中文
< >
- 方案概述
- 业务痛点
- 解决方案架构图
- 重塑安全边界
- 数据中心核心安全
- 全局可视及安全治理
- 相关案例
- 相关视频
- 相关资料
为数字化转型重塑数据中心安全
随着数字化转型和集约化统一化建设的不断推进,业务和数据正从分散部署走向大集中,数据中心大幅促进了企业业务的发展。但与此同时,受制于数据中心对开放Internet的依赖,在带来应用便利同时,也对安全提出了更高的要求。一旦数据中心安全受到威胁,将会给企业带来巨大的经济损失。如何通过一套有效、实用的安全架构,使企业的数据中心运行在安全的环境下,免受黑客攻击、病毒、木马、恶意程序的入侵,已成为数据中心安全建设的重点。
业务痛点
缺乏安全防护能力
在分公司/ 分支单位业务统一建设、统一管理模式下,数据流量变得复杂。面对外部网络攻击、应用层攻击等混合流量的威胁,以传统网络防火墙为主的传统数据中心安全建设缺乏整体安全防护能力。
安全问题无法有效定位
数据中心各类安全产品日志数量大、分散且异构,安全运营人员无法快速发现和定位安全问题。
涉敏信息面临安全威胁
包含在数据库系统中的关乎组织安全、商业/ 技术机密、个人隐私等涉密信息将面临更多的安全威胁。
新型攻击手段应对缺乏
传统数据中心安全建设以边界防御为主,新型黑客攻击手段如APT、0Day容易突破或绕过边界窃取数据,或进入内网造成破坏。
解决方案架构
重塑安全边界
安全域边隔离
基于纵深防护理念,数据中心内部可以进一步划分DMZ区、核心业务系统区、开发测试区、外部业务系统区等安全区域,并根据不同的安全区域配置不同的安全保护策略。将经过核心交换的流量引流至深信服安全资源池,能够直接对安全区域进行安全防护,且实现灵活弹性扩展。
出口边界安全
网络出口安全防护设计主要包括以下手段:抗DDoS攻击、链路负载均衡、访问控制技术、VPN隧道技术、流量清洗技术、入侵检测与入侵防御技术、病毒过滤技术等。深信服下一代防火墙以“融合安全,简单有效”的价值主张,不断进行技术更新,持续增加安全能力,更有效的帮助用户抵御互联网安全威胁,实现边界防御智能化。深信服VPN 能够帮助用户实现更安全、体验更佳的应用发布。
数据中心微隔离
微隔离方案提出了一种基于安全域应用角色之间的流量访问控制的系统解决方法,提供全面基于主机应用角色之间的访问控制,做到可视化的安全访问策略配置,简单高效地对应用服务之间访问进行隔离技术实现。并且基于安装轻量级主机Agent软件的访问控制,不受虚拟化平台的影响,不受物理机器和虚拟机器的影响。深信服终端检测与响应平台EDR,适配虚拟主机环境,实现微隔离,并降低威胁影响。
数据中心核心安全
应用和数据安全
通过WAF产品部署于Web服务器区核心交换前实现双向内容的检测,针对HTTP协议的深入解析,精确识别出协议中各种要素,如Cookie、Get参数、Post表单等,并对这些数据进行快速解析,以还原其原始通信的信息,根据这些解析后的原始信息,精确检测其是否包含威胁内容。深信服WAF在正则匹配安全检测技术基础上,引入语法、词法分析算法,并全面结合机器学习、人工智能技术,打造下一代WAF检测引擎,精准识别Web威胁。通过部署数据库审计产品,实现对所有外部或内部用户访问数据库的各种操作行为、内容的实时监控;同时对高危操作、入侵和违规行为进行实时告警,并能够指导管理员进行应急响应处理。深信服数据库审计DAS对数据库服务器性能影响低、审计全面、实时告警、输出报表丰富、自定义程度高。
设备和计算安全
实现服务器主机资产管理、主机安全体检、主机合规检查,支持微隔离的访问控制策略统一管理、安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位,历史行为数据的溯源分析,远程协助取证调查分析。传统的病毒检测技术使用特征匹配,使得病毒特征库越来越大,运行所占资源也越来越多。深信服终端检测响应平台EDR使用多维度轻量级的无特征检测技术,包含AI技术的SAVE引擎、行为引擎、云查引擎、全网信誉库等,检测更智能、更精准,响应更快速,资源占用更低消耗。
网络和通信安全
为保证数据的传输保密性,应采用加密技术或其他有效的技术手段,包括但不限于鉴别数据、重要业务数据和重要个人信息的保密性。采用VPN网关可以实现数据传输和远程应用维护操作的传输管道安全。
全局可视及安全治理
采用威胁分析和检测分析手段对数据中实时分析处理,并实现对预处理包的海量数据实时与历史分析。深信服安全感知平台采用多种分析方法,包括人工智能、关联分析、机器学习、运维分析、统计分析、行为检测分析、攻击画像、OLAP分析、数据挖掘和恶意代码分析等多种分析手段对数据进行综合关联,实现安全威胁检测与可视化运维管理。
成功案例
相关视频
漫话安全:数据泄露篇
![](src="https://download.sangfor.com.cn/2fe3fe71b5fb43eaa76265e9d86c2cb3.jpg?h=3304&la=zh-CN&w=5872&rev=f24b6e36ce0e43c7af083a19752425e0&hash=D3E57028E0009F74871179BA4D301441")
【用户案例】安踏集团信息管理中心总监:安全建设经验分享
【用户案例】中科院,北大,深圳超算中心,比亚迪,OPPO分享案例
相关资料
深信服_下一代防火墙_数据中心安全域隔离解决方案
防火墙基于五元组部访问控制策略,但仍在上线部署、业务新增和日常管理中存在策略管理复杂可视性差的问题;传统防火墙仍面临新的安全挑战:70%的攻击来自应用层,防火墙防护存在短板;APT、oday、欺诈等威胁出现,使边界防御失陷。深信服数据中心安全域隔离解决方案,采用技术上先进的下一代防火墙作为数据中心安全域隔离的主要载体。既可以解决传统安全域隔离可视性和管理便利性上的问题,同时还能够通过开启应用层防护的模块和失陷主机检测的模块加固数据中心的安全。有效的补数据中心存在的安全短板,提升数据中心安全防护与检测的能力。
深信服_下一代防火墙AF_医院内网数据中心安全加固场景
医院内网数据中心区域包含HS、EMR、 PACS、RIS、LIS等医院核心业务系统,对于医院核心数据以及业务系统的安全性要求越来越高,不仅要防御医院其他区域针对数据中心的攻击,同时也要实时裣测数据中心主机的失陷风险。深信服下一代防火墙将安全深度融合,代替传统“FwM|PS+WMAF+A产品雄模式,提供L2-L7层的安全防护,边界+云端有效应对oda及高级威胁。
深信服_下一代防火墙AF_高校数据中心安全防护场景
智能图片文字识别:随着《教育信息化十年发展规划(2011-2020年)》的深入推进,高职高校的信息化建设得到飞速发展,近年高职高校信息安全事件频发,校园网络安全建设已成为教育信息化建设的重点。深信服采用融合安全的产品理念,集传统防火墙、WAF、IPS、防病毒等功能于一体,提供L2-L7的全面防护并简化部署;安全感知平台与下一代防火墙联动,实现全网流量的业务和资产可视化、威胁可视化、攻击可视化等,满足用户实时监测。
