国产香蕉尹人在线观看视频,午夜理理伦a级毛片,国产国拍亚洲精品av在线,无码人妻精品一区二区三区9厂

業(yè)務挑戰(zhàn)

近年來，央企通過基礎設施云平臺的實施和推廣，建設了包括私有云、公有云及專有云在內的“一朵云”整體框架，為集團化應用系統(tǒng)以及集團數據集中收集和利用提供全面的基礎設施支撐服務，為集團各級單位提供先進易用、靈活便捷的云計算服務。面向云的數據中心相比于傳統(tǒng)的數據中心，存在一定的安全風險，如云平臺基礎網絡被網絡入侵，租戶層的虛擬系統(tǒng)和應用被入侵額破壞，云平臺的運維管理操作違規(guī)等，具體情況如下：

1.云基礎平臺防護措施不足。

云基礎平臺是云計算的重要系統(tǒng)。云基礎平臺的物理機、系統(tǒng)及管理運維網絡與原有的物理集群都處于數據中心的物理網絡結構中?，F有針對云基礎平臺的防護措施尚存在不足，導致云基礎平臺面臨著網絡入侵、系統(tǒng)漏洞等威脅，也存在特權管理運維的越權使用風險。

2.云租戶層缺乏彈性動態(tài)的安全能力。

云計算平臺新技術大量運用，針對這些虛擬化、云計算新技術的攻擊成為攻擊者熱衷的突破點。云計算的彈性、動態(tài)為業(yè)務提供方便的同時，也為安全提出更高的要求。當前企業(yè)現有靜態(tài)防護的安全措施無法跟上這個變化節(jié)奏，在租戶層缺乏可彈性動態(tài)調整的虛擬防火墻、web應用檢測、內部流量發(fā)現、云內特權用戶管控等措施，且與云平臺的自動適配較少，安全策略無法動態(tài)配置，存在較大缺失。

3.云內安全整體狀態(tài)的感知和處置能力不足。

云計算平臺增加了大量的內部東西流量，且業(yè)務數據進行了內部的邏輯隔離劃分，導致云內的安全威脅、資產態(tài)勢、合規(guī)情況及風險分析都面臨新的挑戰(zhàn)?，F有的物理安全措施無法有效進入云內，導致云內整體安全狀態(tài)的感知、處置等管理能力均存在不足。

4.云計算平臺邊界安全防護不完善。

隨著混合云的使用場景增多，使得云平臺及數據中心的邊界發(fā)生了變化，數據中心在原有基礎上增加了公有云接入邊界、專有云邊界，以及云平臺與傳統(tǒng)物理機的內部邊界等，同時原有面向企業(yè)用戶的物理邊界也需要進行策略和結構調整。這些邊界缺乏針對性的措施和策略部署，邊界防火墻、入侵檢測、流量威脅發(fā)現、動態(tài)認證等安全措施和策略尚不完善。

5.云數據中心的特權管控缺失。

企業(yè)云計算平臺及數據中心中存在著大量的擁有特權操作的用戶，如云平臺管理員、平臺運維人員、云業(yè)務管理人員、開發(fā)人員等等。這些特權用戶會基于其權限接觸到普通用戶無法接觸的重要、敏感的系統(tǒng)及數據。特權用戶尤其需要進行安全管控，以降低來自這些特權用戶的高風險威脅，而集團在這個層面存在較大缺失。

解決方案

以“國內一流、行業(yè)領先”為目標建設滿足央企數據中心的綜合安全防護體系，全面遵循等級保護2.0云安全及行業(yè)云安全標準，采用面向云計算的安全技術建設完善云計算平臺邊界、云基礎平臺及云服務交付的安全措施，感知云內整體的安全態(tài)勢，以有效適應集團自建云、公有云及專有云的混合云應用場景，確保云計算平臺及數據中心的網絡安全合規(guī)和自主可控，有力支撐數字化轉型和業(yè)務發(fā)展。

一、安全通信網絡

1.對云基礎平臺進行物理網絡結構優(yōu)化，按照存儲、計算、管理等網絡區(qū)域實施網絡側路由隔離。

2.采用云平臺安全組，結合VxLAN等技術，對云租戶/云內各業(yè)務區(qū)域進行網絡區(qū)域路由隔離，在隔離邊界建設安全組策略，部署白名單訪問控制等策略。

