随着传统业务往云上迁移进程的加速,云内承载的业务变的越来越多样化,并且伴随着复杂的交互逻辑,而云内业务安全建设却远远落后于业务迁移的进度,基于传统纵深防御体系搭建的安全体系在适应云虚拟化环境方面也出现了可预见的短板问题,在新环境下,构建的云上业务安全体系不仅要考虑通用安全的技术策略,如从边界入侵防范、主机恶意代码防范、数据库审计等安全防护能力着手,更要让各种安全服务能力与云计算动态、弹性、按需交付等特点进行深度的结合,同时加持云端防护能力和大数据未知威胁检测能力,构建一个全方位全生命周期的云安全解决方案。
方案核心云安全管理平台创新性的融合多种安全技术与云计算技术,可满足云环境下安全运维、安全监管及安全运营等综合管理需求。
云安全管理平台与云平台采用“松中有耦”的应用设计模式,通过创新的接口联动技术打通安全资源与业务云平台,整体安全能力覆盖了云外南北向访问安全、云内主机东西向访问安全、到主机安全、漏洞管理、web应用层面完整的安全防护体系和多种审计手段,实现“云安全随需而动”,真正做到让安全贴合云上业务,同时,云安全管理平台结合了优势的云端防护能力和大数据未知威胁检测能力,为云环境提供“云-管-端”全方位的、安全服务可编排的、可自监管闭环运营的综合性安全管理平台。
云安全管理平台其架构先进、适用范围广,能兼容多种云计算环境,在公共服务云的云安全应用场景中,如政务云、运营商公有云等,可为云服务方搭建安全服务能力供给平台,实现安全服务的可运营、易管理和可增值,同时为云租户提供多样化的云安全资源,帮助其完成等保合规建设。在行业私有云的云安全应用场景中,可为客户网络安全管理人员提供软件定义安全新模式的综合运维及监管平台,在多种云安全组件的联动防护下满足业务的等保合规建设。
以云安全管理平台为核心的云安全整体解决方案广泛适用于各种新建、已建、扩建的云场景,在政务云、警务云、军工云、金融云、能源云等领域的安全建设中成功积累了大量实践案例,为客户构建一套真正属于云时代的安全防护框架。
云上业务的安全涉及终端安全、网络安全、应用安全、审计等各个层面,对应的安全防护技术包括防病毒、防火墙、WAF、漏洞扫描、堡垒机等不同层次的安全组件。云安全管理平台整合和集成这些安全组件,以虚拟化实例的方式部署在安全资源池内,以供租户使用。
已经集成的安全组件以产品的形式显示在安全资源池内,租户在购买对应的安全组件之前可以查看安全组件的介绍,包括组件的功能亮点、优势、性能参数、部署拓扑等信息。
租户可以根据需要需要保护资产的属性申请对应的安全组件,并且可以灵活选择安全组件所在的可用区域、网络分区、规格、授权数量、使用时长等配置。组件有效期不足时可以通过续费的方式,增加安全组件的有效期。当组件内部如:域名数、可管理资产数等授权数量不足时可以通过扩容的方式增加安全组件内的授权数。
系统管理员可以将第三方的安全组件发布到安全市场中。管理员上传第三方安全组件的镜像之后,可以通过安全市场的第三方组件发布功能,将安全组件镜像发布给租户使用。发布的第三方安全组件可以实现全生命周期的管理和运行状态监控。通过第三方组件发布功能,用户可以自行将任意的安全镜像发布给租户使用,让云安全平台有了无限的扩展可能。
生命周期管理
租户的各种安全组件以虚拟化镜像的方式部署在安全资源池内,不同的租户分别对自己的安全组件进行配置。安全组件的创建、初始化、激活等操作都又云安全管理平台自动完成。用户安全订单审批通过后,云安全管理平台将按照用户申请准备好安全组件。
单点登录
单点登录可以实现从云安全管理平台到安全组件之间的免账号密码登录,用户无需填写安全组件的账号密码,即可直接登录到设备的管理界面。当用户有多个安全组件需要管理时,单点登录功能可以免去大量的重复工作,而且可以避免因为遗忘设备管理账号密码带来的烦恼。
统一策略管理
云安全管理平台支持对安全组件的安全策略进行统一管理,用户仅需在云安全管理平台输入基础信息,云安全管理平台生成安全策略,并通过安全组件的接口,下发到安全组件内部。简化用户的使用流程。
资产导入管理:支持自动同步与手动创建两种方式添加与同步资产信息。
关联安全防护资产:云安全管理平台在对接了云平台后能够同步用户在云平台内的虚拟机资产到本地,并与用户已经开通的安全服务进行关联,用户直观地查看到哪些安全组件防护了哪些资产。以及资产安全事件和漏洞数据的同步。
租户同步
对于多租户的支持是云计算的主要特性,各个云计算租户能够自行登录云安全管理平台进行组件的申请、安全策略的配置。
