上海云盾IDC安全解决方案
发布时间:2022-10-07 11:16:22 所属栏目:安全 来源:
导读: 近年来,随着DDoS攻击、网页篡改、黑客入侵等安全事件的出现,IDC业务客户对于安全能力的愈加重视,监管部门对于IDC的安全防护体系建设提出了明确的技术和管理要求。如何保证IDC安全运营,有效抵御各种攻击、及时
|
近年来,随着DDoS攻击、网页篡改、黑客入侵等安全事件的出现,IDC业务客户对于安全能力的愈加重视,监管部门对于IDC的安全防护体系建设提出了明确的技术和管理要求。如何保证IDC安全运营,有效抵御各种攻击、及时发现并拦截恶意行为、降低风险损失,同时满足合规性要求,是运营商需要考虑解决的问题。 1.1. 业务安全 互联网数据中心(IDC)具有高带宽、大流量、数据高度集中、开放性强和内部用户环境复杂等特点,使得IDC面临巨大的网络安全威胁,IDC用户的业务系统经常遭受DDoS攻击、网页篡改、系统入侵、业务中断等影响,甚至遭到黑客勒索的安全事件也时而发生,网络安全问题已经成为影响IDC提升服务水平和竞争力的主要障碍。 1.2. 安全合规要求 近年来,工信部在信息安全工作考核中加强了对IDC的网络安全防护技术手段的检查,并根据IDC自身的特点,制定了针对互联网数据中心(IDC)的防护要求:GA 1277-2015《信息安全技术互联网交互式服务安全保护要求》和YD/T 2584-2015 《互联网数据中心(IDC)安全防护要求》,重点要求IDC需具备防DDoS攻击、网页篡改等网络安全防护技术手段,以促进IDC安全防护能力的提升。 1.3. 增值服务需求 随着安全意识的提升和《中华人民共和国网络安全法》正式实施,越来越多IDC客户希望运营商提供不同的安全服务来满足防DDoS攻击、网页篡改、系统入侵、业务中断等需求。阿里云等互联网企业为其机房内客户提供了优质的安全增值服务,提高客户感知,抢夺运营商IDC客户资源。 2. 安全设计2.1. 技术架构 针对上述IDC面临的安全风险和需求分析,上海云盾推出了IDC整体安全解决方案,方案具体架构如下: 上海云盾云平台采用SAAS模式为用户提供一整套全方位、无死角、免安装、免维护、即采即用的云平台服务,具有快速接入、即采即用的特点。云平台由云解析(安全DNS)、太极抗D(含清洗设备)、红网卫士、盾眼(安全感知)、云监控、云加速、替身镜像、服卫士组成,所有产品均为上海云盾自主研发且具有自主知识产权,各个产品可以完美无缝配合使用,也可以独立使用,完美解决了IDC安全的各种问题。 1.1. 安全产品1.1.1. 云解析 云解析为用户提供智能解析和安全防护服务,保证DNS解析业务的高可用性、高稳定性。 安全防护 云解析DNS服务器集群为了更好的抗DDoS攻击与服务更多的用户,单机被设计为可以处理1800万QPS。服务器集群可以轻松处理亿级QPS,配合太极抗D DNS版防护方案完全可以抵抗各种DDoS和查询攻击。并且支持HTTP DNS有效防止DNS劫持,保证解析安全稳定。 智能解析 在注重安全的同时云解析也非常注重智能,云解析拥有全球最权威的IP地址库,支持分大洲、大区、省份、运营商、SEO等线路进行解析,同时支持自定义私有线路,满足指点IP或IP段访问指定服务器的需求;解析仅仅 6 秒就可以同步到所有 DNS 服务器,快如闪电;支持秒级TTL、支持显性隐性DNS URL转发服务、支持DNS解析统计报表;支持服务器宕机智能切换到可用IP功能;支持定制专属NS名称,彰显企业形象;同时云解析具有独家AP、CNAMEP负载均衡轮询解析协议,可满足同时使用多家CDN服务。 1.1.2. 云加速 云加速是面向WEB及移动应用推出的专业的性能加速云产品。与其他厂商一样拥有遍布全国的CDN节点。与其他厂商区别之处在于提供基础安全功能,提供精细化Web及移动的性能优化;提供数据报表和日志下载功能,让业务统计信息一目了然,为业务优化提供数据支撑。