面向云计算的安全解决方案

1、面向云计算的安全解决方案安全性是云计算环境中最重要的考虑点云环境面临的新挑战我有控制它在xx机房它存储在服务器xx上我们有备份我们的管理员控制访问我的可用时间很好审计员们很开心我们自己的安全团队参与其中谁在控制？它在哪里？它存储在哪里？谁在备份？谁能访问？如何恢复？审计员们如何审计？我的安全团队如何参与？自服务高度虚拟化位置独立自动分配负载快速灵活性标准化云计算对现有安全架构进行验证人员和身份应用和流程网络，服务器和终端数据和信息物理架构治理，风险和合规安全和私有域多次登录，入职问题多租户，数据分离审计管道，合规控制供应商控制，缺少可视化虚拟化，网络隔离对外服务，快读供应云环境在云环境中，访问

2、扩展，职责变化，责任转移和配置资源和应用程序的迅速增加 - 极大地影响IT安全的各个方面。不同的云部署模型对于安全性的不同考虑5私有云公共云开启或关闭经营场所只为一个组织，由该组织或第三方管理云基础架构提供给广大公众或某个很大的业界团体和组织销售云服务拥有混合云传统的IT和云（公共和/或私有）的仍然是独立的，而是由技术，使数据和应用程序的可移植性绑定在一起基础设施客户的责任更多定制的安全控制良好的可视性日常的日常运作易于访问日志和政策应用程序和数据保持“防火墙之内”供应商的对于基础设施负责安全控制更少的定制无可视性日常的日常运作难以访问日志和策略应用程序和数据被公开访问安全性的改变1.以具有成

3、本效益的方式十万甚至上百万云用户的访问提供管理登记和控制2.确保企业关键数据在云环境中的安全和隐私不中断运作3.提供对云应用的安全访问4.对虚拟系统提供补丁管理5.对于云环境中的威胁和漏洞进行抵御保护6.保护虚拟系统7.通过可视性和透明度在云环境中找到先进的威胁和满足监管及合规要求客户对于云计算安全的顾虑我们有三套安全能力帮助企业客户实现云安全云安全能力身份（Identity）保护（Protection）洞察（Insight）保护基础架构，应用和数据对云访问，行为，成本和合规等多个方面实现智能审计管理身份和用户访问IaaS: Securing infrastructure and worklo

4、adsSaaS: Secure usage of business applicationsPaaS: Secure service composition and appsBluemix云环境中的安全智能 ProtectionProtect data, applications and infrastructure from threats and risks 提供安全的移动和web应用并监控实施数据访问 Appscan，Guardium和Datapower保护服务器，移动终端和网络的安全： Network Security，Trusteer，FiberlinkIdentity Manage

5、 users and their access to cloudand access保护用户访问云资产使用 Identity & Access Management洞察（Insight）在企业和云端实现智能使用 QRadar SIEM实现实时地关联分析保护（Protection）保护云环境的基础架构，应用和数据身份（Identity） 管理用户以及他们对云端的访问SmartCloud 安全能力管理云环境中的身份和访问控制 Security Identity Manager Security Access Manager Security Federated Identity Manager -

6、 Business Gateway Security Privileged Identity Manager安全企业数据库创建，测试和维护安全云应用分层保护和分析来应对高级攻击SmartCloud 安全身份保护SmartCloud 安全数据和应用保护SmartCloud 安全威胁保护成本效益和基于标准的云用户注册和访问控制外部用户需要身份认证和访问控制内部用户需要方便，安全地访问云应用合规性和审计控制必须覆盖所有的用户和服务External usersInternal usersApplicationApplicationInternal ApplicationsExternal Applic

7、ations当数以百万计的用户需要访问基于云的资源，用户供应（和解除供应）必须是简单，高效，可扩展的需要防范可能导致数据丢失和网络诈骗的威胁组织需要集成基于云的应用与内部应用程序，使用户能够轻松地访问它们与单点登录的能力1IdentityEnterprise Single Sign OnFederated Identity Management云计算的托管人Tivoli Federated Identity Manager 为云计算提供服务针对内外应用和服务提供集中的用户访问管理提供安全的身份验证到业务合作伙伴，并支持云的场景（B2B，B2C）降低了用户管理和运营开销与LotusLive, G

8、oogle Apps, S, 无缝集成在不同服务提供商间实现联合单点登录和身份映射支持广泛的联邦认证协议开箱与TAMeb 和WebSphere的集成性提供终端到终端的身份传播跨越WebSphere Portal中，DataPower的和联合的ESB1Identity解决特权帐号管理难题特权身份管理解决方案为解决特权帐号管理的难题提供解决方案每个管理员都拥有所有系统的帐号管理员之间共享特权帐号在特权用户id指数增长特权的用户标识的管理不善的风险增加增加帐号管理成本失去个人责任风险用密码管理和安全问题脱离了监管的思考特权帐号管理平台(Privileged Identity Management )

9、 安全解决方案 Security Privileged Identity Management特权用户（如root，金融应用程序管理员）进行有效的治理水平和审计活动商业挑战应对内部威胁与特权用户访问管理 解决方案重点控制共享访问敏感的用户id使用安全凭证保险库签入/签出请求批准和重新验证特权访问降低风险，提高合规共享身份跟踪使用提供追责自动密码管理ID的自动结账，隐藏密码的请求员工，自动密码重置，以消除密码被盗新的特权身份管理（PIM）解决方案为特权用户提供完整的身份管理和企业级单点登录功能DatabasesID Security Event and Log Mgt. Vulnerabilit

10、y Mgt. Service解决合规性要求，降低运营成本，提高安全态势和发展运营效率要求能力为基于云的用户提供全生命周期身份管理（“从摇篮到坟墓”）联邦单点登录到多个Web和云应用程序使用单一的ID和密码，员工，客户，合作伙伴和供应商为身份创建和密码重置提供自服务界面安全地部署，管理，自动化和跟踪特权访问重要的企业资源在云中的应用程序和数据中提供访问，授权控制，并防止欺诈自动化的管理及风险为本的执法在每一个应用程序的访问控制策略，数据源，操作系统，甚至公司的界限基于角色的身份和访问管理对齐用户的角色，以自己的接入能力，简化了管理和法规合规能够跟踪和记录用户的活动，举报违规行为，并证明合规在云和

11、传统环境审计，记录安全事故和事件管理的合规性报告和用户以及他们的活动，有能力对基于云的管理员监视，控制和特权上的标识（如，系统管理员和数据库管理员）提供报告1Identity成本效益和基于标准的云用户注册和访问控制身份和访问控制视角重点标准的IAM和合规管理Expand IAM vertically to provide identity and access intelligence to the business; Integrate horizontally to enforce user access to data, app, and infrastructure为云，移动和社交应用

12、提供集成Enhance context-based access control for cloud, mobile and SaaS access, as well as integration with proofing, validation and authentication solutions内部威胁和IAM治理Continue to develop Privileged Identity Management (PIM) capabilities and enhanced Identity and Role management1Identity InfoSphere Guard

13、ium Security AppScan AppScan OnDemand (hosted)SmartCloud 安全能力管理云环境中的身份和访问控制 Security Identity Manager Security Access Manager Security Federated Identity Manager - Business Gateway Security Privileged Identity Manager分层保护和分析来应对高级攻击SmartCloud 安全身份保护SmartCloud 安全数据和应用保护SmartCloud 安全威胁保护你知道：你可以在线完成2Dat

14、a数据是安全漏洞的关键目标数据库服务器包含您的客户最有价值的信息财务记录客户信息信用卡及其他账户记录个人身份信息病人的病历大批量结构化数据易于访问2Data数据库服务器 92%Other7%终端, PCs,备份磁带1%WHY?数据泄露的来源旧的保护数据方法来在云计算和虚拟化下不是有效的在云计算环境多租户引发的安全问题访问云环境中DB缺乏可视性安全警报不是实时的职责分离缺乏不一致的政策的企业范围本地日志记录会导致对数据库管理系统的高性能影响2Data“数据安全策略应包括数据库审计与监控，补丁管理，数据屏蔽，访问控制，发现/分类和变更管理。“在云环境中数据安全四步走监控虚拟化数据库和执行审查策略异

15、常自动化和集中化控制所需的审计和法规遵从（如SOX，PCI）评估数据库漏洞实时监控和审计加密，纂和掩码虚拟化数据库去找出非生产环境的机密数据安全和保护发现敏感数据所在分类和定义数据类型定义策略和指标理解，制定策略为云环境中的不同法规定制化报告数据库行为监控与安全日志和事件(SIEM)平台的集成合规和安全智能12342Data重点减少总体拥有成本Expanded support for databases and unstructured data, automation, handling and analysis of large volumes of audit records, and

16、new preventive capabilities增强合规管理Enhanced Database Vulnerability Assessment (VA) and Database Protection Subscription Service (DPS) with improved update frequency, labels for specific regulations, and product integrations动态数据保护Data masking capabilities for databases (row level, role level) and for a

