华为数据中心虚拟化解决方案-安全领域技术分析.pptxVIP

华为FusionCloud 数据中心虚拟化解决方案介绍 --安全领域 传统IDC/EDC面临的安全威胁 ◆ 身份与安全管理 帐号盗用，身份仿冒，违规操作，权限滥用 ◆ 应用与数据安全 SQL注入、跨站等针对应用层的攻击已经成为安全最大的威胁。破坏数据的机密性、完整性和可用性。 ◆系统与主机威胁 病毒蠕虫等将占用系统资源、破坏文件和数据。恶意用户也会利用本地漏洞和配置错误来获取额外权限。 ◆网络与边界安全 针对网络层的攻击，如拒绝服务、漏洞扫描等。 密码破解 权限滥用 盗号 违规操作 SQL注入 跨站攻击 数据泄露 蠕虫 病毒 僵尸网络 漏洞扫描 木马 拒绝服务 CC攻击 云IDC/EDC环境下还存在新的威胁 资源池层 虚拟化平台 物理 设备 服务器 存储 网络 应用系统 办公应用 管理应用 业务应用 PORTAL 基础软件 数据库 应用 中间件 操作 系统 ◆身份与安全管理 应用系统和资源所有权的分离，导致云平台管理员可能访问用户数据 ◆应用与数据安全 不同安全需求的租户可能运行在同一台物理机上，传统安全措施难以处理 ◆系统与虚拟化安全 虚拟化平台运行在操作系统与物理设备之间，其设计和实现中存在漏洞风险 ◆网络与边界安全 网络边界的模糊化，威胁种类的变化以及大流量的DDoS攻击 除传统威胁外，虚拟化、多租户和特权用户问题使得云IDC面临更大风险！ 管理安全 华为数据中心虚拟化平台及安全架构 1 2 3 4 虚拟化平台安全 Content 网络安全 数据安全 5 华为虚拟化平台总体架构 中间件层 虚拟平台 物理层 办公系统 租户 ERP系统 应用层 DC 方案设计 部署与业务迁移 业务管理系统(Portal) 服务器 存储 网络 安全网关 物理硬件 FusionCompute 权限控制 系统部署 模板 FusionStorage FusionNetwork FusionStack Fusion Manager 业务管理层 故障诊断 FusionSphere 华为虚拟化平台总体安全架构 管理安全 华为数据中心虚拟化平台及安全架构 1 2 3 4 虚拟化平台安全 Content 网络安全 数据安全 5 Color Theme Combination of three colors, main theme: company red 华为虚拟化平台--云操作系统 裸机虚拟化架构，性能损耗低于5% 支持VT-X、VT-D、AMD-V硬件辅助虚拟化技术，避免修改Guest OS 兼容业界主流服务器、存储设备 管理层 云计算的本质: 一台超级计算机, 两层OS架构 1. 从云平台的角度：虚拟机是云计算操作系统的一个应用 2. 从虚拟机的角度：云计算操作系统就是原来的硬件层 云计算安全的核心控制点在云操作系统 云操作系统需要安全可控 硬件资源 操作系统 系统软件 应用软件 云计算硬件资源 操作系统 APP OS 系统软件 应用软件 传统PC系统架构 云计算操作系统 Cloud OS 云计算系统架构 操作系统 APP OS 系统软件 应用软件 VM1 VM2 Page 8 CPU虚拟化及安全性保证 传统X86架构的CPU指令分为Ring0-Ring3 4个特权级别，（Ring 0用于运行操作系统内核、Ring 3用于应用程序），从而实现操作系统与应用程序之间的隔离 虚拟化环境下，支持虚拟化的CPU对指令集进行了扩展，对指令的优先级增加了一个维度：ROOT模式和非ROOT模式，其中ROOT模式属于Cloud OS的指令 Cloud OS负责CPU指令在ROOT模式和非ROOT模式的切换，以及维护不同VM之间非ROOT模式下指令的调度 只要Cloud OS是安全可信的，指令的优先级以及不同VM之是的指令隔离就能得到保证 Page 9 内存虚拟化及安全性保证 内存虚拟化共涉及到三个内存地址： 机器地址（真实物理内存地址） 虚拟机物理地址 应用程序使用地址 虚拟机物理地址与应用程序使用地址之间的映射关系是由APP OS维护的 Cloud OS是建立和维护不同VM的虚拟机物理地址与机器地址之间的映射关系，并根据这个映射关系提