奇安信云安全管理平台产品白皮书

目录

1.引言 (1)

2.产品介绍 (2)

2.1.产品概述 (2)

2.2.产品架构 (2)

2.3.部署模式 (4)

2.4.产品模块 (4)

3.技术特点 (6)

3.1.平台稳定可靠 (6)

3.2.丰富的安全服务组件 (7)

3.3.分布部署，统一管理 (9)

3.4.用户与资产结构 (10)

3.5.安全服务链编排 (12)

3.6.用户自助服务 (13)

3.7.计量计费账单 (14)

3.8.云安全态势感知 (14)

3.9.集中升级管理 (15)

3.10.支持IPv4/IPv6双栈 (15)

4.产品简述 (17)

4.1.安全市场 (17)

4.1.1.自主安全组件 (17)

4.1.2.第三方安全组件 (19)

4.2.组件管理 (20)

4.3.资产管理 (21)

4.4.租户信息同步 (21)

4.5.监控告警 (22)

4.6.订单管理 (24)

4.7.工单管理 (25)

4.8.计量计费 (26)

4.9.报表管理 (27)

4.10.云安全态势 (27)

4.11.日志审计 (29)

5.产品价值 (30)

1.引言

随着云计算的普及，大量分散数据集中到私有云和公有云内，这些数据中包含的巨大信息和潜在价值也吸引了更多的攻击者，根据国家计算机网络应急技术处理协调中心（简称CNCERT/CC）报告，网络安全事件依然持续不断爆发，而针对云上安全防护的需求也将与日俱增。《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》等云计算标准对云环境中的安全防护的标准和范围做出了明确的要求，云上的安全责任将由云服务提供商与租户共担，需要充分保证租户业务安全的同时还要求云服务提供商能持续运营安全服务。

传统单纯依靠部署虚拟化安全设备的方式，部署周期长，使用不便利，配置复杂已经无法满足云环境下安全的需求。用户希望能够构建一套使用便利，可持续运营，覆盖从边界到主机、应用的立体化云安全防护体系。

2.产品介绍

2.1.产品概述

传统业务开始往各种云上迁移后，云内承载的业务越来越多，而云内业务安全建设却远远落后于业务迁移的进度，构建的云上业务安全体系不仅要从边界入侵防范、主机恶意代码防范、数据库审计等传统安全防护能力着手，更要让各种安全服务能力与云计算按需交付的特点进行深度的结合，并通过各种云端、大数据的能力，构建一个全方位的云安全解决方案。

云安全管理平台一个架构先进、适用范围广的云计算安全管理产品，能广泛兼容多种云计算环境，为云服务提供商搭建安全服务能力供给平台，实现安全服务的可运营、可持续产出。平台提供的整体安全能力覆盖了云外南北向访问安全、云内主机东西向访问安全、到主机安全、漏洞管理、web应用层面完整的安全防护体系和多种审计手段。同时，云安全管理平台结合了奇安信优势的云端防护能力和大数据未知威胁检测能力，能够为各种公有云、行业云、私有云构建一套真正属于云时代的安全防护框架。

本文档为您介绍云安全管理平台以及其所用到的关键技术。

2.2.产品架构

云安全管理平台提供了一个可持续运营的安全服务平台，并面向云计算的租户和管理员提供租户管理、自服务、防护工单、计量计费等功能。平台内集成了丰富的安全组件，包括智慧防火墙、主机安全等等组件从网络、主机、应用等多个层面保障云租户的业务安全。

安全管理平台架构如下图所示：

主要组件及其功能：

●本地防护组件：在本地安全资源池内提供具体安全功能和防护能力的安

全实例，包括主机安全控制中心、智慧防火墙、网站防护（WAF）、堡垒机等，各种安全组件运行在奇安信安全云上。奇安信安全云，是奇安信自主知识产权的私有云平台，基于标准x86服务器实现计算、存储、网络能力的虚拟化，为安全管理平台和租户的虚拟化安全设备提供计算、存储、网络环境。奇安信云安全资源池是国内首个完整支持多资源池部署、多区域网络引流、统一管理的安全资源池。

●云安全管理平台：核心管理平台，负责本地安全组件的生命周期管理、

授权激活、日志收集、安全策略。并为系统用户提供诸如租户管理、订单工单审批、自服务、计量计费等功能。云安全管理平台提供对租户的自助门户和系统管理门户，根据不同的登录角色进行区分。

●云平台：云安全管理平台保持开放、兼容的策略，可以与第三方的云管

理平台对接。实现统一的用户认证，租户、账号、资产数据同步。通过统一的用户登录和数据同步，优化用户使用流程。

大数据平台：云安全管理平台能够将各种安全日志以标准格式提供给用户大数据分析平台，并且提供了大量的接口给数据分析平台进行联动。

2.3.部署模式

云安全资源池支持多区域部署，在需要安全服务的数据中心内部署一套云安全资源池，可以为该数据中心内的业务提供的完整的安全服务。云安全资源池建立在独立硬件环境上与已有的云平台完全解耦，可以与多种云平台实现共存。租户申请的安全服务以虚拟化NFV设备的形式运行在安全资源池内，不同的租户之间的安全设备通过虚拟网络实现逻辑的隔离。安全资源池集成丰富的安全组件供租户购买和选择。

2.4.产品模块

云安全管理平台的主要组件及其功能：

模块功能

云安全管理平台软件通过集成多种安全组件，实现以下的功能：

安全市场：允许云计算租户按需在云安全管理平台的门户上申请安全防护资源，实现安全资源的在线申请、自动化开通。安全组件管理：对安全实例全生命周期的统一管理。

资产管理：关联用户资产与安全服务。

监控告警：安全组件资源、状态监控统一告警。

服务编排：对安全组件的可视化编排部署

工单防护：对安全组件的策略下发和审核

报表管理：集合多维报表。

计量计费：支持对云租户使用的安全资源计量和计费，实现资源使用情况可量化

多租户：支持多租户模式，云平台租户同步。

IPv6支持：支持IPv4/IPv6双栈

云安全资源池基于软件定义安全的架构设计理念，在奇安信安全云平台基础上以云安全需求的角度设计的安全资源池化平台，与云平台架构松耦合设计，支撑丰富多样、快速上线的安全组件，确保可扩展性、灵活性和稳定性的云安全防护。