数据中心整体安全建设方案

需求痛点

1、激增的数字业务信息存储在消费者和企业所使用的虚拟云和社交平台、仪器、移动设备中,且可供访问。这就创造了一个极其复杂的IT环境 —可能的攻击点几乎是无限的。

2、最有经验的对手现在正带来高级持续性威胁,他们通过密切的关注,坚持不懈的来获取敏感业务信息的访问权限。这些攻击利用尖端的方法,可持续无限长的时间且具有专门的目标。

3、如今,愈加多样的威胁侵蚀着传统 IT防御(比如防火墙和防病毒软件 )的有效性,甚至在许多情况下完全避开了这些控制。

4、所有企业都迫切希望找到信任、透明度和隐私之间的绝佳平衡。企业实现这种更具挑战性的平衡而面临的三大压力:攻击面扩大、攻击模式扩散且手法娴熟、威胁的解决方案异常复杂


解决方案

建设框架:

001.jpg

解决方案建设拓扑:

002.jpg

建设思路:

1、出口边界区域

●数据中心的出口需至少部署2条以上Internet线路(建议不通运营商),通过在网络最前端部署链路负载均衡系统实现用户访问Internet的自动择优选路和线路故障的自动切换;

●在负载均衡系统后端部署下一代防火墙,通过下一代防火墙的IPS\WAF\防篡改\实时漏洞分析\僵尸网络检测等模块保障内网用户的访问安全,避免内部主机轮为僵尸主机并能符合等级保护规范;

●在下一代防火墙和核心交换机之间部署上网行为管理系统,实现对内部用户访问网络的可视可控,并满足网络安全法的审计要求和符合等级保护规范;

003.jpg

2、核心交换区域

●核心交换至少两台,每台48口10G,16口40G,最大交换容量307.2Tbps,主控槽位≥2,业务槽位≥12,独立交换网槽位≥4;

004.jpg

3、业务应用区域

●业务应用的服务器、存储等资源建议采用超融合架构,资源不足后可通过横向扩展,实现快速扩容;

●在业务应用区域前建议部署WEB应用防火墙系统,实现对来自内部的对业务应用发起的WEB攻击、漏洞攻击、新型漏洞发现、网页篡改等进行7*24小时的监测和防护;

005.jpg

4、业务安全区域

●通过部署安全态势感知系统实现安全大脑的建立,态势感知是以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁;

006.jpg

●通过部署终端检测响应平台EDR实现多维度轻量级的无特征检测技术,包含AI技术的SAVE引擎、行为引擎、云查引擎、全网信誉库等,检测更智能、更精准,响应更快速,资源占用更低消耗。

●通过部署零信任VPN网关来保护数据传输和远程应用维护操作的传输管道安全。

●通过部署基线核查、日志审计系统、堡垒主机系统、数据库审计等系统实现运维层面的安全。

5、业务数据保护区域

i2CDP(Continuous Data Protection) 技术将变化的数据实时复制到灾备服务器的同时,把数据的变化以日志方式记录下来。在系统故障时根据数据变化日志,快速定位需要恢复的时间点,将数据一键恢复到异常点之前,保证数据的安全性和业务连续性。

007.jpg