返回顶部
售後咨詢

售後咨詢

隐藏或显示

業務背景

在中国,雲計算市场规模在不断扩大,三大电信運營商已建成规模化行业云平台,各省市政务云也已基本完成一期建设,金融、零售、教育、物流、醫療、制造、传媒等行业云也在此趋势下竞相向前发展,形成了较为良好的发展态势。

然而,资源集中使云平台更容易成为黑客攻击的目标,云上的安全问题也更加突出。安全已成为用户上云的最大阻力。IDC调研显示,雲計算所面临的挑战汇中,安全问题排在首位。2019年RSA大会上,雲安全跃居热词榜首。

拓补图

風險與挑戰

雲平台安全合規風險

雲平台安全合規風險

根据等保2.0/GBT 31167等雲安全政策要求,云服务商必须满足安全合规要求并通过相关安全审查,具备保障用户数据和业务系统安全的能力。当用户业务系统进行等保测评时,首先应关注云平台是否已经测评,如未测评,则无法开展对用户系统的测评。

雲用戶安全需求難以滿足

雲用戶安全需求難以滿足

傳統雲平台安全架構僅能夠對用戶提供通用的安全策略,不能適用于所有用戶。用戶因而不能根據自身業務需求選擇和管理安全組件,這將放大用戶業務系統“上雲”後安全責任難以界定等風險,從而對“上雲”産生顧慮。另外,不適用的安全策略也會影響用戶業務系統通過等保測評。

雲平台缺乏安全全局監測和快速響應能力

雲平台缺乏安全全局監測和快速響應能力

以防禦爲主的安全方案能夠讓雲平台及用戶具備應對網絡攻擊的能力,但是由于缺乏全局的安全檢測能力,雲平台運營方不得不面對碎片化的安全管理界面,不僅安全運維效率低下,而且加重了運營方的工作強度。最終導致未能及時發現安全風險。與此同時,由于缺乏快速響應能力導致不能及時處置雲平台中發生的安全事故,使得攻擊的危害進一步蔓延到其他資産,造成更大的損失。

解決思路

落實平台自身安全合規
爲用戶/業務提供安全能力
統一管理,實現安全全局監測
構建安全事件快速響應能力
功能图片

落實平台自身安全合規

雲平台自身安全应遵照等保2.0要求,基于云平台业务特性,从云平台邊界安全防护、宿主机及虚拟化安全和云管理平台安全出发,在满足合规的基础上,对云平台提供持续保护。

爲用戶/業務提供安全能力

爲打消用戶上雲對安全風險的顧慮,雲平台應能夠爲雲用戶業務系統提供池化的安全資源服務,可基于軟件定義的安全資源池、OpenAD等高性能的安全硬件設備和雲眼/雲盾等安全雲服務,供用戶自行選用和配置安全策略。除此以外,針對PaaS/SaaS等雲服務模式,雲平台應基于池化安全資源服務和應用自身的訪問控制策略和安全加固措施,共同保障業務安全。

統一管理,實現安全全局監測

通过在安全运营中心构建網絡安全感知平台,可帮助云平台运营者实现对云内所有安全事件的全局监测和统一管理。在各业务区部署流量检测探针,实现对云内资产日志及网络流量的统一采集与分析。当资产的脆弱性风险和网络攻击等安全威胁出现时,可在第一时间发现问题,并于全网海量资产中实现威胁的精确定位。通过平台的大数据分析能力,还原攻击链,对事件进行溯源分析,以便进一步的电子取证, 节约企事业单位对通信链路的投资成本。

構建安全事件快速響應能力

基于網絡安全感知平台,通过边界、端口安全设备与平台的联动工作机制,以及平台与凯发APP下载安全服务专家的联动机制。可实现针对安全事件的快速響應,包括邊界安全网关对可疑IP的一键封锁,終端安全软件对可疑文件的一键隔离/查杀,以及基于安全服务专家对安全事件进一步的分析定位,快速找出威胁根源,及时处置,并针对事件溯源分析,提供修复和加固建议。

