墨者防御联盟-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

经过“安全标记”实现工控云环境的精细化安全治理

06-29 WEB安全

随着都市轨道交通信息化高速进展,智慧都市轨道云平台建设基本成何必定趋势,各项业务系统上云,对轨道交通行业的数据安全保障工作提出了新的挑战,企业面临着云环境网络边界含糊、细粒度管控需求难以实现等难题,针对上述行业用户痛点,公布本期牛品推举:天琴科技——基于标记的强制访咨询行为操纵体系(简称标记强访操纵体系),该体系经过主客代理模块对数据和用户举行标记,并与服务资源代理、安全隔离网关、集中配置模块和可视化集中展示模块协同联动,实现了对云应用相关数据安全流转的保障。

牛品推举第四十期:基于标记的强制访咨询行为操纵体系

标签

精细化管控,高适配度,数字化管控,标记性管控,可视化管控

用户痛点

随着云计算和关基建设的要求,都市轨道交通行业着力打造“智慧城轨云”,城轨相关业务上云,业务数据流的环境发生巨大的变化,不再在传统的网络中举行,原有的针对网络层的防护“老三样”——防火墙、入侵检测和防病毒由于其被动谨防的特征和谨防对象的局限性,对城轨云整个网络环境中数据流的爱护力度减弱,而针对云环境的恶意攻击手段在不断的演进,使得城轨云环境中的数据安全防护面临着更多的风险:

1、隐蔽通道和越权访咨询

虚拟化技术是云计算平台的核心,虚拟化技术提供了大量的共享资源,数据资源流向开放,催生了隐蔽通道和越权访咨询的各种条件,云内的非正常操作和各种攻击的隐蔽性更强,更难发觉;

2、恶意访咨询高速传播

由于云环境内边界含糊,一旦产生恶意访咨询,恶意代码的横向传播速度极快,轻则消耗云内计算资源,重则对业务应用造成阻碍,导致业务停滞甚至瘫痪,恢复难度大、成本高;

3、数据管控粒度粗

现有监测手段对云环境内数据交换过程的管控力度不脚,无法对各个组成模块下的业务运行状态和通信过程举行细粒度把控,发生异常时,难以觉察,一旦发觉,大概基本造成较大的损失。

解决方案

智慧城轨云在建设时,结合城轨业务需求及应用特征,将云环境划分为外部服务网、内部治理网、安全生产网和运维治理网四个独立的安全区域,不同安全域的安全级别不同,部署对应安全级别的业务或者治理系统。相同安全域内的访咨询和跨安全域的数据交互,构成了整个城轨云业务应用系统的数字运行体系,成为都市轨道交通业务运行的重要基础设施。

智慧城轨云的计算环境及业务运行产生的数据呈现出明显的多源异构的特征:不同系统应用遵循的业务逻辑不同,举行安全管控的策略也有较大差异,这增大了全网安全策略统一实施和操纵的难度,传统防护手段对数据访咨询操纵的粒度较粗,无法深入应用内部,云内数据面临较大的安全隐患。

标记强访操纵体系将所有应用系统间抽象的业务数据流细化为具体的访咨询行为,并作为基础的操纵单元,对访咨询行为的主体(通常指用户,或者进程)和客体(通常指由用户启动的进程,或者各类业务数据)举行伴随其整个生命周期的标记,记录它们的安全属性、应用属性、访咨询行为等相关信息,并以此为基础,将城轨云环境内的所有访咨询行为转换为相同的格式举行描述,在访咨询行为发生时,对主客体标记举行分析,与安全策略举行对照,放行正常访咨询的报文,截弃非正常访咨询的报文,记录非正常访咨询行为,高防cdn,从而实现对云环境内各应用系统运行和云内数据传输过程举行细粒度的监测及管控。

面向智慧城轨云的标记强访体系架构,经过主客体爱护模块、服务资源代理、安全隔离网关、集中配置模块和可视化集中展示五大模块覆盖至城轨云环境中,协同作用形成完整的数据流安全操纵体系,保障了智慧城轨云应用系统在云内的安全运行。

通过“安全标记”实现工控云环境的精细化安全管理

1、主客体爱护模块

城轨云环境下,通常采纳虚拟主机部署各类应用。在虚拟主机(或主机)上部署主客体爱护模块,实现对主机计算环境内部I/O访咨询和网络访咨询的管控,从而对系统内的主客体完整性举行爱护,也为计算环境内的客体资源提供额外的加解密爱护手段。

2、服务资源代理

城轨云环境下,业务应用系统部署于多个安全区域内,服务资源代理实现不同应用之间的数据流转及跨应用访咨询。服务资源代理提供标准接口服务,DDoS防护,弥补不同应用系统数据的格式差异,并经过标记强访为不同应用系统间的数据交换提供便利、安全的总线。

