政府行業數據安(ān)全解決方案
業務(wù)背景
在中(zhōng)國(guó),雲計算市場規模在不斷擴大,三大電(diàn)信運營商(shāng)已建成規模化行業雲平台,各省市政務(wù)雲也已基本完成一期建設,金融、零售、教育、物(wù)流、醫(yī)療、制造、傳媒等行業雲也在此趨勢下競相向前發展,形成了較為(wèi)良好的發展态勢。
然而,資源集中(zhōng)使雲平台更容易成為(wèi)黑客攻擊的目标,雲上的安(ān)全問題也更加突出。安(ān)全已成為(wèi)用(yòng)戶上雲的最大阻力。IDC調研顯示,雲計算所面臨的挑戰彙中(zhōng),安(ān)全問題排在首位。2019年RSA大會上,雲安(ān)全躍居熱詞榜首。
風險與挑戰
雲平台安(ān)全合規風險
根據等保2.0/GBT 31167等雲安(ān)全政策要求,雲服務(wù)商(shāng)必須滿足安(ān)全合規要求并通過相關安(ān)全審查,具(jù)備保障用(yòng)戶數據和業務(wù)系統安(ān)全的能(néng)力。當用(yòng)戶業務(wù)系統進行等保測評時,首先應關注雲平台是否已經測評,如未測評,則無法開展對用(yòng)戶系統的測評。
雲用(yòng)戶安(ān)全需求難以滿足
傳統雲平台安(ān)全架構僅能(néng)夠對用(yòng)戶提供通用(yòng)的安(ān)全策略,不能(néng)适用(yòng)于所有(yǒu)用(yòng)戶。用(yòng)戶因而不能(néng)根據自身業務(wù)需求選擇和管理(lǐ)安(ān)全組件,這将放大用(yòng)戶業務(wù)系統“上雲”後安(ān)全責任難以界定等風險,從而對“上雲”産(chǎn)生顧慮。另外,不适用(yòng)的安(ān)全策略也會影響用(yòng)戶業務(wù)系統通過等保測評。
雲平台缺乏安(ān)全全局監測和快速響應能(néng)力
以防禦為(wèi)主的安(ān)全方案能(néng)夠讓雲平台及用(yòng)戶具(jù)備應對網絡攻擊的能(néng)力,但是由于缺乏全局的安(ān)全檢測能(néng)力,雲平台運營方不得不面對碎片化的安(ān)全管理(lǐ)界面,不僅安(ān)全運維效率低下,而且加重了運營方的工(gōng)作(zuò)強度。最終導緻未能(néng)及時發現安(ān)全風險。與此同時,由于缺乏快速響應能(néng)力導緻不能(néng)及時處置雲平台中(zhōng)發生的安(ān)全事故,使得攻擊的危害進一步蔓延到其他(tā)資産(chǎn),造成更大的損失。
解決方案
落實平台自身安(ān)全合規
雲平台自身安(ān)全應遵照等保2.0要求,基于雲平台業務(wù)特性,從雲平台邊界安(ān)全防護、宿主機及虛拟化安(ān)全和雲管理(lǐ)平台安(ān)全出發,在滿足合規的基礎上,對雲平台提供持續保護。
為(wèi)用(yòng)戶/業務(wù)提供安(ān)全能(néng)力
為(wèi)打消用(yòng)戶上雲對安(ān)全風險的顧慮,雲平台應能(néng)夠為(wèi)雲用(yòng)戶業務(wù)系統提供池化的安(ān)全資源服務(wù),可(kě)基于軟件定義的安(ān)全資源池、OpenAD等高性能(néng)的安(ān)全硬件設備和雲眼/雲盾等安(ān)全雲服務(wù),供用(yòng)戶自行選用(yòng)和配置安(ān)全策略。除此以外,針對PaaS/SaaS等雲服務(wù)模式,雲平台應基于池化安(ān)全資源服務(wù)和應用(yòng)自身的訪問控制策略和安(ān)全加固措施,共同保障業務(wù)安(ān)全。
統一管理(lǐ),實現安(ān)全全局監測
通過在安(ān)全運營中(zhōng)心構建網絡安(ān)全感知平台,可(kě)幫助雲平台運營者實現對雲内所有(yǒu)安(ān)全事件的全局監測和統一管理(lǐ)。在各業務(wù)區(qū)部署流量檢測探針,實現對雲内資産(chǎn)日志(zhì)及網絡流量的統一采集與分(fēn)析。當資産(chǎn)的脆弱性風險和網絡攻擊等安(ān)全威脅出現時,可(kě)在第一時間發現問題,并于全網海量資産(chǎn)中(zhōng)實現威脅的精(jīng)确定位。通過平台的大數據分(fēn)析能(néng)力,還原攻擊鏈,對事件進行溯源分(fēn)析,以便進一步的電(diàn)子取證, 節約企事業單位對通信鏈路的投資成本。
構建安(ān)全事件快速響應能(néng)力
