产品简介
银科数安云安全解决方案是在云模式下为业务应用提供丰富、灵活、合规的各项安全能力。云安全资源池的基础设施由物理服务器构成,通过对基础设施的资源进行池化后,对上层安全能力按需实现资源分配和管理。从整个平台的方案架构设计上,具有较高的科学性、合理性、先进性、完整性。基于云计算技术架构,帮助行业客户构建轻量化的小云,面向用户提供云服务和云安全服务。
- 物理服务器:用于承载上层系统的基础设施;
- 云管平台:基础设施硬件资源的虚拟化、运维、管理;
- 安管平台:对内置的各项安全能力和安全服务提供运维、管理、运营;
- 云主机:面向用户提供的虚拟主机服务,用于承载用户的业务应用;
- 云桌面:面向用户提供远程云桌面服务;
- 云安全:由各种软件形态的安全能力构成,面向用户提供安全检测、防护、审计等功能。
应用场景
私有云安全
客户业务系统已经完成上云,希望针对云端业务提供完整的安全防护手段。
SASE云安全
总分型组织架构的客户,一方面总部机构希望对云端业务进行安全防护,另一方面分支机构希望对本地内网进行安全防护。
专线云安全
中小型客户不关注云端业务和本地内网的安全防护,因为云端防护由服务商提供,本地内网规模极小不需要防护,但希望对出口流量进行安全防护。
融合边缘云
中小型客户或分支机构希望在本地或近端获得云主机、云桌面服务,同时满足安全防护需求。
私有云安全解决方案
某市大数据局为全市政府及事业单位提供统一的政务云服务。政务应用分期建设,分布在华为、移动、电信三朵云上,三个云平台在大数据局同一栋楼的不同楼层,客户希望对三朵云上的政务应用提供统一的安全防护服务。
【建设】
- 为大数据局单独建设一套私有云安全资源池,提供满足等保三级及以内安全防护能力;
- 下属单位访问政务云业务的流量会首先被牵引至云安全资源池进行检测、防护和审计,不合规流量被阻断,合规流量再牵引回政务云。
【运营】
- 大数据局向下属单位提供不同等级的安全服务,例如:单项漏洞扫描服务、等保二级套餐、等保三级套餐等;
- 下属单位获得服务后,按周期向大数据局付费;
- 大数据局基于这些安全服务帮助下属单位发现和预防安全隐患和安全事件,协助等保测评、安全合规检查和攻防演练等。
SASE云安全解决方案
某央企总部在北京,下属分支机构遍布全国。企业业务应用分布总部业务员、华为公有云、分支机构本地三个地方。总部机构希望能够对业务应用进行整体的安全防护,包括云端业务和本地业务。
【建设】
- 在企业总部建设独立的云安全资源池,为总部云提供符合等保三级要求的安全防护;
- 在总部云安全资源池和华为云之间部署专线,通过专线链路对华为云上的企业应用提供安全防护;
- 分支机构部署SASE安全一体机,为本地业务提供符合等保二级要求的安全防护。
【运营】
- 总部云安全资源池对总部云、华为云、本地业务进行统一的安全管理;
- 总部云安全资源池对SASE一体机进行统一的运维管理;
- 分支机构可以调用总部云安全资源池的安全能力,进一步提升本地业务的安全防护效果。
专线云安全解决方案
某省运营商落地“融安战略”,在地市建设云安全资源池,在推广互联网专业业务的同时通过安全服务提供增值。
【建设】
- 在地市机房部署云安全资源池,提供满足等保二级要求的安全防护能力;
- 前向打通订单系统,形成自动工单下发,后向对接前期采购的威胁情报库和态势感知平台,形成多品类安全服务的统一运营。
【运营】
上架基础安全检测、高级安全防护、安全审计三个套餐服务;
- 基础套餐与互联网专线形成捆绑,低成本广覆盖;
- 通过安全报告,拉动基础套餐客户升级为高级套餐;
- 通过测评与检查拉动高级套餐客户升级安全审计套餐;
- 挖掘出安服项目机会,联合第三方安服伙伴。
融合边缘云解决方案
某央企下属项目公司拥有几千人的工程团队,在日常工程设计、管理的过程中会产生大量的关键业务数据即核心资产。该企业最初希望通过云桌面的方式实现数据不落个人终端,但工程人员随项目部分布在全国各地,通过互联网的方式使用云桌面和云端业务体验度较差,影响正常业务开展。
【建设】
- 在总部和分部(主要是临时建设的项目部驻地)搭建融合边缘云节点,在节点上同时部署业务应用、云桌面服务端、安全防护能力。
【使用和管理】
- 分部工程人员通过云桌面访问云端业务,由于云桌面服务端和业务都在项目驻地,基于局域网传输,因此业务体验有保障,同时业务数据不落个人终端;
- 分部节点与总部节点之间定期同步镜像和业务数据,保证可靠性;
- 分部工程人员的所有操作和行为都会经过项目驻地的边缘云节点提供安全防护
- 总部节点对分部节点进行统一的运维和管理,分部节点按项目需要随拆随建。
产品特点
成本控制
基于自主研发的核心技术,将底层系统对基础设施的资源消耗控制在15%以内。
该项技术与业界同类产品和方案相比,能让上层安全服务多获得超过30%以上的算力。
和传统的网络安全建设相比,综合投入成本降低50%以上。
可靠性高
单套资源池/节点的网元弹性伸缩:虚拟机承载云应用、云桌面、安全能力,多个虚机组成安全网元组;
网元组内多个虚机以负载均衡和冗余备份的形式提供服务,任何一个虚机异常或故障,不影响服务质量。
多套资源池/节点的服务弹性伸缩:
多台服务器组成集群,支持热迁移和在线扩容;
单台服务器故障或资源不足时,网元配置、网络配置、系统数据、业务数据、安全数据自动迁移,不影响服务质量。
不用改现网
基于IPv6自主研发的分片路由调度技术,和传统的基于策略路由、SDN技术的流量编排技术相比,实现了外部网络与设备无关性。 业务流量在云内部进行多项安全能力的编排,只和云内部的虚拟网络有关联; 业务流量出资源池时,后续的转发路径设计,是否需要调用闲置资源,只和云内部的虚拟网络有关联; 本地节点资源不足时,远程调用其它节点的算力资源,只和云内部的虚拟网络由关联; 图形化配置,技术门槛更低。
安全能力丰富与合规
产品支持内置丰富的网络安全检测、防护、审计、管理以及主要数据安全方面的能力,通过安全网元的形式运行在资源池内,可以按需进行启用和扩展。 支持单项安全能力的部署; 支持多项安全能力组合成套餐部署(例如:等保二级套餐、等保三级套餐)。