公有云 IaaS 安全場景解決方案


隨著云計算技術的普及,越來越多的企業基于業務需要、建設成本、運維效率等考慮,按照自身的業務需求從公有云上租用相應的計算資源與應用服務,來實現業務的快速發展。然而在云計算環境中,傳統的安全邊界被打破,業務場景變得更加復雜,惡意木馬、高危漏洞、云上勒索、網絡攻擊等主流安全風險持續上升,使得用戶在公有云上的業務面臨更為嚴峻的安全挑戰。

挑戰與需求

在公有云IaaS場景中,云安全責任由云平臺服務商和租戶共同承擔。云服務商主要確保公有云平臺基礎設施(計算、存儲、網絡等)和虛擬化架構的安全,并保證云平臺滿足國家安全等級保護要求;云租戶則需要自行對云上的云主機、云網絡、業務應用、中間件和數據庫等各類可控資源進行安全管理和防護,基于租戶所需要承擔的安全責任,在公有云環境中租戶所面臨的主要安全挑戰有:

  • 云內資產存在安全脆弱性問題(如高危漏洞、風險服務、弱口令、遠程后門等)。
  • 云內安全組無法應對現今基于應用的網絡威脅,威脅入侵更加容易。
  • SQL注入、XSS攻擊、網站掛馬等Web應用安全風險。
  • 云內業務數據面臨被泄露和被竊取的風險。
  • 各類安全資產難以實現統一運維與合規管理。

解決方案

為助力用戶構建安全的公有云業務防護體系,落實租戶安全等級保護要求,山石網科憑借豐富的網絡安全經驗,總結出適用于公有云場景的IaaS安全解決方案,從租戶內的云主機、云網絡、應用軟件、業務數據、運維管理和日志審計等方面進行安全防護,幫助用戶構建穩定、高效、安全的公有云業務環境。

在山石公有云IaaS安全解決方案中,租戶可在公有云市場靈活選購滿足自身防護需求的山石公有云安全產品(如云·界虛擬化防火墻、云Web應用防火墻、云堡壘機、云數據庫審計等),從而實現租戶內差異化、精細化的IaaS安全防護能力。通過公有云安全管理中心,租戶能夠方便實現山石公有云安全產品的下單、資產管理和用量計費,并且可以全面掌握云安全態勢,實現便捷、高效的安全運維與防護。

租戶資產脆弱性檢查

山石虛擬化遠程安全評估系統vRAS能夠為公有云租戶內的各類云資產(如云主機、云數據庫、中間件、Web站點等)提供全方位的系統掃描檢查和評估方案,支持對主流操作系統、Web站點、云數據庫等進行深度掃描,協助運維人員高效、準確的對租戶內部系統進行實時自檢,及時發現可被攻擊者利用的安全漏洞、弱口令、錯誤配置等安全問題,并提供詳細、專業的安全建議和修補方案,有效提升整網的健壯性和安全性。

租戶網絡安全防護

租戶出口邊界安全防護需要考慮進出流量的安全檢測及威脅防護,同時安全防護方案需要具備高可靠性。采用山石云·界虛擬化防火墻(以下簡稱“云·界”)進行安全防護,能夠提供如下價值:

  • 最小授權原則,基于應用級別進行安全訪問控制,默認設置拒絕。
  • 入侵防御,精準識別并阻斷外部發起的網絡攻擊行為。
  • 帶寬優化,多維度應用識別及流量管控,精準分配帶寬資源。
  • 防病毒,惡意代碼的檢測、防護和清理。
  • 支持HA部署,確保業務系統的可用性和連續性。

同時為滿足運維人員對公有云內業務系統的安全管理需求 , 需要建立安全數據通道并考慮數據遠程傳輸的安全性和穩定性。采用山石云·界并開啟 VPN 功能,能夠實現數據的加密傳輸,為用戶提供安全穩定的連接,用戶能夠隨時隨地高效運維。

此外云租戶內不同業務網段之間會有流量互訪,為防止安全威脅在不同業務之間蔓延從而造成企業正常業務的嚴重損害,需要根據互訪關系對業務網段之間的流量實現精細化的訪問控制,使每一個業務網段都可以通過云·界進行防護,為用戶提供公有云租戶內網絡之間的安全隔離。

租戶Web應用安全防護

公有云租戶內的Web業務系統是互聯網可以直接訪問的,企業在保證服務質量的同時,還需要對Web應用進行專業的安全防護,防止Web業務系統被攻擊者入侵進而導致企業重大損失。

針對 Web 應用,企業可部署山石虛擬化Web應用防火墻vWAF產品對Web服務進行應用層安全防護,能夠防范SQL注入攻擊、跨站腳本攻擊、拒絕服務攻擊等網絡攻擊行為,同時支持Web后門檢測和報警、非法攻擊行為監控、惡意攻擊行為分析等功能,提供多層次的Web應用防護手段,確保云上Web應用的全天候安全運營。

租戶數據安全防護

山石云數據庫審計與防護系統(以下簡稱“山石vDBA”)可對公有云租戶內的云數據庫訪問行為進行獨立審計和安全控制,幫助用戶應對來自外部和內部的數據庫安全威脅,滿足等保要求中關于安全計算環境的數據完整性和數據保密性要求,山石vDBA能夠滿足:

  • 主動發現云數據庫存在的漏洞、配置錯誤、弱口令等風險,并及時進行修復。
  • 細化到 SQL 語句級的訪問控制,實時監控、識別、阻斷違規的數據庫操作行為。
  • 完整記錄數據庫的操作人、操作過程等關鍵信息,提供完整的追溯證據鏈。

租戶安全運維與審計

用戶選用山石虛擬化運維安全網關vOSG產品作為公有云租戶內集中運維管理與運維審計的堡壘機,可將運維管理和運維安全理念相融合,通過身份認證、權限控制、賬戶管理、操作審計等多種手段,完成云內核心資產的統一認證、統一授權、統一審計,全方位提升運維風險控制能力。

此外結合山石虛擬化日志審計產品vHSA,可為公有云用戶提供上網訪問行為的監管與審計功能,配合山石云·界的NAT、IPS、上網行為分析等功能,能夠有效記錄接入用戶的網絡日志和安全日志,幫助用戶解決網絡出口日志審計的困擾,并為用戶提供豐富便捷的日志查詢功能,滿足《網絡安全法》及行業的監管要求,為用戶提供高性價比的公有云安全審計整體解決方案。

方案價值

符合等保2.0,滿足合規要求

方案按照等保2.0法規政策,并結合云計算擴展要求中租戶部分的詳細描述,對租戶公有云上的業務進行安全防護。不僅能夠保障業務連續性,還能最大化防御網絡攻擊,滿足合規要求。

靈活適配多種云環境

方案中多樣化的虛擬安全網元均采用訂閱模式,可滿足用戶按需部署、靈活擴展的需求。此外虛擬化網元適配國內外主流公有云環境,能夠讓用戶靈活應對公有云上業務所面臨的各類安全挑戰。

全方位安全立體防護

方案從租戶的邊界安全、應用安全、數據安全等方面多層次、全方位地進行安全防護體系建設,全面守護租戶公有云內的業務。

方案應用

山石網科公有云IaaS安全解決方案中,山石云·界虛擬化防火墻是全球首家同時登陸前三大公有云(AWS、Azure、阿里云)云安全市場的vFW產品,同時還成功登陸天翼云、華為云、京東云等國內主流公有云云市場。此外方案中所提供的各類云安全網元產品均可應用于各大公有云平臺,并通過了嚴苛的認證測試,在產品安全性和自動化部署能力等方面,得到了用戶的廣泛認可。