份数据源，部署简单；同时，O3提供关联策略引擎，实现双因子身份认证功能。 4、 H3C云安全解决方案 H3C推出的SecBlade云安全解决方案采用IRF网络虚拟化技术，以板卡的方式集成在S12500/S10500/S75E/S58等高密度核心交换机中，提供防火墙、网络流分析、负载均衡及IPS功能。 图5 H3C SecBlade云安全解决方案 5、 网御星云“御云”解决方案 网御星云“御云”解决方案由虚拟化硬件安全网关、虚拟机软件安全网关和Hypervisor主机安全网关三部分组成，提供虚拟防火墙、虚拟UTM、虚拟IPS 虚拟防病毒网关及虚拟VPN等功能，保证云计算虚拟化平台从虚拟主

13、机层、虚拟机层到数据中心边界的安全。 图6 网御星云“御云”解决方案 归纳各家的设计理念，云安全解决方案大致可分为两种：软件虚拟机方案和物理安全方案，软件虚拟机方案的代表是VMware和JUNIPER，属于物理安全方案的有H3C、赛门铁克和网御星云等；从应用效果来看，二者各有千秋： 软件虚拟机方案的优点是防护粒度细，可有效地防护同一台主机上各虚拟机之间的流量，而且这部分流量不占用物理带宽资源，对网络负载没有影响，缺点是对虚拟机厂商依存程度高，并且会占用每台虚拟机上的计算及存储资源； 物理安全方案具有与虚拟机厂商无关、通用性强、不占用虚拟机资源等特性，当然物理解决方案也有自身的弱点，比如较难监控

14、到同一台主机上各虚拟机之间的流量，需要借助网络虚拟化技术，将流量引出虚拟环境才可实现安全防护功能。 四、总结 针对云安全问题，信息安全技术委员会已于XX 年10 月启动了研究项目云计算安全和隐私；此外，在XX 年的RSA 大会上宣布成立了云安全联盟（CSA），我国的知名信息安全厂商启明星辰、绿盟及网御星云已成为CSA成员。在我国，信息安全标准化委员会（TC260）也在开展云计算安全方面的研 篇三：华为FusionCloud桌面云解决方案 华为FusionCloud桌面云解决方案技术 建议书 华为技术有限公司 XX年2月 修订记录 在提供给客户前需删除本页“修订记录”。 本文档只是供内部参考使用

15、，禁止将本文档原封不动发给客户或代理商。请结合实际项目需要进行必要增删调整。 XX-11-19 内部公开 ii目 录 XXX桌面云解决方案技术建议书 . I 1 项目概述 . 7 项目需求 . 7 项目背景 . 7 项目需求 . 7 功能需求 . 8 设计原则 . 9 2 华为桌面云解决方案及优势 . 10 桌面云总体架构 . 10 高效强大HDP协议提供卓越用户体验 . 13 端到端的安全与高可靠性解决方案设计 . 14 端到端安全解决方案 . 14 高可靠性解决方案 . 17 高效办公，高效运维，高效资源利用 . 18 完整复制桌面云方案说明 . 19 普通链接克隆桌面云方案说明 . 20

16、 应用虚拟化方案说明 . 21 高效运维方案 . 25 华为桌面云解决方案优势. 30 3 XXX桌面云设计方案 . 32 总体设计方案 . 32 典型应用场景解决方案 . 35 OA办公桌面云解决方案 . 35 研发安全办公桌面云方案 . 36 营业厅桌面云解决方案 . 37 会议室桌面云解决方案 . 38 XX-11-19 内部公开 3 员工轮班桌面云解决方案（并发License方案） . 39 公共上网区/阅览室桌面云解决方案 . 40 分支机构桌面云解决方案 . 41 Internet访问桌面云设计方案 . 44 PC利旧改造方案 . 45 高性能图形桌面云方案GPU直通方案 . 46 高性能图形桌面云方案GPU共享方案 . 48 呼叫中心桌面云解决方案 . 49 网络设计方案 . 52 桌面云逻辑组网图 . 53 网络带宽需求 .