最新信息动态
250

技术与信息分享

GTI广州科宸(观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-2220210423-06

 

 

亲爱的新、老朋友们,

 

大家早上好!

 

众所周知,云计算是企业数字化成功转型所必须投资的重要平台,本次由我继续给大家带来GTI技术队伍在公有云 Azure 和 Aliyun 管理运维服务领域的项目经验。希望我们的实践能够有更多的机会为大家服务。如有类似需求,非常欢迎与我们联系,感谢!


 
献给数字化转型的践行者们,犹如一道海平线的光,
穿过夜晚迷雾重重漆黑汹涌的大海,
为海的另一边带来了曙光。

20210423-10

... ...
扬起了帆
愿无视我脸上所有疲倦
愿忽略我最心底的思念
愿抓住我眼中的那道光线
穿过夜的终点
... ...

 

 20210423-07

 

数字化转型是当下众多企业正在经历的旅程,我们结合实际的案例梳理出一条清晰的发展脉络,如下:

 20210423-01

 

数字化转型的目标:业务变得更加敏捷,能够快速适应市场的变化;降本增效使得竞争优势更明显;大幅优化了客户的体验,客户价得到了提升。


人工智能、物联网、SDWAN、云计算等技术的集成为企业转型的强大引擎,它们推动着业务流程和企业文化的变革,无疑这将是一个充满挑战而漫长的演进过程,那么如何制定发展与治理的平衡策略将成为企业高管必须思考的重要战略。

 

- 先发展、后治理

- 先治理、后发展

- 边发展、边治理


通过对众多企业的观察和思考,我们发现大部分客户决策者都采用了先发展、后治理的的策略。数字化转型初期,企业管理者并未对各个业务创新部门或者小组设置过多的条条框框,而是放手让他们去干、积极变革,摸着石头过河。当变革成效显现时,就开始着手制定整体的治理策略。为进一步的大规模推广和发展奠定了坚实的的基础,从而探索出一条适应企业自身的变革之路。


GTI 技术团队有幸亲身参与了某500强客户的公有云的治理阶段,在微软云和阿里云方面积累了丰富的治理经验。主要分为如下三方面内容:


- 云的成本优化

- 云的安全基准配置建立

- 定制化业务费用账单分析平台

 

20210423-09

 
伴随着数字化转型进入深水区,新的矛盾和冲突开始显现,管理者们正在积极寻找解决问题的办法,同时着手制定出公有云治理方针和策略,涉及有如下三个方面最为突出。

20210423-03

 

 

- 云的成本优化


解决之道:通过对每个 IaaS、PaaS 组件工作负载资源的,计算资源、网络资源、存储资源的实际使用情况,进行可视化的图表化展示、与工作负载所属的应用部门进行充分的沟通,评估资源的利用是否合理、实施相应的配置变更以及自动化 RunBook。制定适应组织的成本管理策略,便于用户的各个数字化转型团队快速行动。


 

- 云的安全基准配置建立


解决之道:在遵循中国网安法、等保2.0、GDPR 等法律的指引下,参考 CIS Azure Benchmark、Azure 以及阿里云安全架构的最佳实践,为业务部门的任何工作负载建立出安全基准策略配置。可持续监控安全合规情况,保证业务的安全合规运行。


- 定制化业务费用账单分析平台

 


解决之道:基于微软 PowerBI,提供全自动、实时、可视化费用支出分析平台。既能彰显IT运维部门的关键作用,又为各个业务团队决策者提供实际消费的详尽数据分析,同时还是 CFO 实时掌控全局业务投资的可视化管理工具。


我们的技术团队历经了上千封邮件、百场线上会议、多地域、多个用户部门、多个供应商、沟通协作对象接近百人、几百个工作日,大量技术性文档(评估文档、实施配置变更文档、日常管理建议指南等),成功交付了该定制化管理服务项目,获得了用户一致好评。

 

20210423-11


成功地为20+全球500强企业交付跨境、多地域、多产品集成、多供应商协作、多部门协调、有品质保障的项目。


  • 项目背景

  • 征求建议书

  • 工作范围

  • 高水平设计

  • 关键绩效指标

  • 项目风险评估

  • 里程碑

  • 项目时间计划

  • 项目团队组成和介绍 

 

20210423-05

 

20210423-08

GTI 混合云基础架构、网络安全专业技术服务团队 - 工程师资质:


  • MS Azure、Aliyun、Citrix、NetApp、Palo Alto、VMware、Cisco、Cohesity、Veeam 、Oracle 等原厂高等级专业认证

  • CISSP,CISA,CEH,CCSK,PMP 第三方中立认证

  • CISSP:(ISC)²注册信息系统安全专家

  • CISA:  国际信息系统审计师

  • CEH:  道德骇客(正派黑客)“白帽子”

  • CCSK:   国际云计算安全认证

  • PMP:  项目管理专家

 

20210423-04

 

最后,希望我们的实践能够有更多的机会为大家服务。如有类似需求,非常欢迎与我们联系,感谢!

