公有云 IaaS 安全场景解决方案


随着云计算技术的普及,越来越多的企业基于业务需要、建设成本、运维效率等考虑,按照自身的业务需求从公有云上租用相应的计算资源与应用服务,来实现业务的快速发展。然而在云计算环境中,传统的安全边界被打破,业务场景变得更加复杂,恶意木马、高危漏洞、云上勒索、网络攻击等主流安全风险持续上升,使得用户在公有云上的业务面临更为严峻的安全挑战。

挑战与需求

在公有云IaaS场景中,云安全责任由云平台服务商和租户共同承担。云服务商主要确保公有云平台基础设施(计算、存储、网络等)和虚拟化架构的安全,并保证云平台满足国家安全等级保护要求;云租户则需要自行对云上的云主机、云网络、业务应用、中间件和数据库等各类可控资源进行安全管理和防护,基于租户所需要承担的安全责任,在公有云环境中租户所面临的主要安全挑战有:

  • 云内资产存在安全脆弱性问题(如高危漏洞、风险服务、弱口令、远程后门等)。
  • 云内安全组无法应对现今基于应用的网络威胁,威胁入侵更加容易。
  • SQL注入、XSS攻击、网站挂马等Web应用安全风险。
  • 云内业务数据面临被泄露和被窃取的风险。
  • 各类安全资产难以实现统一运维与合规管理。

解决方案

为助力用户构建安全的公有云业务防护体系,落实租户安全等级保护要求,山石网科凭借丰富的网络安全经验,总结出适用于公有云场景的IaaS安全解决方案,从租户内的云主机、云网络、应用软件、业务数据、运维管理和日志审计等方面进行安全防护,帮助用户构建稳定、高效、安全的公有云业务环境。

在山石公有云IaaS安全解决方案中,租户可在公有云市场灵活选购满足自身防护需求的山石公有云安全产品(如云·界虚拟化防火墙、云Web应用防火墙、云堡垒机、云数据库审计等),从而实现租户内差异化、精细化的IaaS安全防护能力。通过公有云安全管理中心,租户能够方便实现山石公有云安全产品的下单、资产管理和用量计费,并且可以全面掌握云安全态势,实现便捷、高效的安全运维与防护。

租户资产脆弱性检查

山石虚拟化远程安全评估系统vRAS能够为公有云租户内的各类云资产(如云主机、云数据库、中间件、Web站点等)提供全方位的系统扫描检查和评估方案,支持对主流操作系统、Web站点、云数据库等进行深度扫描,协助运维人员高效、准确的对租户内部系统进行实时自检,及时发现可被攻击者利用的安全漏洞、弱口令、错误配置等安全问题,并提供详细、专业的安全建议和修补方案,有效提升整网的健壮性和安全性。

租户网络安全防护

租户出口边界安全防护需要考虑进出流量的安全检测及威胁防护,同时安全防护方案需要具备高可靠性。采用山石云·界虚拟化防火墙(以下简称“云·界”)进行安全防护,能够提供如下价值:

  • 最小授权原则,基于应用级别进行安全访问控制,默认设置拒绝。
  • 入侵防御,精准识别并阻断外部发起的网络攻击行为。
  • 带宽优化,多维度应用识别及流量管控,精准分配带宽资源。
  • 防病毒,恶意代码的检测、防护和清理。
  • 支持HA部署,确保业务系统的可用性和连续性。

同时为满足运维人员对公有云内业务系统的安全管理需求 , 需要建立安全数据通道并考虑数据远程传输的安全性和稳定性。采用山石云·界并开启 VPN 功能,能够实现数据的加密传输,为用户提供安全稳定的连接,用户能够随时随地高效运维。

此外云租户内不同业务网段之间会有流量互访,为防止安全威胁在不同业务之间蔓延从而造成企业正常业务的严重损害,需要根据互访关系对业务网段之间的流量实现精细化的访问控制,使每一个业务网段都可以通过云·界进行防护,为用户提供公有云租户内网络之间的安全隔离。

租户Web应用安全防护

公有云租户内的Web业务系统是互联网可以直接访问的,企业在保证服务质量的同时,还需要对Web应用进行专业的安全防护,防止Web业务系统被攻击者入侵进而导致企业重大损失。

针对 Web 应用,企业可部署山石虚拟化Web应用防火墙vWAF产品对Web服务进行应用层安全防护,能够防范SQL注入攻击、跨站脚本攻击、拒绝服务攻击等网络攻击行为,同时支持Web后门检测和报警、非法攻击行为监控、恶意攻击行为分析等功能,提供多层次的Web应用防护手段,确保云上Web应用的全天候安全运营。

租户数据安全防护

山石云数据库审计与防护系统(以下简称“山石vDBA”)可对公有云租户内的云数据库访问行为进行独立审计和安全控制,帮助用户应对来自外部和内部的数据库安全威胁,满足等保要求中关于安全计算环境的数据完整性和数据保密性要求,山石vDBA能够满足:

  • 主动发现云数据库存在的漏洞、配置错误、弱口令等风险,并及时进行修复。
  • 细化到 SQL 语句级的访问控制,实时监控、识别、阻断违规的数据库操作行为。
  • 完整记录数据库的操作人、操作过程等关键信息,提供完整的追溯证据链。

租户安全运维与审计

用户选用山石虚拟化运维安全网关vOSG产品作为公有云租户内集中运维管理与运维审计的堡垒机,可将运维管理和运维安全理念相融合,通过身份认证、权限控制、账户管理、操作审计等多种手段,完成云内核心资产的统一认证、统一授权、统一审计,全方位提升运维风险控制能力。

此外结合山石虚拟化日志审计产品vHSA,可为公有云用户提供上网访问行为的监管与审计功能,配合山石云·界的NAT、IPS、上网行为分析等功能,能够有效记录接入用户的网络日志和安全日志,帮助用户解决网络出口日志审计的困扰,并为用户提供丰富便捷的日志查询功能,满足《网络安全法》及行业的监管要求,为用户提供高性价比的公有云安全审计整体解决方案。

方案价值

符合等保2.0,满足合规要求

方案按照等保2.0法规政策,并结合云计算扩展要求中租户部分的详细描述,对租户公有云上的业务进行安全防护。不仅能够保障业务连续性,还能最大化防御网络攻击,满足合规要求。

灵活适配多种云环境

方案中多样化的虚拟安全网元均采用订阅模式,可满足用户按需部署、灵活扩展的需求。此外虚拟化网元适配国内外主流公有云环境,能够让用户灵活应对公有云上业务所面临的各类安全挑战。

全方位安全立体防护

方案从租户的边界安全、应用安全、数据安全等方面多层次、全方位地进行安全防护体系建设,全面守护租户公有云内的业务。

方案应用

山石网科公有云IaaS安全解决方案中,山石云·界虚拟化防火墙是全球首家同时登陆前三大公有云(AWS、Azure、阿里云)云安全市场的vFW产品,同时还成功登陆天翼云、华为云、京东云等国内主流公有云云市场。此外方案中所提供的各类云安全网元产品均可应用于各大公有云平台,并通过了严苛的认证测试,在产品安全性和自动化部署能力等方面,得到了用户的广泛认可。