1.云安全同樣需要合規
2017年6月1日人大通過的《中華人民共和國網絡安全法》(下稱:《網絡安全法》)明確提出了國家實施網絡安全等級保護制度。等級保護如今已進入2.0時代。全新的《網絡安全等級保護基本要求》涵蓋6部分內容,其中云計算安全能力應符合安全通用要求、云計算安全擴展要求。要想實現云內安全能力,至少涉及如下方面:云內防范計算機病毒、網絡攻擊、網絡侵入;云內數據隔離與保護;監測、記錄云內安全狀況及事件;云管理及遠程訪問身份認證;云內安全事件應急處置;云內網絡隔離等。
2.需要面對比傳統環境更多的安全威脅
? 虛擬化技術的應用帶來新的安全漏洞:虛擬化環境涉及VMware、Docker、QEMU等,它們存在著大量安全漏洞。
? 云內東西向流量安全監控需求:傳統的防火墻、IPS等防護設備對東西向流量往往看不見、摸不著、無處發力。
? 安全職責劃分:在云計算多種服務模式場景下,云建設方、云維護方、云租戶方存在責任主體分離的情況,這使云安全日常管理面臨諸多挑戰。
3.傳統防護思路在云環境下存在不足
? 設備厚重且策略僵化:選型偏向厚重型設備,業務系統繁多,安全策略難以細顆粒度定義。
? 網絡設備負荷較重:云內流量安全規劃不合理,流量冗余雜亂,網絡設備的負荷驟增。
? 安全盲區大量產生:云環境動態資源調度下,虛擬機、存儲等動態遷移,對于網絡靈活性要求提高,邊界日益模糊化,產生大量安全盲區。
奇安信云安全解決方案整體采用軟件定義安全(SDS)的架構,通過將安全數據與控制平面分離,對物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行解耦,從底層將其抽象為安全資源池里的資源,頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理,在完成相應安全功能的同時,實現靈活的安全防護。
方案將整個云計算等保合規實施過程劃分為“三大階段”,核心實施過程劃分“五大步驟”,幫助客戶設計、部署從云內網絡層、虛擬機層、應用層直至數據層的全面安全防護方案。
技術架構:
? 資源管理—標準化:安全資源統一管理,服務標準組件化,支持第三方安全集成。
? 資源服務—服務化:安全資源統一編排、快速創建、彈性擴展、高可用,支持自服務。
? 資源接口—集約化:安全資源統一接入、資源池化、橫向擴容、集中管理,支持多種模式部署。
奇安信云安全解決方案能夠幫助客戶構建:
? 云安全防護體系:包括身份認證、安全接入、基礎安全保障、云底層安全、云主機安全、云網絡安全、應用安全、云數據安全等。
? 云安全運營體系:包括云資產識別、安全審計服務、安全運營服務、日志統一收集分析服務、云網流量分析服務、云安全儀表板服務。
? 云安全管理體系:包括多云統一管理服務、混合云統一管理、跨云安全資源編排、跨平臺多云資源監 控能力等。
1.數據驅動安全
數據是全新安全體系建設思路的核心內容,方案依靠大數據關聯分析等手段,在大范圍和長時間的分析維度下,對威脅進行感知、發現、分析與溯源,勾勒出威脅攻擊的全流程概貌,進而在攻擊的各個階段予以及時發現。
2.內生安全體系
方案將安全融入網絡、應用、數據和行為,與業務相結合,形成關口前移。依托云計算資源交付能力和彈性伸縮特性,根據實際業務應用需求,通過便捷的云安全管理手段,不斷生長出豐富的安全能力,形成自主、自適應和自成長的云內生安全體系,極大的降低云計算環境面臨的風險。
3.軟件定義安全
方案將物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行了解耦,在底層將其抽象為安全資源池里的資源,頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理,以應對紛繁復雜的云安全場景,適合政務云、金融云、教育云、能源云、工業云等多種行業云安全場景。
京公網安備11000002002064號