返回顶部
隐藏或显示

业务背景

在中国,云计算市场规模在不断扩大,三大电信运营商已建成规模化行业云平台,各省市政务云也已基本完成一期建设,金融、零售、教育、物流、医疗、制造、传媒等行业云也在此趋势下竞相向前发展,形成了较为良好的发展态势。

然而,资源集中使云平台更容易成为黑客攻击的目标,云上的安全问题也更加突出。安全已成为用户上云的最大阻力。IDC调研显示,云计算所面临的挑战汇中,安全问题排在首位。2019年RSA大会上,云安全跃居热词榜首。

拓补图

风险与挑战

云平台安全合规风险

云平台安全合规风险

根据等保2.0/GBT 31167等云安全政策要求,云服务商必须满足安全合规要求并通过相关安全审查,具备保障用户数据和业务系统安全的能力。当用户业务系统进行等保测评时,首先应关注云平台是否已经测评,如未测评,则无法开展对用户系统的测评。

云用户安全需求难以满足

云用户安全需求难以满足

传统云平台安全架构仅能够对用户提供通用的安全策略,不能适用于所有用户。用户因而不能根据自身业务需求选择和管理安全组件,这将放大用户业务系统“上云”后安全责任难以界定等风险,从而对“上云”产生顾虑。另外,不适用的安全策略也会影响用户业务系统通过等保测评。

云平台缺乏安全全局监测和快速响应能力

云平台缺乏安全全局监测和快速响应能力

以防御为主的安全方案能够让云平台及用户具备应对网络攻击的能力,但是由于缺乏全局的安全检测能力,云平台运营方不得不面对碎片化的安全管理界面,不仅安全运维效率低下,而且加重了运营方的工作强度。最终导致未能及时发现安全风险。与此同时,由于缺乏快速响应能力导致不能及时处置云平台中发生的安全事故,使得攻击的危害进一步蔓延到其他资产,造成更大的损失。

解决思路

落实平台自身安全合规
为用户/业务提供安全能力
统一管理,实现安全全局监测
构建安全事件快速响应能力
功能图片

落实平台自身安全合规

云平台自身安全应遵照等保2.0要求,基于云平台业务特性,从云平台边界安全防护、宿主机及虚拟化安全和云管理平台安全出发,在满足合规的基础上,对云平台提供持续保护。

为用户/业务提供安全能力

为打消用户上云对安全风险的顾虑,云平台应能够为云用户业务系统提供池化的安全资源服务,可基于软件定义的安全资源池、OpenAD等高性能的安全硬件设备和云眼/云盾等安全云服务,供用户自行选用和配置安全策略。除此以外,针对PaaS/SaaS等云服务模式,云平台应基于池化安全资源服务和应用自身的访问控制策略和安全加固措施,共同保障业务安全。

统一管理,实现安全全局监测

通过在安全运营中心构建网络安全感知平台,可帮助云平台运营者实现对云内所有安全事件的全局监测和统一管理。在各业务区部署流量检测探针,实现对云内资产日志及网络流量的统一采集与分析。当资产的脆弱性风险和网络攻击等安全威胁出现时,可在第一时间发现问题,并于全网海量资产中实现威胁的精确定位。通过平台的大数据分析能力,还原攻击链,对事件进行溯源分析,以便进一步的电子取证, 节约企事业单位对通信链路的投资成本。

构建安全事件快速响应能力

基于网络安全感知平台,通过边界、端口安全设备与平台的联动工作机制,以及平台与深信服安全服务专家的联动机制。可实现针对安全事件的快速响应,包括边界安全网关对可疑IP的一键封锁,终端安全软件对可疑文件的一键隔离/查杀,以及基于安全服务专家对安全事件进一步的分析定位,快速找出威胁根源,及时处置,并针对事件溯源分析,提供修复和加固建议。

