方案概述
需求分析
需以身份认证和权限管理为基础,围绕网络准入、安全域划分、访问控制等进行基础全防护建设,有效识别并处置风险与威胁,保障云应用运行安全。
需以物理主机、租户及业务边界安全按防护为核心,综合采用多种安全技术和措施,建立纵深防御体系,实现业务应用的可用性、完整性和保密性保护。
需为客户业务系统提供安全漏洞的检测与防御、云应用的安全基线设置服务,重点保障Web防护工作。
需通过安全服务制定闭环的安全运营机制,综合评估,理清安全责任边界,完善安全服务体系, 建立应急处置预案,定期开展应急演练。
需以威胁情报为核心的云平台威胁态势感知系统,利用大数据技术在本地进行安全数据分析和威胁溯源, 完成已知和未知威胁处置的全过程。
设计思路
部署模式创新
软件定义安全新应用
云安全运营自动化
丰富的安全及服务
云安全威胁可视化
方案架构
云安全平台采用通用服务器部署,与云平台松耦合,无需绑定任何操作系统, 满足后续业务发展需求;通过下发统一编排指令,实时对云安全资源内的组件按需交付, 部署灵活,弹性扩容能力;提供统一运维,安全运营、服务编排的能力,为云租户提供按需下单, 计费使用、策略自定义的安全服务能力。
安全服务能力是以NFV虚拟安全组件的形式存在于云安全资源池中,便于快速部署于VMware、KVM等 虚拟化平台,实现统一管理、按需分配、弹性伸缩等功能。
安全组件以虚拟化软件形式部署,针对不同用户需求提供不同的虚拟安全组件供给相应的定制安全服务能力, 从而保障业务系统的安全。
方案优势
云安全资源池由各类NFV安全组件构成,通过安全资源调度实现安全防护的智能化、自动化、服务化。 按需快捷、灵活地配置和释放虚拟机资源,弹性获得所需的安全资源量,应对变化的安全性能需求。 为用户构建动态、自适应的安全防护体系。
云安全资源池支持多种网络架构,帮助用户对SDN控制器/SDN交换机的网络环境或非SDN控制器/SDN交换机 的网络环境构建云安全资源池;平滑过度,云平台无需重新规划建设,满足未来的网络趋势发展。
虚拟安全组件采用HA的方式部署,云安全管理平台自动检测组件异常状态,智能切换至备用安全组件,为租户业务提供全天候安全服务能力, 切换过程租户无感知。通过自动HA切换结合手工Bypass,实现服务链整体Bypass,便于保障租户业务稳定运行及故障排查。
云安全资源池系统及虚拟安全组件提供全特性API接口,实现与第三方管理平台的无缝接入, 同时可纳入第三方虚拟化安全组件,提供标准API接口即可实现统一编排及管理,为租户及云平台提供更强大的安全能力。
应用场景
运用软件定义安全的设计思路,将云的属性赋能给安全体系,协助云服务商搭建可按需交付、分权管理和业务增值的云安全资源池。
通过线上提供专业独立的安全市场,云租户可根据实际情况自助申请各种安全资源,满足安全与合规的需求,降低租户上云对于安全的担忧。
运用软件定义安全的设计思路,将云的属性赋能给安全体系,使安全具备敏捷上线、集约化部署和易于统一监管的能力。
通过开放的云安全管理平台建设可以使得安全防御体系中预防、防护、检测与响应各环节不再割裂,以服务的形式交付各类安全能力,降低企业网络安全的上线成本与技术门槛,进而保障企业数字化转型的安全与合规。