2019年多态云安全治理方案.pdf

1、多态云安全治理方案目录现有安全方案的整理与反思多态云安全治理方案云安全治理带来的新思路目录云安全现状0%20%40%60%80%100%被DDoS攻击次数被植入后门数量被篡改网页数量2019年上半年云上业务安全事件统计云平台其他0%20%40%60%80%100%DDoS攻击次数DDoS攻击源IP数量承载的恶意程序种类数量恶意程序控制端IP数量2019年上半年云平台被利用安全事件统计云平台其他数据来源于CNCERT2019年上半年我国互联网网络安全态势 云服务商应提供基础性的网络安全防护措施并保障云平台安全运行 云用户对部署在云平台上的系统承担主体责任等保2.0云计算扩展要求责任划分 SaaS

2、：硬件、虚拟机监视器、操作系统、中间件和应用等 PaaS：硬件、虚拟机监视器、操作系统和中间件等 IaaS：虚拟机监视器和硬件等云服务方 SaaS：部分应用职责及用户使用职责 PaaS：应用等 IaaS：操作系统、中间件和应用等云租户传统安全方案短板明显单一解决方案难以覆盖全部场景传统解决方案容易造成资源浪费安全建设与管理思路通常有偏差终端安全工控安全内容安全应用安全边界安全鄙视链AVADSIPSFWVS云硬件堆叠换个姿势继续堆叠立体防护资产不清合规安全责权不清杠精传统安全方案短板明显安全边界模糊资产宿主和运营分离安全审查乏力SaaSPaaSIaaS线上线下？按边界划分安全域思路不再适用宿主和

3、运营分离隐藏的管理风险云上资产形式多变且属性不明确云安全面临的挑战与需求 资产清晰。租户与运营方都应明确知晓被托管资产的属性及安全状态 全面覆盖。既要满足南北向安全，又要保证东西向安全 生态性。内部数据需要共享，外部数据也需要联动业务需求 用户管理。需要满足最终用户自助管理安全服务的需求 运维管理。需要具备统一集中的管理运维方式 责权清晰。管理边界需要清晰，保护资产需要多重备案管理需求 半即插即用部署，按需动态扩容 丰富的兼容特性，具备冗余可靠性部署需求 满足网络安全法要求 符合等保2.0基本要求及云计算安全扩展要求，符合云计算服务网络安全审查要求合规需求 场景化。需满足不同场景的个性化需求

4、行业性。需适应不同行业的定制化需求个性需求云环境下的资产多变、属性繁杂，宿主与运营分离，安全面临新挑战目录现有安全方案的整理与反思多态云安全治理方案云安全治理带来的新思路目录资产全生命周期治理方案 内部、对外系统梳理 核心资源、云资产梳理 僵尸/双非系统清理资产摸底 数据中心内部备案体系 漏洞评估体系 上线审核体系备案审核 合规性防护体系 立体化防御体系立体化防御 定期篡改监控/漏洞监控 异常流量监测 日志审计自动化运营 一键断网/一键下线 应急预案和管理制度紧急响应“五步法”资产治理方案应急处置合规安全资产梳理针对云环境的安全治理方案资产审查备案管理立体化防御自动化运营应急响应云治理自助服务

5、管理/管理APIs云防护云监控云联动安全能力云模式运营安全能力模块虚拟化安全能力形成云生态场景化组合方案符合多形态云环境安全需求的治理方案多态云安全治理方案核心工作流云上新增资产云上现有资产线下关键资产合规性审查安全性审查云监控备案管理学习资产属性划分资产安全域云防护应急处置问题整改资产梳理上线运营安全能力云模式运营安全云云监控云防护云治理用户业务托管敏感词监控DNS牵引路由牵引内容监测漏洞探测资产学习准入管理AgentAgent服务输出篡改监控漏洞监控后门监控通报预警注入/XSS清洗DDoS清洗资产学习备案管理服务套餐监控服务套餐立体防护套餐综合治理套餐安全能力云模式运营 云平台提供了分层级

6、的管理员配置，可满足垂直机构安全监管需求垂直监管 云平台输出的服务可根据不同安全需求自由组合搭配，适应各种场景场景化分配 云平台可利用策略路由、BGP路由以及DNS牵引等技术方式，接受细粒度的业务托管，提供靶向服务靶向服务用户将业务托管至云监控、云防御以及云治理平台，按照需求选择搭配安全服务组合套餐安全能力模块虚拟化私有云安全平台安全组件池vWAFvWAFvWAFvADSvADSvADSvIDPvIDPvIDP自助服务管理平台LockLockLock租户管理网络管理配置管理资源管理公有云平台安全镜像包开放接口VmwareKVMXenOpenAPIsSys