首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >融合ICT数据中心云等保2.0解决方案

融合ICT数据中心云等保2.0解决方案

作者头像
ICT售前新说
发布2019-08-12 15:10:34
1.6K0
发布2019-08-12 15:10:34
举报
文章被收录于专栏:ICT售前新说ICT售前新说

前段时间研读了公安部发布的等保2.0安全标准,有了一些自己的理解来今天来和大家分享一下,等保2.0的中心思想是“一个中心,三重防护”,一个中心指的是打造一个安全管理中心,三重防护指的是边界安全防护、通信安全防护、计算安全防护。2.0和1.0相比,在现有1.0通用安全要求之上增加了云计算安全、移动互联安全、物联网安全、工控系统安全、大数据安全等5个方面的内容。

今天我们的重点对象是数据中心云等保,无论是公有云、私有云、政务云、行业云,要满足云等保2.0的合规要求,如果细分可以分为要保证云平台安全、云租户安全、东西向流量安全、南北向流量安全、安全运维。

从大层面来讲,云安全主要是从2个层面进行防护,云平台安全防护和租户安全防护。

云平台安全防护按照传统的等保3级标准来做,如建设云检测区域(包括入侵检测IDS、行为管理ACG、数据库审计等一系列安全设备)和云外管理区域(包含云端运维、安全纳管平台、SOC、态势感知产品),可以保证云平台的安全防护。

租户安全防护,要保证租户安全要打造一个完整的租户服务目录,可以按照租户安全需求经租户流量引到对应的安全增值服务的产品中做流量的安全防护,一套完整的租户服务目录要包括(NGFW、LB、虚拟化堡垒机、日志采集器、终端防病毒等一系列安全增值服务),此外在虚机内部可以部署微隔离产品保证虚机自身的安全。当租户服务目录定义好后通过SDN引流手段进入租户服务目录,按照安全需求进行安全资源的灵活调度。

下面以广州政务云为例说一下数据中心云计算安全防护解决方案:

(1)在云环境外部部署多业务安全资源池:主要保护的是南北向流量的安全,就是说流量进出数据中心时按照既定策略会经过多业务安全资源池进行流量的安全过滤,在安全资源池中主要包括防火墙资源池、负载均衡资源池等常见的安全设备。一般是通过硬件设备虚拟化的形式将安全资源切片,从而为每个租户提供相应的南北向流量的安全防护。

(2)为保障云平台安全,还要部署安全管理区域和安全检测区域:安管区域部署的设备主要有堡垒机、漏扫认证系统等设备做安全纳管,安管区域的流量是管理流量,安全检测区域主要做的是安全可视化,这个区域涉及的产品有数据库审计、入侵检测等,安检区域的流量是检测流量。

(3)接下来就要保障云租户安全了,设立云安全资源池是保障云租户安全的核心,主要做的是保障流量的东西向安全,云安全资源池资源主要包括V-FW、V-LB、组合而成的一套租户服务目录,按照选配好的安全服务将流量引流到云安全资源池中做一系列的安全加固。

(4)同时为了保证计算资源池的深度安全除了常规的防护以外,每台虚机通过部署杀毒软件的方式做主机加固,将服务器安全提升到另一个高度。

(5)最后在数据中心出口即云边界部署常规的安全产品如抗D、IPS、LLB、异构防火墙等一些列的安全防护措施,出口安全至关重要相当于网络安全的雁门关,所以在出口要部署各类安全产品组成安全防护矩阵来抵御大部分网络威胁。

通过以上5类防护措施可以打造一个从从云内部到云边界的安全防护环境,在技术层面可达到云等保的相关要求,帮助用户达到等保合规标准。

以上是我对数据中心云等保的理解与认识,希望能给各位兄弟带来一些帮助,温馨提示:如果您觉得本文对您有帮助,请在右下角点击“在看”,并欢迎关注我的微信公众号:“ICT售前新说”并欢迎大家转发。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-08-05,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 ICT售前新说 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
堡垒机
腾讯云堡垒机(Bastion Host,BH)可为您的 IT 资产提供代理访问以及智能操作审计服务,为客户构建一套完善的事前预防、事中监控、事后审计安全管理体系,助力企业顺利通过等保测评。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档