CP云安全解決方案

?2016CheckPointSoftwareTechnologiesLtd.Allrightsreserved|

CheckPointCheckPoint云安全解決方案客戶名稱：

文檔信息與變更記錄文檔名稱CheckPoint云安全解決方案作者Ares郵箱yabinz@版本V0.1變更記錄文檔描述本文檔是CheckPoint云安全解決方案建議書，對應(yīng)于checkpointvSEC

前言隨著云計算技術(shù)的不斷完善和發(fā)展，云計算已經(jīng)得到了廣泛的認(rèn)可和接收，許多組織已經(jīng)或即將進(jìn)行云計算系統(tǒng)建設(shè)。同時，以信息/服務(wù)為中心的模式深入人心，大量的應(yīng)用正如雨后春筍般出現(xiàn)，組織也開始將傳統(tǒng)的應(yīng)用向云中遷移。同時，云計算技術(shù)仍處于不斷發(fā)展和演進(jìn)，系統(tǒng)更加開放和易用，功能更加強(qiáng)大和豐富，接口更加規(guī)范和開放。例如軟件定義網(wǎng)絡(luò)（簡稱SDN）技術(shù)、NFV（網(wǎng)絡(luò)功能虛擬化）等新技術(shù)。這必將推動云計算技術(shù)的更加普及和完善。云計算技術(shù)給傳統(tǒng)的IT基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及IT運(yùn)營管理都帶來了革命性改變，對于安全管理來說，既是挑戰(zhàn)，也是機(jī)遇。首先，作為新技術(shù)，云計算引入了新的威脅和風(fēng)險，進(jìn)而也影響和打破了傳統(tǒng)的信息安全保障體系設(shè)計、實現(xiàn)方法和運(yùn)維管理體系，如網(wǎng)絡(luò)與信息系統(tǒng)的安全邊界的劃分和防護(hù)、安全控制措施選擇和部署、安全評估和審計、安全監(jiān)測和安全運(yùn)維等方面；其次，云計算的資源彈性、按需調(diào)配、高可靠性及資源集中化等都間接增強(qiáng)或有利于安全防護(hù)，同時也給安全措施改進(jìn)和升級、安全應(yīng)用設(shè)計和實現(xiàn)、安全運(yùn)維和管理等帶來了問題和挑戰(zhàn)，也推進(jìn)了安全服務(wù)內(nèi)容、實現(xiàn)機(jī)制和交付方式的創(chuàng)新和發(fā)展。根據(jù)調(diào)研數(shù)據(jù)，信息安全風(fēng)險是客戶采用云計算所考慮重大問題之一，且國家和行業(yè)安全監(jiān)管愈加嚴(yán)格，安全已經(jīng)成為組織規(guī)劃、設(shè)計、建設(shè)和使用云計算系統(tǒng)而急需解決的重大問題之一，尤其是不斷出現(xiàn)的與云計算系統(tǒng)相關(guān)事件讓組織更加擔(dān)心自身的云計算系統(tǒng)安全保障問題。本方案基于中國《GBT31167-2014信息安全技術(shù)云計算服務(wù)安全指南》、《GBT31168-2014信息安全技術(shù)云計算服務(wù)安全能力要求》模型，參考了CSA《云計算關(guān)鍵領(lǐng)域安全指南_V3.0》，借鑒行業(yè)最佳實踐，結(jié)合checkpoint10多年安全建設(shè)經(jīng)驗，提出了云計算安全保障框架和方法。云計算體系結(jié)構(gòu)概述云計算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問，進(jìn)入可配置的計算資源共享池（資源包括網(wǎng)絡(luò)，服務(wù)器，存儲，應(yīng)用軟件，服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。NIST給云計算定義了五個關(guān)鍵特征、三個服務(wù)模型、四個部署模型。如下圖所示：云計算通過網(wǎng)絡(luò)將IT以抽象化的方式交付給客戶的方式，為基于IT的服務(wù)交付模式帶來了巨大變革。用戶可以通過使用云計算體系架構(gòu)獲得更好的客戶體驗，同時能更便捷的運(yùn)行自己的數(shù)據(jù)中心。這些體驗包括：減少開銷和能耗：采用云計算服務(wù)可以將硬件和基礎(chǔ)設(shè)施建設(shè)資金投入轉(zhuǎn)變?yōu)榘葱柚Ц斗?wù)費(fèi)用，客戶無需承擔(dān)建設(shè)和維護(hù)基礎(chǔ)設(shè)施的費(fèi)用，只對使用的資源付費(fèi)，避免了客戶自建數(shù)據(jù)中心的資金投入。云服務(wù)商使用多種技術(shù)提升資源利用效率，如云基礎(chǔ)設(shè)施使用虛擬化、動態(tài)遷移和工作負(fù)載整合等技術(shù)，關(guān)閉空閑資源組件，使運(yùn)行資源利用效率提高并降低能耗；多租戶共享機(jī)制、資源的集中共享可以滿足多個客戶不同時間段對資源的峰值要求，避免按峰值需求設(shè)計容量和性能而造成的資源浪費(fèi)。資源利用效率的提高有效降低云計算服務(wù)的運(yùn)營成本，減少能耗，實現(xiàn)綠色I(xiàn)T。增加業(yè)務(wù)的靈活性：客戶采用云計算服務(wù)不需要建設(shè)專門的信息系統(tǒng)，縮短業(yè)務(wù)系統(tǒng)建設(shè)周期，使客戶能專注于業(yè)務(wù)的功能和創(chuàng)新，提升業(yè)務(wù)響應(yīng)速度和服務(wù)質(zhì)量，實現(xiàn)業(yè)務(wù)系統(tǒng)的快速部署。提高業(yè)務(wù)系統(tǒng)的可用性：云計算的資源池化和可伸縮性特點(diǎn)，使部署在云計算平臺上的客戶業(yè)務(wù)系統(tǒng)可動態(tài)擴(kuò)展，滿足業(yè)務(wù)需求資源的迅速擴(kuò)充與是否，能避免因需求突增導(dǎo)致客戶業(yè)務(wù)系統(tǒng)的異?；蛑袛?。云計算的備份和多副本機(jī)制可提高業(yè)務(wù)系統(tǒng)的健壯性，避免數(shù)據(jù)丟失和業(yè)務(wù)失效，提高業(yè)務(wù)系統(tǒng)可用性。提升專業(yè)性：云服務(wù)商具有專業(yè)技術(shù)團(tuán)隊，能夠及時更新或采用先進(jìn)技術(shù)和設(shè)備，可以提供更加專業(yè)的技術(shù)、管理和人員支撐，使客戶能獲得更加專業(yè)和先進(jìn)的技術(shù)服務(wù)。云計算服務(wù)模型想要更好的理解云計算的架構(gòu)，就一定要理解云計算的服務(wù)模型，因為這些服務(wù)模型決定了客戶最終云計算數(shù)據(jù)中心的應(yīng)用場景。云計算的服務(wù)模型可以分為三種模式以及不同的衍生組合。這三種基本類型經(jīng)常被稱為“SPI”模型，其中SPI分別代表軟件、平臺和基礎(chǔ)設(shè)施（作為服務(wù)），。它們的定義如下： 軟件即服務(wù)(SaaS).提供給用戶的能力是使用服務(wù)商運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用。用戶使用各種客戶端設(shè)備通過“瘦”客戶界面（例如瀏覽器）等來訪問應(yīng)用（例如基于瀏覽器的郵件）。