返回頂部
售後咨詢

售後咨詢

隱藏或顯示

業務背景

在中國,雲計算市場規模在不斷擴大,三大電信運營商已建成規模化行業雲平台,各省市政務雲也已基本完成一期建設,金融、零售、教育、物流、醫療、制造、傳媒等行業雲也在此趨勢下競相向前發展,形成了較爲良好的發展態勢。

然而,資源集中使雲平台更容易成爲黑客攻擊的目標,雲上的安全問題也更加突出。安全已成爲用戶上雲的最大阻力。IDC調研顯示,雲計算所面臨的挑戰彙中,安全問題排在首位。2019年RSA大會上,雲安全躍居熱詞榜首。

拓補圖

風險與挑戰

雲平台安全合規風險

雲平台安全合規風險

根據等保2.0/GBT 31167等雲安全政策要求,雲服務商必須滿足安全合規要求並通過相關安全審查,具備保障用戶數據和業務系統安全的能力。當用戶業務系統進行等保測評時,首先應關注雲平台是否已經測評,如未測評,則無法開展對用戶系統的測評。

雲用戶安全需求難以滿足

雲用戶安全需求難以滿足

傳統雲平台安全架構僅能夠對用戶提供通用的安全策略,不能適用于所有用戶。用戶因而不能根據自身業務需求選擇和管理安全組件,這將放大用戶業務系統“上雲”後安全責任難以界定等風險,從而對“上雲”産生顧慮。另外,不適用的安全策略也會影響用戶業務系統通過等保測評。

雲平台缺乏安全全局監測和快速響應能力

雲平台缺乏安全全局監測和快速響應能力

以防禦爲主的安全方案能夠讓雲平台及用戶具備應對網絡攻擊的能力,但是由于缺乏全局的安全檢測能力,雲平台運營方不得不面對碎片化的安全管理界面,不僅安全運維效率低下,而且加重了運營方的工作強度。最終導致未能及時發現安全風險。與此同時,由于缺乏快速響應能力導致不能及時處置雲平台中發生的安全事故,使得攻擊的危害進一步蔓延到其他資産,造成更大的損失。

解決思路

落實平台自身安全合規
爲用戶/業務提供安全能力
統一管理,實現安全全局監測
構建安全事件快速響應能力
功能圖片

落實平台自身安全合規

雲平台自身安全應遵照等保2.0要求,基于雲平台業務特性,從雲平台邊界安全防護、宿主機及虛擬化安全和雲管理平台安全出發,在滿足合規的基礎上,對雲平台提供持續保護。

爲用戶/業務提供安全能力

爲打消用戶上雲對安全風險的顧慮,雲平台應能夠爲雲用戶業務系統提供池化的安全資源服務,可基于軟件定義的安全資源池、OpenAD等高性能的安全硬件設備和雲眼/雲盾等安全雲服務,供用戶自行選用和配置安全策略。除此以外,針對PaaS/SaaS等雲服務模式,雲平台應基于池化安全資源服務和應用自身的訪問控制策略和安全加固措施,共同保障業務安全。

統一管理,實現安全全局監測

通過在安全運營中心構建網絡安全感知平台,可幫助雲平台運營者實現對雲內所有安全事件的全局監測和統一管理。在各業務區部署流量檢測探針,實現對雲內資産日志及網絡流量的統一采集與分析。當資産的脆弱性風險和網絡攻擊等安全威脅出現時,可在第一時間發現問題,並于全網海量資産中實現威脅的精確定位。通過平台的大數據分析能力,還原攻擊鏈,對事件進行溯源分析,以便進一步的電子取證, 節約企事業單位對通信鏈路的投資成本。

構建安全事件快速響應能力

基于網絡安全感知平台,通過邊界、端口安全設備與平台的聯動工作機制,以及平台與深信服安全服務專家的聯動機制。可實現針對安全事件的快速響應,包括邊界安全網關對可疑IP的一鍵封鎖,終端安全軟件對可疑文件的一鍵隔離/查殺,以及基于安全服務專家對安全事件進一步的分析定位,快速找出威脅根源,及時處置,並針對事件溯源分析,提供修複和加固建議。

