云主机安全解决方案

方案描述

Scheme description
浪潮云主机安全解决方案,结合浪潮丰富的行业平台经验和企业云安全服务能力,打造卓越企业云安全解决方案,目的就是帮助企业构建安全可靠的云计算服务。

方案技术架构

Scheme Technology Architecture
如上图所示,EDR云主机安全响应系统包含两部分:
安全探针:部署在受保护的云主机上,进行相关安全信息采集、漏洞检测和威胁发现,并可根据管理平台下发的安全策略执行相关安全防护动作。
安全管理平台:提供集中式威胁及数据分析、策略管理、程序及特征更新,并通过警报和报告进行监控。根据需要及网络和负载环境,可提供冗余部署。

方案业务场景

Scenario business scenario

业务应用场景

以往采用的防护体系多偏向于边界和网络侧,在主机外围不断垒堤坝,提高黑客攻击成本。而这种重边界轻主机的安全防护体系,随着网络结构的变化和攻击手法的迭代,已经变得不协调,一旦边界防线被突破,主机将束手无策。
传统边界防火墙无法提供数据中心内部安全保护,云主机一旦出现安全问题,例如云主机感染“永恒之蓝”等具有横向扩散能力恶意代码时,无法保证其它云主机的安全。

解决方案

EDR云主机安全响应系统依据云主机网络结构的特点和主机边界安全防护需求,提出以主机为保护对象的出站、入站访问控制理念,达到主机网络微隔离目的。在安全域划分上,不仅能够做到单主机、单分组、多个主机、多个分组混合组成,而且可跨云平台、跨操作系统进行建立。混杂的安全域划分模式,为管理员提供更多更灵活的管理方式,适用于所有应用场景,在网络安全边界梳理工作上,不在受限于任何物理条件限制。
访问对象从地址和端口两个维度定义,并能以IP地址段、主机、用户组、端口范围等多个维度组合。结合安全域的划分,可形成融合多种通信协议、IP、端口、防护动作为一体的细粒度东西向访问控制,策略可集中统一管理,不受云主机平台迁移影响。

方案优势

Scheme advantage

云主机系统安全基线监测

安全基线是一个操作系统的最小安全保证,即该操作系统最基本需要满足的安全要求,工信部等众多单位均有相关要求。构造系统安全基线己经成为主机安全的重要步骤,同时也是进行安全评估、解决主机安全性问题的先决条件。
安全基线核查同时含盖Windows和linux平台,支持帐号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容,核查项完全满足工信部等单位要求。
而为提高产品易用性,提升管理员工作效率,方案提供多个维度的基线实时监控。可从不合规检查项维度进行汇总,并统计每一个不合规检查项涵盖的主机列表,也可从不合规主机维度进行汇总,列出每一个主机中不合规项列表。同时依据主机安全基线核查结果,进行主机安全评估,更直观的向管理员展示全网风险主机情况。
安全基线核查中可对系统关键配置文件变化进行记录,可记录文件变化的时间点、变化后的文件hash、文件路径、文件覆盖到的主机、文件具体内容等,并能对变更后的文件做信任处理。能够帮助管理员快速发现系统的配置文件异常变化情况。

轻量级系统资源占用

传统主机防护软件产品,易让终端不堪重负,特别是在对资源占用敏感的虚拟机计算环境中,过高的资源占用,将大大降低用户的使用体验。
浪潮云主机安全探针无图形化界面,不扫描用户磁盘静态文件,不收集用户个人信息,对终端使用零打扰;仅检测系统和文件异常行为;对系统资源的占用率低到可以忽略,不会对业务主机的正常使用有任何影响。同时安全防护无需依赖文件特征匹配,无需频繁升级,减少管理员工作量。

云主机环境强控

EDR云主机安全响应系统提供了非白即黑的主机运行环境强控机制,通过定义云主机安全运行基线,限定仅允许安全范围内已知的程序运行,限定主机最小运行权限,最大程度保障云主机运行安全。杜绝一切不在安全范围内的程序运行,可以有效避免有意或无意的病毒传播,对未知威胁进行防护。云主机环境强控机制针对具有高度安全防护需求的主机提供最有效、最可靠的安全解决方案。

业务系统反扫描

通过在业务主机上部署安全探针,统一配置安全策略,对扫描行为彻底阻断。 对业务系统提供以下防护:
● 拦截端口扫描行为
● 拦截漏洞扫描行为
● 提供漏洞利用防护
● 减少暴露风险点
● 降低主机入侵风险

软件安装监控与管理

EDR云主机安全响应系统可实时统计主机中已安装的软件和正在运行的程序,并能够识别黑客工具、被篡改、破解存在风险的程序,在发现这些风险程序运行时,进行事件告警。同时产品提供了程序全网反查能力,在发现任何风险程序时,可快速反向查找该程序在全网的覆盖情况。帮助管理员维护主机软件安全环境,约束软件的规范安装。

多维度事件关联溯源

EDR云主机安全响应系统可记录文件活动轨迹、网络访问记录、注册表变更记录等,并能将网络访问情况、注册表变更情况与相关文件、用户做关联。同时提供全局的信息检索能力,通过IP、文件信息等碎片化的信息,在全网范围内找出与其相关内容。当网络侧安全产品发现可疑网络连接、可疑文件、可疑IP时,可通过关联溯源能力,找到涉事主机,并可追溯到具体文件和文件的详细路径,为安全管理员提供事件分析依据,可更有针对性的解决问题。

合作伙伴

Recommended products