云安全解决方案
安全挑战
1.云安全同样需要合规
2017年6月1日人大通过的《中华人民共和国网络安全法》(下称:《网络安全法》)明确提出了国家实施网络安全等级保护制度。等级保护如今已进入2.0时代。全新的《网络安全等级保护基本要求》涵盖6部分内容,其中云计算安全能力应符合安全通用要求、云计算安全扩展要求。要想实现云内安全能力,至少涉及如下方面:云内防范计算机病毒、网络攻击、网络侵入;云内数据隔离与保护;监测、记录云内安全状况及事件;云管理及远程访问身份认证;云内安全事件应急处置;云内网络隔离等。
2.需要面对比传统环境更多的安全威胁
• 虚拟化技术的应用带来新的安全漏洞:虚拟化环境涉及VMware、Docker、QEMU等,它们存在着大量安全漏洞。
• 云内东西向流量安全监控需求:传统的防火墙、IPS等防护设备对东西向流量往往看不见、摸不着、无处发力。
• 安全职责划分:在云计算多种服务模式场景下,云建设方、云维护方、云租户方存在责任主体分离的情况,这使云安全日常管理面临诸多挑战。
3.传统防护思路在云环境下存在不足
• 设备厚重且策略僵化:选型偏向厚重型设备,业务系统繁多,安全策略难以细颗粒度定义。
• 网络设备负荷较重:云内流量安全规划不合理,流量冗余杂乱,网络设备的负荷骤增。
• 安全盲区大量产生:云环境动态资源调度下,虚拟机、存储等动态迁移,对于网络灵活性要求提高,边界日益模糊化,产生大量安全盲区。
解决方案
奇安信云安全解决方案整体采用软件定义安全(SDS)的架构,通过将安全数据与控制平面分离,对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦,从底层将其抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,在完成相应安全功能的同时,实现灵活的安全防护。
方案将整个云计算等保合规实施过程划分为“三大阶段”,核心实施过程划分“五大步骤”,帮助客户设计、部署从云内网络层、虚拟机层、应用层直至数据层的全面安全防护方案。
技术架构:
• 资源管理—标准化:安全资源统一管理,服务标准组件化,支持第三方安全集成。
• 资源服务—服务化:安全资源统一编排、快速创建、弹性扩展、高可用,支持自服务。
• 资源接口—集约化:安全资源统一接入、资源池化、横向扩容、集中管理,支持多种模式部署。
奇安信云安全解决方案能够帮助客户构建:
• 云安全防护体系:包括身份认证、安全接入、基础安全保障、云底层安全、云主机安全、云网络安全、应用安全、云数据安全等。
• 云安全运营体系:包括云资产识别、安全审计服务、安全运营服务、日志统一收集分析服务、云网流量分析服务、云安全仪表板服务。
• 云安全管理体系:包括多云统一管理服务、混合云统一管理、跨云安全资源编排、跨平台多云资源监 控能力等。
1.数据驱动安全:数据是全新安全体系建设思路的核心内容,方案依靠大数据关联分析等手段,在大范围和长时间的分析维度下,对威胁进行感知、发现、分析与溯源,勾勒出威胁攻击的全流程概貌,进而在攻击的各个阶段予以及时发现。
2.内生安全体系:方案将安全融入网络、应用、数据和行为,与业务相结合,形成关口前移。依托云计算资源交付能力和弹性伸缩特性,根据实际业务应用需求,通过便捷的云安全管理手段,不断生长出丰富的安全能力,形成自主、自适应和自成长的云内生安全体系,极大的降低云计算环境面临的风险。
3.软件定义安全:方案将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦,在底层将其抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以应对纷繁复杂的云安全场景,适合政务云、金融云、教育云、能源云、工业云等多种行业云安全场景。
