文档中心

文档中心
云主机安全管理平台产品文档

 

1.序言

 

根据赛迪统计,2018年,中国云安全服务市场规模达到37.8亿元,同比2017年增长44.8%,中国云安全服务市场处于爆发式增长阶段。随着国家对网络安全的重视、互联网产业的高速增长和伴随互联网发展而来的日趋严峻的安全问题,以及云计算、5G、大数据、物联网、工业互联网、人工智能等新技术、新应用的发展,针对于环境的虚拟化安全产品具有广阔发展前景,中国云安全整体的市场规模会随云计算市场增长而快速崛起。预计到2021年中国云安全服务市场规模将达到115.7亿元,未来三年年均增长率为45.2%,行业正处爆发式增长趋势。

 

目前云端安全产品的碎片化仍然比较严重,且运营复杂。一方面企业为了保障自身云端业务的安全性及合规性,不得不采购各种各样的功能类似,基础组件重复的安全防护产品,不仅价格不菲还浪费资源。另一方面,不同安全产品存在数据孤岛问题,且误报漏报居高不下,导致企业的日常安全运营效率低下,甚至部分企业的安全防护产品只作为摆设,没有起到真正的作用。

 

因此,云端企业迫切需要一套功能集中,运营简便且能够帮助企业解决不同安全产品之间“数据孤岛”问题的安全系统。技术方面,需要建立一套能够提供有效覆盖主机,中间件,容器,数据库以及业务层面的安全防控产品,且能够无缝对接云端各种已有的安全产品的日志及告警,进行统一分析,统一告警和统一运营;管理方面,需要对各种安全事件的生命周期进行记录和管控,同时降低安全团队在跨部门处置安全事件的沟通成本。且要通过建立精准的数据分析模型,降低各种安全产品的误报率和漏报率,并提供直观可视的数据,对云端整体安全态势及安全合规性提供准确评估。

 

2.产品定位

 

2.1.产品定位

 

FLEET云安全管控平台(商标以实际注册为准)是众安科技根据自身在金融行业云端安全合规,安全管理及安全防护的经验,推出的一套具备安全信息和事件管理,安全基线管理,云主机安全防护,安全大数据分析,威胁情报分析,应用及业务安全防控的云端安全管控平台。FLEET云安全管控平台赋予客户通过单一平台即可实现跨多个云账号,多种云平台的安全管理,安全数据分析和安全运维。帮助企业提升云平台的安全防护能力,安全合规性的同时,避免重复,低效的安全投入,提高信息安全投入产出比。

 

2.2.产品受众

 

  • 安全运维人员,信息安全工程师
  • 从事安全合规的管理人员
  • 安全经理,安全负责人,CSO
  • 负责公司运维及安全管理人员

 

3.核心功能和亮点

 

3.1.产品架构

 

FLEET云安全管控平台由数据接入,实时分析,离线分析和安全管控4层架构组成。整套系统提供了可跨云,跨数据中心的安全日志/安全事件整合能力,以安全数据为基础,以全息,多维度安全数据分析为核心,实现企业全网安全态势可知,可见,可控,可防的闭环。

 

FLEET云安全管控平台为企业呈现了主机安全管理和云安全管控中心两套系统,其中主机安全管理系统注重主机的安全防护和入侵检测,提供了资产管理,漏洞管理,后门管理,安全基线管理,文件完整性管理,异常事件管理,安全取证和主动防御功能;云安全管控中心则作为企业云端的SIEM平台,提供了数据源管理,实时安全规则,离线安全规则,安全态势感知,威胁情报,统一黑名单,应急响应,可视化分析等功能。两套系统相辅相成,既能够帮助企业满足等级保护2.0,PCI-DSS,ISO-27001等安全合规要求,又能为企业构建可跨云,统一,高效,安全的信息安全防护体系。整体的功能架构如下图所示。

 

 

3.2.数据集成

 

FLEET云安全管控平台提供了可跨云,跨数据中心的安全日志/安全数据接入能力。对于阿里云,可快速支持接入阿里云WAF日志,安骑士日志,DDoS高防IP等云原生安全日志;对于腾讯云,也可以快速对接其DDoS防护,云WAF,主机安全等日志;除此之外,FLEET云安全管控平台还支持UDP,TCP,HTTP,SNMP Trap等协议,快速接入Linux日志,硬件防火墙,硬件WAF,硬件IPS/IDS,杀毒软件,网络设备等数百种设备或系统日志。用户可以通过FLEET云安全管控平台强大的数据集成能力,打通分散的数据中心,云平台,安全设备的数据孤岛,为基于数据驱动的安全运维,安全防护打下坚实基础。

 

 

3.3.实时分析

 

FLEET云安全管控平台提供了功能强大的实时安全分析和监控能力,基于流计算的复杂事件处理CEP,Complex Event Process)技术,可基于规则处理各种实时安全日志并从中发现安全威胁。