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，例如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲、甚至其中單個的應(yīng)用能力，除非是某些有限用戶的特殊應(yīng)用配置項。 平臺即服務(wù)(PaaS).提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用服務(wù)商支持的編程語言或工具開發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、或存儲等，但是可以控制部署的應(yīng)用，以及應(yīng)用主機(jī)的某個環(huán)境配置。 基礎(chǔ)設(shè)施即服務(wù)(IaaS).提供給用戶的能力是云供應(yīng)了處理、存儲、網(wǎng)絡(luò)，以及其它基礎(chǔ)性的計算資源，以供用戶部署或運(yùn)行自己任意的軟件，包括操作系統(tǒng)或應(yīng)用。用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，但是擁有對操作系統(tǒng)、存儲和部署的應(yīng)用的控制，以及一些網(wǎng)絡(luò)組件的有限控制（例如主機(jī)防火墻等）。云計算部署模型從上文來看，服務(wù)模型更多的是針對與用戶不同需求提出的相關(guān)的服務(wù)場景的歸納，但落到云數(shù)據(jù)中心實現(xiàn)，就要熟悉以下的四個部署模型，同樣在之后章節(jié)的云安全的實施方案也需要從以下幾個模型上進(jìn)行分析。1、公有云：在此種模式下，應(yīng)用程序、資源、存儲和其他服務(wù)，都由云服務(wù)供應(yīng)商來提供給用戶，這些服務(wù)多半都是免費(fèi)的，也有部分按需按使用量來付費(fèi)，這種模式只能使用互聯(lián)網(wǎng)來訪問和使用。同時，這種模式在私人信息和數(shù)據(jù)保護(hù)方面也比較有保證。這種部署模型通常都可以提供可擴(kuò)展的云服務(wù)并能高效設(shè)置。2、私有云：這種云基礎(chǔ)設(shè)施專門為某一個企業(yè)服務(wù)，不管是自己管理還是第三方管理，自己負(fù)責(zé)還是第三方托管，都沒有關(guān)系。只要使用的方式?jīng)]有問題，就能為企業(yè)帶來很顯著的幫助。不過這種模式所要面臨的是，糾正、檢查等安全問題則需企業(yè)自己負(fù)責(zé)，否則除了問題也只能自己承擔(dān)后果，此外，整套系統(tǒng)也需要自己出錢購買、建設(shè)和管理。這種云計算模式可非常廣泛的產(chǎn)生正面效益，從模式的名稱也可看出，它可以為所有者提供具備充分優(yōu)勢和功能的服務(wù)。3、社區(qū)云：這種模式是建立在一個特定的小組里多個目標(biāo)相似的公司之間的，他們共享一套基礎(chǔ)設(shè)施，企業(yè)也像是共同前進(jìn)。所產(chǎn)生的成本由他們共同承擔(dān)，因此，所能實現(xiàn)的成本節(jié)約效果也并不很大。社區(qū)云的成員都可以登入云中獲取信息和使用應(yīng)用程序。4、混合云：混合云是兩種或兩種以上的云計算模式的混合體，如公有云和私有云混合。他們相互獨(dú)立，但在云的內(nèi)部又相互結(jié)合，可以發(fā)揮出所混合的多種云計算模型各自的優(yōu)勢。

云安全概述“云安全”是繼“云計算”“云存儲”之后出現(xiàn)的“云”技術(shù)的重要應(yīng)用，是傳統(tǒng)IT領(lǐng)域安全概念在云計算時代的延伸，已經(jīng)在反病毒軟件中取得了廣泛的應(yīng)用，發(fā)揮了良好的效果。在病毒與反病毒軟件的技術(shù)競爭當(dāng)中為反病毒軟件奪得了先機(jī)。由于最早提出“云安全”這一概念的趨勢科技是專注于終端反病毒的廠商，所以“云安全”的概念在早期曾經(jīng)引起過不小爭議，各個廠商都在對云安全的概念進(jìn)行自己的解讀，一時之間各個廠商的云安全標(biāo)準(zhǔn)在業(yè)界甚囂塵上，但隨著整個云計算技術(shù)的普及，大家開始理性的思考這個概念，所以以下的概念得到了大多數(shù)用戶和廠商的認(rèn)可。云安全（Cloudsecurity）云計算領(lǐng)域的安全，是指基于云計算商業(yè)模式應(yīng)用的安全軟件，硬件，用戶，機(jī)構(gòu)，安全云平臺的總稱。云計算的安全風(fēng)險云計算作為一種新興的計算資源利用方式，還在不斷發(fā)展之中，傳統(tǒng)信息系統(tǒng)的安全問題在云計算環(huán)境中大多依然存在，與此同時還出現(xiàn)了一些新的信息安全問題和風(fēng)險，這些領(lǐng)域也是云安全和傳統(tǒng)安全領(lǐng)域最大的區(qū)別。。客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的直接控制能力。數(shù)據(jù)和業(yè)務(wù)遷移到云計算環(huán)境后，安全性主要依賴于云服務(wù)商及其所采取的安全措施。云服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權(quán)和商業(yè)秘密，客戶難以了解和掌握云服務(wù)商安全措施的實施情況和運(yùn)行狀態(tài)，難以對這些安全措施進(jìn)行有效監(jiān)督和管理，不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對客戶數(shù)據(jù)的非授權(quán)訪問和使用，增加了客戶數(shù)據(jù)和業(yè)務(wù)的風(fēng)險。客戶與云服務(wù)商之間的責(zé)任難以界定傳統(tǒng)模式下，按照誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的原則，信息安全責(zé)任相對清楚。在云計算模式下，云計算平臺的管理和運(yùn)行主體與數(shù)據(jù)安全的責(zé)任主體不同，相互之間的責(zé)任如何界定，缺乏明確的規(guī)定。不同的服務(wù)模式和部署模式、云計算環(huán)境的復(fù)雜性也增加了劃分云服務(wù)商與客戶之間責(zé)任的難度。云服務(wù)商可能還會采購、使用其他云服務(wù)商的服務(wù)，如提供SaaS服務(wù)的云服務(wù)商可能將其服務(wù)建立在其他云服務(wù)商的PaaS或IaaS之上，這種情況導(dǎo)致了責(zé)任更加難以界定?？赡墚a(chǎn)生司法管轄問題在云計算環(huán)境里，數(shù)據(jù)的實際存儲位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心。一些國家的政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)，改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系?？