基于網絡安(ān)全感知平台,通過邊界、端口安(ān)全設備與平台的聯動工(gōng)作(zuò)機制。可(kě)實現針對安(ān)全事件的快速響應,包括邊界安(ān)全網關對可(kě)疑IP的一鍵封鎖,終端安(ān)全軟件對可(kě)疑文(wén)件的一鍵隔離/查殺,以及基于安(ān)全服務(wù)專家對安(ān)全事件進一步的分(fēn)析定位,快速找出威脅根源,及時處置,并針對事件溯源分(fēn)析,提供修複和加固建議。
雲安(ān)全方案框架圖
方案實現
基于核心交換設備、虛拟防火牆、EDR和下一代防火牆構建雲管理(lǐ)平面與業務(wù)平面、虛拟機與宿主機、不同安(ān)全級别的等保業務(wù)區(qū)、不同用(yòng)戶的虛拟網絡VPC以及虛拟機微隔離五個層面的網絡隔離。基于下一代防火牆、應用(yòng)交付、上網行為(wèi)管理(lǐ)等構建邊界立體(tǐ)防禦體(tǐ)系,VPN網關構建安(ān)全接入平台,堡壘機、日志(zhì)審計保障雲管理(lǐ)平台運維安(ān)全。雲平台基于上述安(ān)全設備形成滿足等保2.0技(jì )術要求的安(ān)全合規體(tǐ)系。
基于雲安(ān)全資源池、OpenAD和雲眼/雲盾,構建池化的安(ān)全資源服務(wù),供用(yòng)戶使用(yòng),包括負載均衡、下一代防火牆、堡壘機、日志(zhì)審計等組件,用(yòng)戶可(kě)根據業務(wù)需求進行安(ān)全自管理(lǐ)。基于安(ān)全感知平台和流量探針,構建安(ān)全監測預警體(tǐ)系,實現雲安(ān)全全局監測和統一管控。另外,安(ān)全服務(wù)專家可(kě)聯動安(ān)全感知平台的現有(yǒu)分(fēn)析結果,協助安(ān)全運維人員實現對安(ān)全事件的及時處置。
方案優勢
智能(néng)聯動
構建從雲内到雲外,從安(ān)全設備到安(ān)全服務(wù)的多(duō)層次聯動機制。在雲内,構建安(ān)全資源池管理(lǐ)平台與虛拟安(ān)全組件之間的聯動機制,發揮一體(tǐ)化優勢,基于虛拟安(ān)全組件實現雲内安(ān)全無死角監測,管理(lǐ)平台對所有(yǒu)監測數據進行智能(néng)分(fēn)析,能(néng)夠及時有(yǒu)效地發現外部攻擊行為(wèi)和雲内失陷虛機,并通過可(kě)視化報表将分(fēn)析結果和處置建議發送給雲服務(wù)用(yòng)戶,方便用(yòng)戶申請相應的安(ān)全組件,變更組件規格,修改配置策略等。在雲外,構建安(ān)全資源池與态勢感知平台之間的“雲-網-端”聯動體(tǐ)系,實現一鍵處置。除了安(ān)全設備之間的智能(néng)聯動,安(ān)全設備與安(ān)全人工(gōng)服務(wù)之間自動化、流程化的聯動也已打通,形成了針對雲環境的體(tǐ)系化安(ān)全運營管理(lǐ)平台,從而真正的實現安(ān)全閉環。
快速響應
結合安(ān)全設備之間、安(ān)全設備和安(ān)全人工(gōng)服務(wù)之間的智能(néng)聯動,可(kě)構建安(ān)全事件快速響應機制。與傳統的應急響應流程相比,聯動快速響應不僅能(néng)夠縮短安(ān)全事件的處置時間,避免事件危害的進一步擴散,而且還能(néng)提升安(ān)全設備的利用(yòng)效率。除此以外,依托人機共智的快速響應機制,在規避風險的基礎上,還能(néng)實現攻擊事件的溯源分(fēn)析,并給出針對性的安(ān)全加固建議,防止同類事件再次發生。
智能(néng)聯動
構建從雲内到雲外,從安(ān)全設備到安(ān)全服務(wù)的多(duō)層次聯動機制。在雲内,構建安(ān)全資源池管理(lǐ)平台與虛拟安(ān)全組件之間的聯動機制,發揮一體(tǐ)化優勢,基于虛拟安(ān)全組件實現雲内安(ān)全無死角監測,管理(lǐ)平台對所有(yǒu)監測數據進行智能(néng)分(fēn)析,能(néng)夠及時有(yǒu)效地發現外部攻擊行為(wèi)和雲内失陷虛機,并通過可(kě)視化報表将分(fēn)析結果和處置建議發送給雲服務(wù)用(yòng)戶,方便用(yòng)戶申請相應的安(ān)全組件,變更組件規格,修改配置策略等。在雲外,構建安(ān)全資源池與态勢感知平台之間的“雲-網-端”聯動體(tǐ)系,實現一鍵處置。除了安(ān)全設備之間的智能(néng)聯動,安(ān)全設備與安(ān)全人工(gōng)服務(wù)之間自動化、流程化的聯動也已打通,形成了針對雲環境的體(tǐ)系化安(ān)全運營管理(lǐ)平台,從而真正的實現安(ān)全閉環。
掃一掃,關注我們公(gōng)衆号