云场景安全运营方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云场景安全运营方案
内容提纲
• 云安全需求分析 • 云安全运营能力定义 • 360云数据中心安全运营实践
云安全需求分析
• 安全合规 • 安全集成 • 安全管理
云建设 方
• 安全责任 • 安全运营
云运营 • 安全合规 方
• 安全隔离 • 事件监测 • 安全合规
wk.baidu.com
云租户 方
云监管 方
• 数据泄露 • 事件管理 • 安全合规
安全运营(SecOps)能力定义-PPT
People 安全意识 安全角色 安全组织
Process 安全事件监控 安全事件发现 安全事件处理
风险管理
Technology 安全平台 安全设备 安全技术
• 可见 • 可管 • 可分析 • 可处置
SecOps:可运营的云安全管理平台
云安 全管 理平 台
云安 全资 源池 云平 台
Thanks !
反制进攻
全面监测 快速响应
获取情报 准确预警
进攻反制 先发制人
Source: SANS-2015-积极安全防御体系
数据驱动安全带来革命性的改进
数据
战攻法防研技究术
威掌胁握情敌报
是基础了态解势我感情知
作协战同方防案御
数据采集分析
海量数据采集是和驱手存储动段、数据建模、业务建模、机器学是习安、目可全标视化分析
H-IPS
H-FW
vSwitch
VPN vWAF vDBA vJH
…
安全服务
• 不断丰富的安全服务覆盖网络、主机、应用。 • 开放的安全平台,可与第三方厂家对接。
安全运维管理
应用和数据安全
身份鉴别 访问控制 安全审计
软件容错 资源控制
数据完整性1 数据保密性2
数据备份恢复5 剩余信息防护2 个人信息保护1
Internet
云端威胁情报
安全日志
业务资源池
云安全管理平台
vSwitch
防护策略
WEB 1
HAV
WEB 2
HAV
APP1
HAV
APP2
HAV
DB1
HAV
DB2
HAV
SecOps:威胁情报在云安全领域的价值
让管理者更智慧 • 运营情报(TTP) • 战略情报
让运营者更高效
• 威胁情报分析平 台
预测
风险评估
攻击预测
系统加固 诱导攻击
防御
安全基线
持续监控
防御攻击
修复/完善
分析
检测攻击
让设备更智能
方案改进
确认及排序
• 失陷检测情报 • 文件信誉情报
响应
调查取证
遏制攻击
• IP信誉情报
检测
• 运营情报(TTP)
安全体系的进化论
依赖
进化
架构安全
加强自身 强身健体
被动防御
构筑工事 纵深防御
积极防御
威胁情报
安全事件记录 安全态势感知
安全威胁趋势 指定资产的安全策略
SecOps:策略动态调度、安全模板派生-可管
Web服务器 应用服务器 文件服务器
SecOps:运维审计系统-可管
合规监管遵从,生态体系共赢
云安全管理平台
自服务门
运维中心
户
监控中心
云端决策体系
云端安全能力
租户
VM VM VM VM VM
物理 设备
系统管理员
安全管理员
审计管理员
管理门户
租户管理 日志审计
订单审批 自服务
分析呈现 虚拟设备管理
租户、租户….
