在傳統(tǒng)模式下,每一個(gè)安全能力,都要對(duì)被保護(hù)對(duì)象進(jìn)行多方面的定義,配置邏輯從網(wǎng)絡(luò)層至應(yīng)用層都不可或缺,但此種方式無法適應(yīng)在云環(huán)境中的無界網(wǎng)絡(luò),對(duì)租戶的配置對(duì)象無法進(jìn)行統(tǒng)一的引用。
新華三安全云改進(jìn)了傳統(tǒng)安全業(yè)務(wù)的配置方式。在安全云的方案架構(gòu)中,所定義的對(duì)象(資產(chǎn))可以被所有安全服務(wù)進(jìn)行調(diào)用,可定義的對(duì)象(資產(chǎn))包括DNS域名、IP地址/地址段,應(yīng)用協(xié)議、特征字段等多種元素。不同的安全服務(wù)類型,可以靈活選擇不同的防護(hù)對(duì)象(資產(chǎn))。通過調(diào)用OpenStack的標(biāo)準(zhǔn)接口,安全云能夠動(dòng)態(tài)的對(duì)虛擬機(jī)列表及租戶(業(yè)務(wù))網(wǎng)關(guān)列表進(jìn)行同步,確保租戶(業(yè)務(wù))管理在配置過程中能夠準(zhǔn)確的對(duì)相應(yīng)資產(chǎn)進(jìn)行防護(hù)。從根本上解決安全業(yè)務(wù)能力同租戶對(duì)應(yīng)的問題,極大的降低安全配置的復(fù)雜度。
在完成防護(hù)對(duì)象(資產(chǎn))的選取之后,安全云對(duì)各個(gè)安全業(yè)務(wù)的配置邏輯進(jìn)行統(tǒng)一抽象,從安全業(yè)務(wù)使用者的角度重新設(shè)計(jì),并將相關(guān)配置操作轉(zhuǎn)換為OpenStack可以識(shí)別的安全業(yè)務(wù)插件,通過插件接口對(duì)實(shí)際的安全能力進(jìn)行配置下發(fā),最終完成安全業(yè)務(wù)快速自動(dòng)化部署。
同時(shí),安全云還能夠提供安全業(yè)務(wù)使用效果的展示,通過動(dòng)態(tài)圖表,直觀顯示安全業(yè)務(wù)生效后的使用效果,包括命中率,事件統(tǒng)計(jì),安全態(tài)勢(shì)等多個(gè)維度的指標(biāo),使安全業(yè)務(wù)的使用效果一目了然。徹底解決安全事件不可見,安全效果不可知的現(xiàn)狀。
以下選取Web應(yīng)用防護(hù)配置過程,詳細(xì)介紹新華三安全云的配置過程。
首先,選擇需要防護(hù)對(duì)象(資產(chǎn)),通常,Web應(yīng)用防護(hù)的對(duì)象(資產(chǎn))是DNS域名,從下拉列表中,可以選擇之前定義的所有DNS域名。完成之后,點(diǎn)擊下一步,進(jìn)入Web應(yīng)用防護(hù)策略配置界面。
圖:選取安全防護(hù)對(duì)象
隨后,選擇需要開啟的Web應(yīng)用安全防護(hù)。安全云將Web防護(hù)類型抽象為三個(gè)大類,包括Web應(yīng)用攻擊防護(hù)、CC安全防護(hù)、惡意IP封禁。三類安全防護(hù)能力,都可以通過點(diǎn)擊“狀態(tài)”開關(guān)一鍵開啟,并能夠立即生效。對(duì)于Web應(yīng)用攻擊防護(hù)規(guī)則策略,可以選擇不同的安全防護(hù)強(qiáng)度,也可以進(jìn)行自定義安全規(guī)則詳細(xì)配置。僅需要兩個(gè)步驟,就完成了對(duì)Web應(yīng)用安全的配置。
圖:開啟安全防護(hù)策略
在安全配置完成之后,展示頁面可以從攻擊排行、安全事件、攻擊趨勢(shì)等多個(gè)維度對(duì)安全服務(wù)配置效果進(jìn)行基本的展示。云境·安全云也能通過云智·安全態(tài)勢(shì)感知服務(wù)對(duì)全局合規(guī)態(tài)勢(shì)、攻擊態(tài)勢(shì)、運(yùn)維態(tài)勢(shì)、Web安全態(tài)勢(shì)進(jìn)行更深入的展示。
圖:展示安全防護(hù)效果
京公網(wǎng)安備 11010502049343號(hào)