 

  

 

20200828-09 2021011917

 2021011918

2021011915

2021011914

2021011913

2021011916

2020-3-6-23

 

 

了解更多 ›

2021011920

技术与信息分享

GTI广州科宸(点击此处观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-22 

尊敬的新、老客户,

大家早上好!

我国防疫措施起到关键作用。数据显示,第三季度 GDP 已达到 4.9% 的正增长,真实地感受到经济水平接近疫情未出现时的水平,这实在是令人鼓舞振奋。在这里我为大家的坚持努力付出,加油点赞!

近半年来,我们工程团队正在参与客户的数字化转型项目。发现云计算、网络空间安全、工厂制造业物联网等领域成为投资热点,疫情加速了市场洗牌、推动行业数字化转型。

感谢2020年有您们在,2021年我们继续为大家提供顾问式、经验证的定制化解决方案,交付有品质的专业技术服务,尽心尽力地满足客户的期望值,争做用户可信赖中立的建议者。

 

 2021011906

 

2021011901

 

2021011907

 

2021011902

 

2021011908

 

2021011903

 

2021011909

  • 多名从业 IT 领域年限在15-18年以上的技术专家组成的顾问团队;
  • 专注在特定行业领域经验积累至少8-10年以上;
  • 额外拥有第三方国际认可的证书 PMP、CISA、CISSP、CEH 、CCSK、ITIL 等;
  • 掌握相关知识的证明文件或专业认证证书 MSC-AAA、MSC-ASAE、CCNA、CCNP、CCIE、VCP-C、VCP-N、CCEV、CCP-N、NCDA、NCIE、NCSIE、PCNSE、OCP、VMTSP 等

 


 2021011911

 

成功地为20+ 全球500强企业交付跨境、多地域、多产品集成、多供应商协作、多部门协调,有品质保障的项目。涉及行业有:银行,运营商,保险,芯片研发、制造,药物研发、制造,审计咨询,汽车制造,消费品、零售,大型基建设计院,互联网,基金,第三方支付等。

 

2021011904 

 2021011910

  • 项目背景(现有环境描述,项目驱动力介绍)

  • 征求建议书(实现目标,需求定义;转化为功能描述清单)

  • 工作范围(甲方负责内容、乙方负责内容,例外内容)

  • 高水平设计(系统架构图,重点需求功能描述,硬件、软件、人力 等简要清单)

  • 关键绩效指标(可度量、量化项目验收指标)

  • 项目风险评估(评估项目风险清单)

  • 里程碑(分阶段实施,定义阶段里程碑)

  • 项目时间计划(定义项目具体时间计划)

  • 项目团队组成和介绍(项目团队成员安排,项目人员介绍)

 

20200828-09 2021011917

 2021011918

2021011915

2021011914

2021011913

2021011916

2020-3-6-23

 

 

了解更多 ›

review

技术与信息分享

GTI广州科宸(点击此处观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-22  

 

2021011801

 

2021011802

 

 2021011803

 

2021011804

 

2021011805

 

2021011806

 

2021011807

 

2021011809

 

2021011810

 

2021011811

 

2021011812

 

2021011813

 

2021011814

 

2021011815

 

2021011816

 

2021011817

 

2021011818

 

2021011819

 

2021011820

 

2021011821

 

2021011822

 

在此感谢与会人员的积极参与,

感谢GTI 技术伙伴大力支持

感谢看到这里的小伙伴,感谢你们支持GTI 广州科宸。如果你有什么想和我们交流的,欢迎在底下评论和点赞。

祝大家,国庆和中秋安康!

 

2021011912

2021011917

2021011918

2021011915

2021011914

2021011913

2021011916

 

2020-3-6-23

 

 

了解更多 ›

20200828-01

技术与信息分享

GTI广州科宸(点击观看原文)


 

 

 


2020-3-6-22

20200828-01

 
最新热点
实践和创新

GTI中国、联想凌拓、微软、派拓网络
技术经理、售前顾问、架构师们
9月23日为大家精心准备的
交流分享会
线下活动

敬请光临

20200828-02

 

20200828-03

 