凯发APP下载雲安全方案框架图

安全管理
快速響應 智能聯動 人機協同 雲端服務 事件處置 溯源分析
全局管控 全局可視 實時監測 精准定位 關聯分析 通報預警
業務/用戶安全
IaaS
DaaS
PaaS
SaaS
南北向安全
VPC隔離 入侵防禦 負載均衡
訪問控制 安全審計 安全可視
數據加密 數據脫敏 數據庫審計
訪問控制及隔离 特權賬號管理 補丁管理
Web安全防護 安全傳輸 漏洞管理
按需交付
池化安全能力
安全雲服務
硬件一虛多
安全資源池
東西向安全 虛擬機微隔離 訪問控制 入侵防禦 主機防病毒 備份與鏡像安全
雲平台自身安全
雲管平台安全 訪問控制 通信安全 雲資源監控 雲操作監控 網絡隔離
物理主機及虛擬化安全
基線核查 漏洞掃描 訪問控制 流量監控 入侵防禦 安全加固 虛擬資源隔離
網絡安全
安全域隔離 安全域劃分 訪問控制 网络威脅檢測 安全審計
邊界安全防护 訪問控制 入侵防禦 流量精洗 安全接入 負載均衡

方案實現

基于核心交换设备、虚拟防火墙、EDR和下一代防火墙构建云管理平面与业务平面、虚拟机与宿主机、不同安全级别的等保业务区、不同用户的虚拟网络VPC以及虛擬機微隔離五个层面的網絡隔離。基于下一代防火墙、应用交付、上网行为管理等构建边界立体防御体系,VPN网关构建安全接入平台,堡垒机、日志审计保障云管理平台运维安全。云平台基于上述安全设备形成满足等保2.0技术要求的安全合规体系。

解決方案拓补图

基于雲安全資源池、OpenAD和云眼/云盾,构建池化的安全资源服务,供用户使用,包括負載均衡、下一代防火墙、堡垒机、日志审计等组件,用户可根据业务需求进行安全自管理。基于安全感知平台和流量探针,构建安全监测预警体系,实现雲安全全局监测和统一管控。另外,依托凯发APP下载提供的高级威胁分析与处置服务,安全服务专家可联动安全感知平台的现有分析结果,协助安全运维人员实现对安全事件的及时处置。

方案優勢

快速響應
快速響應

结合安全设备之间、安全设备和安全人工服务之间的智能聯動,可构建安全事件快速響應机制。与传统的应急响应流程相比,联动快速響應不仅能够缩短安全事件的处置时间,避免事件危害的进一步扩散,而且还能提升安全设备的利用效率。除此以外,依托人机共智的快速響應机制,在规避风险的基础上,还能实现攻击事件的溯源分析,并给出针对性的安全加固建议,防止同类事件再次发生。

智能聯動
智能聯動

构建从云内到云外,从安全设备到安全服务的多层次联动机制。在云内,构建安全資源池管理平台与虚拟安全组件之间的联动机制,发挥一体化优势,基于虚拟安全组件实现云内安全无死角监测,管理平台对所有监测数据进行智能分析,能够及时有效地发现外部攻击行为和云内失陷虚机,并通过可视化报表将分析结果和处置建议发送给云服务用户,方便用户申请相应的安全组件,变更组件规格,修改配置策略等。在云外,构建安全資源池与态势感知平台之间的“云-网-端”联动体系,实现一键处置。除了安全设备之间的智能聯動,安全设备与安全人工服务之间自动化、流程化的联动也已打通,形成了针对云环境的体系化安全運營管理平台,从而真正的实现安全闭环。

業務增值
業務增值

云平台运营者通过为用户提供池化的安全资源服务,在推动用户上云,打造可信云业务的同时也避免了安全建设成为固定投入,而是将安全转化为了一种经济、可经营的産品,并获得持续产出。

  • 左箭头 右箭头

    成功案例

    北京政務雲
    數字廣東
    陝西政務雲
    山西政務雲
    安徽政務雲
    海南政務雲
    內蒙古政務雲
    湖南政務雲
    上海虹口政務雲
    東莞政務雲
    溫州政務雲
    呼和浩特政務雲
    上海電信天翼雲
    北京電信天翼雲
    浙江電信天翼雲
    浙江聯通政企雲
    江蘇聯通政企雲
    四川交通雲
    溫州交通雲
    廣西警務雲
    河池警務雲
    上海媒體雲
    寶雞工商雲
    浙江大學

    ©2000-2019    凯发APP下载科技股份有限公司    版权所有    粵ICP備08126214號-5

    粤公网安备

    粵公網安備44030502002384號