【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保测评
等保测评 您的位置:首页>等保测评 >
融合ICT数据中心云等保2.0解决方案
时间:2021-07-05阅读量:1476来源:本站关键词:云上等保 返回列表

前段时间研读了公安部发布的等保2.0安全标准,有了一些自己的理解来今天来和大家分享一下,等保2.0的中心思想是“一个中心,三重防护”,一个中心指的是打造一个安全管理中心,三重防护指的是边界安全防护、通信安全防护、计算安全防护。2.0和1.0相比,在现有1.0通用安全要求之上增加了云计算安全、移动互联安全、物联网安全、工控系统安全、大数据安全等5个方面的内容。

      今天我们的重点对象是数据中心云等保,无论是公有云、私有云、政务云、行业云,要满足云等保2.0的合规要求,如果细分可以分为要保证云平台安全、云租户安全、东西向流量安全、南北向流量安全、安全运维。

      从大层面来讲,云安全主要是从2个层面进行防护,云平台安全防护和租户安全防护。

      云平台安全防护按照传统的等保3级标准来做,如建设云检测区域(包括入侵检测IDS、行为管理ACG、数据库审计等一系列安全设备)和云外管理区域(包含云端运维、安全纳管平台、SOC、态势感知产品),可以保证云平台的安全防护。

       租户安全防护,要保证租户安全要打造一个完整的租户服务目录,可以按照租户安全需求经租户流量引到对应的安全增值服务的产品中做流量的安全防护,一套完整的租户服务目录要包括(NGFW、LB、虚拟化堡垒机、日志采集器、终端防病毒等一系列安全增值服务),此外在虚机内部可以部署微隔离产品保证虚机自身的安全。当租户服务目录定义好后通过SDN引流手段进入租户服务目录,按照安全需求进行安全资源的灵活调度。

       下面以广州政务云为例说一下数据中心云计算安全防护解决方案:

       (1)在云环境外部部署多业务安全资源池:主要保护的是南北向流量的安全,就是说流量进出数据中心时按照既定策略会经过多业务安全资源池进行流量的安全过滤,在安全资源池中主要包括防火墙资源池、负载均衡资源池等常见的安全设备。一般是通过硬件设备虚拟化的形式将安全资源切片,从而为每个租户提供相应的南北向流量的安全防护。

       (2)为保障云平台安全,还要部署安全管理区域和安全检测区域:安管区域部署的设备主要有堡垒机、漏扫认证系统等设备做安全纳管,安管区域的流量是管理流量,安全检测区域主要做的是安全可视化,这个区域涉及的产品有数据库审计、入侵检测等,安检区域的流量是检测流量。

       (3)接下来就要保障云租户安全了,设立云安全资源池是保障云租户安全的核心,主要做的是保障流量的东西向安全,云安全资源池资源主要包括V-FW、V-LB、组合而成的一套租户服务目录,按照选配好的安全服务将流量引流到云安全资源池中做一系列的安全加固。

       (4)同时为了保证计算资源池的深度安全除了常规的防护以外,每台虚机通过部署杀毒软件的方式做主机加固,将服务器安全提升到另一个高度。

      (5)最后在数据中心出口即云边界部署常规的安全产品如抗D、IPS、LLB、异构防火墙等一些列的安全防护措施,出口安全至关重要相当于网络安全的雁门关,所以在出口要部署各类安全产品组成安全防护矩阵来抵御大部分网络威胁。

       通过以上5类防护措施可以打造一个从从云内部到云边界的安全防护环境,在技术层面可达到云等保的相关要求,帮助用户达到等保合规标准。

Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。