金瀚云安全解決方案

行業(yè)背景

2016年3月，全國人大通過《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》指出積極推進云計算和物聯(lián)網(wǎng)發(fā)展。鼓勵互聯(lián)網(wǎng)骨干企業(yè)開放平臺資源，加強行業(yè)云服務平臺建設，支持行業(yè)信息系統(tǒng)向云平臺遷移。未來的五年是我國云計算快步發(fā)展的新時代。國內(nèi)各行業(yè)在大力發(fā)展云計算、實現(xiàn)業(yè)務遷移的同時，也面臨新的網(wǎng)絡安全挑戰(zhàn)------云安全合規(guī)挑戰(zhàn)

2016年11月7日人大通過的《中華人民共和國網(wǎng)絡安全法》(下稱：《網(wǎng)絡安全法》)共有七章七十九條。將《網(wǎng)絡安全法》中的網(wǎng)絡安全能力，移植到云計算環(huán)境中，如何實現(xiàn)云內(nèi)安全能力，至少涉及如下六個方面：

●云內(nèi)防范計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入；

●云內(nèi)數(shù)據(jù)隔離與保護；

●監(jiān)測、記錄云內(nèi)安全狀況及事件；

●云管理及遠程訪問身份認證；

●云內(nèi)安全事件應急處置；

●云內(nèi)網(wǎng)絡隔離等。

此外，《網(wǎng)絡安全法》中也明確提出了，國家實施網(wǎng)絡安全等級保護制度。等級保護正式進入了2.0時代。新的《網(wǎng)絡安全等級保護基本要求》涵蓋了6個部分的內(nèi)容，其中云計算安全能力應符合：安全通用要求、云計算安全擴展要求。

云環(huán)境安全挑戰(zhàn)

● Hypervisor自身安全

Hypervisor是一種運行在物理服務器和操作系統(tǒng)之間的中間軟件層。是軟件，通常就會面臨漏洞風險。2015年名為毒液的安全漏洞，攻擊者可以從客戶系統(tǒng)發(fā)送命令和精心編制的參數(shù)數(shù)據(jù)到軟盤控制器，以此導致數(shù)據(jù)緩沖區(qū)溢出，并在主機管理程序進程環(huán)境中執(zhí)行任意代碼。該漏洞存在于QEMU的虛擬軟盤控制器(FDC)中，而FDC代碼應用于眾多虛擬化平臺和設備中。

● 云內(nèi)“東西”向流量安全監(jiān)控需求

云環(huán)境內(nèi)“東西”向網(wǎng)絡流量，在云內(nèi)虛擬交換機環(huán)境下即可完成，無需通過物理主機的物理網(wǎng)卡流經(jīng)傳統(tǒng)的網(wǎng)絡邊界防護設備，因此，傳統(tǒng)的防火墻、IPS等防護設備對“東西”向流量的監(jiān)控，變的看不見、摸不著、無處發(fā)力。

● 云建設方、云維護方、云租戶及外包服務商，多方安全職責如何定義劃分

傳統(tǒng)的IDC機房，通常建設、運維、使用的單位主體相對比較單一、明確。但是，在云計算多種服務模式的場景下，云建設方、云維護方、云租戶方存在責任主體分離的情況，這使云安全日常管理面臨諸多挑戰(zhàn)。

解決方案

● 基于“互聯(lián)網(wǎng)+”的云安全規(guī)劃與建設實施方法論，將整個云計算等保合規(guī)實施過程劃分為“三大階段”，核心實施過程劃分“五大步驟”，幫助客戶設計、部署從云內(nèi)網(wǎng)絡層、虛擬機層、應用層直至數(shù)據(jù)層的多方面安全防護方案。　

●基于“互聯(lián)網(wǎng)+”的云安全解決方案，結合多年互聯(lián)網(wǎng)安全技術經(jīng)驗及相關國內(nèi)外法律法規(guī)和實踐要求，將云計算安全防護分為“安全管理”和“技術管理”兩大部分，并將威脅情報態(tài)勢感知技術相融合，增強云計算防護的預先感知及防護能力。

通過咨詢服務形式，運用“多方安全職責矩陣模型”幫助客戶識別、界定云安全日常管理中的組織結構與責任劃分。

方案優(yōu)勢

基于“互聯(lián)網(wǎng)+”的云安全解決方案，依托云端安全大數(shù)據(jù)，生產(chǎn)出高質量的威脅情報，同時對互聯(lián)網(wǎng)上的安全事件與客戶特殊場景下的事件進行關聯(lián)；采用聯(lián)動防御機制，智能化的安全管理中心，形成特色的P2DR安全模型，有力保障客戶云安全。

運用“多方安全職責矩陣模型”幫助客戶識別、界定云安全日常管理中的組織結構與責任劃分。

應用場景

適合政務云、金融云、教育云、能源云、工業(yè)云等多種行業(yè)云安全場景。