蛻魯?shù)據(jù)的所有權(quán)面臨挑戰(zhàn)遷移到云計算環(huán)境的客戶數(shù)據(jù)以及在后續(xù)運(yùn)行過程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下，云服務(wù)商具有訪問、利用或操控客戶數(shù)據(jù)的能力。相反，客戶對自己數(shù)據(jù)的訪問、利用、管理可能還需要得到云服務(wù)商的授權(quán)。如果缺乏明確的管理要求，客戶對自己數(shù)據(jù)的所有權(quán)和支配權(quán)很難得到保證。云服務(wù)商通過對客戶的資源消耗、通訊流量、繳費(fèi)等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關(guān)信息，對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。在服務(wù)終止或發(fā)生糾紛時，云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾，損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。數(shù)據(jù)保護(hù)更加困難云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算資源，虛擬機(jī)之間的隔離和防護(hù)容易受到攻擊，跨虛擬機(jī)的非授權(quán)數(shù)據(jù)訪問風(fēng)險突出。云服務(wù)商可能會使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，使云計算平臺復(fù)雜且動態(tài)變化。隨著復(fù)雜性的增加，云計算平臺實施有效的數(shù)據(jù)保護(hù)措施更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風(fēng)險增大。數(shù)據(jù)殘留存儲客戶數(shù)據(jù)的存儲介質(zhì)由云服務(wù)商擁有，客戶不能直接管理和控制存儲介質(zhì)。當(dāng)客戶退出云計算服務(wù)時，云服務(wù)商應(yīng)該完全刪除客戶的數(shù)據(jù)，包括完全刪除備份數(shù)據(jù)。目前，還缺乏有效的機(jī)制、標(biāo)準(zhǔn)或工具來驗證云服務(wù)商是否實施了完全刪除操作，客戶退出云計算服務(wù)后其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。容易產(chǎn)生對云服務(wù)商的過度依賴由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口，不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移，同樣也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心。另外云服務(wù)商出于自身利益考慮，往往不愿意為客戶的數(shù)據(jù)和業(yè)務(wù)提供可移植能力。這種對特定云服務(wù)商的潛在依賴可能導(dǎo)致客戶的業(yè)務(wù)隨云服務(wù)商的干擾或停止服務(wù)而停止運(yùn)轉(zhuǎn)，也可能導(dǎo)致數(shù)據(jù)和業(yè)務(wù)遷移到其他云服務(wù)商的代價過高。由于云計算服務(wù)市場還未成熟，供客戶選擇的候選云服務(wù)商有限，也可能導(dǎo)致客戶對云服務(wù)商的過度依賴。云安全參考模型當(dāng)我們了解到了云計算的相關(guān)風(fēng)險后就需要對應(yīng)這樣的安全風(fēng)險進(jìn)行相應(yīng)的風(fēng)險規(guī)避和安全管控，這時理解云計算模型之間的關(guān)系和依賴性對于理解云計算的安全風(fēng)險非常關(guān)鍵。IaaS是所有云服務(wù)的基礎(chǔ)，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上，它們之間的關(guān)系可參考下面圖示。沿著這個思路，如同云服務(wù)能力是繼承的那樣，信息安全風(fēng)險和問題也是繼承的。值得重點(diǎn)注意的是，商用云提供商可能并沒有與這個模型的層次準(zhǔn)確對應(yīng)。然而，云參考模型對于將真實服務(wù)和某個架構(gòu)框架聯(lián)系在一起，進(jìn)而理解需進(jìn)行安全分析的資源和服務(wù)是非常重要的。因此，在三個模型中，在集成的功能特征、復(fù)雜性與開放性（可擴(kuò)展性）和安全性等方面會有一些明顯的權(quán)衡。一般來說，SaaS會在產(chǎn)品中提供最為集成化的功能，最小的用戶可擴(kuò)展性以及相對來說較高的集成化的安全（至少提供商承擔(dān)安全的職責(zé)）。PaaS提供的是開發(fā)者在平臺之上開發(fā)自己應(yīng)用的能力。因此，它傾向于提供比SaaS更多的可擴(kuò)展性，其代價是沒有了SaaS那些用戶即買即用的功能。這種權(quán)衡也會延伸到安全特色和能力上，雖然內(nèi)置安全能力變得不夠完備，但是用戶卻擁有更多的靈活性去實現(xiàn)自己的強(qiáng)化安全。IaaS幾乎不提供那些和應(yīng)用類似的特色功能，但卻有極大的“可擴(kuò)展性”。這一般是指IaaS在除了基礎(chǔ)設(shè)施自身的保護(hù)之外，提供更少的集成安全保護(hù)能力和功能。IaaS模型要求云用戶自己管理和保護(hù)操作系統(tǒng)、應(yīng)用和內(nèi)容。云安全架構(gòu)的一個關(guān)鍵特點(diǎn)是云服務(wù)提供商所在的等級越低，云服務(wù)用戶自己所要承擔(dān)的安全能力和管理職責(zé)就越多。云安全控制范圍云計算環(huán)境的安全性由云服務(wù)商和客戶共同保障。不同服務(wù)模式下云服務(wù)商和客戶對計算資源的控制范圍不同，控制范圍決定了安全風(fēng)險的邊界。上圖所示圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的云安全風(fēng)險范圍。具體為：在SaaS模式下，客戶僅需要負(fù)責(zé)自身數(shù)據(jù)安全、客戶端安全等相關(guān)風(fēng)險；云安全廠商承擔(dān)其他安全風(fēng)險。在PaaS模式下。軟件平臺的安全風(fēng)險由客戶和云服務(wù)商分擔(dān)。客戶負(fù)責(zé)自己開發(fā)和部署的應(yīng)用及其運(yùn)行環(huán)境的安全，其他安全由云服務(wù)商負(fù)責(zé)。在IaaS模式下虛擬化計算資源層的安全風(fēng)險由客戶和云服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己部署的操作系統(tǒng)、運(yùn)行環(huán)境和應(yīng)用的安全，對這些資源的操作、更新、配置的安全和可靠負(fù)責(zé)。云服務(wù)商負(fù)責(zé)虛擬機(jī)監(jiān)視器及底層的安全。

