安全应用与服务
云场景安全可视化探针引入多源威胁检测响应系统、业务安全审计系统和威胁诱捕系统产品,针对云平台环境下各虚拟机之间的通信数据透明可视化及创建审计分析模型的需求进行定向研发,以解决云平台上各虚拟机之间的通信数据透明可视化以及可创建审计分析模型的问题。
该系统支持云安全能力与云下网络安全能力的互相结合,实现数据联合分析及威胁联合处置。当云上发生告警后,系统可以通过多源联动平台联动云下阻断设备(如防火墙等),在网络侧进行阻断。如果网络侧失守,系统还可以联动云平台在云主机侧进行威胁阻断。
针对隐秘性攻击行为,该系统启用攻击诱捕的方式进行主动告警。
网络安全联动平台部署在云平台虚机上,将云上安全设备、云下安全设备多系统、多类型、多级别的告警日志(包括主机类、网络类、应用类等)进行二次分析,设计出多维度分析算法模型,实现海量告警数据有效降噪,精准识别高价值安全信息。
该系统构建一个中心两个面体系,一个中心即网络安全联动分析安全管理中心,两个面即云安全(云上安全)和网络安全(云下安全)。通过实现云上安全数据与云下安全数据的统一管理,联合分析,形成数据分析链和威胁攻击面。
网络安全联动平台将智能分析出的数据与情报数据进行碰撞,对安全事件进行校准,提高分析数据的准确率,为处置策略提供有力支撑。
通过网络通信设备和网络安全设备跨品牌、跨平台协同联动,发挥出网络安全整体防御能力。将所有防火墙、入侵防御系统、WAF、VPN、负载均衡、云主机、边界/核心交换、路由网关等设备进行统一调度和防御管理,以自动、半自动及手动的策略“指挥”大功率EDS阻断器达到智能自动快速处置。
● 同步流量:云平台虚机部署业务安全审计系统和威胁诱捕系统,使用Vswitch镜像将虚机间的流量同步到业务安全审计系统;
● 数据解析:业务安全审计系统解析流量五元组信息以及时间信息,还原完整的数据流转过程。
● 可视化展示:业务安全审计系统展示虚拟机之间的数据交互信息,对每台虚拟机的IP地址,使用端口,虚拟机的互访信息都能详细的体现和可视化呈现。
● 系统联动:联动cloudos云平台,获取IP地址归属的宿主机(租户)信息。
● 可疑流量诱捕:针对东西向访问建立对应的安全分析模型,收纳高危端口的暴露面和访问链,释放业务仿真诱饵,捕获可能存在的横向攻击或APT攻击等。
● 流向数据审计:云平台虚机部署业务安全审计系统和威胁诱捕系统,对接虚拟防火墙,把虚拟防火墙的会话信息和包过滤信息发送给多源虚拟机,在业务安全审计系统上解析syslog日志信息,将两者进行有机组合,还原完整的数据流转过程;
● 可视化展示:业务安全审计系统展示不同租户虚拟机之间的数据交互信息,对每台虚拟机的IP地址,使用端口,虚拟机的互访信息都能详细的体现和可视化呈现,将分析的数据进行可视化统计处理;
● 可疑流量诱捕:针对南北向访问建立对应的安全分析模型,收纳高危端口的暴露面和访问链,释放业务仿真诱饵,捕获可能存在的横向攻击或APT攻击等。
业务安全审计设备在云平台仿真环境下完成了功能的全链条演示,实现了同租户和不同租户之间的数据通信审计和数据链可视化呈现,解决了“看不见、看不清、不易懂”问题,实现了云平台数据可视化的需要。
● 多层次防御:多源联动防御技术采用多层次的防御策略和技术,涵盖网络、主机、应用和数据等各个层面。
● 自动防护:对安全攻击事件的攻击流程进行还原及事件溯源,支撑网络安全实战化、常态化、自动化防护工作落地实施,在重大活动保障和护网演习期间发挥重要保障作用。
● 实时监测:组织建立持续监测和响应机制,及时检测和应对网络安全事件和攻击行为,实现持续监测与响应能力。
● 信息共享:建立网络安全防御攻击日志信息共享规范,实现不同单位、行业、主管部门、区域等威胁信息共享,增强威胁情报信息库的及时性和适用性。
● 平台虚拟化环境下增强运维数据可视化
部署云平台之后,虚拟机之间通信的透明度,可以分为同一租户下的虚拟机之间的数据通信审计和监控,不同租户之间的数据通信审计和监控;支持特定虚机之间特定流量的行为的建模分析。
● 多源采集、聚合分析及自动化封禁
网络安全联动平台能够有效地统一管理并分析不同品牌、不同平台的安全产品所产生的告警信息,支持实时自动化封禁攻击源的功能。该平台具备高度的可靠性和可用性。
● 云上云下安全立体化呈现和防御
有效的辅助云平台的安全建设和运维管理,实现安全云上云下立体化呈现和防御,有效的解决平台运维数据需要透明可视的需求,应未来平台发展的需要,还可建立云上云下数据仓库,为数据分析和数据价值挖掘提供基础条件。