虚拟化和混合云环境下的安全挑战与实践-5.pptxVIP

GET INTO THE CLOU WITHOUT LEAVING THE GROUND 虚拟化和混合云环境下的 安全挑战与实践 北京易思捷信息技术有限公司 张振宇 这是最好的时代 ， 也是最坏的时代…… 查尔斯·狄更斯 计算模式发展 研究人员 众多 普遍存在 无处不在 大型机 客户端/服务器 Web 云计算 云计算力量和障碍 安全、安全，还是安全 云安全需求 云计算的部署要求平衡安全需求 虚拟化的好处 安全需求 公司形象的风险 依从与合规 云安全概念 云安全服务（Cloud Security Service, Security from the cloud ） 如何利用云计算技术给用户提供安全服务 云计算安全（Cloud Computing Security, Security for the cloud） 如何保护云计算环境本身的安全性 云安全智能（Cloud Security Intelligence, Security in the cloud） 如何利用云的技术增强安全防护的技术能力 IT容量低于实际负载 = 客户投诉 Unhappy CEO ? IT容量大于实际负载=Unhappy CFO ? 采购的IT容量 负载预期 实际负载 IT 容量 时间 大部分企业都面临着IT运维的问题。 预期是线性增长，所以我们的IT设备也是大致按照这种趋势去准备。 但是实际情况不是如此。由此会出现设备不足或设备过剩的情况。前者造成客户满意度的下降，后者造成资源浪费。 为什么是混合云? 云计算部署模型 混合云面临的安全问题 混合云安全涉及许多因素： 如何确保本地数据中心的资源安全 如何确保向公有云迁移的大量应用的安全 如何确保存储在多家云服务商上数据的安全 如何保护公有云和私有云的虚拟化基础 如何确保接入云基础设施的移动设备安全 挑战：下一代数据中心的网络结构演进 South-north traffic flow Esat-west traffic fllow Virtual host mobile 挑战：复杂的云计算存储架构下的数据安全管理 Block Access (Storage Volume) VM Mobility Server pool Hypervisor … Storage Controllers SANSwitches Block Storage Ensemble Storage Mobility Storage Controllers SANSwitches Virtualized Block Storage Ensemble Storage Mobility Storage Controllers SANSwitches File Storage Ensemble SoFS SVC File Access (File) 挑战：虚拟化环境的网络防护 IPS PCI DSS 标准 11.4 “使用IDS和/或IPS来监控所有在持卡人 数据环境中的流量。。。” 会计 PCI 数据 虚拟机 会计 操作系统 虚拟层 物理服务器 虚拟的流量没有被 路由到外部的网络 IPS 虚拟网络 传统的安全设备需要 串联在网络中 而虚拟化带来了问题 13 挑战：优化虚拟化安全系统性能 AV风暴 很高的磁盘I/O 很高的AV软件资源占用 对虚拟层加载状态的不可知 对于离线的虚拟机，无法升级DAT文件 无法集中管理异构虚拟化环境以及物理和虚拟环境 100 MB 15% CPU 100 MB 15% CPU 100 MB 15% CPU 传统的没有针对虚拟环境进行优化的AV软件 挑战：服务器虚拟化环境下的安全 15 Hypervisor Traditional IPS Physical Server Network Security Platform Next Gen Firewall 同一物理机上虚拟机之间的安全隔离 虚拟机入侵检测 病毒扫描 数据隔离 挑战：服务器虚拟化环境下的可信计算 16 Traditional IPS 不采用TXT 和TPM，中国如何建立自己的可信计算标准 虚拟化和云计算环境下，迫切需要可信计算环境 挑战：云环境下的身份识别与访问控制 混合云环境要求统一的、高效的身份认证与访问控制机制 挑战：安全的数据传输 如何保证企业数据在私有云和公有云以及 不同的云服务提供商之间的安全传输 Virtualized and Private Cloud Data Center Public Cloud Data Center VMM Sales Sales Mfg HR Data transport between Private and public cloud