3.在云內建設云安全管理平臺及云安全資源池，部署防火墻、應用安全代理、API安全代理、零信任訪問控制網關等安全組件，提供云平臺的安全接口及第三方服務接口。

二、網絡區(qū)域邊界

1.在云基礎平臺邊界部署物理防火墻，執(zhí)行白名單訪問控制等策略，確保云基礎平臺網絡各網絡區(qū)域的安全隔離與安全互訪。

2.在云基礎平臺邊界部署入侵檢測和全流量檢測系統(tǒng)，開展網絡層入侵檢測和威脅檢測，防止網絡入侵，發(fā)現網絡層威脅風險。

3.建設云基礎平臺安全管理區(qū)，在管理區(qū)內建設堡壘機、日志采集等安全措施，實現對云基礎平臺系統(tǒng)安全運維管理和審計支撐。

4.利用云安全管理平臺及安全資源池，在在云邊界建設一個面向整個云內區(qū)域的網絡安全區(qū)域，在該網絡安全區(qū)部署防火墻、WAF、內網VPN、應用安全代理、API安全代理、負載均衡、零信任訪問控制等安全措施。該網絡安全區(qū)可進行資源編排，針對進出云內各應用系統(tǒng)區(qū)、專有云區(qū)、DMZ區(qū)、系統(tǒng)安全服務等流量，開展網絡及應用安全層防護。

5.建設面向企業(yè)內網的云平臺及數據中心安全邊界，在安全邊界建設部署防火墻、入侵檢測、流量威脅檢測等措施，針對進出云平臺及數據中心的網絡流量進行防護。

6.建設面向互聯網的外部安全邊界，在外部安全邊界建設部署防火墻、入侵檢測、流量清洗、攻擊誘捕、流量威脅檢測、VPN等措施，針對來自互聯網的網絡流量進行防護。

7.建設面向公有云的公有云安全邊界，在公有云安全邊界建設部署防火墻、入侵檢測、流量威脅檢測、VPN等措施，針對連接公有云的網絡流量進行防護。

三、安全計算環(huán)境

1.在云平臺安全管理區(qū)部署配置核查、基線掃描、補丁分發(fā)、等安全措施，實現對云基礎平臺系統(tǒng)安全管理和安全運行的支撐。結合云平臺管理功能，使用安全管理區(qū)的安全系統(tǒng)對鏡像和快照進行安全加固和保護，做好訪問控制。

2.在云內建設一個面向整個云內區(qū)域的系統(tǒng)安全區(qū)域，在該區(qū)域部署軟件更新/補丁分發(fā)、安全漏洞掃描、配置核查、防病毒、堡壘機、日志采集等安全措施。該系統(tǒng)安全區(qū)可進行資源可編排，針對各應用系統(tǒng)區(qū)、DMZ區(qū)、系統(tǒng)安全服務區(qū)等系統(tǒng)、容器，開展系統(tǒng)安全加固、管理和安全運行支撐。

3.建設平臺特權操作管控系統(tǒng)，采用零信任機制開展特權用戶操作管控，有效管控和降低資源管控、運行維護等操作的安全風險。

建設云特權操作管控系統(tǒng)，采用零信任機制開展云內特權用戶操作管控，有效管控和降低資源管控、運行維護等操作的安全風險。

四、安全管理中心

1.使用安全管理平臺覆蓋云內的資產，開展漏洞、配置及安全事件的發(fā)現和處置，將云內安全與整體安全打通。

2.建設云安全中心，支撐對混合云環(huán)境下的全局安全策略管控，掌控云安全的態(tài)勢、威脅及合規(guī)變化情況。將云平臺的內部安全數據接入安全態(tài)勢感知平臺，實現對云平臺及數據中心的整體安全監(jiān)控及處置響應。

客戶價值

1.云基礎平臺的防護增強。

2.采取面向云計算技術的安全措施來滿足云租戶層的彈性動態(tài)安全需求。

3.提升云內安全整體狀態(tài)的感知和處置能力。

4.完善云計算平臺邊界的安全防護。

5.加強云數據中心的特權管控。

方案優(yōu)勢

1.滿足云計算平臺等級保護2.0為基礎，面向云基礎平臺的安全通信網絡和網絡區(qū)域邊界，建設云平臺物理層及云內租戶的網絡安全防御措施；面向云計算環(huán)境安全領域，進行云基礎平臺系統(tǒng)的加固及安全運維，在云租戶環(huán)境中建設云安全資源的統(tǒng)一管理平臺及安全資源池，提供云內網絡的縱深防御措施，提供云內主機、容器、應用的安全加固和訪問控制措施。

2.全面梳理集團混合云結構的云平臺及數據中心各類邊界，圍繞云平臺及數據中心形成企業(yè)內網接入邊界、互聯網接入邊界、公有云接入邊界及專有云接入邊界，建設完善各接入邊界的防火墻、入侵檢測、VPN、全流量威脅檢測等網絡縱深防御措施；管理云內特權用戶，建立云安全中心對接集團態(tài)勢感知平臺。