可配合红网卫士和太极抗D获取更高的防护能力。 基础安全 基于上海云盾的安全基因,云加速基础安全提供云IDS,为用户检测识别SQL注入、XSS跨站、CSRF攻击、文件包含攻击、目录遍历攻击、信息泄露、恶意爬虫,网站恶意扫描等攻击。为用户提供盗链防护、区域屏蔽、访问控制-黑名单、SSL、错误页面自定义等服务。 性能优化 采用TCP优化和路由优化,保证访客到云加速CDN网络,云加速CDN网络到源站是最佳链路。完美解决跨运营商、跨地区、跨服务器导致的站点响应慢和用户体验差的问题。确保网站访问更快、服务更稳定。 同时采用页面无损压缩、无效代码删减等技术,大量减少传输资源的大小,使页面加载更快。云加速还支持游客缓存、HTTP2、WebP图片优化、私有协议栈、源站负载均衡、网站动静资源分离等多种加速功能。全力提升访问速度和动态加速效果。同时还提供搜索引擎优化服务,提升蜘蛛抓取效率,提升搜索引擎排名。独特的网站永远在线功能,保证网站永不离线。 太极抗D是专业的云抗D服务,由三个层级清洗中心组成,对DDoS攻击从源头到终端全方位清洗,全面防护各种类型DDoS攻击。抗D架构图如下: 一级清洗中心 上海云盾信息技术有限公司一直与运营商保持密切的合作,双方在IDC、大带宽、云防护深度合作。借助运营商管道级抗D能力,通过骨干路由的近源压制和近源清洗、QOS限速等策略进一步保障无限的清洗能力。 二级清洗中心 通过在本地部署太极抗D自主研发的军工级清洗设备——硬件防火墙,对数据中心异常流量进行实时诊断,并且配合私有的IP信誉库、本地规则策略自动发现、自动牵引、自动启动清洗策略,同时可以与云端进行联动通过云端实时更新本地IP信誉库、防护策略等。 三级清洗中心 太极抗D本地私有DAF(基于DPDK的应用防火墙)是第三级清洗中心重要组成部分,通过集群架构,配合IP信誉库、设备指纹等对应用层攻击进行逐包深度检测,秒级攻击响应时延。同时配合大数据机器学习,精准识别攻击行为,将应用层攻击消灭于无形,为用户提供完美的防护体验。 1.1.1. 红网卫士 红网卫士是面向用户推出的基于大数据驱动的专业防入侵、云防控智慧产品,具有高级云WAF、防篡改、关键资源锁、内容替换、高级威胁分析等防护功能。 高级云WAF 高级云WAF基于大数据安全分析技术,通过搜集来自多种数据源的信息安全数据,深入分析挖掘有价值的信息,主动获取关于未来安全威胁信息,实时动态联动升级安全规则库,对未知安全威胁做到提前响应,颠覆传统单点、被动、孤岛防护,降低风险微盾防火墙,实现最佳的安全防护。云端防御策略涵括CVE、OWASP、CNVD的各种漏洞。支持SQL注入防护、XSS攻击防护、CSRF攻击防护,文件包含攻击,目录遍历攻击,信息泄露,恶意爬虫,网站恶意扫描,Webshell防护等,具备独立的Web应用防护规则库。 高级云WAF具有自学习能力,根据智能因子组成防护规则,判定是否存在攻击行为,防止因规则库过大导致匹配效率下降问题。高级云WAF能够对未知的攻击进行检测和防护,可防99.9%以上的黑客入侵。 防篡改 针对党政机关特别关心的网页篡改事件,红网卫士提供了网页防篡改功能,通过锁定网站内容,可以在锁定期内保证网页内容不变,可配合独创的替身镜像功能,100%防止网页被篡改。 脱敏 该功能可以对网站中敏感内容进行替换,提供模式词库,用户可以上传自定义词库,将敏感内容替换为指定内容。 关键资源锁 在访问某个URL/文件类型时,可以强制访客输入既定的登录账户和密码,以及仅允许某个IP/UA/地区可访问,关键资源锁可有效防止暴力破解后台等敏感URL,以及限制可执行文件访问。 高级威胁分析 通过大数据行为建模、访问模型分析、设备指纹、IP信誉库、代理/Bot网络、攻击特征、APT攻击挖掘发现真正的威胁。 1.1.1. 替身镜像 替身镜像像云盘快照一样备份网站内容,灵活的备份规则设置,支持云内或云外网站备份,支持一键预览、更新、推送备份内容,当源服务器出现异常时可保障服务永久在线。 