云安全總體架構(gòu)設(shè)計云安全設(shè)計應(yīng)充分考慮云計算的特點(diǎn)和要求，基于對安全威脅的分析，明確來各方面的安全需求，充分利用現(xiàn)有的、成熟的安全控制措施，結(jié)合云計算的特點(diǎn)和最新技術(shù)進(jìn)行綜合考慮和設(shè)計，以滿足風(fēng)險管理要求、合規(guī)性的要求，保障和促進(jìn)云計算業(yè)務(wù)的發(fā)展和運(yùn)行。設(shè)計思路在進(jìn)行方案設(shè)計時，將遵循以下思路：保障云平臺及其配套設(shè)施：云計算除了提供IaaS、PaaS、SaaS服務(wù)的基礎(chǔ)平臺外，還有配套的云管理平臺、運(yùn)維管理平臺等。要保障云的安全，必須從整體出發(fā)，保障云承載的各種業(yè)務(wù)、服務(wù)的安全?；v深防護(hù)體系設(shè)計：對于云計算系統(tǒng)，仍可以根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計相應(yīng)的邊界防護(hù)策略、內(nèi)部防護(hù)策略，部署相應(yīng)的防護(hù)措施，從而構(gòu)造起縱深的防護(hù)體系。當(dāng)然，在云平臺中，安全域的邊界可能是動態(tài)變化的，但通過相應(yīng)的技術(shù)手段，可以做到動態(tài)邊界的安全策略跟隨，持續(xù)有效的保證系統(tǒng)的安全。以安全服務(wù)為導(dǎo)向，并符合云計算的特點(diǎn)：云計算的特點(diǎn)是按需分配、資源彈性、自動化、重復(fù)模式，并以服務(wù)為中心的。因此，對于安全控制措施選擇、部署、使用來講必須滿足上述特點(diǎn)，即提供資源彈性、按需分配、自動化的安全服務(wù)，滿足云計算平臺的安全保障要求。充分利用現(xiàn)有安全控制措施及最新技術(shù)：在云計算環(huán)境中，還存在的傳統(tǒng)的網(wǎng)絡(luò)、主機(jī)等，同時，虛擬化主機(jī)中也有相應(yīng)的操作系統(tǒng)、應(yīng)用和數(shù)據(jù)，傳統(tǒng)的安全控制措施仍舊可以部署、應(yīng)用和配置，充分發(fā)揮防護(hù)作用。另外，部分安全控制措施已經(jīng)具有了虛擬化版本，也可以部署在虛擬化平臺上，進(jìn)行虛擬化平臺中的東西向流量進(jìn)行檢測、防護(hù)。充分利用云計算等最新技術(shù)：信息安全措施/服務(wù)要保持安全資源彈性、按需分配的特點(diǎn)，也必須運(yùn)用云計算的最新技術(shù)，如SDN、NFV等，從而實現(xiàn)按需、簡潔的安全防護(hù)方案。安全運(yùn)營：隨著云平臺的運(yùn)營，會出現(xiàn)大量虛擬化安全實例的增加和消失，需要對相關(guān)的網(wǎng)絡(luò)流量進(jìn)行調(diào)度和監(jiān)測，對風(fēng)險進(jìn)行快速的監(jiān)測、發(fā)現(xiàn)、分析及相應(yīng)管理，并不斷完善安全防護(hù)措施，提升安全防護(hù)能力。設(shè)計關(guān)鍵原則為了優(yōu)化私有云的好處,安全需求必須以一種新的方式來解決。隨著企業(yè)私有云的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,它是必不可少的安全來克服上述挑戰(zhàn)和與SDN集成架構(gòu),網(wǎng)絡(luò)虛擬化和編制平臺。解決方案必須建立在五個關(guān)鍵原則:1。自動插入到網(wǎng)絡(luò)安全服務(wù)。安全service-chaining使安全的所有流量自動數(shù)據(jù)中心。現(xiàn)在我們可以創(chuàng)建安全策略,含蓄地在后臺配置網(wǎng)絡(luò)。2。政策和環(huán)境敏感。理解應(yīng)用程序的狀態(tài)和上下文通過融入云編排和工具,如票務(wù)系統(tǒng),用戶目錄,SDN控制器。學(xué)習(xí)和應(yīng)用最好的策略基于狀態(tài)和上下文。這也使安全、可擴(kuò)展的部署,并允許您的應(yīng)用程序數(shù)量增長數(shù)據(jù)安全中心。3值得信賴的自動化和編制。有效地實現(xiàn)自動化,它需要被信任。以信任為基礎(chǔ)的api實現(xiàn)自助服務(wù)與第三方系統(tǒng)集成和自動化政策變化范圍內(nèi)的特權(quán)。這意味著管理員可以在政策允許改變特定的規(guī)則。4遵從性和可見性的威脅。如果檢測到妥協(xié)的虛擬機(jī),它必須被隔離和修復(fù)的選項。報告和分析是必要的發(fā)現(xiàn)和理解交通趨勢。5。集中管理。安全管理是簡化和統(tǒng)一管理和監(jiān)控的物理和虛擬安全網(wǎng)關(guān)和公共IAAS如AWS,Azure,Rackspace和VMwareCloudAir保護(hù)范圍物理環(huán)境安全：在物理層面，通過門禁系統(tǒng)、視頻監(jiān)控、環(huán)境監(jiān)控、物理訪問控制等措施實現(xiàn)云運(yùn)行的物理環(huán)境、環(huán)境設(shè)施等層面的安全；虛擬化安全：在虛擬化層面，通過虛擬層加固、虛擬機(jī)映像加固、不同虛擬機(jī)的內(nèi)存/存儲隔離、虛擬機(jī)安全檢測、虛擬化管理安全等措施實現(xiàn)虛擬化層的安全；網(wǎng)絡(luò)安全：在網(wǎng)絡(luò)層，基于完全域劃分，通過防火墻、IPS、VLANACL手段進(jìn)行邊界隔離和訪問控制，通過VPN技術(shù)保障網(wǎng)絡(luò)通信完全和用戶的認(rèn)證接入，在網(wǎng)絡(luò)的重要區(qū)域部署入侵監(jiān)測系統(tǒng)（IDS）以實現(xiàn)對網(wǎng)絡(luò)攻擊的實時監(jiān)測和告警，部署流量監(jiān)測和清洗設(shè)備以抵御DDoS攻擊，部署惡意代碼監(jiān)測和防護(hù)系統(tǒng)以實現(xiàn)對惡意代碼的防范。需要說明的是這里的網(wǎng)絡(luò)包括了實體網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)，通過整體防御保障網(wǎng)絡(luò)通信的安全；主機(jī)安全：通過對服務(wù)主機(jī)/設(shè)備進(jìn)行安全配置和加固，部屬主機(jī)防火墻、主機(jī)IDS，以及惡意代碼的防護(hù)、訪問控制等技術(shù)手段對虛擬主機(jī)進(jìn)行保護(hù)，確保主機(jī)能夠持續(xù)的提供穩(wěn)定的服務(wù)；應(yīng)用安全：通過PKI基礎(chǔ)設(shè)施對用戶身份進(jìn)行標(biāo)識和鑒別，部署嚴(yán)格的訪問控制策略，關(guān)鍵操作的多重授權(quán)等措施保證應(yīng)用層安全，同時采用電子郵件防護(hù)、Web應(yīng)用防火墻、Web網(wǎng)頁防篡改、網(wǎng)站安全監(jiān)控等應(yīng)用安全防護(hù)措施保證特定應(yīng)用的安全；數(shù)據(jù)保護(hù)：從數(shù)據(jù)隔離、數(shù)據(jù)加密、數(shù)據(jù)防泄露、剩余數(shù)據(jù)防護(hù)、文檔權(quán)限管理、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計方面加強(qiáng)數(shù)據(jù)保護(hù)，以及離線、備份數(shù)據(jù)的安全；安全管理：根據(jù)ISO27001、COBIT、ITIL等標(biāo)準(zhǔn)及相關(guān)要求，制定覆蓋安全設(shè)計與獲取、安全開發(fā)和集成、安全風(fēng)險管理、安全運(yùn)維管理、安全事件管理、業(yè)務(wù)連續(xù)性管理等方面安全管理制度、規(guī)范和流程，并配置相應(yīng)的安全管理組織和人員，并建議相應(yīng)的技術(shù)支撐平臺，保證系統(tǒng)得到有效的管理。