阿里云安全2017.04混合云态势感知解决方案议题1.混合云发展趋势及面临的挑战。2.混合云态势感知整体解决方案。3.阿里云安全的优势。混合云成为企业未来发展的必然选择一方面,公共云技术快速发展,企业为了享受云计算的便利性,降低整体IT投资,越来越拥抱云的变革。另一方面,由于种种原因,客户依然将长期保留在私有云的固有投资。公有云私有云混合云安全上的挑战Internet自建机房,或托管IDC阿里云专线互联对传统IDC的安全体系比较熟悉,云上业务如何保证安全?云上安全比云下有何差异?如何统一管理云上和云下的安全系统?云下安全的投入上百万,每隔3-5年又要更新换代,是否有节省安全投资的办法?挑战传统安全体系到云安全体系的转变网络隔离和访问控制硬件防火墙VPC-租户级的隔离第3方安全镜像-租户南北向访问控制安全组-租户东西向访问控制Web应用层攻击防护硬件WAF网络层DDoS攻击防护硬件DDoS防护SaaS形态高防IP事后-安全事件管理SIEM系统事中-网络入侵检测硬件IDS、IPS事前-漏洞检测漏洞扫描系统态势感知SaaS形态WAF先知计划渗透测试服务传统数据中心主机层攻击防护服务器安全软件安骑士阿里云难道需要在混合云环境,重复建设两套不同的安全体系?习总书记的安全观议题1.混合云发展趋势及面临的挑战。2.混合云态势感知整体解决方案。3.阿里云安全的优势。混合云态势感知整体解决方案Internet自建机房,或托管IDC阿里云专线互联改变前:混合云并列架构Internet阿里云专线互联改变后,混合云串联架构自建机房,或托管IDC混合云态势感知整体解决方案Step1,将互联网出口应用全部署在阿里云,数据库等核心数据任然部署在线下机房,所有互联网的访问都必须经过阿里云。Step2,在IDC托管机房,只需要配置硬件防火墙用于安全域的隔离。Step3,在阿里云开启DDoS高防、WAF、安骑士等安全防护能力。Step4,通过在IDC的服务器上部署安骑士agent,通过云盾.态势感知实现混合云安全的统一管理。Internet高防IPWeb应用防火墙安骑士安骑士态势感知IDC托管机房解决方案安骑士客户价值统一管理混合云安全策略。减少运维成本和对线下安全硬件的投入。态势感知-安全总览站在黑客的视角做安全防护才能有效防止黑客入侵。从网络层,到主机层,到应用层,从各个维度把安全做关联监控,避免了以前看不见的安全盲区态势感知-应用漏洞检测不仅对常见web漏洞进行扫描,还可以扫描第三方开源软件漏洞,主机系统层漏洞,甚至对黑客圈小范围内爆出来的高危漏洞,做到预警和修复准备。态势感知–针对紧急事件的实时监控针对页面篡改的实时监测,防止网站暗链接。态势感知–高级威胁分析通过安全大数据建模分析,把普通的无危害脚本小子和顶尖的黑客区分开,帮你看清现在遭受的网络威胁,并对防护策略进行评估,在攻防对抗中获得先机。对应用层攻击的实时监测态势感知–大数据安全的实时监测大屏1、业务运营监控2、安全应急响应中心3、安全感知体系4、安全防御体系5、业务访客分析6、业务稳定性监控7、网络层安全态势8、主机层安全态势9、主机连接拓扑10、实时安全态势和安全评分基于态势感知的增值安全服务安全服务事中入侵检测事前弱点分析Web漏洞、主机漏洞配置隐患、弱口令检测页面篡改的监控Web入侵的实时拦截(WAF)合作伙伴基于态势感知的信息,为客户提供精准的安全服务。事后溯源取证从黑客发起攻击到攻破系统,进行数据盗取的全过程还原。态势感知平台混合云态势感知解决方案:便捷、弹性的安全云层统一管理便捷弹性计算资源,网络带宽,存储资源的弹性扩展计算、网络、存储、安全系统的快速部署,即开即用基于大数据的安全态势感知,统一管理混合云安全策略。议题1.混合云发展趋势及面临的挑战。2.混合云态势感知整体解决方案。3.阿里云安全的优势。国内通过合规认证最多的云平台!权威认证、检验平台安全完善的云上安全体系网络隔离和访问控制硬件防火墙VPC-租户级的隔离第3方安全镜像-租户南北向访问控制安全组-租户东西向访问控制Web应用层攻击防护硬件WAF网络层DDoS攻击防护硬件DDoS防护SaaS形态高防IP事后-安全事件管理SIEM系统事中-网络入侵检测硬件IDS、IPS事前-漏洞检测漏洞扫描系统态势感知SaaS形态WAF先知计划渗透测试服务传统数据中心主机层攻击防护服务器安全软件安骑士阿里云2000次每天抵御2000次以上DDoS攻击47万2016上半年修复高危漏洞47万个8亿每天防御8亿次攻击全中国35%的网站35%阿里云基于实战的大数据情报与传统安全架构对比传统安全架构盒子化交付,周期长难以弹性扩展离线情报少规则+正则下一代安全架构敏捷:SaaS化交付,分钟级弹性:按需、随时弹性扩展在线:规则实时更新数据情报:漏洞、威胁、事件、人员计算及模型能力:增强未知威胁检测能力管阿里云态势感知云盾WAF云轻量级态势感知解决方案Web服务器安骑士IDC机房用户12端方案优势:1、响应快,云上情报实时同步。2、管道的web全流量实时分析和攻击拦截。3、全量大数据的实时分析监控,同时结合合作伙伴的精准服务。三种态势感知解决方案对比10-20万100万+30-60万云外轻量级SaaS混合云态势感知云盾混合云适用场景:云外的Web服务优势:投入少,通过WAF引流即可享受态势感知SaaS化服务。限制:需要云外Web安装Agent,且上报安全日志适用场景:和阿里云有专线互联的混合云场景。优势:Allin阿里云安全,统一混合云的安全管理。限制:互联网出口走阿里云,可采用分应用切换的策略。适用场景:线下的IDC机房。优势:客户的任何数据无需出本地机房。限制:使用门槛高,需在客户环境进行重量级实施部署。安装流量镜像和流量分析系统、大数据分析系统,和安骑士agent、本地控制台等组件。