云等保方案
发布时间 2019-01-25云等保概述
在网安法和CII条例颁布后,等保2.0成为我国网络安全的重要抓手和执法依据,其中的云等保2.0成为我国政务云、关键信息基础设施云等建设、验收、测评的重要标准和依据,本解决方案契合了这一要求,通过安全资源池提供满足云等保2.0的整套合规解决方案,帮助云租户通过云等保2.0。
云等保套餐
根据等保2.0中关于通用要求和云计算扩展要求的相关规定,按照等保三级要求,本方案给出了云等保三级套餐的配置建议(说明:等保2.0技术标准和测评标准尚未正式颁布,且用户存在行业差异性和特殊安全防护需求,因此下表的套餐建议仅供参考,应根据实际情况进行必要的调整)。
云等保三级技术要求和配置建议
安全资源池部署
云等保三级套餐包括vFW、vIPS、vWAF、堡垒机、VPN、DBA、态势感知、漏扫、配置核查、HFW、AV等多款安全产品,根据产品属性和工作原理,建议分为4个资源池分别部署。
串行防护资源池
串行防护资源池在逻辑拓扑图上部署于租户与外部网络之间边界、租户内部网络不同安全域之间边界位置处,而且串接在链路中,可对原始业务流量中的攻击行为进行阻断等防护处理。
其用途是对租户资源池内牵引出来的业务流量采取清洗、过滤等防护措施,然后再将干净的流量回注到租户资源池内。
在串行防护资源池内建议部署vFW、vIPS、vWAF等设备。
旁路检测资源池
旁路资源池在逻辑拓扑图上部署于租户与外部网络之间边界、租户内部网络不同安全域之间边界位置处,而且旁路在链路之外,只能对镜像流量中的异常行为进行检测告警处理。
其用途是对租户资源池内导流出来的镜像流量进行检测处理,无需对检测后的流量回注到租户资源池内。
在旁路检测资源池内建议部署vIDS、vDBA(数据库审计)等设备。
安全服务资源池
安全服务资源池无需接收和处理租户网络中的原始业务流量或者镜像业务流量,只需与租户网络之间网络可达即可。
其用途是对租户资源池进行漏洞扫描、配置核查等。
在扫描审计资源池内建议部署漏洞扫描、配置核查等设备。
安全管理资源池
安全管理资源池无需接收和处理租户网络中的原始业务流量或者镜像业务流量,只需与租户网络之间网络可达即可。
安全管理资源池实现对各类安全设备的集中管理、安全事件的集中分析、全网安全态势的分析、集中运维管理等。
在安全管理资源池内建议部署堡垒机、态势感知、主机防火墙管理中心、杀毒软件管理中心等设备,其中主机防火墙客户端以及杀毒软件客户端需要在租户主机上进行安装部署。
京公网安备11010802024551号