上述安全保障內(nèi)容和目標(biāo)的實現(xiàn)，需要基于PKI、身份管理等安全基礎(chǔ)支撐設(shè)施，綜合利用安全成熟的安全控制措施，并構(gòu)建良好的安全實現(xiàn)機(jī)制，保障系統(tǒng)的良好運(yùn)轉(zhuǎn)，以提供滿足各層面需求的安全能力。由于云計算具有資源彈性、按需分配、自動化管理等特點(diǎn)，為了保障其安全性，就要求安全防護(hù)措施/能力也具有同樣的特點(diǎn)，滿足云計算安全防護(hù)的要求，這就需要進(jìn)行良好的安全框架設(shè)計。

云安全解決方案現(xiàn)代數(shù)據(jù)中心正經(jīng)歷著急速的變化。虛擬化為私有云鋪平了道路,使得應(yīng)用程序能夠以較少的時間和成本交付給用戶。虛擬化將工作負(fù)載從硬件資源池中按需動態(tài)分配的，資源池成為了虛擬化數(shù)據(jù)中心和私有云重要的基礎(chǔ)。已經(jīng)部署了虛擬化的用戶開始嘗試采用SDN、NFV等新型技術(shù)，旨在通過軟件控制方式解決現(xiàn)有環(huán)境中遇到的存儲、網(wǎng)絡(luò)不能自動部署和分權(quán)分域管理問題。這種持續(xù)的進(jìn)化就是軟件定義的數(shù)據(jù)中心(SDDC),所有的基礎(chǔ)設(shè)施元素——網(wǎng)絡(luò)、存儲、計算和安全都將作為服務(wù)交付給用戶。整個基礎(chǔ)設(shè)施是由軟件驅(qū)動的,對應(yīng)到安全領(lǐng)域就是軟件定義的安全。云安全挑戰(zhàn)新興技術(shù)的發(fā)展,提高了IT的敏捷性,靈活性和效率,也生出了新的挑戰(zhàn):靜態(tài)安全政策:云是一個動態(tài)的環(huán)境。快速部署的新應(yīng)用程序、基礎(chǔ)環(huán)境不停的變化、虛擬服務(wù)器在整個數(shù)據(jù)中心移動，都要求安全服務(wù)必須跟上變化，同時也要考慮彈性伸縮。這需要自動化，否則安全要么被忽視,要么成為提供的應(yīng)用程序過程中的瓶頸。內(nèi)部通訊的可見性:云數(shù)據(jù)流量和移動辦公意味著虛擬化數(shù)據(jù)中心不停的在變化。除了保護(hù)數(shù)據(jù)中心南北向的安全,虛擬網(wǎng)絡(luò)安全防護(hù)還必須提供數(shù)據(jù)中心內(nèi)部的東西向的威脅抵御。傳統(tǒng)網(wǎng)絡(luò)劃分不在適合云環(huán)境:傳統(tǒng)網(wǎng)絡(luò)層面，安全部分是緊密耦合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的，但一旦網(wǎng)絡(luò)環(huán)境變化，就需要手動更網(wǎng)絡(luò)配置部署。而虛擬化環(huán)境中的網(wǎng)絡(luò)拓?fù)?，?jīng)常性的會發(fā)生，網(wǎng)絡(luò)變化也意味著安全的變化,再使用傳統(tǒng)的網(wǎng)絡(luò)劃分的模式管理安全，將導(dǎo)致很高的操作開銷和影響業(yè)務(wù)敏捷性。更隱蔽的威脅:復(fù)雜的攻擊可以輕易攻陷云平臺中最脆弱的VM系統(tǒng);一旦獲得控制，受感染的VM將會成為跳板,從虛擬機(jī)層面橫向移動(VM-to-VM)，竊取有價值的數(shù)據(jù)而不被傳統(tǒng)的防護(hù)手段所發(fā)現(xiàn)。方案設(shè)計設(shè)計綜述如前所述，云安全架構(gòu)設(shè)計中，我們需要解決幾個方面的問題：應(yīng)用程序安全保護(hù)虛擬化系統(tǒng)安全虛擬計算環(huán)境的安全域的規(guī)劃和保護(hù)(內(nèi)部虛擬機(jī)之間的防護(hù))主機(jī)安全整合使用虛擬化技術(shù)提供虛擬安全網(wǎng)關(guān)物理環(huán)境安全防護(hù)虛擬系統(tǒng)內(nèi)部的審計和合規(guī)性；集中管理作為業(yè)界領(lǐng)先的安全廠商，CheckPoint為全球廣泛用戶提供了端到端的安全解決方案，全球100強(qiáng)用戶100%使用了CheckPoint的安全解決方案。隨著虛擬計算的發(fā)展，CheckPoint利用其先進(jìn)的安全技術(shù)，為云計算數(shù)據(jù)中心提供了最為全面的安全解決方案1>通過VE虛擬安全設(shè)備保障虛擬計算環(huán)境的安全域的規(guī)劃和保護(hù)(內(nèi)部虛擬機(jī)之間的防護(hù))VE是業(yè)界第一個獲得VMware認(rèn)證的虛擬網(wǎng)絡(luò)安全設(shè)備提供商。作為運(yùn)行在VMware平臺上的虛擬安全網(wǎng)關(guān)，為虛擬計算環(huán)境提供了全面的安全保護(hù)。為為虛擬計算環(huán)境的安全域劃分提供了強(qiáng)大的控制手段。與采用硬件安全設(shè)備不同，可以根據(jù)用戶對虛擬主機(jī)的信任關(guān)系級別，在ESXServer上，把虛擬主機(jī)劃分為不同的安全域，并進(jìn)行精細(xì)粒度的訪問控制。為虛擬計算環(huán)境的安全域劃分和安全控制提供了強(qiáng)大的技術(shù)保障。利用，可以有效的隔離虛擬主機(jī)，并提供了從網(wǎng)絡(luò)層到應(yīng)用層的安全面安全保護(hù)。采用了和CheckPoint實體防火墻相同的防火墻和IPS引擎，能夠幫助用戶抵御來自于虛擬環(huán)境內(nèi)部以及虛擬環(huán)境外部的安全威脅。為虛擬網(wǎng)絡(luò)環(huán)境提供了深度的監(jiān)控和審計能力，為虛擬環(huán)境的合規(guī)性需求提供了強(qiáng)大的保證。能夠監(jiān)控虛擬主機(jī)之間的數(shù)據(jù)通信，并提供詳細(xì)的日志記錄。此外，利用CheckPoint的SmartEvent模塊，可以對虛擬環(huán)境的安全狀態(tài)進(jìn)行實時的監(jiān)控，并提供詳細(xì)的報表，以備審核分析；部署簡單。由于將流量保持在虛擬裝置服務(wù)器內(nèi)，因此不需要復(fù)雜地增加安全設(shè)備與交換機(jī)來確保虛擬環(huán)境的安全。會按照預(yù)設(shè)的內(nèi)存分配與內(nèi)核分配等選項進(jìn)行安裝，讓您可以盡快確保系統(tǒng)的安全。