1、需求概述
某新零售商业集团总部位于上海,其代理品牌横跨多元化高端服饰、生活时尚用品、化妆品与西式餐饮等多个经营领域,在大中华区有数百个高品质终端店。
客户希望新钛云服给出符合安全等保二级要求的合理方案。
2、需求分析
客户目前有门店约300家,通过互联网将运营、支付、库存等信息传输到集团总部(上海)。
当前总部的基础设施架构包括超融合Nutanix、刀片服务器、存储等。
按照等级保护二级要求,需要从传输安全性、网络安全性和数据安全性等方面予以加强和完善。
3、安全网络架构解决方案
结合客户的业务需求和等级保护的需求,建议客户采用如下的网络架构:
3.1 使用SD-WAN保障门店和集团间网络访问质量和传输安全
SD-WAN(软件定义广域网)通过在门店和集团总部部署边缘设备,可以将原本经过互联网公网的流量通过专用链路传输,一方面可以保障网络质量,另一方面也减少了传输风险。
3.2 集团网络分离生产网和办公网
当前集团基础设施中生产网和办公网部署在同一套网络架构中,存在流量混合和互相影响的风险。因此,建议,对生产网络和办公网络分离,使用独立的网络基础设施服务生产网,包括独享的互联网公网接入和网络设备等。
3.3 使用网络防火墙阻止来自互联网的攻击
按照《信息安全技术网络安全等级保护基本要求》,“应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信”,必须在网络边界处部署网络防火墙。
3.4 使用某安全厂商AD产品交付应用
在生产网络中,负载均衡设备提供了对后端服务器的故障屏蔽能力和负载调度能力,是构建高可用架构和保障业务连续性的必备组件。考虑到当前集团已采购某安全厂商AD设备,因此建议利旧,直接使用该AD设备作为负载均衡设备。
3.5 部署主机入侵检测系统
为了实现入侵检测目的,也就是为了在第一时间发现云主机被入侵的情况,建议部署SAAS版主机安全系统。该agent能实时监控主机的核心文件完整性、监控WEBSHELL、异常进程、异常操作(例如提权等)、挖矿程序等,并在发现异常时对管理员告警。
3.6 数据备份与恢复
有效的数据备份和恢复机制是防御入侵和误操作事件的最后防线。建议实施异地备份,以避免本地机房灾难性故障时的数据丢失。
3.7 堡垒机的使用
通过使用堡垒机,可以对运维和数据操作进行审批和审计,以满足等级保护中对访问控制和安全审计的要求。
4、新钛云服提供的服务
新钛云服为客户提供等级保护二级认证的全程咨询和指导工作,保障客户及时通过了等级保护认证。
关于新钛云服
新钛云服是专业的云管理服务商,秉持“以专业成就客户”的使命,致力于提供按需付费的云管理与安全服务,为客户赋能,帮助客户低成本、高效率地快速建立起”成熟互联网公司”级别的运维和安全体系,支撑客户业务快速稳定地发展。
新钛云服公司成员中技术人员占比 80%以上,核心成员来自盛大、华为、IBM、金山等知名企业,在互联网技术架构、云计算技术和解决方案领域有丰富的实践经验。公司坚持客户价值导向,与国内外公有云、链路以及IDC供应商建立深度合作关系,在北上广建立云互联POP点,推出多云运维管理平台(TiOps)及信息安全管理平台(TiSec)。
基于经验丰富的技术专家团队、强大的云管理服务平台和丰富的基础设施资源,新钛云服以行业领先的理念和专业的技术能力,为企业客户提供云技术咨询、云架构设计、云迁移、多云管理、云运维和安全管理、混合云部署、云集成项目落地等服务,帮助客户快速提升技术能力,完成数字化转型升级,降低运营成本,显著提升后端对于业务的支撑能力。
新钛云服典型客户: