云平台是等保2.0的重要监管对象,其安全建设的重要性不言而喻。天融信超融合私有云自带安全能力,满足等保2.0对云平台建设的安全要求,同时提供灵活的安全网元配置方案,全面支撑业务系统安全防护。
天融信超融合私有云采用自主研发的技术架构,对云平台自身安全进行了加固设计,并整合分布式防火墙、下一代防火墙、WAF、基线核查、综合日志审计、负载均衡、EDR等安全网元,客户可根据业务安全等级要求灵活选择。
等保2.0中“云计算安全扩展要求”对云上环境的通信网络、区域边界、计算环境、安全管理中心等建设提出了明确要求,天融信结合在安全领域积累的多年实践经验,推出超融合私有云产品,一键部署安全私有云。
天融信超融合采用SDN技术,通过VPC网络实现租户间的网络隔离,为进一步确保云上网络通信的安全,超融合提供在通信传输、边界防护、入侵防范等方面的安全能力,支持配置分布式防火墙、VPN等安全网元。支持用户自主设置安全策略,如定义访问路径、配置安全组、配置网元的安全策略等,并支持整合第三方安全服务,提供开放接口。
对于区域边界的安全保障,天融信超融合支持配置下一代防火墙、WAF、堡垒机、网络审计、数据库审计等网元,能够对虚拟化网络边界和不同等级的网络区域设置相应的访问控制规则,监测虚拟网络节点受到的网络攻击行为,监测虚拟机与宿主机、虚拟机与虚拟机之间的异常流量,并对攻击类型、攻击时间和攻击流量等内容进行记录和报警。
天融信超融合采用基于角色的访问控制(RBAC)策略,支持设置租户权限、设置虚拟机的访问控制策略。
为确保云上计算环境的安全,天融信超融合提供入侵检测机制,能够监测虚拟机非法新建和重启。支持配置EDR、基线TBM、漏扫等网元,能够对恶意代码等威胁进行监测和报警。
天融信超融合对宿主机操作系统进行了安全加固,关闭了不必要的端口、服务,确保系统层面的安全。为保障业务应用的数据安全,天融信超融合采用全路径数据加密,从应用数据接收到最终落盘,全程进行加密传输和存储,保护敏感数据;提供数据备份、快照、CDP等功能,提供本地和异地容灾能力,并支持业务系统及数据迁移到其它云计算平台,全面保障云上计算环境的安全。
当用户退出云服务或删除平台上虚拟机时,天融信超融合会清除用户数据,包括备份数据和运行过程中的关联数据,保护用户信息不外流。
天融信超融合采用管理网和业务网分离部署的方式,保证管理流量与业务流量的分离;提供物理资源和虚拟资源的集中管控、日志统一搜集和审计功能,能够按策略对资源进行管理调度与分配、搜集和检索平台的服务日志和用户的操作日志。同时,提供资源的集中监测,对虚拟化网络、虚拟机、虚拟化安全等资源的运行状况进行集中监测。
天融信超融合自带安全属性,能够快速打造满足业务安全要求的私有云环境,帮助客户快速构建安全私有云。