您也可以自定義所有的設(shè)置—包括網(wǎng)絡(luò)接口與其它方面—來保護(hù)您的特定環(huán)境。2>通過虛擬安全網(wǎng)關(guān)安全網(wǎng)關(guān)整合(使用虛擬化技術(shù)提供安全網(wǎng)關(guān)整合)VSX安全操作平臺是一個虛擬化的安全網(wǎng)關(guān)，能夠?qū)?0到250個安全系統(tǒng)集成在一個單一的硬件平臺，大大節(jié)省成本。在VPN-1Power提供的成熟安全技術(shù)基礎(chǔ)上，VSX為多個網(wǎng)絡(luò)系統(tǒng)提供同類最佳的防火墻、VPN（虛擬專用網(wǎng)絡(luò)）、URL過濾和入侵防御技術(shù)，使它們彼此安全地連接和共享資源，如互聯(lián)網(wǎng)和DMZs區(qū)。所有安全系統(tǒng)，無論是虛擬還是實體，都通過CheckPointSmartCenter或者M(jìn)DM多域集中管理服務(wù)器管理控制臺進(jìn)行集中管理。功能強(qiáng)大的設(shè)備可以進(jìn)一步降低部署成本，同時提供電信運(yùn)營商級的可靠性和可擴(kuò)展性。VSX通過運(yùn)行一個由數(shù)百個路由器、開關(guān)和VPN-1網(wǎng)關(guān)組成的虛擬網(wǎng)絡(luò)來優(yōu)化空間和成本。對于MSPs，VSX是一個理想平臺，可以通過簡單高效地提供新的安全服務(wù)提供增加收入的機(jī)會。這些包括增值虛擬內(nèi)容過濾、VPN、網(wǎng)絡(luò)劃分和防火墻服務(wù)，利用VSX的虛擬系統(tǒng)向?qū)В╒irtualSystemWizard）以盡可能低的成本即刻提供這些服務(wù)。3>通過CheckPointMDM集中多域管理服務(wù)器實現(xiàn)集中管理以及分級分域管理,并保障虛擬系統(tǒng)內(nèi)部的審計和合規(guī)性CheckPoint安全管理架構(gòu)是安全行業(yè)最優(yōu)秀的管理架構(gòu)之一。,可以和CheckPoint的安全管理架構(gòu)無縫融合，也就是說，CheckPoint安全解決方案可以實現(xiàn)虛擬安全和實體安全的無縫的統(tǒng)一管理和運(yùn)行。以IPS升級為例，管理員只需要單擊一次鼠標(biāo)，就可以實現(xiàn)所有企業(yè)虛擬環(huán)境和實體環(huán)境的IPS模塊的統(tǒng)一升級；以日志管理為例，CheckPoint可以在單一界面中，呈現(xiàn)虛擬主機(jī)在虛擬網(wǎng)絡(luò)和實體網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)訪問日志記錄和安全事件，為安全審計、合規(guī)性分析提供了全面的數(shù)據(jù)；CheckPointMDM多域集中管理服務(wù)器是一個具有特色的安全管理解決方案，用來滿足具有復(fù)雜安全策略需求企業(yè)的可擴(kuò)展性要求。在支持集中管理多個安全管理域的同時，CheckPointMDM大大提高了管理這些復(fù)雜安全部署的操作效率.可以為云計算數(shù)據(jù)中心每個區(qū)域劃分獨(dú)有的管理域.基于角色的靈活管理,CheckPointMDM多域集中管理服務(wù)器環(huán)境，管理模型的設(shè)計使網(wǎng)絡(luò)安全經(jīng)理能夠集中管理許多分布式系統(tǒng)。有了這樣的設(shè)計模型，企業(yè)能夠指定可信賴的管理員，賦予他們不同的訪問權(quán)限，包括從管理整個CheckPointMDM多域集中管理服務(wù)器系統(tǒng)，到只管理客戶網(wǎng)絡(luò)的某些方面。另外，對不同的客戶管理域，可以賦予同一個管理員不同的權(quán)限。整體方案設(shè)計拓?fù)湔w方案包含如下方面:ESX服務(wù)器內(nèi)部部署VE從而保障虛擬計算環(huán)境的安全域的規(guī)劃和保護(hù)(Vmware內(nèi)部虛擬機(jī)之間的防護(hù))數(shù)據(jù)中心內(nèi)部區(qū)域之間部署從而實現(xiàn)安全網(wǎng)關(guān)整合(使用虛擬化技術(shù)提供安全網(wǎng)關(guān)整合),為不同客戶提供獨(dú)立的安全網(wǎng)關(guān)防護(hù).最后在數(shù)據(jù)中心部署管理控制臺實現(xiàn)集中管理以及分級分域管理以及虛擬系統(tǒng)內(nèi)部的審計和合規(guī)性；云平臺安全域劃分和防護(hù)設(shè)計安全域是由一組具有相同安全保護(hù)需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，在同一安全域中的系統(tǒng)共享相同的安全策略，通過安全域的劃分把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題，是實現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全保護(hù)的有效方法。安全域劃分是按照安全域的思想，以保障云計算業(yè)務(wù)安全為出發(fā)點(diǎn)和立足點(diǎn)，把網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域，并進(jìn)行縱深防護(hù)。對于云計算平臺的安全防護(hù)，需要根據(jù)云平臺安全防護(hù)技術(shù)實現(xiàn)架構(gòu)，選擇和部署合理的安全防護(hù)措施，并配置恰當(dāng)?shù)牟呗裕瑥亩鴮崿F(xiàn)多層、縱深防御，才能有效的保證云平臺資源及服務(wù)的安全。安全域劃分安全域劃分的原則業(yè)務(wù)保障原則：安全域方法的根本目標(biāo)是能夠更好的保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障業(yè)務(wù)的正常運(yùn)行和運(yùn)行效率；結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護(hù)體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難；等級保護(hù)原則：安全域劃分和邊界整合遵循業(yè)務(wù)系統(tǒng)等級防護(hù)要求，使具有相同等級保護(hù)要求的數(shù)據(jù)業(yè)務(wù)系統(tǒng)共享防護(hù)手段；生命周期原則：對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮云平臺擴(kuò)容及因業(yè)務(wù)運(yùn)營而帶來的變化，以及開發(fā)、測試及后期運(yùn)維管理要求安全域的邏輯劃分：例子按照縱深防護(hù)、分等級保護(hù)的理念，基于云平臺的系統(tǒng)結(jié)構(gòu)，其安全域的邏輯劃分如下圖所示：云平臺安全域邏輯劃分按照防護(hù)的層次，從外向內(nèi)可分為外部接口層、核心交換層、計算服務(wù)層、資源層。