方案概述
从AWS入云框架的安全维度出发,根据企业自身情况,勍睿网络可提供全面的云安全解决方案,涵盖云基础设施和应用的各个方面的安全防护,包括:
● 网络资源访问防护:包括基础网络安全、DDoS防护、租户隔离和虚拟机防火墙、云WAF提供的Web攻击防护;
● 账户及权限管理;
● 系统安全配置与维护;
● 数据安全及云上资源备份与保护;
● 监控与安全事件响应。
方案优势
勍睿网络采用四维云安全视角推动企业的安全转型,帮助企业构造适合其安全管控目标的方法和措施。对于每一个维度,可以采取相应的行动,并测量进步的手段:
● 建立安全指导方针——建立符合企业环境及特点的安全管理,风险及合规性模型;
● 识别安全防御措施——保护业务负载,降低威胁及系统脆弱性;
● 监控及检查可能违背既定规则及策略的场景和事件——提升在AWS平台上的部署和运维的整体可见度及透明度;
● 为安全响应建立运维规范——为潜在的偏离安全基线的行为建立响应及补救措施。
在实际方案部署中,华讯网络从以下几方面实现安全的全方位保护:
● 账号与授权
建立独立的IAM用户,并通过IAM Group反映客户的组织架构情况。除基本的设定MFA、定期更新密码/密钥等绝佳实践,我们安全实践还包括对AWS资源的操作内容进行细分、用户组识别、标准化的tag体系构建、使用Federation与外部账号系统进行集成。
● 网络安全
基础网络安全通过安全组或NACLS进行精细化的网络访问授权,对于更为复杂的需求通过集成NGFW进行防护。采用VPC peering、VPN、Direct Connect实现网络的安全互联。此外,根据企业的应用安全需要集成WAF并配合ELB进行应用访问的加密解密。
● 监控、审计和分析
AWS平台和服务的日志记录通过CloudTrail进行。使用CloudWatch对AWS平台与服务,以及系统、应用程序的运行指标以及日志进行集中收集管理、跟踪及设置警报。通过Trusted Advisor持续进行安性全检查。
● 安全运维和事件响应
使用CloudFormation进行资源的部署并进行版本化控制。设置CloudWatch Alarm并与AWS SNS集成在发生特定安全事件时提醒安全人员进行响应或用Lambda进行自动化响应。借助第三方SIEM工具如splunk进行更广泛、更细致、更智能、更复杂的安全事件监测。
● 数据安全
根据企业需求或合规需求,对数据进行分级。通过利用资源标签、 IAM 策略、s3 bucket策略,为各类资源应用不同的定制化标签,定义并实现各项数据分级策略。对数据的传输过程和存储进行加密。
客户收益
● 保护私有云、公有云环境免遭高级威胁攻击。有效防御各类DDOS、WEB攻击,保证云基础架构的安全;
● 不同租户之间有效隔离,确保租户之间的通信安全、数据保密;
● 更换或迁移至新的云服务提供商时轻松扩展安全,无需改变安全策略;
● 降低运营成本并使用更少的资源完成更多的任务;
● 专为虚拟环境和混合部署优化的安全。