平台介绍:
工业互联网平台作为工业全要素链接的枢纽,建立工业互联网平台安全平台对保障平台的安全至关重要。工业互联网云安全管理平台能广泛兼容多种工业互联网云计算环境,为工业互联网云服务提供商搭建安全服务能力供给平台,实现安全服务的可运营、可持续产出。工业互联网云安全管理平台架构如下图所示:
图1-工业互联网云安全管理平台架构图
云基础平台侧安全:云基础平台侧,主要是为上层业务平台或应用系统提供基础的运行环境 保障,其安全设计即实现涵盖:接入、边界、主机及应用的立体防护。
服务客户侧安全:云服务客户(租户)侧的业务最佳实践是:一个租户一个业务一个VPC的划分。即一个租户的一个业务系统会部署在一个VPC内部,而一个业务系统又可能有多个应用组成,每个独立的应用又通过VPC内部的vSubnet进行划分,散落在各个虚拟机上,从而构成了整个云上业务的逻辑架构。
云运维管理侧安全:基于统一的云安全管理平台,将云基础平台和服务客户的各种安全防护技术集中的管理起来,从而基于云上业务的视角实现安全管理。
外部SaaS安全云服务:在本地云计算中心安全技术体系建立完成后,还应考虑到“非对称数据”的安全加固措施,需充分利用各类安全公有云上的SaaS安全服务(将安全能力作为服务来进行交付)为整个云计算中心强化安全技术能力;
工业互联网云安全管理平台将向东方国信工业互联网平台及相关工业互联网企业提供云化的安全防护能力,保障工业互联网系统安全稳定运行。
平台功能:
1. 资产管理
资产导入管理:支持自动同步、手动创建和批量导入三种方式添加与同步资产信息。
2. 监控告警
工业互联网云安全管理平台在部署后通过调用各个组件的API,对各个安全组件的安全资源进行数据收集。
3. 报表管理
工业互联网云安全管理平台集中汇总了各类报表,既满足平台级统一报表,也可补充各组件的报表信息。报表内容包括安全产品使用情况、安全设备资源监控、告警事件统计、订单记录、消费账单、安全威胁防护事件等。
4. 日志审计
工业互联网云安全管理平台集中收集各种安全组件产生的访问流量日志、威胁日志和操作日志,用于事后溯源分析。
5. 高清大屏展示
工业互联网云安全管理平台可提供面向集中安全态势把控、综合安全威胁呈现、云资源安全风险展示在内的高清大屏展示功能。
平台优势:
1. 云网威胁诱捕及自动告警
云安全管理平台,通过部署高交互式蜜罐,诱导攻击者对蜜罐群进行攻击,从而在保护客户真实的网络环境,延缓攻击者攻击进程,争取应急响应时间的基础上,还能够快速侦测和获取攻击者相关攻击数据行为。
图2-云网威胁诱捕及自动告警
2. 云配置核查管理
工业互联网云安全管理平台的云配置安全管理(CSPM)模块对当前云资产相关配置施行核查。CSPM通过主动或者被动的发现评估云服务的配置及安全配置是否有风险、是否可信,并在不符合要求的时候手动或自动地施加补救措施。
图3-云配置核查管理
3. 安全旁路监管审查
针对内外部红蓝对抗、网络安全评测等行动,如“等保测评”,“护网行动”,工业互联网云安全管理平台提供云环境下的网络安全监管审计池化功能,旁路审计组件策略的配置不会影响用户的业务连续性,可以细化策略根据匹配结果反馈为串行防护设备提供策略优化参考依据。
图4-安全旁路监管审查
4. 安全能力跨中心调度管理
工业互联网云安全管理平台,基于独有的安全资源池分布式部署能力,实现不同区域的多安全资源池管理统一,客户可以选择在云资产所对应的区域创建相应的安全服务。
图5-安全能力分布式调度管理
5. 业务应用全生命周期安全保障
云安全管理平台和云管平台为统一集成,用户登录云管理平台后直接可以按需自助创建相关安全资源,实现云管理平台、云安全关联平台的用户、认证、权限的统一及融合:
图6-业务应用全流程安全保障
6. 异构资源池跨网段集约化管理
针对异构云、异构资源池、多网段的复杂环境,为保障安全集约化管理及统一安全运营的需求。
图7-异构资源池跨网段集约化管理