根據(jù)安全要求和策略的不同，每一層再分為不同的區(qū)域。對于不同的區(qū)域，可以根據(jù)實際情況再細(xì)分為不同的區(qū)域。例如，根據(jù)安全等級保護(hù)的要求，對于生產(chǎn)區(qū)可以在細(xì)分為一級保護(hù)生產(chǎn)區(qū)、二級保護(hù)生產(chǎn)區(qū)、三級保護(hù)生產(chǎn)區(qū)、四級保護(hù)生產(chǎn)區(qū)，或者根據(jù)管理主體的不同，也可細(xì)分為集團(tuán)業(yè)務(wù)生產(chǎn)區(qū)、分支業(yè)務(wù)生產(chǎn)區(qū)。對于實際的云計算系統(tǒng)，在進(jìn)行安全域劃分時，需要根據(jù)系統(tǒng)的架構(gòu)、承載的業(yè)務(wù)和數(shù)據(jù)流、安全需求等情況，按照層次化、縱深防御的安全域劃分思想，進(jìn)行科學(xué)、嚴(yán)謹(jǐn)?shù)膭澐?，不可死搬硬套，下面給出一個安全域劃分的示例，可參考。網(wǎng)絡(luò)隔離為了保障云平臺及其承載的業(yè)務(wù)安全，需要根據(jù)網(wǎng)絡(luò)所承載的數(shù)據(jù)種類及功能，進(jìn)行單獨(dú)組網(wǎng)。管理網(wǎng)絡(luò) 物理設(shè)備是承載虛擬機(jī)的基礎(chǔ)資源，其管理必須得到嚴(yán)格控制，所以應(yīng)采用獨(dú)立的帶外管理網(wǎng)絡(luò)來保障物理設(shè)備管理的安全性。同時各種虛擬資源的準(zhǔn)備、分配、安全管理等也需要獨(dú)立的網(wǎng)絡(luò)，以避免與正常業(yè)務(wù)數(shù)據(jù)通信的相互影響，因此設(shè)立獨(dú)立的管理網(wǎng)絡(luò)來承載物理、虛擬資源的管理流量；存儲網(wǎng)絡(luò) 對于數(shù)據(jù)存儲，往往采用SAN、NAS等區(qū)域數(shù)據(jù)網(wǎng)絡(luò)來進(jìn)行數(shù)據(jù)的傳輸，因此也將存儲網(wǎng)絡(luò)獨(dú)立出來，并于其他網(wǎng)絡(luò)進(jìn)行隔離；遷移網(wǎng)絡(luò) 虛擬機(jī)可以在不同的云計算節(jié)點(diǎn)或主機(jī)間進(jìn)行遷移，為了保障遷移的可靠性，需要將遷移網(wǎng)絡(luò)獨(dú)立出來；控制網(wǎng)絡(luò) 隨著SDN技術(shù)的出現(xiàn)，數(shù)據(jù)平面和數(shù)據(jù)平面數(shù)據(jù)出現(xiàn)了分離?？刂破矫娣浅Ｖ匾?，關(guān)于真?zhèn)€云平臺網(wǎng)絡(luò)服務(wù)的提供，因此建議組建獨(dú)立的控制網(wǎng)絡(luò)，保障網(wǎng)絡(luò)服務(wù)的可用性、可靠性和安全性上面適用于一般情況。針對具體的應(yīng)用場景，也可以根據(jù)需要劃分其他獨(dú)立的網(wǎng)絡(luò)，vSEC產(chǎn)品功能介紹虛擬機(jī)之間的數(shù)據(jù)流量檢查利用細(xì)粒度的防火墻策略和一流的集成入侵防御功能，對所有虛擬機(jī)之間的數(shù)據(jù)流量進(jìn)行檢查，從而確保虛擬機(jī)的安全性。CheckpointvSEC支持您分離虛擬應(yīng)用，從而避免相互感染以及外部威脅。集成的IPS利用基于簽名和協(xié)議異常的入侵防御功能，來保護(hù)FTP、HTTP和VoIP等關(guān)鍵業(yè)務(wù)服務(wù)免遭已知和未知攻擊。CheckPoint的更新服務(wù)提供實時更新，以便實施最新的防護(hù)措施。增強(qiáng)動態(tài)虛擬化環(huán)境的安全性當(dāng)虛擬機(jī)從一個主機(jī)向另一個主機(jī)進(jìn)行實時遷移或者新增虛擬機(jī)時，對虛擬機(jī)的保護(hù)是持續(xù)不斷的。完全支持Vmotion和動態(tài)遷移，使安全策略能夠在保持開放連接的情況下實施。當(dāng)虛擬機(jī)在主機(jī)之間移動時，它還能夠確保零宕機(jī)時間，以便進(jìn)行維護(hù)和動態(tài)資源分配。創(chuàng)建虛擬機(jī)非常容易，以至于有時會導(dǎo)致虛擬機(jī)蔓延。CheckpointvSEC通過確保新增虛擬機(jī)與現(xiàn)有虛擬機(jī)相分離并且自動實施安全策略，從而減輕了對此問題的顧慮。完全虛擬化的安全網(wǎng)關(guān)CheckpointvSEC在軟件刀片架構(gòu)的基礎(chǔ)上提供全面的安全性，同時保護(hù)虛擬機(jī)之間的數(shù)據(jù)流量以及外部網(wǎng)絡(luò)和資產(chǎn)。除了不可見的管理程序?qū)影踩灾?，VSEC還提供了被部署為第2層或第3層默認(rèn)網(wǎng)關(guān)的靈活性。CheckpointvSEC通過在單一解決方案中整合可靠的安全功能，簡化了安全部署和管理。利用一流的集成防火墻、IPS、VPN、防病毒、防垃圾郵件、URL過濾和Web安全等功能，保護(hù)虛擬機(jī)免遭外部威脅以及互相感染。如果服務(wù)器與數(shù)據(jù)相分離是合規(guī)性的要求，那么VSEC則會對相互分離的應(yīng)用與信息進(jìn)行保護(hù)，而無需物理的安全設(shè)備。對虛擬機(jī)提供即插即用的安全保護(hù)CheckpointvSEC能夠?qū)μ摂M機(jī)自動應(yīng)用安全措施，而無需為VM、VLAN或vSwitches改變網(wǎng)路拓?fù)?，從而減少了管理費(fèi)用。實現(xiàn)虛擬化虛擬化的推行需要進(jìn)行鞏固、優(yōu)化以及投資回報最大化，依賴傳統(tǒng)物理安全設(shè)備對虛擬機(jī)間流量進(jìn)行檢測會影響性能同時也加劇拓?fù)浣Y(jié)構(gòu)復(fù)雜性。通過部署CheckPoint虛擬版安全網(wǎng)關(guān)（VSEC），可以避免復(fù)雜的拓?fù)浣Y(jié)構(gòu)，通過在虛擬系統(tǒng)中檢測虛擬機(jī)間流量能夠提升性能。對物理和虛擬化環(huán)境進(jìn)行單一管理對物理和虛擬化環(huán)境的統(tǒng)一管理簡化了安全管理，其中包括虛擬化與安全管理之間管理職能的明確分工。CheckpointvSEC通過安全管理或多域管理(MDM)進(jìn)行管理，與所有其它CheckPoint物理安全網(wǎng)關(guān)和設(shè)備相同。這樣就能夠支持您在所有的網(wǎng)關(guān)確保一致的安全性，并且最大限度地減少了單獨(dú)管理控制臺的費(fèi)用。VSX產(chǎn)品功能介紹VSX安全操作平臺是一個虛擬化的安全網(wǎng)關(guān)，能夠?qū)?到數(shù)百個安全系統(tǒng)集成在一個單一的硬件平臺，大大節(jié)省成本。在VE提供的成熟安全技術(shù)基礎(chǔ)上，VSX為多個網(wǎng)絡(luò)系統(tǒng)提供同類最佳的防火墻、VPN（虛擬專用網(wǎng)絡(luò)）、URL過濾和入侵防御技術(shù)，使它們彼此安全地連接和共享資源，如互聯(lián)網(wǎng)和DMZs區(qū)。