走進安全雲 極簡的安全配置
對於租戶/業務管理員而言,業務上線過程中所面臨的繁瑣安全配置往往是掣肘業務上線速度的主要原因,在面向物件的IT架構中,這個問題更為突出。對於動輒管理數百個業務系統的IT管理員而言,如何快速且準確的針對業務特點進行安全業務配置,無疑是一個巨大的挑戰。
在傳統模式下,每一個安全能力,都要對被保護物件進行多方面的定義,配置邏輯從網路層至應用層都不可或缺,但此種方式無法適應在雲環境中的無界網路,對租戶的配置物件無法進行統一的引用。
新華三安全雲改進了傳統安全業務的配置方式。在安全雲的方案架構中,所定義的物件(資產)可以被所有安全服務進行呼叫,可定義的物件(資產)包括DNS域名、IP地址/地址段,應用協議、特徵欄位等多種元素。不同的安全服務型別,可以靈活選擇不同的防護物件(資產)。通過呼叫OpenStack的標準介面,安全雲能夠動態的對虛擬機器列表及租戶(業務)閘道器列表進行同步,確保租戶(業務)管理在配置過程中能夠準確的對相應資產進行防護。從根本上解決安全業務能力同租戶對應的問題,極大的降低安全配置的複雜度。
在完成防護物件(資產)的選取之後,安全雲對各個安全業務的配置邏輯進行統一抽象,從安全業務使用者的角度重新設計,並將相關配置操作轉換為OpenStack可以識別的安全業務外掛,通過外掛介面對實際的安全能力進行配置下發,最終完成安全業務快速自動化部署。
同時,安全雲還能夠提供安全業務使用效果的展示,通過動態圖表,直觀顯示安全業務生效後的使用效果,包括命中率,事件統計,安全態勢等多個維度的指標,使安全業務的使用效果一目瞭然。徹底解決安全事件不可見,安全效果不可知的現狀。
以下選取Web應用防護配置過程,詳細介紹新華三安全雲的配置過程。
首先,選擇需要防護物件(資產),通常,Web應用防護的物件(資產)是DNS域名,從下拉列表中,可以選擇之前定義的所有DNS域名。完成之後,點選下一步,進入Web應用防護策略配置介面。
圖:選取安全防護物件
隨後,選擇需要開啟的Web應用安全防護。安全雲將Web防護型別抽象為三個大類,包括Web應用攻擊防護、CC安全防護、惡意IP封禁。三類安全防護能力,都可以通過點選“狀態”開關一鍵開啟,並能夠立即生效。對於Web應用攻擊防護規則策略,可以選擇不同的安全防護強度,也可以進行自定義安全規則詳細配置。僅需要兩個步驟,就完成了對Web應用安全的配置。
圖:開啟安全防護策略
在安全配置完成之後,展示頁面可以從攻擊排行、安全事件、攻擊趨勢等多個維度對安全服務配置效果進行基本的展示。雲境·安全雲也能通過雲智·安全態勢感知服務對全域性合規態勢、攻擊態勢、運維態勢、Web安全態勢進行更深入的展示。
圖:展示安全防護效果