深信服雲安全方案框架圖

安全管理
快速響應 智能聯動 人機協同 雲端服務 事件處置 溯源分析
全局管控 全局可視 實時監測 精准定位 關聯分析 通報預警
業務/用戶安全
IaaS
DaaS
PaaS
SaaS
南北向安全
VPC隔離 入侵防禦 負載均衡
訪問控制 安全審計 安全可視
數據加密 數據脫敏 數據庫審計
訪問控制及隔離 特權賬號管理 補丁管理
Web安全防護 安全傳輸 漏洞管理
按需交付
池化安全能力
安全雲服務
硬件一虛多
安全資源池
東西向安全 虛擬機微隔離 訪問控制 入侵防禦 主機防病毒 備份與鏡像安全
雲平台自身安全
雲管平台安全 訪問控制 通信安全 雲資源監控 雲操作監控 網絡隔離
物理主機及虛擬化安全
基線核查 漏洞掃描 訪問控制 流量監控 入侵防禦 安全加固 虛擬資源隔離
網絡安全
安全域隔離 安全域劃分 訪問控制 網絡威脅檢測 安全審計
邊界安全防護 訪問控制 入侵防禦 流量精洗 安全接入 負載均衡

方案實現

基于核心交換設備、虛擬防火牆、EDR和下一代防火牆構建雲管理平面與業務平面、虛擬機與宿主機、不同安全級別的等保業務區、不同用戶的虛擬網絡VPC以及虛擬機微隔離五個層面的網絡隔離。基于下一代防火牆、應用交付、上網行爲管理等構建邊界立體防禦體系,VPN網關構建安全接入平台,堡壘機、日志審計保障雲管理平台運維安全。雲平台基于上述安全設備形成滿足等保2.0技術要求的安全合規體系。

解決方案拓補圖

基于雲安全資源池、OpenAD和雲眼/雲盾,構建池化的安全資源服務,供用戶使用,包括負載均衡、下一代防火牆、堡壘機、日志審計等組件,用戶可根據業務需求進行安全自管理。基于安全感知平台和流量探針,構建安全監測預警體系,實現雲安全全局監測和統一管控。另外,依托深信服提供的高級威脅分析與處置服務,安全服務專家可聯動安全感知平台的現有分析結果,協助安全運維人員實現對安全事件的及時處置。

方案優勢

快速響應
快速響應

結合安全設備之間、安全設備和安全人工服務之間的智能聯動,可構建安全事件快速響應機制。與傳統的應急響應流程相比,聯動快速響應不僅能夠縮短安全事件的處置時間,避免事件危害的進一步擴散,而且還能提升安全設備的利用效率。除此以外,依托人機共智的快速響應機制,在規避風險的基礎上,還能實現攻擊事件的溯源分析,並給出針對性的安全加固建議,防止同類事件再次發生。

智能聯動
智能聯動

構建從雲內到雲外,從安全設備到安全服務的多層次聯動機制。在雲內,構建安全資源池管理平台與虛擬安全組件之間的聯動機制,發揮一體化優勢,基于虛擬安全組件實現雲內安全無死角監測,管理平台對所有監測數據進行智能分析,能夠及時有效地發現外部攻擊行爲和雲內失陷虛機,並通過可視化報表將分析結果和處置建議發送給雲服務用戶,方便用戶申請相應的安全組件,變更組件規格,修改配置策略等。在雲外,構建安全資源池與態勢感知平台之間的“雲-網-端”聯動體系,實現一鍵處置。除了安全設備之間的智能聯動,安全設備與安全人工服務之間自動化、流程化的聯動也已打通,形成了針對雲環境的體系化安全運營管理平台,從而真正的實現安全閉環。

業務增值
業務增值

雲平台運營者通過爲用戶提供池化的安全資源服務,在推動用戶上雲,打造可信雲業務的同時也避免了安全建設成爲固定投入,而是將安全轉化爲了一種經濟、可經營的産品,並獲得持續産出。

  • 左箭頭 右箭頭

    成功案例

    北京政務雲
    數字廣東
    陝西政務雲
    山西政務雲
    安徽政務雲
    海南政務雲
    內蒙古政務雲
    湖南政務雲
    上海虹口政務雲
    東莞政務雲
    溫州政務雲
    呼和浩特政務雲
    上海電信天翼雲
    北京電信天翼雲
    浙江電信天翼雲
    浙江聯通政企雲
    江蘇聯通政企雲
    四川交通雲
    溫州交通雲
    廣西警務雲
    河池警務雲
    上海媒體雲
    寶雞工商雲
    浙江大學

    ©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

    粵公網安備

    粵公網安備44030502002384號