租户等保
方案概述
2003年9月中办国办颁发《关于加强信息安全保障工作的意见》,中办发[2003]27号中指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。网络安全法第二十一条明确国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。近年来,云计算技术蓬勃发展,为社会公众提供了便捷的IT基础资源服务,有效的降低了IT运维成本,但是随之而来的安全问题也受到了社会的普遍关注,用户普遍担忧业务上云后可能导致的安全能力下降或与原有等保防护能力出现不一致的问题,均需要通过云计算平台提供完善的安全服务能力满足用户对等级保护的要求。
方案优势
紫光云为租户提供完整的等级保护所需的安全服务目录,紫光云自身已经通过等级保护三级测评,同时对基础设施和边界进行了细粒度的防护,为租户提供等级保护二级、等级保护三级和等级保护三级增强级的服务套餐,租户可以根据自身的业务特性自由选择服务目录,也可以选择与自身业务所匹配的等级保护套餐进行业务系统加固。
方案介绍
云边界防护
通过共享服务为紫光云的租户提供共享式的安全基础防护服务,服务包括抗DDoS、NAT、VPN接入和租户的链路隔离。
安全域划分
利用VPC的思路,进行分租户的划分,通过分配给租户独立的虚拟专线、虚拟主机、虚拟安全节点和虚拟存储空间的方式,构建基于VPC的租户隔离策略,实现租户在overlay层面的独立性,实现租户网络的云化应用,同时满足云化环境的安全控制与数据权限隔离。
访问控制
不同系统可能分布在不同的VPC中,通过建立虚拟网络服务节点,实现等保所要求的区域防护,这种网络边界重构方式主要基于租户南北向和租户东西向流量进行划定,通过流量路径设置必备的安全服务节点。节点范围可以涵盖虚拟防火墙节点、虚拟LB节点、虚拟IPS节点等多种类型。
安全管理
在安全管理部分,紫光云提供给租户所需要的各类安全管理能力,包括日常对资产的安全运维和脆弱性管理,除了满足租户业务被动的防护安全外,也能够通过运维审计、漏洞扫描和综合日志管理功能提高安全运维效率。
安全检测
紫光云可以为租户提供流量分析和远程操作的相关审计能力,帮助租户细致分析VDC内的安全流量类型和日常行为,最终通过态势感知平台为租户进行独立的一体化展示,降低可能发生风险的概率。
服务目录配置
防护类
虚拟防火墙、虚拟负载均衡、主机加固系统
管理类
虚拟堡垒机、漏洞扫描、态势感知
检测类
数据库审计、全流量分析