方案概述

從AWS入云框架的安全維度出發，根據企業自身情況，華訊網絡可提供全面的云安全解決方案，涵蓋云基礎設施和應用的各個方面的安全防護，包括：

● 網絡資源訪問防護：包括基礎網絡安全、DDoS防護、租戶隔離和虛擬機防火墻、云WAF提供的Web攻擊防護；

● 賬戶及權限管理；

● 系統安全配置與維護；

● 數據安全及云上資源備份與保護；

● 監控與安全事件響應。

方案優勢

華訊網絡采用四維云安全視角推動企業的安全轉型，幫助企業構造適合其安全管控目標的方法和措施。對于每一個維度，可以采取相應的行動，并測量進步的手段：

● 建立安全指導方針——建立符合企業環境及特點的安全管理，風險及合規性模型；

● 識別安全防御措施——保護業務負載，降低威脅及系統脆弱性；

● 監控及檢查可能違背既定規則及策略的場景和事件——提升在AWS平臺上的部署和運維的整體可見度及透明度；

● 為安全響應建立運維規范——為潛在的偏離安全基線的行為建立響應及補救措施。

在實際方案部署中，華訊網絡從以下幾方面實現安全的全方位保護：

● 賬號與授權

建立獨立的IAM用戶，并通過IAM Group反映客戶的組織架構情況。除基本的設定MFA、定期更新密碼/密鑰等絕佳實踐，我們安全實踐還包括對AWS資源的操作內容進行細分、用戶組識別、標準化的tag體系構建、使用Federation與外部賬號系統進行集成。

● 網絡安全

基礎網絡安全通過安全組或NACLS進行精細化的網絡訪問授權，對于更為復雜的需求通過集成NGFW進行防護。采用VPC peering、VPN、Direct Connect實現網絡的安全互聯。此外，根據企業的應用安全需要集成WAF并配合ELB進行應用訪問的加密解密。

● 監控、審計和分析

AWS平臺和服務的日志記錄通過CloudTrail進行。使用CloudWatch對AWS平臺與服務，以及系統、應用程序的運行指標以及日志進行集中收集管理、跟蹤及設置警報。通過Trusted Advisor持續進行安性全檢查。

● 安全運維和事件響應

使用CloudFormation進行資源的部署并進行版本化控制。設置CloudWatch Alarm并與AWS SNS集成在發生特定安全事件時提醒安全人員進行響應或用Lambda進行自動化響應。借助第三方SIEM工具如splunk進行更廣泛、更細致、更智能、更復雜的安全事件監測。

● 數據安全

根據企業需求或合規需求，對數據進行分級。通過利用資源標簽、 IAM 策略、s3 bucket策略，為各類資源應用不同的定制化標簽，定義并實現各項數據分級策略。對數據的傳輸過程和存儲進行加密。

客戶收益

● 保護私有云、公有云環境免遭高級威脅攻擊。有效防御各類DDOS、WEB攻擊，保證云基礎架構的安全；

● 不同租戶之間有效隔離，確保租戶之間的通信安全、數據保密；

● 更換或遷移至新的云服務提供商時輕松擴展安全，無需改變安全策略；

● 降低運營成本并使用更少的資源完成更多的任務；

● 專為虛擬環境和混合部署優化的安全。