品牌名称
平安云
企业规模
10000人以上

平安联手云杉,打造安全金融云。

281次阅读

案例背景介绍

2016年7月15日,银监会发布《中国银行业信息科技“十三五”发展规划监管指导意见》征求稿,要求到“十三五”末期(2020年),银行业面向互联网场景的重要信息系统全部迁移至云计算架构平台,其他系统迁移比例不低于60%。至此,银监会明确了银行业上云时间表。面对新的市场环境,中国平安作为多元化的综合性金融服务集团,旗下平安科技在预见云计算对传统产业带来巨大变化的同时,凭借发展云计算的先天条件和业务需求,以业务场景为切入点,筹建了平安金融云。金融云服务,将联合其他金融IT方案,为银行、基金、保险等金融机构提供IT资源和互联网运维服务,开展面向银行业的公共云平台规划和建设,让金融机构能够更好地开展互联网业务。

 


平安金融云网络面临的挑战

平安云对国内外先进架构进行比对验证,在保证技术可靠性的前提下选择商用产品进行补充的方式,支持了平安系软件应用在平安云上线。网络是云计算的基石,金融云网络更是金融系统上云面临的最大挑战。如何实现网络架构安全合规?如何应对频发的网络威胁?这不仅是金融业务遇到的难题,更是金融云网络面临的挑战。

缺乏检测异常流量攻击的有效手段。当前网络攻击行为呈现出成本低廉、手段多样和危害极大三个特征。传统的网络安全防护手段(传统安全工具都是单点防护,互相之间缺乏联动)已显现出各自的局限。在防护范围角度,传统手段往往着重在网络边界和客户端布防,对来自内网的网络流量没有给予足够重视。在检测方式角度,基于网包特征匹配的检测方式对APT(Advanced Persistent Threat)攻击防御不足。

管理和维护海量安全规则十分困难。按照基本的安全规则计算,平安云支持单个虚拟机默认配置约60条安全规则,若50台虚拟机配满安全策略则多达3000条。业务上线后更多的规则将被下发到虚拟机、更多的规则将随着业务的变化和虚拟机的迁移而修改。随着时间的推移,系统中的安全策略往往只增不减,规则数目庞大,新增规则是否生效、是否与其他规则冲突、如何判定历史规则是否失效……怎样对海量规则高效管理已经成为运维团队日常耗时最多的工作。

 

云杉网络与平安科技的合作

云杉网络与平安科技在2016年初进行合作,基于对开放网络和软件定义网络等理念上的一致,双方在网络建设、运维及安全方面进行了深入的合作,在云环境中实现领先的网络服务。以Deepflow产品为基础,为平安云构建网络大数据分析平台后,初期实现多点多地数据中心网络数据采集、运营分析、快速故障排查等,并覆盖公有云、私有云。随着合作深入,云杉参与到了平安云更多规划的网络服务,如网络安全服务、数据分析增值服务等。

 

客户价值

开放网络数据,不仅为网络部门提供服务,也为安全、系统等部门提供给服务。在异常流量分析、渗透攻击发现、业务优化等方面提供支撑依据。 Deepflow实时监控全网流量,并基于NBAD大数据安全分析,能够识别端口扫描、ARP欺骗、暴力破解、多种Dos攻击等网络恶意行为,迅速识别被感染的虚拟机。

贯彻安全意图、实现网络闭环。云杉网络Deepflow提供了安全白名单验证机制,用户可按IP地址、业务角色、资源组等方式划分网络资源,并依照意图设定安全验证策略, Deepflow实时分析确保持续感知网络流量,验证安全策略。 Deepflow结合平安云的AIOPS、分布式防火墙,实现用户网络意图的监控一体和策略闭环。

云杉网络和平安科技展开了多项合作以及新技术的探索, Deepflow以数据场景化为核心,覆盖物理网络、虚拟网络和云网环境,并从采集、分析、可视和控制四个维度,协助平安金融云构建了数据驱动的云网络安全分析平台。