等级保护2.0解决方案-云计算

网络安全等级保护解决方案 云计算 绿盟科技 目录CONTENTS 01等级保护2 0变化及要求 04云等保解决方案案例 04云等保解决方案 04云等保解决方案场景分析 等保2 0变化及要求 01 等级保护的发展历程 开始关注等保1994 2005 初建等保标准体系2005 2008 完善测评管理体系2008 2010 推动落地实施2010 2014 云等保来临至今 确立法律地位 云计算被纳入保护对象 国家实行网络安全等级保护制度 对网络实施分等级保护 分等级监管 关键基础设施实行重点保护 1 提升到法律层面 等级保护2 0 安全责任共担 服务模式确定责任 责任主体一分为二根据服务模式 安全管理职责不同云计算平台和云上信息系统分别定级 备案 测评云平台不能承载高于平台级别的信息系统 云服务商 云服务客户 注重平台防护 云服务客户往往忽视信息系统防护 新增安全要求 建立主动防护体系 实现对网络攻击特别是新型网络攻击行为的分析 落实网络安全态感知监测预警措施集中安全管理 1 2 被动安全防护缺少监测预警 重视云平台安全 忽视信息系统安全 云服务商 云服务商 责任共担模型 参与角色 云平台 云上信息系统 防火墙入侵检测 防御Web应用防护DDoS防护 未提出相关安全要求由云服务商负责信息系统安全 安全管理职责不变 传统交付模式 不适应云服务模式 云服务客户 安全 云计算平台 系统 申请 云服务商 审批 自动化交付 审批 手动交付 基础产品 计算 存储 网络 安全风险加剧 防护措施需完善 勒索病毒 0day漏洞 APT 维护人员 新型攻击 政务云 东西向攻击 虚拟化漏洞 云等保解决方案 02 多方协同 纵深防御 持续监控 按需提供安全服务 保护云上信息系统 完善基础防护措施 确保平台安全 建设主动防护能力 持续安全监控预警 云平台 云上信息系统 集中管理 多方共建安全能力 共同守护 面向各委办局 提供云安全服务 利用网络安全设备 保护云平台网络安全 云平台具备安全功能 确保云平台安全 利用云安全服务 保护云服务客户的信息系统 监测预警 发布安全通告技术方案评估 安全评估 完善基础防护措施 确保平台安全 根据网络安全等级保护三级要去 利用硬件安全设备 分别在云平台边界和安全管理区域 从外到内构建防护体系 确保云平台整体的安全保护能力 防火墙 入侵防御 网络审计 DDoS防护 Web应用防护 入侵防御 网络审计 DDoS防护 Web应用防护 边界防护区 边界防护区 三级等保区 计算资源池 存储区 系统漏扫 日志审计 堡垒机 Web漏扫 安全管理区 防病毒 配置核查 安全管理中心 二级等保区 计算资源池 存储区 核心交换区 安全通信网络 划分核心交换区 不同等保区 安全管理区等安全区域边界 部署防火墙 DDoS防护 入侵防御 网络审计等设备安全计算环境 部署防病毒 EDR等设备安全管理 部署日志审计 安全管理中心 扫描器等 按需提供安全服务 保护云上信息系统 防火墙 WAF IPS 防火墙 WAF 网络审计 防火墙 DDoS防护 WAF 物理服务器 安全即服务 软件定义安全 服务平台 计算 网络 存储 统一管控 服务化 防火墙 入侵防御 入侵检测 Web应用防护 安全审计 防病毒 EDR 虚拟化 硬件安全设备 提供丰富 专业的安全服务 多达12个 自定义安全服务包 按需选择 快速实现防护 自助使用 自动交付 掌握业务系统安全状态 高可用设计 保障安全防护连续性 做好区域隔离 实现东西向防护 利用云平台原生安全能力 依据委办局 业务系统 服务器功能等进行隔离 缩小安全风险域 不同委办局的资源部署在不同VPC内 实现委办局间隔离 同委办局各信息系统部署在不同子网内 