信创云安全建设实践
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
鲲鹏920
多城市信创云安全部署方案
安全 管理
安全 策略
安全 能力
A市云安全管理入口
安全 管理
安全 策略
安全 能力
B市云安全管理入口
WEB 1
APP1
DB1
VPC1
WEB 2
APP2
DB2
VPC2
WEB n
APPn
DBn
VPCn
数据 分析
数据 存储
数据 采集
A市云资源池
安全 管理
安全 策略
安全 能力
APP1
WEB 2
APP2
WEB n
APPn
DB1 VPC1
DB2 VPC2
DBn VPCn
C市云资源池
WEB 1
APP1
WEB 2
APP2
WEB n
APPn
DB1 VPC1
DB2 VPC2
DBn VPCn
D市云资源池
WEB 1
APP1
WEB 2
APP2
WEB n
APPn
DB1 VPC1
DB2 VPC2
C市云安全资源 池
安全 管理
安全 策略
安全 能力
D市云安全资源池
WEB 1
APP1
DB1
VPC1
WEB 2
APP2
DB2
VPC2
WEB n
APPn
DBn
VPCn
数据 分析
数据 存储
数据 采集
B市云资源池
安全 管理
安全 策略
安全 能力
E市云安全资源池
安全 管理
安全 策略
安全 能力
F市云安全资源 池
WEB 1
云安全管理平台
云安全管理平台
云安全组件
VSMS,DBA,BH,vSCAN
操作系统
银河麒麟4.x/10.0系列
硬件平台
飞腾 FT2000
2020年Q2完成迁移
云安全管理平台 VSMS,DBA,BH,vSCAN EasyStackv5.0.3 飞腾 FT2000
2020年Q3完成迁移
云安全管理平台 VSMS,DBA ,BH,vSCAN,W AF 云平台FSC6.5.1
Automation Response
云安全建设目标-云安全闭环管理
让管理者更智慧 让运营者更高效
预测
风险评估
攻击预测
系统加固 诱导攻击
防御 让防御更全面
安全基线 修复/完善
持持续续检监控测
分析
防御攻击 检测攻击
响应
方案改进 调查取证
确认及排序
遏制攻击
检测
让设备更智能
信创生态合作
2020年Q1完成迁移
XDR: Everything Detecting and Response 对策略统一管理 ➢ EDR ➢ NDR ➢ Orchestration Engine ➢ SFC: Service Function Chain ➢ SDN: Tungsten Fabric ➢ SOAR: Security Orchestration,
安全资源服务化
快速交付 Ø 弹性伸缩 Ø按需服务 Ø 异构云支持 Ø 多云支持 Cloud Infrastructure: 安全资源虚拟化并以服务形态提供 ➢ NUMA-pinning, CPU-pinning ➢ KVM/OVS/Ceph/OpenStack ➢ Multi-Region ➢ DPDK, SR-IOV,VirtIO ➢ Multi-Cloud
资源SSO接口
Fra Baidu bibliotek资源授权接口
资源配置接口
安全服务平台南向接口
完善安全服 务PaaS平台 提高平台产
品易用性
目前产品覆 盖IaaS层范
围
安全基础资源
VPC
IP Tables
vSCAN
vFW
NTA
AV
vWAF
Log
vDBA
vJH
云安全资源
NFV安全资源
云安全中台核心价值
效率
成本
客户价值 核心能力 技术支撑
DBn VPCn
E市云资源池
WEB 1
APP1
WEB 2
APP2
WEB n
APPn
DB1
DB2
DBn
VPC1
VPC2
VPCn
F市云资源池
业务数据
告警数据 策略数据
THANKS
信创云安全建设实践
安全能力内生体系
全局可控
资源可控 用户可控 数据可控
安全内生
能力下沉 弹性部署 资源池化
统一运营
数据驱动 威胁可视 协同联动
业依
务法
安
依 规
全
标
准标
体准
系
统 一
数据采集
业 务 数 据 中 心
安全运营平台
响应控制
业务应用 数据资源 云计算平台
检安 测全 防资 御源
用
安
户
全
接
入
民
用
云
安全服务管理系统
服务目录 服务分类册 服务分级
能力管理
服务检索
服务注
人工注册
自动注册
服务发布
服务撤
销
安全服务平台北向接口
服务调度
实例管理 容量管理
服务编排 服务监控
服务接口
配置管理
策略编排
能力调度
信息查询
资源管理 识别服务
能力管理 防护服务
检测服务
规则管理
响应服务
服务管理层 资源管理层
云平台标准接口
基础安全服务能力
安全基础设施
建设思路
组
1. 从被动防御向积极防御叠加演进
织 保 障
安 全 运
2. 以数据全生命周期保护为核心的 纵深防御体系
营 3. 建设全局身份安全管理
运 行
管 理
4. 全网动态授权访问控制
支 撑
体
5. 资源池化的安全智能服务
系 6. 数据驱动的自适应安全运行管理
云安全能力中台
云安全管理平台
安全能力一体化
统一运维管理 Ø 虚拟化组件生命周期管理 ➢ SSO,License,Log,Upgrade统一管理 Ø 物理设备纳管
SDS: Software Defined Security 安全资源统一管理 ➢ OpenAPI ➢ NFV-MANO
