方案概述

从AWS入云框架的安全维度出发，根据企业自身情况，勍睿网络可提供全面的云安全解决方案，涵盖云基础设施和应用的各个方面的安全防护，包括：

● 网络资源访问防护：包括基础网络安全、DDoS防护、租户隔离和虚拟机防火墙、云WAF提供的Web攻击防护；

● 账户及权限管理；

● 系统安全配置与维护；

● 数据安全及云上资源备份与保护；

● 监控与安全事件响应。

方案优势

勍睿网络采用四维云安全视角推动企业的安全转型，帮助企业构造适合其安全管控目标的方法和措施。对于每一个维度，可以采取相应的行动，并测量进步的手段：

● 建立安全指导方针——建立符合企业环境及特点的安全管理，风险及合规性模型；

● 识别安全防御措施——保护业务负载，降低威胁及系统脆弱性；

● 监控及检查可能违背既定规则及策略的场景和事件——提升在AWS平台上的部署和运维的整体可见度及透明度；

● 为安全响应建立运维规范——为潜在的偏离安全基线的行为建立响应及补救措施。

在实际方案部署中，华讯网络从以下几方面实现安全的全方位保护：

● 账号与授权

建立独立的IAM用户，并通过IAM Group反映客户的组织架构情况。除基本的设定MFA、定期更新密码/密钥等绝佳实践，我们安全实践还包括对AWS资源的操作内容进行细分、用户组识别、标准化的tag体系构建、使用Federation与外部账号系统进行集成。

● 网络安全

基础网络安全通过安全组或NACLS进行精细化的网络访问授权，对于更为复杂的需求通过集成NGFW进行防护。采用VPC peering、VPN、Direct Connect实现网络的安全互联。此外，根据企业的应用安全需要集成WAF并配合ELB进行应用访问的加密解密。

● 监控、审计和分析

AWS平台和服务的日志记录通过CloudTrail进行。使用CloudWatch对AWS平台与服务，以及系统、应用程序的运行指标以及日志进行集中收集管理、跟踪及设置警报。通过Trusted Advisor持续进行安性全检查。

● 安全运维和事件响应

使用CloudFormation进行资源的部署并进行版本化控制。设置CloudWatch Alarm并与AWS SNS集成在发生特定安全事件时提醒安全人员进行响应或用Lambda进行自动化响应。借助第三方SIEM工具如splunk进行更广泛、更细致、更智能、更复杂的安全事件监测。

● 数据安全

根据企业需求或合规需求，对数据进行分级。通过利用资源标签、 IAM 策略、s3 bucket策略，为各类资源应用不同的定制化标签，定义并实现各项数据分级策略。对数据的传输过程和存储进行加密。

客户收益

● 保护私有云、公有云环境免遭高级威胁攻击。有效防御各类DDOS、WEB攻击，保证云基础架构的安全；

● 不同租户之间有效隔离，确保租户之间的通信安全、数据保密；

● 更换或迁移至新的云服务提供商时轻松扩展安全，无需改变安全策略；

● 降低运营成本并使用更少的资源完成更多的任务；

● 专为虚拟环境和混合部署优化的安全。