替身镜像可基于时间、区间、区域位置对网站进行替身访问控制。在任何时间,替身镜像均可隔离境外黑客组织渗透,敏感时期100%保障网页内容不被篡改。 1.1.2. 盾眼(安全感知) 盾眼(安全感知)对漏洞和内容进行全面观测,包括Web威胁感知、Web风险观测等监控,提前发现系统的安全缺陷,有效降低系统安全风险,降低政府、企业因系统缺陷遭受攻击或恶意信息造成的损失。 Web威胁感知 新一代入侵检测系统,专注于WEB入侵检测,挖掘潜在威胁,发现业务风险,生成审计信息,并发送告警信息。 Web风险观测 平台集成多个扫描引擎及数万条规则库,对WEB主机进行深度风险扫描及资产识别,快速发现WEB漏洞、配置缺陷、主机漏洞、弱密码、敏感路径等安全风险。平台采用实时动态网页指纹、实时内容比对等多种检测技术,实时监控网站篡改情况,可在一分钟内发现篡改情况。平台提供专人维护的恶意代码库和敏感词库,按需随时升级,保证全站恶意内容检出的准确性和全面性。 1.1.3. 云监控 云监控为服务器提供服务可用性闭环监控。监控涵盖HTTP/HTTPS/TCP等协议。并且可配置备用服务器IP配合云解析做到宕机智能联动切换,当恢复后可重新切换回被监控服务器。在检测到异常的同时会发送多维度告警通知,如短信、微信、邮件保证信息送达,并且可以设置回调URL,云监控将会把监控到的数据回调给指定的URL,根据需要进行处置。 1.1.4. 服卫士 服卫士是一款为服务器量身定制开发的防火墙软件,集防御、管理与一体。采用NDIS驱动层和应用层相结合,从驱动层直接屏蔽攻击,最大限度的保护服务器安全。具有本机防DDoS攻击、防CC攻击、篡改防护、端口扫描、动态显示包过滤情况、端口管理、IP黑白名单、防护日志等。配合上海云盾威胁情报中心可以实现云端联动防御,防护各种已知和未知的攻击,做到对服务器全面主动的防护。 服卫士与云端进行实时联动,将新的威胁上传到上海云盾大数据分析中心,中心再分析威胁后通知威胁情报中心生成新的防护规则,并实时同步到所有服卫士中进行策略升级。形成完整的防护闭环,可以对未知威胁进行防护。 服卫士与上海云盾云平台配合使用,为云平台提供源站保护功能,只允许上海云盾云节点连接,拒绝其他不可信IP的访问。 1. 方案特点 1.1. DNS安全,智能解析 上海云盾提供安全智能的公有云DNS解析服务,资源弹性可扩展。针对目前DNS解析遇到的问题,云解析为用户提供智能解析和安全防护服务。 1.2. 流量清洗,性能出色 太极抗D使用业内独创防御算法,根据不同行业特点定制开发的平台引擎,链接平稳,转发高效。支持HTTP/HTTPS/TCP/UDP等不同的协议,并且提供不同维护办法。 太极抗D适合各类业务场景的DDoS防御,单个防御节点的防御能力达到800G,集群防御能力达到1T以上。 1.3. 反向代理,隔离防护 上海云盾采用反向代理技术实现替身式防护,在访客和真实服务器间筑起一道无法逾越的高墙,黑客无法获取真实服务器的IP,获取到的只是防护节点的安全IP。整个防护过程完全隔离黑客与真实服务器之间的交互链接,对于访客来说是完全无感知的,对于黑客来说攻击到的只是安全节点。 1.4. 虚拟替身,安全备份 用户可以根据实际需求自定义备份规则,替身镜像像网络云盘快照一样备份网站所有内容,完美隔绝黑客组织渗透,尤其是政企事业单位的门户网站,可以在时间范围内,指定特定区域的用户访问门户网站的正常内容。 1.5. 攻击感知,观测告警 安全防护体系可以对所有防护进行7*24H全方位立体化的攻击监控、告警、安全值守,多维度DDoS和CC实时攻击数据图形化展示及攻防态势全景地图展示。上海云盾的安全值守团队致力于为客户提供个性化及快速反应的在线支持与现场支持。 上海云盾成立的盾眼实验室,专攻DDoS研究,为客户提供攻击预警服务。 (编辑:应用网_扬州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102330458号