洞察:
以“转祸为福”的心态看待后疫情时代(未来更难预测),是众多企业管理者普遍想法。疫情间GTI团队与客户保持了紧密地沟通和协作,发现企业对于云计算和现代化办公有了新的理解,行动策略和优先级发生了不小的改变。企业上云的真正动力是因为云变成了一个工具,一个可以提升开发速度、快速迭代的工具,从而可以让企业将精力集中在差异化创新上。同时,疫情也促使企业管理者全面思考现代化办公的定义。”为企业的知识型工作者提供全新的办公空间,重点是考虑如何提升员工的生产力。“

实践:
  • Azure China 消费的优化
  • Azure China 安全治理
  • 现代化办公与协作框架

 

20200828-04

近些年,企业信息安全事故频发,身份盗取、钓鱼邮件、数据窃取、加密勒索等有组织的攻击安全事件层出不穷:此类事件一旦发生就会给相关企业带来巨大的经济和声誉损失,甚至法律风险,云上安全成为企业越来越关注的话题。


伴随云技术的不断发展,越来越多企业选择将业务和数据存储于云端,但企业的安全理念和防御体系却仍停滞在数年前,云时代的安全架构与传统的安全防护有何不同?企业如何预判潜在的风险?面对攻击事件,难道企业只能在攻击事件爆发才发现黑客已入侵并潜伏许久?

从抵御数字威胁的方方面面为您剖析当前环境下企业所面对的风险和挑战。深入介绍基于Microsoft 365和Azure云服务构建企业“零信任”的安全框架以及现代化SOC体系,同时通过大量实例和演示为您展示企业级云安全的最佳实践。

 

20200828-05

 

实现云转型存在两个基本安全挑战:如何让用户安全地访问云,以及如何确保云中部署的应用的安全。当前的云安全方法需要使用数十种不同的专用产品,这会给组织增加成本和复杂性,最终会让组织面临无谓的风险。这是老方法。


Palo Alto Networks Prisma 采用了与之不同的方法,通过提供业内最全面的云安全功能,由内而外保护云。借助 Prisma,组织可以保护各个位置的用户、应用和数据。


  • Prisma Access:一种安全访问服务边缘 (SASE) 平台,能够将全球各地的移动用户、分支机构和零售店互联并为其提供保护。

  • Prisma SaaS:一种SaaS应用安全产品,能够保护数据,监管数据并确保数据合规,帮助组织安全地采用SaaS。

  • Prisma Cloud:一种云原生安全平台,能够在多云环境中提供一致、全面的可视性、威胁防御、合规保证和数据保护。

  • VM-Series:一种虚拟化新一代防火墙,能够在私有云和公共云环境中提供内联网络安全和威胁防御。

 

 20200828-06

轻松配置持久存储。对于寻求更高速度和效率的应用程序开发和基础架构运营团队来说,容器变得越来越重要。了解有状态应用程序管理持久存储的过程,内容包括:


  • 容器持久存储的基本配置
  • 消除移交工作并通过自动化向 CI/CD 过渡
  • 按需提供持久存储

20200828-07

 

由各个主讲方安排代表,为发表感言者奉上精美礼品。

 

 

活动期间提供
免费午餐、茶歇、精美礼品

扫码报名

 

20200828-08

20200828-09



20200828-010

 

20200828-011

20200828-012

 

 

 2020-3-6-23



  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


了解更多 ›

2020070608

技术与信息分享

GTI广州科宸(点击观看原文)


 

 

 


2020-3-6-22

2020070608

 
亲爱的新、老朋友们,

大家早上好。


6月份全国疫情防控取得重大战略成果,大家仍然时刻绷紧疫情防控这根弦,扎实推进复工复产复学,为快速恢复经济社会发展活力贡献着自己的光和热。我在这里给大家加油和点赞!


在这次疫情防控中,宅经济”“线上经营”“智能制造”等数字经济业态快速发展,各类互联网平台在防疫物资生产、调配、销售方面发挥了重要作用。我发现身边很多企业正在积极布局落实国家所制定的“两新一重”的建设战略。将新型基础设施建设新型城镇化建设有机结合,推动重大工程建设数字化转型和智能化升级,努力实现新基建和新产业双轮驱动。


2020070609

 

众所周知云计算是数字化转型必经之路,而网络安全更是云计算的核心组件。安全责任共担是目前所有云计算网络运营者共同策略,也遵循了行业标准及国家法律法规的要求,所以很多用户高度重视并已经积极采取了行动。本次我将分享我们工程师团队在微软Azure China安全方面的最佳实践

 

在我与众多企业的信息化高管项目互动的过程中,受到了很多感悟启示。做信息安全就如疫情防控,首先要重视和绷紧弦、然后认真地梳理评估重要业务的暴露面和风险、与此同时积极缓解/修补所梳理出的高风险漏洞、接下来逐步搭建自身所能适应的安全运维管理平台。人人争当专业背锅侠,放弃懒政不作为的思想,信息安全的建设就能如疫情防控一样定能取得重大战略成果。


Azure China是外企、民企、制造业、零售等行业首选公有云网络运营者。Azure China所定义的共担安全责任模型如下图,我们可以在安全上下文中重新构建这个模型。根据您所选的服务类型,服务中将内置一些安全保护措施,而其他保护措施则由客户负责。必须仔细评估所选择的服务和技术,以确保为体系结构提供适当的安全控制。
 

2020070601

 

 如上图所示,无论用户选择的是IaaS、或PaaS、或SaaS服务,其中标识和目录基础结构帐户和访问管理都是用户所需承担安全责任的范畴。

 

标识和目录基础结构:


  • Azure Active Directory (Azure AD) 企业标识服务提供单一登录和多重身份验证,受此服务保护的用户可免受 99.9% 的网络安全攻击。


 

帐户和访问管理:


  • 针对用户的项目RFP,如何运用好Azure AD的最佳实践(多场景)是安全项目实施成功的关键。


MFA和条件访问策略

2020070603



2019 Gartner

身份治理和管理魔力象限 

 

 2020070607

 
 

希望本文的最佳实践内容对正在或即将使用Azure China的新、老朋友有所帮助,同时也对老朋友表达感激之情。有困难我们一起抗,坚决地与大家携手应对,共克时艰。


向逆向而行、坚守岗位、
迎难而上的“专业背锅侠”致敬!

 

2020070611



如下实践内容全部来自我亲爱的同事Tony Ding,他一边做项目实施交付、一边进行整理并记录,12个场景 - 5个高风险、7个中风险。供大家参考和交流。


高风险


  1. 活动目录 - 只有管理员组才可以创建安全组

  2. 活动目录 - 只有管理员组才可以管理 Office 365 组

  3. 活动目录 - 只有管理员组才可以管理安全组

  4. 活动目录 - 禁用自助服务组管理

  5. 活动目录 - 禁用记住多重身份验证


中风险:


  1. 访问控制 - 删除自定义的所有者角色

  2. 活动目录 - 删除 Active Directory中不需要的 Guest 来宾用户

  3. 活动目录 - 启用 All Users 用户组

  4. 活动目录 - 启用密码重置的双重标识

  5. 活动目录 - 为非特权用户启用多因素身份验证

  6. 活动目录 - 为特权用户启用多因素身份验证

  7. 活动目录 - 启用身份验证重新确认

2020070604


2020070605



2020070612

 

目标


确保在 Azure Active Directory 设置 - “用户可以在 Azure 门户中创建安全组” 选项设置为  ,从而确保非特权用户不能通过 Azure 门户创建安全组。


安全组用于管理一组用户对于Azure共享资源中的成员和计算机进行访问。当 “用户可以在 Azure 门户中创建安全组” 选项设置为 ,你的 Active Directory 账户中的所有用户可以创建新的安全组,并可以向这些安全组添加成员。除非您的业务需要权限委派,否则安全组的创建应仅限于AD管理员


注意目前还不支持通过 Microsoft Graph API or Azure CLI 获取 “用户可以在 Azure 门户中创建安全组” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。


风险等级
(不可接受的风险)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_2_ActiveDirectory_CreateSecurityGroup/index.html#more

 
 
 2020070613
 
 
 
目标

 

确认只有 Active Directory(AD) 管理员组的账户再能够管理 Office 365 组。确认 Azure Active Directory 设置中的 “用户可以在 Azure 门户中创建 Office 365 组” 策略设置为 ,确保非特权管理用户不能够通过 Azure Portal 管理 Office 365 用户组。默认情况下,所有组的所有者都可以在Azure活动目录中将其他成员分配为组的所有者


根据您的业务需求,您可以使用 Azure Active Direcroty 设置,来实现对用户自助服务组管理的更细粒度访问控制。仅允许 Activ Directory 的管理员可以管理 Office 365 组,禁止用户对此类型的组进行任何更改。这可确保 Office 365 组的管理权限不会委派给未经授权的用户。


注意目前还不支持 通过 Microsoft Graph API or Azure CLI 获取 “用户可以在 Azure 门户中创建 Office 365 组” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_3_ActiveDirectory_CreateO365Group/index.html#more

 


2020070614

 

目标


确认只有 Active Directory(AD)管理员 才可以管理安全组。需确认 Azure Active Directory 设置中的 “可以将成员分配为 Azure 门户中组所有者的所有者” 策略设置为 无,确保非特权管理用户不能够通过 Azure Portal 管理安全组。默认情况下,所有组所有者都可以在Azure活动目录中将其他成员分配为组的所有者。