所有安全系統(tǒng)，無論是虛擬還是實體，都通過CheckPointSmartCenter或者管理控制臺進(jìn)行集中管理。功能強(qiáng)大的設(shè)備可以進(jìn)一步降低部署成本，同時提供電信運(yùn)營商級的可靠性和可擴(kuò)展性。VSX通過運(yùn)行一個由數(shù)百個路由器、開關(guān)和VPN-1網(wǎng)關(guān)組成的虛擬網(wǎng)絡(luò)來優(yōu)化空間和成本。對于MSPs，VSX是一個理想平臺，可以通過簡單高效地提供新的安全服務(wù)提供增加收入的機(jī)會。這些包括增值虛擬內(nèi)容過濾、VPN、網(wǎng)絡(luò)劃分和防火墻服務(wù)，利用VSX的虛擬系統(tǒng)向?qū)В╒irtualSystemWizard）以盡可能低的成本即刻提供這些服務(wù)。靈活的部署方案? 設(shè)備–包含廣泛內(nèi)容、功能強(qiáng)大和高可擴(kuò)展性的設(shè)備能夠符合任何網(wǎng)絡(luò)安全要求。? 軟件–VPN-PowerVSX軟件可以安裝到經(jīng)過CheckPoint認(rèn)證的多種開放服務(wù)平臺上，運(yùn)行。產(chǎn)品特點(diǎn)? 可擴(kuò)展的虛擬環(huán)境? 靈活的虛擬連接? 高性能安全? 全面的安全服務(wù)? 成熟、可靠的安全管理架構(gòu)? 方便服務(wù)提供商可擴(kuò)展的虛擬環(huán)境隨著VSX作為軟件或者設(shè)備的部署，網(wǎng)絡(luò)管理員可以對傳統(tǒng)的物理布局和設(shè)計進(jìn)行虛擬化實施，包括中央和遠(yuǎn)程DMZs。VSX平臺可以在一個單一或集群的硬件平臺創(chuàng)建和管理最多250個完全獨(dú)立的安全系統(tǒng)。這在具有可擴(kuò)展性的同時，大大減少了硬件投資、空間要求和維護(hù)成本。靈活的虛擬連接虛擬路由器和交換機(jī)可以用來在虛擬系統(tǒng)背后的網(wǎng)絡(luò)之間進(jìn)行通訊傳輸，跟在實體網(wǎng)絡(luò)完全一樣。VSX支持多種路由方案，可以進(jìn)行靈活的網(wǎng)絡(luò)連接。? 橋接模式中的虛擬系統(tǒng)VSX有能力接納以路由器或者橋接模式運(yùn)行的虛擬系統(tǒng)。在橋接模式下部署虛擬系統(tǒng)的能力使管理員能夠?qū)嵤┍镜?層橋接，而不是通過IP路由，從而無需對網(wǎng)絡(luò)設(shè)置和布局進(jìn)行重新配置即可將一個虛擬系統(tǒng)明顯地添加到網(wǎng)絡(luò)上。? 路由傳播當(dāng)一個虛擬系統(tǒng)連接到虛擬路由器或者虛擬交換機(jī)時，管理員可以選擇將路由信息傳播到臨近的虛擬設(shè)備。這一功能使臨近虛擬系統(tǒng)背后的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通訊，無需手動配置。? 重疊IP地址空間當(dāng)多個網(wǎng)段公用相同的IP地址區(qū)間時，VSX可以便利連接。這種情況出現(xiàn)在當(dāng)單一的VSX網(wǎng)關(guān)對幾個從同一個IP地址池將IP地址分配到各個端點(diǎn)的獨(dú)立網(wǎng)絡(luò)進(jìn)行保護(hù)時。因此，在VSX環(huán)境中，一個以上的端點(diǎn)共享同一個IP地址，而每一個位于不同的虛擬系統(tǒng)之后。在VSX環(huán)境中重疊IP地址空間是有可能的，因為每個虛擬系統(tǒng)維持自己獨(dú)特的狀態(tài)和路由表。這些表可以包含相同的條目，但這些條目存在于不同的、彼此隔離的環(huán)境中。? 源基路由源基路由使管理員能夠確定優(yōu)先于普通的基于目的的路由決定的路由定義。這樣，管理員可以根據(jù)他們的源IP地址或者源IP地址與目的地IP地址的結(jié)合發(fā)送信息包。如果沒有VLAN標(biāo)簽的單一的實體接口連接數(shù)個受保護(hù)的客戶網(wǎng)絡(luò)，在部署時可以用到源基路由。每個虛擬系統(tǒng)連接到內(nèi)部的虛擬路由器。虛擬路由器根據(jù)源基路由表定義的源IP地址，將通行流量路由到相應(yīng)的虛擬系統(tǒng)。? 動態(tài)路由虛擬設(shè)備彼此之間利用動態(tài)路由可以進(jìn)行通訊和分配路線。VSX為虛擬系統(tǒng)和虛擬路由器提供完整的3層動態(tài)路由。支持的單播和多播動態(tài)路由協(xié)議有OSPF、RIP-V1/2、BGP-V4、IGMP、PIM-SM、PIM-DM。高性能安全高帶寬網(wǎng)絡(luò)要求高性能的網(wǎng)關(guān)才能支持?jǐn)?shù)千個用戶和應(yīng)用程序。VSX采用CheckPoint獲得專利的SecureXLTM安全加速技術(shù)，使它能夠從開放的服務(wù)器和設(shè)備獲得最高的性能，即使是在DoS（拒絕服務(wù)）攻擊期間也是如此。要提供線速安全，利用CheckPoint的高性能技術(shù)可以將VSX部署到多個電信運(yùn)營級的平臺之上，確保安全、有彈性、數(shù)千兆的吞吐量。要使性能、容量和系統(tǒng)可擴(kuò)展性實現(xiàn)最大化，VSX提供以下功能和技術(shù)：? 虛擬系統(tǒng)負(fù)荷分擔(dān)（VSLS）能夠在集群成員之間分配虛擬系統(tǒng)，從而能夠在集群內(nèi)有效地分配流量負(fù)荷。? VSX資源控制使管理員能夠管理負(fù)荷處理，保證每個虛擬系統(tǒng)將得到最起碼的CPU分配資源。某個虛擬系統(tǒng)不需要的資源自動分配給其它虛擬系統(tǒng)。管理員還可以限制低優(yōu)先級虛擬系統(tǒng)的CPU的時間，給擔(dān)負(fù)重要任務(wù)的虛擬系統(tǒng)分配更多容量。? VSXQoS（服務(wù)質(zhì)量）執(zhí)行通過支持差異化服務(wù)協(xié)議和將不同的傳輸特征分配給不同級別的服務(wù)，能夠控制VSX網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)服務(wù)質(zhì)量。這有助于在資源負(fù)荷過重時，對通行流量的處理進(jìn)行優(yōu)先排序。? ClusterXL具有高可用性和負(fù)荷分擔(dān)功能，以保持企業(yè)運(yùn)行。它在集群冗余網(wǎng)關(guān)之間分配流量，這樣可以將多臺機(jī)器的計算能力結(jié)合起來增加總吞吐量。如果單獨(dú)的網(wǎng)關(guān)無法獲取，所有連接就會被重定向到指定的備份，而不受干擾。全面的安全服務(wù)基于FireWall-1?和SmartDefense?入侵預(yù)防技術(shù)，VSX為復(fù)雜基礎(chǔ)設(shè)備內(nèi)的多重網(wǎng)絡(luò)或者VLANs提供全面的保護(hù)，使他們安全地與互聯(lián)網(wǎng)和DMZs等共享資源連接。VSX網(wǎng)關(guān)基于CheckPoint獲得專利的StatefulInspection，這也是互聯(lián)網(wǎng)安全的實際標(biāo)準(zhǔn)。VSX