安全挑战

数据是数字化组织的核心资产,数据的安全关系着组织的日常运行,影响组织的经营决策,干扰阻塞组织的生产和服务提供,甚至关系着组织间的竞争力与生死存亡。数据中心集中承载了组织的全部重要数据及其应用服务,因此,数据中心的安全对组织来说至关重要。

目前,数据中心主要面临如下的安全风险:

1.信息基础设施与数据基础设施的相关系统中,来自内外部的攻击者可利用软件漏洞、配置脆弱性等进行攻击,破坏基础设施、系统、数据的可用性。

2.内外部攻击者利用应用系统漏洞和脆弱配置非法访问和窃取数据资产。

3.非法用户利用窃取凭证等手段对数据资产进行非授权访问导致隐私与机密数据泄露。

4.应用开发维护、数据运维、基础设施系统运维过程中,经常出现因为人员的误操作和情绪冲动导致的系统、应用、数据的恶意损坏,甚至直接导致业务中断。

客户需求

随着Internet应用日益深化,尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。以下是当前数据中心面临的一些主要安全挑战:网络边界接入风险、面向应用层的攻击、虚拟化安全风险、APT攻击风险、数据泄密风险、安全运维的挑战等。

解决方案

奇安信数据中心安全解决方案以身份为中心,对用户和应用的数据访问进行细粒度控制,对数据访问过程中涉及到的所有实体进行系统性的防护和威胁检测,构建数据访问防御纵深形成相互协同的安全能力体系,并对系统和应用的开发运维环节进行有效的管理。


1.建设安全访问区

建设安全访问区,集中数据中心的访问入口,对所有访问数据中心的用户问与应用进行逻辑隔离。

2.边界防护

在安全访问区边界对进出流量进行访问控制,仅放行对外开放服务的访问流量;在访问区内外边界进行网络入侵检测与防护,对所有访问流量进行威胁检测和数据泄露检查;对安全访问区内接入设备进行发现,对发现的设备定期进行设备的漏洞扫描和配置基线核查。

3.用户访问域防护

在用户访问域内,通过访问代理隐藏真实的应用服务,汇聚所有用户的访问,并强制执行用户执行认证策略,检查终端身份和环境安全信息,对用户进行应用级别的访问鉴权。同时,为用户访问域内的应用服务器安装安全防护软件,进行漏洞扫描与补丁管理,对应用服务和系统进行脆弱性配置检查,并进行配置加固,对进出的文件进行病毒检测和查杀,监控并收集系统的行为,并进行未知威胁分析确认,对主机网络访问控制进行策略检查。

4.应用访问域防护

对访问数据中心的应用程序进行身份认证和安全环境检查,并为外部应用提供数据访问能力。

5.数据中心安全防护

在数据中心访问边界、内部应用或者数据子域间,进行流量访问控制、网络威胁检测、数据泄露检测;在数据子域边界,对数据访问操作进行访问控制和访问审计。同时,方案还能为访问数据中心的所有实体提供身份认证和统一授权与鉴权,并通过终端环境感知能力,接收终端、服务器的环境状态信息,部署业务安全策略控制服务设备,汇聚所有访问过程的风险信息,并及时调整用户的访问权限。

而且,方案通过安全运营管理平台汇聚所有安全服务产生的数据和安全日志,统一管理数据中心与安全访问平台内的所有资产、漏洞、配置和策略,呈现整体安全态势和安全风险分析,并统一指挥和编排所有安全设备与服务,进行精细化安全事件的处置和业务恢复。

6.特权管理

统一数据中心与安全访问区的网络设备、服务器主机、数据库、中间件、应用系统的管理运维权限,集中进行认证和精细化授权,对危险操作进行感知和确认,对所有操作行为进行审计。

方案特点

1.构建相互协同的纵深防御体系,对数据访问全过程进行控制、威胁检测、安全防护、事件响应和环境恢复。

2.建立基于属性访问控制的可信认证授权体系,实现数据与控制的分离。

3.汇聚全程全域安全数据,实现威胁的敏锐感知和体系协同与自动响应。

应用价值

1.构建数据中心访问的体系化防御纵深,充分利用识别、防护、检测、响应等安全能力实现闭环访问控制。

2.及时发现系统漏洞和脆弱性配置,大幅提高对恶意软件和未知攻击的检出效率,并实现精细化动态调整访问控制策略,更大限度减少对业务运行的影响。

3.实现对所有资源访问的主体识别、认证、鉴权,并可根据访问环境的变化进行动态细粒度权限调整,每个主体仅能获得其所需要的最小权限。

4.实现对特权用户的有效风险管控,消除特权泄露和误操作风险。