医疗行业云安全解决方案

•
应保证当虚拟机迁移时，访问控制策略随其迁移；
上升为法律: 网络安全法
•
应提供开放接口或开放性安全服务，允许云服务客户
接入第三方安全产品或在云平台选择第三方安全服务。 应实现不同云服务客户虚拟网络之间的隔离 应具有根据云服务客户业务需求自主设置安全策略集 的能力，包括定义访问路径、选择安全组件、配置安 全策略；
9
攻击如何发生的？
Unconstrained communication
Little or no lateral controls inside perimeter Low priority systems are targeted first.
Attackers can move freely around the data center.
MICRO-SEGMENTA TION LIMITS DEVICE ACCESS TO ONLY WHAT IS NEEDED
VDI at a branch or remote location
INTERNET
DATA CENTER
Mobile device in the field or at home
• 分布式内核态，每主机20Gbps+ • 无需引流，无网络hop，部署运维简单 • 丰富的VM属性，简化Fw策略部署
非NSX vm-based防火墙：
• 虚拟机形态部署，vds夹层，性能低
• 复杂的vlan及vds拼接引流，额外的故障点和维护点 • 仅支持ip子网分组，或者基本的vm名称和端口组 • 仅支持DC及站点内部vSOM防火墙部署 • 无VMware官方support。 • 仅vNGFW功能，无代理杀毒仍需第三方 • 多租户，vDS，SDN兼容问题，额外的opex
Modern apps today are distributed in nature
Security needs to reach beyond an individual VM
WEB
DB
Each VM is typically part of a larger application
15
基于用户身份识别的信息安全隔离
DATA CENTER PERIMETER
Laptop or desktop at work or home
14
MICRO-SEGMENTATION
面向业务的安全隔离
Maintain that level of consistent security across an entire application
医疗行业数据中心的安全解决方案
黎晓红
4 May 2018
2
3
全球信息安全调查报告
4
2017年全国医疗行业信息安全调查报告
• 在4663个全国医疗执业单位互联网资产样本的风险检测中，风险排名前五位的依次是：域名信息
泄露、恶意代码、异常流量、僵尸网络、IP被封。
• 从外部威胁来看，65%的医疗执业单位认为网络被攻击，对外通信中断为最重大的安全风险；其
Proliferation of devices accessing the data center, yet not all are secured
SECURE END USER
MOBILE WORKERS HAVE BROAD ACCESS TO DATA CENTER RESOURCES
虚拟桌面／远程登录用户
网络安全法将网络安全等级保护变更为基本制度，基本国策，上升 为法律。 第二十一条 国家实行网络安全等级保护制度，网络运营者应当按 • 照网络安全等级保护制度要求，履行安全保护义务。 第三十一条，国家对关键基础设施，在网络安全等级保护基础上， 实行重点保护。 •
•
应能检测到云客户虚拟机发起的网络攻击行为
• 支持跨DC，VC，站点统一安全策略管理、部署、迁移
• NSX部署无拓扑依赖，ip可达即可 • NSX平台不仅安全，支持更多的使用场景
NSX实现软件定义数据中心云安全虚拟化平台 – Cloud Security
THANK YOU
虚拟机服务器
传播途径
Source from Hong Kong Hospital Authority
零信任安全模型
安全微分段
•
安全监控与分析软件
21
NSX架构扩展性：广泛的合作伙伴生态系统
基于NSX NETX集成的第三方分布式vNGFW实现
VMware NSX分布式防火墙与非NSX技术对比
NSX分布式内核防火墙：
Data Center Perimeter
Zero Trust Model, DMZ Anywhere
日常安全管理
18
做好三件事
基于业务安全微分段的分析， 评估和策略
端到端的可视化故障排除
实时的数据中心整体健康报告
Across Virtual, Physical and Cloud
19
信息安全的监控与数据分析
Application Resources
HR
Finance
Email
SharePoint
小张 (人事部)
小王 (财务部)
Human Resources
Finance
虚拟桌面工作站
16
建立前-中-后360度全方位立体防御
Secure User Environments
Delivering inherently secure infrastructure
Business value More secure and 1/3 the cost of less secure infrastructure
Internet
Security policies simplified
Logical groups enabled
DMZ
Threats contained
6
安全合规是虚拟化云计算场景首要考虑因素
• GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》
GB/T 22239-XXXX 《信息安全技术 网络安全等级保护基本要求》 适用范围：凡是承载等保业务的云平台均受约束
应允许云服务客户设置不同虚拟机之间的访问控制策 略；
INTERNET
移动用户
DATA CENTER
DATA CENTER PERIMETER
桌面工作站
12
NSX实现软件定义数据中心云安全虚拟化平台 – Cloud Security
SECURE END USER
虚拟机之间的“零信任”信息安全隔离
Extend micro-segmentation out to secure the end user device
如何防御？
8
典型黑客攻击与防御
黑客发现漏洞
利用漏洞制作 Βιβλιοθήκη Baidu毒，勒索软 件
发起零日 攻击
大规模感染，公 众发现
安全厂家研制补 丁和识别码
厂家发放布丁
用户安装 补丁，识 别码
Day Zero
Window of Vulnerability 安全真空期
9
Source from Hong Kong Hospital Authority
Internet
10110100110 Attackers then gather and 101001010000010 exfiltrate data over weeks 1001110010100
or even months.
Data Center Perimeter
11
数据中心的安全威胁
Security Analytic and Network Visibility for Physical and Virtual Network
主动式的监控管理
20
面对未知的安全威胁防御方法
VMware 数据中心安全方案
Eco-System Partner Solutions
病毒／恶意代码／ 勒索软件
数据来源：东软对外发布《数据至上，业务安全--2017年医疗行业信息安全调查报告》
5
医疗行业相关信息安全规范管理
• 《中华人民共和国网络安全法》 • 《信息安全技术 网络安全等级保护基本要求》 • 新版《互联网医疗保健信息服务管理办法》 • 国际标准化组织（ISO）发布的ISO17090：2008《卫生信息-公共要素信息结构》
次窃取患者身份、病例或治疗信息排名第2位。从内部威胁来看，68%的单位认为员工安全意识 薄弱是目前最大的挑战，系统以及数据管理存在漏洞排名第2位，内容人员系统访问权限混乱位 居第3位。
• 面对新技术发展趋势，医疗机构将面临新的挑战，受访单位的安全期望前三位依次是：76%的受
访单位认为保证复杂的医疗事务大数据安全，60%认为保证智慧化医疗流程、结果、“物-物交 互”的安全，57%认为需要标准化的安全控制指南