17、pplications (pattern based, form based) to safeguard sensitive and confidential data数据安全视角Across MultipleDeployment ModelsQRadar Integration2Data应用安全的挑战：管理风险76% 的CEOs认为， 减少应用缺陷是数据保护的关键应用可以被远程连接增加了被攻击的危险应用的快速上线和部署，为应用开发者带来了巨大的压力，要求功能、时效，但忽略了安全一般的安全检查往往仅发生在上线之前，修补漏洞的代价很高指数增加的应用，但是较少的应用人员持续的生产环境应用监控很少3

18、Applications在云环境中的应用安全考虑应用程序连接到云和远程访问能力增加攻击面快速开发Web服务对开发者的压力：按时间，按预算交付 - 但不是开发安全的应用程序上线之前的安全测试增加时间和成本增加的Web应用但是安全人员很少大部分企业仅仅扫描10%的应用持续性地监控生产环境的安全基本上不存在不可预知的风险和漏洞3Applications扫描应用分析(定位问题)自动化的应用测试流程报告(详细且可操作)寻找并修补应用的漏洞编程阶段生产阶段应用漏洞修改建议合规 3Applications应用安全视角3Applications关键能力覆盖移动应用和新的威胁使用简单，见效快速与安全智能的集成

19、Endpoint Manager (SmartCloud Patch) Security Network IPS and Virtual IPS Virtual Server Protection (VMware) QRadar SIEM InfoSphere Guardium Security AppScan AppScan OnDemand (hosted)SmartCloud 安全能力管理云环境中的身份和访问控制 Security Identity Manager Security Access Manager Security Federated Identity Manager -

20、Business Gateway Security Privileged Identity Manager分层保护和分析来应对高级攻击SmartCloud 安全身份保护SmartCloud 安全数据和应用保护SmartCloud 安全威胁保护优化补丁管理对于传统IT和云环境的安全加强都有益客户痛点为终端、物理服务器、虚拟服务器、云资产打补丁，需要大量时间缺乏对虚拟服务器操作系统补丁的能力和操作系统安全配置的管理终端WebAppDB虚拟服务器物理服务器+4Patch Management能力自动化管理多种操作系统和应用补丁，跨终端、物理服务器、虚拟服务器和云资产补丁管理时间从几周缩短到几小时可覆

21、盖运行中/ 离线/ 休眠的VM持续的监控和安全配置管理网络安全的挑战社交媒体带来了生产里、隐私和安全的风险社交网络穿越网络的流量仅能提供有限的网络可视化有限的网络可视化竖井式的解决方案仅能带来最小程度的集成和数据共享竖井式的解决方案URL Filtering IDS / IPSIM / P2P Web App Protection Vulnerability Management 使用多种攻击媒介的复杂攻击逐渐增多，风险暴露也逐渐增多复杂攻击Stealth Bots Targeted Attacks Worms Trojans Designer Malware5Network Protecti

22、on网络入侵防御是云安全的重要基础FirewallDatacenterNetwork Intrusion Prevention同时保护应用和网络控制协议和应用 监控异常网络模式保护客户端程序5Network Protection保证合规 (e.g., PCI)防止数据泄露防止通过Web应用泄露数据库数据The XGS offers next-generation solutions to address todays security headaches安全智能最多的事件源最智能的分析最准确的洞察和可执行性+=JK 2012-04-26 高优先级攻击事件关联行为基线& 异常检测攻击确认Data

23、base ActivityServers & HostsUser ActivityVulnerability InfoConfiguration InfoSecurity DevicesNetwork & Virtual ActivityApplication Activity7Security Intelligence检测威胁整合数据竖井检测内部欺诈预测风险保证合规CeilometerUsage / Performance Monitoring + Auditing“Datastores”Core API Layer“Filter” audits all Open Stack API cal

24、lsAWS CloudTrailOpenStack Audit (CADF)混合云环境中的安全智能Workloads deployed in private virtual EnvironmentsPublic Cloud Services抵御复杂攻击On the NetworkAcross the EnterpriseAcross the World0day ExploitMalicious PDFSQL InjectionBrute ForceBotnet CommunicationMalicious InsiderVulnerable ServerMisconfiguredFirewal

25、lPhishing CampaignInfected WebsiteSpammer Advanced Threat Protection QRadar Security Intelligence X-Force Threat Intelligence VSP / Guardium Security Identity and Access ManagementQRadar Logging and SIEM*Self-Service GUI用户身份被确认并被授权Available ResourceResource Pool从正确的安全域选择资源Image Library虚拟机使用了正确的安全配置HypervisorConfigured Machine ImageVirtual MachineVirtual Machine镜像使用应用和数据安全机制进行保护SW Catalog云环境的监控和可视化 SmartCloud Foundation*Cloud Platform Security integration with SmartCloud Provisioning and SmartCloud Orchestration*Security Information & Event Management (SIEM)软件补丁和更新