安全资源实施方案

只看该作者 · 发表于 2024-5-20 09:09

1.1. 设备清单

本次实施工作包含深信安安全资源池设备3台，设备清单如下：

1.2. 机柜位置

1.3. 互联接口

1.4. IP地址规划

管理地址

业务地址

业务地址说明：

一是原有租户迁移，由XX公司为每个租户提供一对不同网段的业务地址，保证现有租户安全平滑迁移。同时，XX公司原租户安全运维人员应提供已配置的各个租户安全策略。例如：防火墙的访问控制策略。

二是新增租户安全业务，由XX公司为每个租户提供一对不同网段的业务地址。

三是XX公司应为每个租户所申请的安全组件提供业务接入C段地址（现有核心路由表不存在的网段）用于安全组件对外发布业务。例如堡垒机，日志审计，EDR等产品需要服务器向租户端提供访问服务。

1.5. 实施拓扑与流量走向

[size=15.0000pt]1.5.1. 总体架构设计

安全资源池单臂部署在核心交换机处，在核心交换机上做引流，将流量牵引至安全资源池，通过安全资源池中的组件防护后再回到核心交换机进行转发，具体的拓扑图如下：

[size=15.0000pt]1.5.2. 安全资源池网络设计

为了保障安全资源池CSSP系统的正常运行，需要合理规划以下四个网络平面：

管理通信网络：集群间心跳、配置同步，平台管理，组件、虚拟机克隆、迁移、备份等操作，都是通过管理通信网络来传输数据的。

存储通信网络：虚拟存储的主机间存储数据同步，如果存储通信网络不稳定，可能会导致存储IO性能下降，甚至数据不一致。

数据通信网络：运行在集群内不同主机上的组件、虚拟机之间通过虚拟交换机进行通信时，产生的跨主机流量，这些流量需要经过VXLAN封装到数据通信网络中传输。

物理（业务）出口：安全资源池与物理网络的互联网络，是物理网络将流量牵引到安全资源池中经过安全资源池中安全组件清洗的流量，需要经过虚拟网络的物理出口进行传输。

[size=18.0000pt]2. 实施前准备

2.1. 确认项目实施方案

深信安负责实施的现场工程师将与电信公司接口人、相关领导对本次上线实施方案进行确认。

2.2. 上线前准备

[size=15.0000pt]2.2.1. 电信公司准备

电信公司准备说明

准备工作	详细描述
上线设备安装位置	提前规划好设备上线安放的机柜位置、设备互连接入时交换机接口/配置规划、链路建立与连通测试
电源准备	确保机房能够为CSSP设备提供电源
设备IP规划/业务IP地址	为深信安提供设备接入网络用到的IP地址，并确保该IP地址可以访问互联网
测试终端的网络接入	为现场交付工程师提供测试网络接入，以便设备上线后测试网络连通性
实施工程师进入机房许可	向现场交付工程师说明进入机房需要准备带哪些证件及注意事项
租户清单	根据模板，梳理此次云安全环境中的租户清单，包含租户名称、租户的业务系统等
交换机配置	根据要求调整交换机的引流策略，将业务流量牵引到安全资源池中

[size=15.0000pt]2.2.2. 深信安准备

XX准备说明

准备工作	详细描述
上线部署方案	为本次项目提供上线部署方案
功能验证方案	为本次项目上线实施提供功能验证方案
上架前准备	根据《A01-深信安安全资源池CSSP需求调研表格.xlsx》，再次确认现场实施环境与业务环境

[size=18.0000pt]3. 设备现场交付

3.1. 实施上线流程

实施上线流程表
序号	实施动作	详细内容	协助人
1	设备上架	提供机柜位置	云服务商
2	申请布线		云服务商
3	设备标签	安全资源池设备标签、网线、光纤标签粘贴
4	线缆整理	安全资源池电源、光纤、网线整理捆扎
5	设备加电	检查布线合格之后，申请加电（电源欧标）	云服务商
6	地址分配	互联网区-信创云池业务区管理地址4个政务网区-信创云池业务区管理地址6个
6	交换机接口	互联网区-信创云池业务核心2个10G口1组聚合（trunk）手工mac轮询政务网区-信创云池业务核心4个10G口2组聚合（trunk）手工mac轮询互联网区-非信创云池业务核心2个10G口1组聚合（trunk）手工mac轮询政务网区-非信创云池业务核心4个10G口2组聚合（trunk）手工mac轮询互联网区-信创云池业务核心2个1G电口1组聚合（access）手工mac轮询政务网区-信创云池业务核心4个1G电口2组聚合（access）手工mac轮询	云服务商
7	地址申请
8	部署调试	安全资源池软件部署、授权导入、版本升级、设备巡检