实现信息系统间隔离 从而达到东西向防护 利用终端检测响应服务 防护信息系统的虚拟机 将不同信息系统的资源划分不同隔离区域 区域间限制访问 利用轻量级客户端 实现虚拟机的入侵防御和基线核查等 安全管理平台 建设主动防护能力 持续安全监控预警 威胁情报中心 安全专家 策略管理 及时获取热点事件 漏洞 恶意IP 域名 全面分析安全设备日志 建立整体安全态势 发现未知威胁 为云服务平台和云服务客户提供安全运营服务 及时响应和处置安全事件 全流程咨询服务 帮助客户等保合规 云等保解决方案防护示意图 技术要求 安全计算环境 安全通信网络 安全物理环境 管理要求 安全管理制度 安全管理机构 安全管理人员 安全运维管理 安全建设管理 要求 应对措施 安全管理中心 高可用设计 区域划分 网络隔离 VPN 防火墙 入侵检测 入侵防范 网络防毒 邮件安全网关 安全审计 日志审计 堡垒机 防病毒 EDR 日志审计 扫描器 配置核查 数据库审计 统一身份认证 应用防火墙 数据防泄漏 堡垒机 日志审计 态势感知 威胁情报 安全管理中心 等保咨询服务 安全加固服务 安全区域边界 渗透测试服务 安全培训服务 威胁管理与响应服务 应急响应服务 应急演练服务 价值 明确的责任边界 符合合规性要求 价值 完善的防御体系 防护更主动 主动防护体系 预测 响应 检测 防护 防火墙 入侵检测 Web应用防护 DDoS防护 系统漏洞扫描 Web漏洞扫描 安全审计 入侵检测 威胁情报 全流量分析 态势感知 安全运营 应急响应 防病毒 EDR 等保咨询 价值 服务化的安全能力 实现安全服务增值 计算服务 网络服务 存储服务 防火墙 DDoS防护 WAF Web漏扫 IPS 网络审计 系统漏扫 安全服务 云计算解决方案 完善和丰富云计算解决方案可提供服务类别 增强解决方案竞争力 将IT投入和安全投入 转化为创收方式 拓展业务收入来源 服务器 NFV 云等保解决方案场景分析 03 虚拟化场景 环境 仅是一个虚拟化 典型产品是VMwarevSphere 吞吐量小于1G 需求 通过部署一个设备 快速满足等保要求 资金投入少 使用简单 推荐产品 NCSS 等保专版 包含多款虚拟化安全产品 价值 等保套餐设计 按需选择一体化部署快速建设 快速实现等保合规集中化管理 降低运维工作量 私有云 无租户 场景 防火墙 入侵防御 网络审计 DDoS防护 Web应用防护 入侵防御 网络审计 DDoS防护 Web应用防护 边界防护区 边界防护区 三级等保区 计算资源池 存储区 系统漏扫 日志审计 堡垒机 Web漏扫 安全管理区 防病毒 配置核查 态势感知 二级等保区 计算资源池 存储区 核心交换区 环境 单位内部私有云 无租户 需求 保证平台云满足等保三级要求 云上信息系统等保合规 推荐产品 硬件安全产品 态势感知价值 全面安全产品和服务 助力等保合规 丰富 专业的安全产品 构建纵深安全体系 安全管理中心 完善网络安全监控预警 私有云 有租户 场景 环境 私有云 有租户 有硬件安全设备 需求 租户信息系统等保推荐产品 NCSS 各虚拟化安全产品价值 按需提供安全服务 安全责任清晰 等保套餐设置 快速满足等保要求 安全管理中心 统一安全管理 注 堡垒机 防病毒 EDR和日志审计等计划9月份实现 行业云 政务云场景 防火墙 入侵防御 网络审计 DDoS防护 Web应用防护 入侵防御 网络审计 DDoS防护 Web应用防护 边界防护区 边界防护区 系统漏扫 日志审计 堡垒机 Web漏扫 安全管理区 防病毒 配置核查 安全管理中心 计算资源池 存储区 核心交换区 防火墙 入侵防御 入侵检测 安全资源池 网站安全 NCSS 安全审计 DB审计 系统漏扫 Web漏扫 需求 