2019年多態云安全治理方案.pdf

1、多態云安全治理方案目錄現有安全方案的整理與反思多態云安全治理方案云安全治理帶來的新思路目錄云安全現狀0%20%40%60%80%100%被DDoS攻擊次數被植入后門數量被篡改網頁數量2019年上半年云上業務安全事件統計云平臺其他0%20%40%60%80%100%DDoS攻擊次數DDoS攻擊源IP數量承載的惡意程序種類數量惡意程序控制端IP數量2019年上半年云平臺被利用安全事件統計云平臺其他數據來源于CNCERT2019年上半年我國互聯網網絡安全態勢 云服務商應提供基礎性的網絡安全防護措施并保障云平臺安全運行 云用戶對部署在云平臺上的系統承擔主體責任等保2.0云計算擴展要求責任劃分 SaaS

2、：硬件、虛擬機監視器、操作系統、中間件和應用等 PaaS：硬件、虛擬機監視器、操作系統和中間件等 IaaS：虛擬機監視器和硬件等云服務方 SaaS：部分應用職責及用戶使用職責 PaaS：應用等 IaaS：操作系統、中間件和應用等云租戶傳統安全方案短板明顯單一解決方案難以覆蓋全部場景傳統解決方案容易造成資源浪費安全建設與管理思路通常有偏差終端安全工控安全內容安全應用安全邊界安全鄙視鏈AVADSIPSFWVS云硬件堆疊換個姿勢繼續堆疊立體防護資產不清合規安全責權不清杠精傳統安全方案短板明顯安全邊界模糊資產宿主和運營分離安全審查乏力SaaSPaaSIaaS線上線下？按邊界劃分安全域思路不再適用宿主和

3、運營分離隱藏的管理風險云上資產形式多變且屬性不明確云安全面臨的挑戰與需求 資產清晰。租戶與運營方都應明確知曉被托管資產的屬性及安全狀態 全面覆蓋。既要滿足南北向安全，又要保證東西向安全 生態性。內部數據需要共享，外部數據也需要聯動業務需求 用戶管理。需要滿足最終用戶自助管理安全服務的需求 運維管理。需要具備統一集中的管理運維方式 責權清晰。管理邊界需要清晰，保護資產需要多重備案管理需求 半即插即用部署，按需動態擴容 豐富的兼容特性，具備冗余可靠性部署需求 滿足網絡安全法要求 符合等保2.0基本要求及云計算安全擴展要求，符合云計算服務網絡安全審查要求合規需求 場景化。需滿足不同場景的個性化需求

4、行業性。需適應不同行業的定制化需求個性需求云環境下的資產多變、屬性繁雜，宿主與運營分離，安全面臨新挑戰目錄現有安全方案的整理與反思多態云安全治理方案云安全治理帶來的新思路目錄資產全生命周期治理方案 內部、對外系統梳理 核心資源、云資產梳理 僵尸/雙非系統清理資產摸底 數據中心內部備案體系 漏洞評估體系 上線審核體系備案審核 合規性防護體系 立體化防御體系立體化防御 定期篡改監控/漏洞監控 異常流量監測 日志審計自動化運營 一鍵斷網/一鍵下線 應急預案和管理制度緊急響應“五步法”資產治理方案應急處置合規安全資產梳理針對云環境的安全治理方案資產審查備案管理立體化防御自動化運營應急響應云治理自助服務

5、管理/管理APIs云防護云監控云聯動安全能力云模式運營安全能力模塊虛擬化安全能力形成云生態場景化組合方案符合多形態云環境安全需求的治理方案多態云安全治理方案核心工作流云上新增資產云上現有資產線下關鍵資產合規性審查安全性審查云監控備案管理學習資產屬性劃分資產安全域云防護應急處置問題整改資產梳理上線運營安全能力云模式運營安全云云監控云防護云治理用戶業務托管敏感詞監控DNS牽引路由牽引內容監測漏洞探測資產學習準入管理AgentAgent服務輸出篡改監控漏洞監控后門監控通報預警注入/XSS清洗DDoS清洗資產學習備案管理服務套餐監控服務套餐立體防護套餐綜合治理套餐安全能力云模式運營 云平臺提供了分層級