安全运营自动化
编排联动 Ø 策略编排 Ø 联动响应
多城市信创云安全部署方案
安全 管理
安全 策略
安全 能力
A市云安全管理入口
安全 管理
安全 策略
安全 能力
B市云安全管理入口
WEB 1
APP1
DB1
VPC1
WEB 2
APP2
DB2
VPC2
WEB n
APPn
DBn
VPCn
数据 分析
数据 存储
数据 采集
A市云资源池
安全 管理
安全 策略
安全 能力
APP1
WEB 2
APP2
WEB n
APPn
DB1 VPC1
DB2 VPC2
DBn VPCn
C市云资源池
WEB 1
APP1
WEB 2
APP2
WEB n
APPn
DB1 VPC1
DB2 VPC2
DBn VPCn
D市云资源池
WEB 1
APP1
WEB 2
APP2
WEB n
APPn
DB1 VPC1
DB2 VPC2
C市云安全资源 池
安全 管理
安全 策略
安全 能力
D市云安全资源池
WEB 1
APP1
DB1
VPC1
WEB 2
APP2
DB2
VPC2
WEB n
APPn
DBn
VPCn
数据 分析
数据 存储
数据 采集
B市云资源池
安全 管理
安全 策略
安全 能力
E市云安全资源池
安全 管理
安全 策略
安全 能力
F市云安全资源 池
WEB 1
云安全管理平台
云安全管理平台
云安全组件
VSMS,DBA,BH,vSCAN
操作系统
银河麒麟4.x/10.0系列
硬件平台
飞腾 FT2000
2020年Q2完成迁移
云安全管理平台 VSMS,DBA,BH,vSCAN EasyStackv5.0.3 飞腾 FT2000
2020年Q3完成迁移
云安全管理平台 VSMS,DBA ,BH,vSCAN,W AF 云平台FSC6.5.1
Automation Response
云安全建设目标-云安全闭环管理
让管理者更智慧 让运营者更高效
预测
风险评估
攻击预测
系统加固 诱导攻击
防御 让防御更全面
安全基线 修复/完善
持持续续检监控测
分析
防御攻击 检测攻击
响应
方案改进 调查取证
确认及排序
遏制攻击
检测
让设备更智能
信创生态合作
2020年Q1完成迁移
XDR: Everything Detecting and Response 对策略统一管理 ➢ EDR ➢ NDR ➢ Orchestration Engine ➢ SFC: Service Function Chain ➢ SDN: Tungsten Fabric ➢ SOAR: Security Orchestration,
安全资源服务化
快速交付 Ø 弹性伸缩 Ø按需服务 Ø 异构云支持 Ø 多云支持 Cloud Infrastructure: 安全资源虚拟化并以服务形态提供 ➢ NUMA-pinning, CPU-pinning ➢ KVM/OVS/Ceph/OpenStack ➢ Multi-Region ➢ DPDK, SR-IOV,VirtIO ➢ Multi-Cloud
资源SSO接口
Fra Baidu bibliotek资源授权接口
资源配置接口
安全服务平台南向接口
完善安全服 务PaaS平台 提高平台产
品易用性
目前产品覆 盖IaaS层范
围
安全基础资源
VPC
IP Tables
vSCAN
vFW
NTA
AV
vWAF
Log
vDBA
vJH
云安全资源
NFV安全资源
云安全中台核心价值
效率
成本
客户价值 核心能力 技术支撑
DBn VPCn
E市云资源池
WEB 1
APP1
WEB 2
APP2
WEB n
APPn
DB1
DB2
DBn
VPC1
VPC2
VPCn
F市云资源池
业务数据
告警数据 策略数据
THANKS
信创云安全建设实践
安全能力内生体系
全局可控
资源可控 用户可控 数据可控
安全内生
能力下沉 弹性部署 资源池化
统一运营
数据驱动 威胁可视 协同联动
业依
务法
安
依 规
全
标
准标
体准
系
统 一
数据采集
业 务 数 据 中 心
安全运营平台
响应控制
业务应用 数据资源 云计算平台
检安 测全 防资 御源
用
安
户
全
接
入
民
用
云
安全服务管理系统
服务目录 服务分类册 服务分级
能力管理
服务检索
服务注
人工注册
自动注册
服务发布
服务撤
销
安全服务平台北向接口
服务调度
实例管理 容量管理
服务编排 服务监控
服务接口
配置管理
策略编排
能力调度
信息查询
资源管理 识别服务
能力管理 防护服务
检测服务
规则管理
响应服务
服务管理层 资源管理层
云平台标准接口
基础安全服务能力
安全基础设施
建设思路
组
1. 从被动防御向积极防御叠加演进
织 保 障
安 全 运
2. 以数据全生命周期保护为核心的 纵深防御体系
营 3. 建设全局身份安全管理
运 行
管 理
4. 全网动态授权访问控制
支 撑
体
5. 资源池化的安全智能服务
系 6. 数据驱动的自适应安全运行管理
云安全能力中台
云安全管理平台
安全能力一体化
统一运维管理 Ø 虚拟化组件生命周期管理 ➢ SSO,License,Log,Upgrade统一管理 Ø 物理设备纳管
SDS: Software Defined Security 安全资源统一管理 ➢ OpenAPI ➢ NFV-MANO
安全运营自动化
编排联动 Ø 策略编排 Ø 联动响应