方案概述
需求分析
云安全防护体系安全需求
-
![云安全解决方案icon1]()
基础安全保障
需以身份认证和权限管理为基础,围绕网络准入、安全域划分、访问控制等进行基础全防护建设,有效识别并处置风险与威胁,保障云应用运行安全。
-
![云安全解决方案icon2]()
边界安全保障
需以物理主机、租户及业务边界安全按防护为核心,综合采用多种安全技术和措施,建立纵深防御体系,实现业务应用的可用性、完整性和保密性保护。
-
![云安全解决方案icon3]()
应用安全保障
需为客户业务系统提供安全漏洞的检测与防御、云应用的安全基线设置服务,重点保障Web防护工作。
云安全运营体系安全需求
-
![云安全解决方案icon4]()
安全运营服务
需通过安全服务制定闭环的安全运营机制,综合评估,理清安全责任边界,完善安全服务体系, 建立应急处置预案,定期开展应急演练。
-
![云安全解决方案icon5]()
态势感知服务
需以威胁情报为核心的云平台威胁态势感知系统,利用大数据技术在本地进行安全数据分析和威胁溯源, 完成已知和未知威胁处置的全过程。
设计思路
-
部署模式创新
![部署模式创新]()
云安全平台与云平台可采用“松中有耦”的部署模式,联通安全资源与业务云平台,实现“云安全随需而动,贴合云上业务”。 -
软件定义安全新应用
![软件定义安全新应用]()
通过 SDSec 软件定义安全应用新模式,为云租户和业务提供灵活、可编排、可运营的安全服务平台。 -
云安全运营自动化
![云安全运营自动化]()
参考 BPM 业务流程管理运营新思路,与云服务商运营流程联动,达成云安全业务增值共赢。 -
丰富的安全及服务
![丰富的安全及服务]()
通过 Sec+NFV 安全功能虚拟化新技术,为云租户和业务提供丰富的安全服务,满足云上等保合规。 -
云安全威胁可视化
![云安全威胁可视化]()
提供覆盖云平台多层的漏洞攻击、东西向流量、违规告警等多维度的可视化展示,提供高效的云平台安全监管手段。
方案架构
云安全平台采用通用服务器部署,与云平台松耦合,无需绑定任何操作系统, 满足后续业务发展需求;通过下发统一编排指令,实时对云安全资源内的组件按需交付, 部署灵活,弹性扩容能力;提供统一运维,安全运营、服务编排的能力,为云租户提供按需下单, 计费使用、策略自定义的安全服务能力。
安全服务能力是以NFV虚拟安全组件的形式存在于云安全资源池中,便于快速部署于VMware、KVM等 虚拟化平台,实现统一管理、按需分配、弹性伸缩等功能。
安全组件以虚拟化软件形式部署,针对不同用户需求提供不同的虚拟安全组件供给相应的定制安全服务能力, 从而保障业务系统的安全。
方案优势
-
![安全能力易扩展]()
安全能力易扩展
云安全资源池由各类NFV安全组件构成,通过安全资源调度实现安全防护的智能化、自动化、服务化。 按需快捷、灵活地配置和释放虚拟机资源,弹性获得所需的安全资源量,应对变化的安全性能需求。 为用户构建动态、自适应的安全防护体系。
-
![网络架构延展性]()
网络架构延展性
云安全资源池支持多种网络架构,帮助用户对SDN控制器/SDN交换机的网络环境或非SDN控制器/SDN交换机 的网络环境构建云安全资源池;平滑过度,云平台无需重新规划建设,满足未来的网络趋势发展。
-
![安全平台高可用]()
安全平台高可用
虚拟安全组件采用HA的方式部署,云安全管理平台自动检测组件异常状态,智能切换至备用安全组件,为租户业务提供全天候安全服务能力, 切换过程租户无感知。通过自动HA切换结合手工Bypass,实现服务链整体Bypass,便于保障租户业务稳定运行及故障排查。
-
![平台接口开发性]()
平台接口开发性
云安全资源池系统及虚拟安全组件提供全特性API接口,实现与第三方管理平台的无缝接入, 同时可纳入第三方虚拟化安全组件,提供标准API接口即可实现统一编排及管理,为租户及云平台提供更强大的安全能力。
应用场景
-
![公共服务云]()
公共服务云
运用软件定义安全的设计思路,将云的属性赋能给安全体系,协助云服务商搭建可按需交付、分权管理和业务增值的云安全资源池。
通过线上提供专业独立的安全市场,云租户可根据实际情况自助申请各种安全资源,满足安全与合规的需求,降低租户上云对于安全的担忧。
-
![行业云]()
行业云
运用软件定义安全的设计思路,将云的属性赋能给安全体系,使安全具备敏捷上线、集约化部署和易于统一监管的能力。
通过开放的云安全管理平台建设可以使得安全防御体系中预防、防护、检测与响应各环节不再割裂,以服务的形式交付各类安全能力,降低企业网络安全的上线成本与技术门槛,进而保障企业数字化转型的安全与合规。
微信公众号
版权所有 © 北京上元信安技术有限公司 | 京 ICP 备 15013863 号