6、的管理員配置，可滿足垂直機構安全監管需求垂直監管 云平臺輸出的服務可根據不同安全需求自由組合搭配，適應各種場景場景化分配 云平臺可利用策略路由、BGP路由以及DNS牽引等技術方式，接受細粒度的業務托管，提供靶向服務靶向服務用戶將業務托管至云監控、云防御以及云治理平臺，按照需求選擇搭配安全服務組合套餐安全能力模塊虛擬化私有云安全平臺安全組件池vWAFvWAFvWAFvADSvADSvADSvIDPvIDPvIDP自助服務管理平臺LockLockLock租戶管理網絡管理配置管理資源管理公有云平臺安全鏡像包開放接口VmwareKVMXenOpenAPIsSyslogJson租戶上云業務本地業務云自身

7、管理中心安全防護安全防護服務管理事件管理租戶租戶A租戶B租戶C租戶D運維安全能力模塊虛擬化運維人員可進行復雜的系統管理、網絡管理、組件管理；租戶可自助進行服務搭配、策略選擇及事件審計安全能力模塊虛擬化運維人員可進行復雜的系統管理、網絡管理、組件管理；租戶可自助進行服務搭配、策略選擇及事件審計安全能力模塊虛擬化 鏡像+API的交付方式，兼容性開發工作量小 系統資源可動態擴展，滿足彈性配置需求部署方便 松耦合的管理方式，租戶進行簡單的自助管理，運維負責復雜的專業管理，邊界清晰管理便捷 既擁有關鍵數據的本地私有云安全方案，也滿足公有云業務的東西向安全方案覆蓋面廣安全能力形成云生態本地防護BCA云情報

8、聯動安全情報云攻擊采集情報同步僵尸網絡惡意代理TOR節點云防護聯動安全防護云自動牽引流量回注二次清洗安全能力形成云生態 通過開放的生態，傳統安全廠商與云安全廠商可以形成深度合作，為用戶提供組合方案生態合作 通過開放的API，傳統產品與云產品可以實現能力互補，將南北向安全與東西向安全合理結合，同時擴展各自的能力范圍協同防護 通過信息共享，實現產品與產品間不同類型數據的同步，構建在態勢分析、攻擊取證等環節的完整鏈條信息共享獨立產品與云產品互通API，通過本地集成管理接口，實現統一管理，形成協同聯動生態體系目錄現有安全方案的整理與反思多態云安全治理方案云安全治理帶來的新思路目錄結合行業的交付能力公安

9、部等級保護標準行業信息安全規范規范基于以資產為核心的“五步法”資產治理體系網絡設備發現云上資產感知業務系統發現資產梳理網絡性能評估網絡安全評估主機漏洞設備漏洞網絡日志分析風險評估可持風險續監控對拓撲的自動發現全流量監控自動化運營建立縱深防御體系立體化防御對關鍵性資產出現威脅的關停/下線處置通報與應急處置資產感知能力態勢感知能力追蹤溯源能力情報感知能力自動化運營能力在等級保護與行業安全規范的大框架下，運用云計算的思想集約調度資源，以資產為最小安全域構建有針對性的解決方案，基于“五步法”安全保障體系建設，整合多種形態的云安全能力，形成全生命周期治理方案結合生態的交付能力AIRouterSwitch

10、SecoManagerCIS 沙箱控制器基于意圖的安全控制器，智能策略編排；自動化安全策略生命周期，節約人力；萬條策略分鐘級部署分析器安全態勢實時感知，基于全供給鏈檢測；基于Hypervisor的第三代沙箱；秒級聯動響應云治理體系資產發現+風險監控+威脅防御+通報預警+應急處置=新一代資產綜合治理體系執行器下一代防火墻、入侵檢測防御；Web應用防護、終端安全查殺；全維度聯動協防體系SDNNGFW IPSWAF ADSAntiVirus結合生態的交付能力AIRouterSwitchSecoManagerCIS 沙箱SDNNGFW IPSWAF ADSAntiVirus云治理體系資產發現+風險監控+威脅防御+通報預警+應急處置=新一代資產綜合治理體系將盛邦現有的信息資產安全治理體系與SDSec方案充分耦合，通過標準化的規范和接口，做到信息共享，橫向擴展資產發現范圍，縱向拓展資產治理深度協同、聯動網絡控制器，實現風險預警和處置時策略自動調整及適應；改變傳統的信息翻譯和傳遞過程，將處理流程規范、閉環和簡化基于主被動結合探測的方式進行場景化建模；基于信息共享做完整畫像通報預警資產發現風險監控應急處置威脅防御資產治理THANKS