信创云安全建设实践王亮建设思路1.从被动防御向积极防御叠加演进2.以数据全生命周期保护为核心的纵深防御体系3.建设全局身份安全管理4.全网动态授权访问控制5.资源池化的安全智能服务6.数据驱动的自适应安全运行管理业务应用 安全基础设施基础安全服务能力安全运营平台数据采集响应控制安全接入检测防御数据资源云计算平台业务数据中心民用云用户依法依规标准统一业务安全标准体系安全运营管理体系组织保障运行支撑安全资源全局可控资源可控用户可控数据可控安全内生能力下沉弹性部署资源池化统一运营数据驱动威胁可视协同联动安全能力内生体系云安全能力中台服务管理层服务目录服务注册服务调度服务接口服务分类服务分级能力管理服务检索人工注册自动注册服务发布服务撤销实例管理服务编排容量管理服务监控配置管理策略编排能力调度信息查询资源管理层资源管理 NFV安全资源vSCANvFWNTA云安全资源VPCIP Tables安全基础资源安全服务平台南向接口云平台标准接口资源SSO接口资源授权接口资源配置接口云安全管理平台 识别服务防护服务检测服务响应服务安全服务平台北向接口安全服务管理系统 能力管理规则管理完善安全服务PaaS平台提高平台产品易用性目前产品覆盖IaaS层范围 AVvWAFLogvDBAvJH云安全中台核心价值安全资源服务化安全能力一体化安全运营自动化 CloudInfrastructure:安全资源虚拟化并以服务形态提供ØNUMA-pinning, CPU-pinningØKVM/OVS/Ceph/OpenStackØMulti-RegionØDPDK, SR-IOV，VirtIOØMulti-CloudSDS: Software Defined Security安全资源统一管理ØOpenAPIØNFV-MANOXDR: Everything Detecting and Response对策略统一管理ØEDRØNDRØOrchestrationEngineØSFC: Service Function ChainØSDN: Tungsten FabricØSOAR:Security Orchestration, Automation Response客户价值核心能力技术支撑编排联动Ø策略编排Ø联动响应统一运维管理Ø虚拟化组件生命周期管理ØSSO，License，Log，Upgrade统一管理Ø物理设备纳管快速交付Ø弹性伸缩Ø按需服务Ø异构云支持Ø多云支持效率成本云安全建设目标-云安全闭环管理 持续监控分析防御 检测响应预测系统加固诱导攻击防御攻击检测攻击确认及排序遏制攻击调查取证方案改进修复/完善安全基线攻击预测风险评估 让设备更智能让运营者更高效让管理者更智慧让防御更全面 持续检测信创生态合作 飞腾FT2000 硬件平台 操作系统银河麒麟4.x/10.0系列 云安全组件VSMS,DBA,BH,vSCAN 云安全管理平台云安全管理平台 2020年Q1完成迁移2020年Q2完成迁移 飞腾FT2000EasyStackv5.0.3VSMS,DBA,BH,vSCAN云安全管理平台 2020年Q3完成迁移 鲲鹏920云平台FSC6.5.1VSMS,DBA,BH,vSCAN,WAF云安全管理平台 多城市信创云安全部署方案 C市云资源池C市云安全资源池安全管理安全策略 WEB1APP1DB1VPC1VPCnWEBnAPPnDBnWEB2APP2DB2VPC2D市云资源池WEB1APP1DB1VPC1VPCnWEBnAPPnDBnWEB2APP2DB2VPC2E市云资源池WEB1APP1DB1VPC1VPCnWEBnAPPnDBnWEB2APP2DB2VPC2F市云资源池WEB1APP1DB1VPC1VPCnWEBnAPPnDBnWEB2APP2DB2VPC2安全能力D市云安全资源池安全管理安全策略安全能力E市云安全资源池安全管理安全策略安全能力F市云安全资源池安全管理安全策略安全能力A市云资源池WEB1APP1DB1VPC1VPCnWEBnAPPnDBnWEB2APP2DB2VPC2A市云安全管理入口安全管理安全策略安全能力 数据分析数据存储数据采集B市云资源池WEB1APP1DB1VPC1VPCnWEBnAPPnDBnWEB2APP2DB2VPC2B市云安全管理入口安全管理安全策略安全能力 数据分析数据存储数据采集 业务数据告警数据策略数据THANKS全球网络安全倾听北京声音