 

 

3.4.离线分析

 

FLEET云安全管控平台提供了针对海量历史数据的回溯分析能力,且具有灵活的分析任务调度功能,可自动化的对各种数据指标进行分析,以发现复杂的,隐蔽的安全威胁;FLEET云安全管控平台内置了多种机器学习分析模型,对企业海量数据进行全数据分析以及场景化建立,识别潜在未知威胁,同时提取企业内部多种IoC信标,联合在胁情报数据对企业威胁进行联动监测,帮助企业识别潜在的风险与未知的威胁。

 

3.5.安全事件生命周期管理

 

安全生命周期管理为企业提供了扁平化,跨部门,可审计的安全事件处置能力。通过该功能,可以让全工司的工程师参与安全事件的处理,贡献每一个工程师的力量来保障公司的安全性,即减轻了安全团队的工作量又提高了全公司人员对信息安全的参与度与重视程度。安全事件生命周期可对接各种来源的安全事件,同时,提供了事件分发,事件处理,事件验证和事件总结的全生命周期管理。如下图所示:

 

 

 

3.6.统一黑名单

 

统一黑名单功能提供了对接各种安全设备,安全系统的适配能力,可灵活与IPS,防火墙,WAF,HIDS,反欺诈系统等对接。统一黑名单提供多种类型的黑名单,包括且不限于IP/IPv6,手机号,邮箱,设备指纹,文件Hash等,既可作用于网络层防护,又可作用于应用层以及业务层。统一黑名单功能使得FLEET云安全管控平台形成了集数据采集,数据分析,安全告警,主动防御的闭环安全体系。

 

3.7.主机安全管理

 

主机安全管理功能作为FLEET云安全管控平台的核心功能,注重于主机的安全防护和入侵检测,提供了资产管理,漏洞管理,后门管理,安全基线管理,文件完整性管理,异常事件管理,安全取证功能;该功能集成了OSQuery技术,对比于目前业界的其它产品,可基于SQL灵活定制需要监控的安全风险,且提供了覆盖面光,快速,便捷的安全取证能力。主机安全管理功能还基于AI模型,对主机的各种风险进行分析和评估,并提供精准的风险评分,供安全工程师和安全管理人员快速判断当前资产的安全态势。

 

 

3.8.安全可视化及安全周报

 

FLEET云安全管控平台可将企业安全状况可视化大屏展现,通过可视化大屏的方式,便于客户直观、全面了解企业全网的安全状况,及时处置安全事件。同时可满足定制化输出可视化总览图,客户可以根据实际需求查看安全状况。

 

企业管理员还可通过安全报表可及时、详细查看企业网络的安全风险状态,同时可根据用户实际需求制定安全报表。通过输出安全报表,方便安全运维同学总结一段时间内的安全工作成果,提供向上汇报,内部总结分析的材料支撑。

 

 

4.产品优势

 

4.1.强大的安全大数据分析能力

 

FLEET具有强大的安全大数据分析能力,帮助企业快速构建基于数据驱动的安全防御体系。

 

  • 支持跨云,跨数据中心集成,避免重复建设,且提高安全运营效率;
  • 实时数据可提供20000TPS以上的高速处理能力,安全威胁秒级发现;
  • 可支持数千PB级别的数据存储及分析能力,满足安全合规的同时,为智能化的安全运维提供支持;
  • 内置多种AI分析模型,可识别潜在未知威胁。

 

4.2.灵活的安全分析规则

 

FLEET内置了数千条安全规则,开箱即用,可发现各种复杂的安全威胁及IOC指标。同时还提供了基于CEP的复杂事件分析引擎,安全工程师可以根据自身业务特点配置规则。

 

  • 多种事件关联分析

 

安全工程师通过编写类SQL 的规则语句,即可关联分析安全风险。例如下图语句将对事件A和B和C在10分钟内先后发生,且是同一个client_ip的事件进行告警。

 

 

  • 基于DAG的迭代数据分析

 

如下图,通过编写多条可迭代的规则,可以发现潜在的APT攻击行为。

 

 

4.3.可扩展的开放性平台

 

FLEET具备灵活的元数据管理能力,灵活的数据输入输出配置,可根据企业业务需求进行灵活扩展,不断迭代。

 

  • FLEET可以和Kafka, Elasticsearch,HDFS等平台无缝对接,构建更强大的安全大数据处理平台
  • 主机安全管理模块基于OSquery 技术,对比于目前业界的其它产品,可基于SQL灵活定制需要监控的安全风险,且提供了覆盖面光,快速,便捷的安全取证能力;
  • 提供了大量API接口,用户可以编写自己的安全分析模块。

 

4.4.管理及合规友好

 

  • 安全事件生命周期管理有助于管理层推进安全管理工作,提高安全事件的跨部门合作效率,提高安全应急响应速度;
  • FLEET 提供了满足等级保护(2.0),PCI-DSS, ISO 27001 等的安全策略和功能,安全团队只需要简单操作即可完成合规审计;