深信服云安全方案框架图

安全管理
快速响应 智能联动 人机协同 云端服务 事件处置 溯源分析
全局管控 全局可视 实时监测 精准定位 关联分析 通报预警
业务/用户安全
IaaS
DaaS
PaaS
SaaS
南北向安全
VPC隔离 入侵防御 负载均衡
访问控制 安全审计 安全可视
数据加密 数据脱敏 数据库审计
访问控制及隔离 特权账号管理 补丁管理
Web安全防护 安全传输 漏洞管理
按需交付
池化安全能力
安全云服务
硬件一虚多
安全资源池
东西向安全 虚拟机微隔离 访问控制 入侵防御 主机防病毒 备份与镜像安全
云平台自身安全
云管平台安全 访问控制 通信安全 云资源监控 云操作监控 网络隔离
物理主机及虚拟化安全
基线核查 漏洞扫描 访问控制 流量监控 入侵防御 安全加固 虚拟资源隔离
网络安全
安全域隔离 安全域划分 访问控制 网络威胁检测 安全审计
边界安全防护 访问控制 入侵防御 流量精洗 安全接入 负载均衡

方案实现

基于核心交换设备、虚拟防火墙、EDR和下一代防火墙构建云管理平面与业务平面、虚拟机与宿主机、不同安全级别的等保业务区、不同用户的虚拟网络VPC以及虚拟机微隔离五个层面的网络隔离。基于下一代防火墙、应用交付、上网行为管理等构建边界立体防御体系,VPN网关构建安全接入平台,堡垒机、日志审计保障云管理平台运维安全。云平台基于上述安全设备形成满足等保2。0技术要求的安全合规体系。

解决方案拓补图

基于云安全资源池、OpenAD和云眼/云盾,构建池化的安全资源服务,供用户使用,包括负载均衡、下一代防火墙、堡垒机、日志审计等组件,用户可根据业务需求进行安全自管理。基于安全感知平台和流量探针,构建安全监测预警体系,实现云安全全局监测和统一管控。另外,依托深信服提供的高级威胁分析与处置服务,安全服务专家可联动安全感知平台的现有分析结果,协助安全运维人员实现对安全事件的及时处置。

方案优势

快速响应
快速响应

结合安全设备之间、安全设备和安全人工服务之间的智能联动,可构建安全事件快速响应机制。与传统的应急响应流程相比,联动快速响应不仅能够缩短安全事件的处置时间,避免事件危害的进一步扩散,而且还能提升安全设备的利用效率。除此以外,依托人机共智的快速响应机制,在规避风险的基础上,还能实现攻击事件的溯源分析,并给出针对性的安全加固建议,防止同类事件再次发生。

智能联动
智能联动

构建从云内到云外,从安全设备到安全服务的多层次联动机制。在云内,构建安全资源池管理平台与虚拟安全组件之间的联动机制,发挥一体化优势,基于虚拟安全组件实现云内安全无死角监测,管理平台对所有监测数据进行智能分析,能够及时有效地发现外部攻击行为和云内失陷虚机,并通过可视化报表将分析结果和处置建议发送给云服务用户,方便用户申请相应的安全组件,变更组件规格,修改配置策略等。在云外,构建安全资源池与态势感知平台之间的“云-网-端”联动体系,实现一键处置。除了安全设备之间的智能联动,安全设备与安全人工服务之间自动化、流程化的联动也已打通,形成了针对云环境的体系化安全运营管理平台,从而真正的实现安全闭环。

业务增值
业务增值

云平台运营者通过为用户提供池化的安全资源服务,在推动用户上云,打造可信云业务的同时也避免了安全建设成为固定投入,而是将安全转化为了一种经济、可经营的产品,并获得持续产出。

  • 左箭头 右箭头

    成功案例

    北京政务云
    数字广东
    陕西政务云
    山西政务云
    安徽政务云
    海南政务云
    内蒙古政务云
    湖南政务云
    上海虹口政务云
    东莞政务云
    温州政务云
    呼和浩特政务云
    上海电信天翼云
    北京电信天翼云
    浙江电信天翼云
    浙江联通政企云
    江苏联通政企云
    四川交通云
    温州交通云
    广西警务云
    河池警务云
    上海媒体云
    宝鸡工商云
    浙江大学

    ©2000-2019    深信服科技股份有限公司    版权所有   

    粤公网安备

    粤公网安备44030502002384号

    5亿彩票平台 完美彩票 亿乐彩平台 开门彩平台 梦想彩票平台站 博旺彩票平台 1305彩票平台 928彩票平台 电玩彩票平台 608彩票平台