日志收集 授权管理
vWAF 防篡改
HAV,HFW, HIPS
vFW/vIPS
X86服务器
云平台 X86服务器 TOR/EOR 交换机
云堡垒机
其他组件…
X86服务器
SecOps:安全事件-可视
身份鉴别2 访问控制2 安全审计1
主机和计算安全
入侵防范3 资源控制4
镜像与快照 保护3
恶意代码 防范
网络架构6 通信传输 边界防护
网络和通信安全
访问控制3 入侵防范
恶意代码防范
安全审计2 集中管理2
物理安全
• 云上安全组件的组合与等保2.0的要求对应, 满足合规的要求。
SecOps:事件联动分析,数据驱动安全-可分析,处置
内容提纲
• 云安全需求分析 • 云安全运营能力定义 • 360云数据中心安全运营实践
云安全需求分析
• 安全合规 • 安全集成 • 安全管理
云建设 方
• 安全责任 • 安全运营
云运营 • 安全合规 方
• 安全隔离 • 事件监测 • 安全合规
wk.baidu.com
云租户 方
云监管 方
• 数据泄露 • 事件管理 • 安全合规
安全运营(SecOps)能力定义-PPT
People 安全意识 安全角色 安全组织
Process 安全事件监控 安全事件发现 安全事件处理
风险管理
Technology 安全平台 安全设备 安全技术
• 可见 • 可管 • 可分析 • 可处置
SecOps:可运营的云安全管理平台
云安 全管 理平 台
云安 全资 源池 云平 台
Thanks !
反制进攻
全面监测 快速响应
获取情报 准确预警
进攻反制 先发制人
Source: SANS-2015-积极安全防御体系
数据驱动安全带来革命性的改进
数据
战攻法防研技究术
威掌胁握情敌报
是基础了态解势我感情知
作协战同方防案御
数据采集分析
海量数据采集是和驱手存储动段、数据建模、业务建模、机器学是习安、目可全标视化分析
H-IPS
H-FW
vSwitch
VPN vWAF vDBA vJH
…
安全服务
• 不断丰富的安全服务覆盖网络、主机、应用。 • 开放的安全平台,可与第三方厂家对接。
安全运维管理
应用和数据安全
身份鉴别 访问控制 安全审计
软件容错 资源控制
数据完整性1 数据保密性2
数据备份恢复5 剩余信息防护2 个人信息保护1
Internet
云端威胁情报
安全日志
业务资源池
云安全管理平台
vSwitch
防护策略
WEB 1
HAV
WEB 2
HAV
APP1
HAV
APP2
HAV
DB1
HAV
DB2
HAV
SecOps:威胁情报在云安全领域的价值
让管理者更智慧 • 运营情报(TTP) • 战略情报
让运营者更高效
• 威胁情报分析平 台
预测
风险评估
攻击预测
系统加固 诱导攻击
防御
安全基线
持续监控
防御攻击
修复/完善
分析
检测攻击
让设备更智能
方案改进
确认及排序
• 失陷检测情报 • 文件信誉情报
响应
调查取证
遏制攻击
• IP信誉情报
检测
• 运营情报(TTP)
安全体系的进化论
依赖
进化
架构安全
加强自身 强身健体
被动防御
构筑工事 纵深防御
积极防御
威胁情报
安全事件记录 安全态势感知
安全威胁趋势 指定资产的安全策略
SecOps:策略动态调度、安全模板派生-可管
Web服务器 应用服务器 文件服务器
SecOps:运维审计系统-可管
合规监管遵从,生态体系共赢
云安全管理平台
自服务门
运维中心
户
监控中心
云端决策体系
云端安全能力
租户
VM VM VM VM VM
物理 设备
系统管理员
安全管理员
审计管理员
管理门户
租户管理 日志审计
订单审批 自服务
分析呈现 虚拟设备管理
租户、租户….
日志收集 授权管理
vWAF 防篡改
HAV,HFW, HIPS
vFW/vIPS
X86服务器
云平台 X86服务器 TOR/EOR 交换机
云堡垒机
其他组件…
X86服务器
SecOps:安全事件-可视
身份鉴别2 访问控制2 安全审计1
主机和计算安全
入侵防范3 资源控制4
镜像与快照 保护3
恶意代码 防范
网络架构6 通信传输 边界防护
网络和通信安全
访问控制3 入侵防范
恶意代码防范
安全审计2 集中管理2
物理安全
• 云上安全组件的组合与等保2.0的要求对应, 满足合规的要求。
SecOps:事件联动分析,数据驱动安全-可分析,处置