 

4.5.闭环的安全防御体系

 

FLEET的统一黑名单服务提供了对接各种安全设备,安全系统的适配能力,可灵活与IPS,防火墙,WAF,HIDS,反欺诈系统等对接。集数据接入,数据分析,安全告警,主动防御于一体,形成了闭环的安全体系。

 

4.6.一站式云安全解决方案

 

FLEET云安全管控平台赋予客户通过单一平台即可实现跨多个云账号,多种云平台的安全管理,安全数据分析和安全运维。帮助企业提升云平台的安全防护能力,安全合规性的同时,避免重复,低效的安全投入,提高信息安全投入产出比。

 

5.应用场景

 

5.1.低成本、高效率构建企业私有云安全体系

 

传统的SIEM产品价格高昂,且操作运维复杂,大部分企业采购的SIEM系统最终都沦为了摆设。FLEET云安全管控平台可以以很低的成本,帮助企业构造一套运维方便,功能强大,智能的安全防护体系。

 

客户案例—东亚银行

 

  • 背景简介

 

东亚银行于1918年在香港成立,一直致力为香港、中国内地,及世界其他主要市场的客户,提供全面的零售及商业银行服务。东亚银行是香港最大的独立本地银行,于2018年12月31日的综合资产总额达港币8,395亿元。东亚银行对其在大陆的数据中心的信息安全非常重视,之前采购了Splunk作为其SIEM解决方案,但是由于使用复杂,且成本较高,并没有起到实际效果,且沦为了摆设。

 

  • 解决方案

 

FLEET为东亚银行私有云提供了不局限于SIEM功能的整体安全解决方案,提供了安全日志存档,安全事件分析和监控,安全态势感知,自动化安全应急响应,安全可视化大屏,安全周报,主机安全管理和入侵检测等功能。使用了FLEET作为其私有云SIEM解决方案后,安全投入成本显著降低,且人力投入减少了50%。同时,此项目使得东亚银行顺利通过了2019年度的等级保护测评及银保监会的安全审计。

 

5.2.轻松构建混合云安全体系

 

随着云计算市场的发展,越来越多的企业开始使用云计算来承载自身的业务系统。特别是一些跨国或者出海企业,由于其业务的发展,同时又要满足国内外客户的安全合规需求,不得不采用混合云的部署模式。但是混合云的部署模式使得安全管控变得分散,不通的云环境需要面临不同的攻击面,安全风险越来越大,且安全运维成本也越来大。

 

客户案例—众安保险

 

  • 背景简介

 

中国最大的互联网保险公司,2019年上半年服务约3.5亿用户,提供33.3亿份保障。目前其科技已海外科技输出,服务日本前三大财险公司SOMPO、新加坡最大的财险公司之一INCOME及东南亚最大O2O平台Grab。众安保险业务众多,且不同的业务类型,使用了不同的云计算平台。如下图可知,众安保险使用了阿里云,腾讯云,华为云及AWS多个云平台。

 

 

集团既要面对国内银保监会,网安的安全监管,又要面对香港,新加坡,日本客户的安全合规要求。另外,由于不同的子公司,不同的业务应用,不同的云环境,使得整个集团使用了很多不同的技术栈,无论是开发语言,中间件还是操作系统都比较丰富,安全防控的复杂度较高。

 

  • 解决方案

 

众安保险基于众安科技的FLEET为基础,结合和自身的大数据和DevSecOps能力,打造了一套FLEET大安全平台。整个解决方案按照安全策略及管理集中化,安全组件和安全数据分散化的理念,即实现了安全的统一运营管理,又实现了数据安全的合规合法。通过构建该平台,解决了混合云平台安全运营,安全管理,安全合规投入成本大的难题,为其集团的业务高速发展保驾护航。其整个FLEET大安全平台的解决方案如下图。

 

 

5.3.助力云端健康医疗数据安全合规

 

医疗数据包含大量隐私,其安全性非常重要,政府对其数据安全合规性要求特别严格。FLEET提供了满足HIPPA标准的数据安全合规能力,为保险行业,医疗健康行业上云提供有力支持。

 

  • 背景简介

 

上海暖哇科技有限公司(简称“暖哇科技”)成立于2018年10月,致力于通过大数据、人工智能、区块链等前沿技术,助推医疗、健康机构的智能化运营,以科技构建新一代医疗健康生态圈。其拥有大量来自于合作医院的健康医疗数据,政府及合作伙伴对其安全合规性非常重视。

 

  • 解决方案

 

FLEET云安全管控平台为暖哇科技提供了覆盖网络,主机s,中间件,容器,数据库以及业务层面的安全防控体系,且结合了其业务特点,配置了数白条安全监控规则,帮助其及时分析并发现云端的安全威胁及违规事件,并获得了政府及合作医院的一致认可。