3、安全隔离网关

城轨云环境下,用户的跨域访咨询,或者数据的跨域传输,都需要对请求报文举行处理以确保安全。安全隔离网关部署在不同安全区域的边界,经过识别请求报文中的会话信息,对其传输路径、安全级别和是否符合安全策略举行推断,不符合安全策略的报文举行丢弃,对正确的报文举行安全属性的重新匹配,并确保该报文传输到目标地址所在的受爱护区域的资源代理或者操作系统。

4、集中配置模块

为应对不同规模、形式的云平台建设需求,标记强访操纵体系提供了丰富的降地点案,经过集中配置模块对全局安全策略举行统一配置,实现对云内业务数据的分级、分类及多场景多模式的治理,充分满脚安全治理的不同层次的需求:

面对阻断需求,可以直截了当截断云内的非正常访咨询并举行详细记录便于审计;面对云内安全监测的需求,可以经过标记相关日志对所有访咨询行为举行详细记录,对非正常访咨询举行预警并依安全策略举行干预;面对更高层次的溯源、主动谨防需求,可以提供仿真环境及异常访咨询引导,捕获更多数据以深入分析举行入侵溯源。

5、可视化集中展示

城轨云环境内,标记强访操纵体系的部署对一般业务用户来讲是无感的,安全策略在云环境内的部署也是透明的,符合安全策略的正常应用能够按照既定的路径举行数据交互和业务访咨询,而没有按照既定路径举行访咨询的数据报文通过安全模块、资源代理、安全网关的时候会依照安全策略的要求被处理,达到系统防护的目标,并经过可视化集中展示模块为安全治理人员提供直观的预警、查询、处理、调度界面,协同其他网络安全防护措施对云环境内的安全咨询题举行及时响应和处理。

上述五个模块在智慧城轨云环境内的部署如下图所示:

通过“安全标记”实现工控云环境的精细化安全管理

标记强访操纵体系的部署,相当于在云环境内建立了一整套数据访咨询通道白名单的立体网络,正确的访咨询行为才可以经过层层通道完成数据交互,而未经授权的访咨询和恶意的程序、代码在云内的扩展和传播则可以得到有效的杜绝。

标记强访操纵体系对计算环境I/O的管控,差不多阻断了云内非正常应用的举行,对网络的监测可以对云内应用的故障举行快速定位,在云内透明的运行机制保障了业务之间交互和数据流转的高性能,综合来看,标记强访操纵体系充分提升了云平台用户对云环境网络安全的操纵能力。

智慧城轨云内复杂多样的业务应用系统,经过标记强访体系,实现了所有交互通信都按照统一格式、遵循相同的安全管控策略举行,如此一来,覆盖于网络范围的安全策略,经过标记渗透到计算环境和应用当中,不仅简化了多源异构环境下繁复的安全策略逻辑,更解决了城轨云环境中全局安全策略穿透性弱的咨询题,确保整个网络内应用运行及访咨询行为的安全举行。

用户反馈

天琴科技的标记强访操纵体系在合法合规的基础上,精准的屏蔽了云环境中的异常访咨询行为,并提供了详细的屏蔽记录,使蠕虫、矿机等恶意代码和恶意程序的非法访咨询被快速识别,此外,该体系对我司云系统的联调联试助力特别大,解决了不同人员误操作时造成业务停滞的咨询题。

——某地铁用户设备部门负责人

城轨建设公司业务上云后的合规性建设十分重要,并且需要先进的技术支持。在对天琴科技标记强访操纵体系的配置测试时期,我们发觉该体系在保证业务运行效率的基础上实现了多方对接联调,这进一步提升了我们对后续建设方案中加入标记强访咨询方案的信心。

——某城轨建设公司技术负责人

《都市轨道交通云平台构建技术规范T/CAMET 11002-2020》和等保在网络安全方面都提出了使用标记强访操纵,该体系在我司与天琴科技共建的试点项目中发挥了重要作用,标记强访操纵体系让业务系统更加透明化,实现了安全策略和应用系统匹配过程的精细化治理,其对异常行为的精准阻断、告警能力加强了对系统的安全防护水平,异常行为记录可查、可追溯,有效解决了应用上云数据丢失包定位等关键咨询题。

——某地铁应用开辟公司技术负责人

安全牛评

工业互联网应用的特殊性和复杂性,使其访咨询操纵安全的重要性比企业级的远程访咨询重要和复杂得多,适用于工业环境的安全防护框架具有特别高的挑战。天琴科技在本方案中基于ABAC的“安全标记”在城轨工业网络中打造了集网络、主机、业务及治理中心的系统化访咨询操纵体系,符合信息系统“一具中心三层防护”的合规设计理念。

在该合规框架基础上能够构建弹性的增强防护以满脚不同安全等级要求的工业操纵环境,CC防御,能为其它工业场景的安全建设提供特别好的借鉴。

版权保护: 本文由 主页 原创,转载请保留链接: /web/183237.html


QQ客服

400-0797-119