平台满足等保三级 租户信息系统按需等保推荐产品 硬件安全产品 态势感知 NCSS 各虚拟化安全产品价值 明确的责任边界 符合合规性要求 完善的防御体系 防护更主动 服务化的安全能力 实现安全服务增值 注 堡垒机 防病毒 EDR和日志审计等计划9月份实现 云等保解决方案案例 04 厦门市政务云安全 客户介绍 随着厦门市政府部门推进信息化建设 越来越多的政务信息系统将迁移到政务云中 为实现绿色政务 提升政务服务水平迈出坚实的一步 业务挑战 信息系统中涉及到厦门市各委办厅局的重要信息 如何保障信息系统安全 是政务云急需面对和解决重要挑战 作为政务应用的承载体 政务云应严格按照国家及行业安全标准规范设计建设 安全合规 安全能力建设应符合云计算的特点 为各委办厅局提供丰富的 弹性的 按需的云安全服务 厦门市政务云安全 解决方案 绿盟星云 云安全解决方案遵循以业务为中心 风险为导向 基于纵深主动防护思想 综合考虑云平台安全威胁 需求特点和相关要求 对安全防护体系架构 内容 实现机制及相关产品组件进行了优化设计 从管理和技术两个方面充分保障政务云安全 云边界防护云边界通过传统物理手段 部署NTA ADS和IPS等设备 对异常流量进行检测和清洗 对各种网络攻击进行检测和阻断 云内防护基于x86服务器和虚拟化技术 集成多种虚拟化安全组件 vWAF vNF vRSAS vSAS等 形成统一的安全资源池 基于软件定义安全 SDS 的架构 利用智能化 自动化的业务编排和管理 将流量分别牵引到不同的虚拟化安全设备中 实现灵活的安全防护 厦门市政务云安全 客户价值 构建全方位的防护体系基于云边界防护 云内防护 统一管理 三步走 设计原则 建设一套从点到面的全方位防护体系 为客户的云环境提供持续全面地安全保障 提供可控灵活的安全防护能力云安全资源池可以随着客户云环境的扩容进行灵活弹性的扩展 满足客户对安全服务能力的需求 解决方案 统一管理 安全运营利用统一管理门户对安全资源池内所有资源进行统一管理 统一监控 虚拟化设备生命周期的管理 查看整个安全资源池的运行状态和日志报表展现 安全态势感知通过大数据技术 实现对云中安全设备数据集中收集 分析 将大量安全日志转化为少量安全事件 展示在显示大屏 帮助管理员快速掌握云平台安全状态 提供决策支撑 实现安全的集中运维简单 易用的运维平台可对云内虚拟化安全设备进行统一运维管理 可大幅度降低客户运维成本的投入 提高运维管理效率 满足等保合规要求通过构建安全监测 识别 防护 审计和响应的综合能力 有效抵御相关威胁 使客户在向云迁移的过程中满足监管与合规性要求 深圳证券通信有限公司 客户介绍 深证通作为深交所控股的下属机构 在2013年发布金融云 主要面向证券交易所和区域股权交易中心等市场核心机构 证券 基金 销售机构 银行 保险等金融机构 以及上市和拟上市企业 提供金融云服务 业务挑战 近来金融行业合规性诉求增多 一方面网络安全法明确要求关键基础设施应重点防护 另一方面金融监管机构越来越重视金融数据安全 而金融云现有安全能力并不能很好的满足合规性要求 需要与之匹配的安全防护体系 此外 金融云明确要求不仅满足合规性诉求 而且安全防护体系应该具备稳定可靠等特性 持续保护信息系统安全 深圳证券通信有限公司 解决方案 经过多次调研和沟通 绿盟科技提出了本地安全资源池和云端安全SaaS相结合的整体安全解决方案 并采用分步实施和分场景防护的建设思路 逐步保障深证通金融云安全 快速和安全的帮助其客户满足合规性要求 构建本地安全资源池 基于通用X86服务器和NFV架构 灵活和快速的提供防火墙 Web防火墙 入侵防护 系统扫描 安全审计和主机安全等多种安全服务 确保金融云上信息系统安全 从控制器到安全