云安全管理平台原生支持多租户结构,管理员可以在云安全管理平台本地创建多个租户,并添加多个子账号。在实际使用中,为了减少手动创建租户的工作量,云安全管理平台也支持对接云平台,定期同步云平台内的账号信息到本地,用户可以直接使用云平台内的账号登录云安全管理平台。账号同步后,用户所有账号的创建、删除、编辑工作都在云平台内完成。
三权分立
三权分立的管理机制,以最小特权和权值分离为原则,将超级用户特权集进行划分,分别授予系统管理员、安全管理员和审计管理员。在此机制下安全管理软件在实现系统管理、安全管理和审计管理功能的同时,也要保证管理员权限的隔离。
云安全管理平台支持三权分立功能,从普通权限模式切换到三权分立模式后,系统管理员和租户管理员被拆分为三个不同的角色,分别为管理员、安全管理员、审计管理员。三权分立模式满足保密要求高的场景下对于用户权限控制的需求。
云安全管理平台在部署后自带资源监控系统,从宿主机层即能对宿主机和上层虚拟安全资源进行实时的全面监控,包括安全资源使用情况和安全服务可用性,便于运维人员第一时间发现问题和采取措施,保障系统的连续可用,降低业务风险。
系统支持统一的告警管理,可配置灵活的告警策略,并根据告警策略及时生成告警。为便于使用,系统自带预定义策略,可直接使用,若用户有个性化需求,也可设置自定义告警策略。告警范围包括对所有安全资源的监控告警、对安全事件的告警、对授权到期或不足的告警、对设备异常操作的告警以及日志存储和存档空间使用告警。支持在线告警事件查看,也支持邮件告警通知。
除可设置告警策略及事件外,还有些系统告警,如高可靠状态切换、订单审批等系统默认通知和告警。
订单管理实现了订单的在线提交、审批、执行等操作。当租户在线提交安全服务的请求后,租户的管理员或系统的管理员可以对租户申请的内容进行审核。同样也支持无需审核的模式,所有申请直接通过。
云安全管理平台将根据租户订单的内容自动创建对应的安全组件镜像。
云安全管理平台支持对安全组件的安全防护或安全策略进行统一管理,用户仅需在云安全管理平台输入基础信息,云安全管理平台生成安全策略,并通过安全组件的接口,下发到安全组件内部。默认走工单管理流程。
安全防护依据不同的操作类型分为防护添加、删除、编辑和启停。默认安全防护工单自动审批通过,也可设置多级审核,防止业务资产申请人员对安全策略不熟悉而操作失误。
服务可衡量
云安全管理平台提供了一个可运营的安全即服务的平台。创新地支持按需充值许可的方式,云服务运营商可以随时自由地扩容各种安全组件的授权数量,并向云租户提供计费的安全服务,协助云运营商将安全服务真正运营起来,一次建设,持续产出。
云安全管理平台提供了丰富的账单和报表数据,对于安全服务的使用情况一目了然,能够持续跟踪云服务使用成本,优化系统结构。用户可以导出每月的账单数据和消费记录。
云安全管理平台集中汇总了各类报表,既满足平台级统一报表,也可补充各组件的报表信息。报表内容包括安全产品使用情况、安全设备资源监控、告警事件统计、订单记录、消费账单、安全威胁防护事件等。
用户可根据需要自动生成日报、周报、月报、季报等周期性报表,也可自定义选择时间范围生成一次性报表。所有生成的报表可集中展示和管理,支持在线预览和随时下载。同时可配置报表自动发送到邮箱,提高时效。
云安全管理平台可提供云安全资源池,其中包括有丰富的云安全防护及检测组件,这些安全组件构成了在云环境中针对南北向、东西向以及租户间的安全能力,在这些具体的安全能力基础上,云安全管理平台还提供了面向集中安全态势把控、综合安全威胁呈现、云资源安全风险展示在内的云安全态势感知功能。
云安全态势感知针对云中的典型角色,分为运营商安全态势和租户安全态势的呈现,分别对应云运营方的针对整个云资源池进行态势感知的需求以及云租户对自己所租用云资源范围内的态势感知。
运营商安全态势感知从展示整体云资源池安全态势的角度出发,基于CSMP所能获取的全部安全数据信息,从安全组件的防护效果视角、安全威胁的攻击分布和趋势视角、漏洞分布、近期高风险点、租户等保合规等视角对云资源池所面临的总体安全威胁和利用安全手段的防护效果进行了综合呈现。
云租户安全态势
租户安全态势大屏以各租户所使用云环境中的资源为范围,利用该租户所启用各类安全组件所产生的安全数据,进行整体安全威胁及防护态势的展示。
云安全管理平台集中收集各种安全组件产生的访问流量日志、威胁日志和操作日志,如流量记录、web攻击事件、异常登录事件、漏洞检测事件、病毒攻击事件、异常事件等,用于事后溯源分析。
海量日志多地备份,支持自定义存储时长,可设置存档处理,也支持离线导出,满足审计合规要求。
日志审计对各种安全威胁数据进行了汇总分析,并通过丰富的报表进行可视化展示,帮助管理员及时掌握网络中被防护的安全状态,为进一步的深入分析和决策奠定准确的数据基础。