方案概述
数梦工场云安全是以阿里云盾为基础,结合政企行业用户需求进行融合创新推出的云安全纵深防御体系。数梦工场云安全为专有云用户提供DDoS攻击防护,租户间隔离,主机间访问控制,主机入侵防护,主机安全体检以及Web应用防护等功能,并结合咨询与评估、方案交付、定期体检、事件应急等全流程服务,满足专有云的合规性要求和持续的安全运营。
方案特点
纵深防御理念重构安全体系
Tb级高性能、99.9%高精度流量清洗,实现四到七层DDoS攻击防护
主机客户端与云端联动实现分布式主机入侵防护,包括服务器帐户保护、恶意文件云查杀、高危漏洞修复
综合大数据分析、0day、专业安全团队形成精简高效的安全策略,实时拦截SQL注入、XSS等Web应用层攻击
全面扫描分析云主机web漏洞、弱口令、端口安全、恶意篡改等弱点,降低云主机安全风险对云平台业务的影响
统一分析云内安全事件,实现安全风险防范的全局观

先进的SDS(软件定义安全)架构
基于标准化IT资源基础设施,大幅提升资源利用率,有效保护长期投资;
依托成熟的云计算技术实现安全资源的弹性伸缩,处理性能可从Gb级向Tb级平滑扩展,适应云业务的快速发展;
采用了创新的分布式集群技术,各部件均可实现高等级的可靠性,消除单点故障;
统一的安全资源控制与编排系统,面向业务需求调配各安全部件资源分配;

安全大数据创新实践
得益于互联网公有云流量,获得最丰富的攻击威胁样本,并通过规模应用检验应对策略;
深入挖掘云内海量数据,全面收集攻击行为,分析判断安全趋势决定防护决策;
基于互联网大数据,深入分析挖掘 0day未知漏洞

方案规格
项目 | 描述 |
---|---|
DDoS攻击防护 | 防御多种网络型及应用型攻击; 网络型攻击:SYN Flood、 UDP Flood、 DNS Query Flood、 ICMP Flood、 (M)Stream Flood、 Ping of Death、 Connection Flood、 Land、Tear Drop、 WinNuke等; 应用型攻击:HTTP Get攻击、 CC攻击、 DNS攻击等; Smurf、Fraggle、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描等多种恶意攻击; |
租户间隔离 | 每个租户划分成不同的安全域,并为每个安全域定义不同的访问控制规则; |
主机间访问控制 | 基于安全组实现主机间访问控制; 云服务器之间默认无法互访; 访问控制策略可随主机迁移; |
主机入侵防护 | 基于大数据处理能力,实时识别暴力破解攻击行为; 云端联动快速识别可疑黑客账户; 准确识别异地、异常登录行为并报警; 恶意文件库的实时更新、多引擎查杀技术; 恶意文件的创建行为、高危恶意文件的启发式隔离; Web应用漏洞修复、系统文件修复、rookit后门清除; |
主机漏洞检测 | 通过静态分析和动态行为监控,实现对系统中存在的SQL注入,XSS,文件上传等多种Web漏洞进行扫描; 通过弱口令库和系统探测,实现对系统后台中存在的弱密码进行检测; 实现对系统中开启的危险端口进行检测; 通过对系统应用中使用的第三方开源软件进行识别,实现该软件的漏洞扫描; |
Web应用防护 | 覆盖已知所有Web安全攻击类型,如XSS,SQL注入,命令行注入,文件上传,文件遍历,后门木马上传等等,同时也能对0day攻击快速防御; |
高可靠性 | 关键部件均采用先进的集群技术,避免单点故障; |
易维护性 | 提供面向租户的Web方式控制台,清晰的报表展示; 提供面向运维人员的配置管理平台,功能丰富、灵活定制; |