1.雲安全同樣需要合規
2017年6月1日人大通過的《中華人民共和國網絡安全法》(下稱:《網絡安全法》)明確提出了國家實施網絡安全等級保護制度。等級保護如今已進入2.0時代。全新的《網絡安全等級保護基本要求》涵蓋6部分內容,其中雲計算安全能力應符合安全通用要求、雲計算安全擴展要求。要想實現雲內安全能力,至少涉及如下方面:雲內防範計算機病毒、網絡攻擊、網絡侵入;雲內數據隔離與保護;監測、記錄雲內安全狀況及事件;雲管理及遠程訪問身份認證;雲內安全事件應急處置;雲內網絡隔離等。
2.需要面對比傳統環境更多的安全威脅
• 虛擬化技術的應用帶來新的安全漏洞:虛擬化環境涉及VMware、Docker、QEMU等,它們存在着大量安全漏洞。
• 雲內東西向流量安全監控需求:傳統的防火牆、IPS等防護設備對東西向流量往往看不見、摸不着、無處發力。
• 安全職責劃分:在雲計算多種服務模式場景下,雲建設方、雲維護方、雲租户方存在責任主體分離的情況,這使雲安全日常管理面臨諸多挑戰。
3.傳統防護思路在雲環境下存在不足
• 設備厚重且策略僵化:選型偏向厚重型設備,業務系統繁多,安全策略難以細顆粒度定義。
• 網絡設備負荷較重:雲內流量安全規劃不合理,流量冗餘雜亂,網絡設備的負荷驟增。
• 安全盲區大量產生:雲環境動態資源調度下,虛擬機、存儲等動態遷移,對於網絡靈活性要求提高,邊界日益模糊化,產生大量安全盲區。
奇安信雲安全解決方案整體採用軟件定義安全(SDS)的架構,通過將安全數據與控制平面分離,對物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行解耦,從底層將其抽象為安全資源池裏的資源,頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理,在完成相應安全功能的同時,實現靈活的安全防護。
方案將整個雲計算等保合規實施過程劃分為“三大階段”,核心實施過程劃分“五大步驟”,幫助客户設計、部署從雲內網絡層、虛擬機層、應用層直至數據層的全面安全防護方案。
技術架構:
• 資源管理—標準化:安全資源統一管理,服務標準組件化,支持第三方安全集成。
• 資源服務—服務化:安全資源統一編排、快速創建、彈性擴展、高可用,支持自服務。
• 資源接口—集約化:安全資源統一接入、資源池化、橫向擴容、集中管理,支持多種模式部署。
奇安信雲安全解決方案能夠幫助客户構建:
• 雲安全防護體系:包括身份認證、安全接入、基礎安全保障、雲底層安全、雲主機安全、雲網絡安全、應用安全、雲數據安全等。
• 雲安全運營體系:包括雲資產識別、安全審計服務、安全運營服務、日誌統一收集分析服務、雲網流量分析服務、雲安全儀表板服務。
• 雲安全管理體系:包括多雲統一管理服務、混合雲統一管理、跨雲安全資源編排、跨平台多雲資源監 控能力等。
1.數據驅動安全:數據是全新安全體系建設思路的核心內容,方案依靠大數據關聯分析等手段,在大範圍和長時間的分析維度下,對威脅進行感知、發現、分析與溯源,勾勒出威脅攻擊的全流程概貌,進而在攻擊的各個階段予以及時發現。
2.內生安全體系:方案將安全融入網絡、應用、數據和行為,與業務相結合,形成關口前移。依託雲計算資源交付能力和彈性伸縮特性,根據實際業務應用需求,通過便捷的雲安全管理手段,不斷生長出豐富的安全能力,形成自主、自適應和自成長的雲內生安全體系,極大的降低雲計算環境面臨的風險。
3.軟件定義安全:方案將物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行了解耦,在底層將其抽象為安全資源池裏的資源,頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理,以應對紛繁複雜的雲安全場景,適合政務雲、金融雲、教育雲、能源雲、工業雲等多種行業雲安全場景。