仅将安全组管理的权限限制为 Active Directory 的管理员,禁止普通用户更改安全组。这可确保安全组仅由Azure Active Directory 活动目录帐户中指定的授权用户来进行管理。


注意目前还不支持 通过 Microsoft Graph API or Azure CLI 获取 “可以将成员分配为 Azure 门户中组所有者的所有者” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。


风险等级
(不可接受的风险)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_4_ActiveDirectory_ManageSecurityGroup/index.html#more

 

 

 

2020070615

 

目标


确认对于非管理用户禁用了 Active Directory(AD)自助服务组管理。确保非管理员用户无法在你的 Azure Active Directory 中创建和管理 安全组 和 Office 365 组。一旦对非管理员用户禁用了自助服务组管理,这些用户就无法再更改自身的组配置,也无法通过批准其他用户加入其现有组的请求来管理其成员身份。


自助服务组管理允许用户在 Azure Active Directory(AD)中创建和管理安全组或 Office 365 组。自助服务组管理还可以将所有者分组,以便将所有权分配给其他用户。由于这些组可以授予对敏感和私有的信息或 Azure AD 关键配置的访问权限,因此应为所有非管理员用户禁用自助服务组管理功能。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_7_ActiveDirectory_DisableSelfServiceGroupManage/index.html#more


 

2020070616


目标


确认允许用户记住他们信任的设备上的多因素身份验证。确保在你的 Microsoft Azure 帐户中 禁用 允许用户在其信任的设备上记住多重身份验证 ”功能,以确保你的用户不被允许绕过 MFA的验证。多因素身份验证是一种有效的方法,在通常使用的访问凭据外,额外要求虚拟设备或硬件设备生成的身份验证码来验证你的Azure用户身份。


记住设备和浏览器的多因素身份验证(MFA)允许 Microsoft Azure 用户在使用MFA密码执行成功登录后的特定天数内可以选择绕过MFA。记住MFA可以通过减少用户需要在同一设备上执行两步验证的次数来增强可用性,但是,如果帐户或设备受到入侵,记住受信任设备和浏览器的多因素身份验证可能导致安全漏洞。当“允许用户在其信任的设备上记住多重身份验证 ”功能被禁用时,对于每次登录尝试,都将要求用户执行多因素身份验证。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_6_ActiveDirectory_DisableRemeberMFA/index.html#more

 

 

 2020070617


前言


最近一直在花时间研究 Azure 云上的安全措施。根据官方发布的(例如 Microsoft Doc 以及 CIS Microsoft Azure Foundations Benchmark v1.0.0)最佳实践作为指导,考虑自己写一些 Audit 的脚本,对于用户的大规模场景可以快速统计那些不合规的配置,并生成最终的分析报表。


采用的语言平台及工具为:

  • PowerShell 7.0.1

  • Azure CLI 2.6.0


目标


确保你的 Azure 帐户中没有自定义 Subscription 订阅所有者的角色存在,以便遵守云安全的最佳实践,并实现最小权限原则 - 这是为每个用户提供执行其任务所需的最小访问权限的最佳做法。


典型的 Azure Subscription 订阅管理员角色提供基本的访问管理。如果分配给自定义订阅所有者角色,让其具有完全的管理权限,并且分配范围是所有的订阅,那它可以执行任何操作 (例如 “*“)。作为安全的最佳实践,强烈建议在刚开始时,给予最少的必要权限。以后可根据需要,Account 帐户持有人可以再添加权限。这将确保 Azure Account 帐户持有者无法执行非预期的操作。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_1_AccessControl/index.html#more

 

2020070618

 

目标

确认在 Azure Active Directory 中不存在没有必要的 Guest 来宾用户。


对于 Microsoft Azure 企业对企业(B2B)协作,每个活动目录(AD)的 Guest 来宾用户都需要与企业所有者或业务流程相关联。当不需要 B2B 协作时,请确保 Microsoft Azure 帐户中没有可用的 AD Guest 来宾用户。


Active Directory Business-To-Business(B2B)协作用于与来自其他组织的来宾用户和外部合作伙伴安全地共享应用程序和服务,同时保持对自己数据的完全控制。Azure AD 被配置为处理 B2B 的协作,允许您邀请组织外部的人成为 Azure 云帐户中的 Guest 来宾用户。除非您有真正的业务需求,需要向外部用户提供 Guest 来宾访问,否则请避免创建此类来宾用户。Active Directory 来宾用户通常在公司管理的员工入职/离职流程的情况之外添加,这最终可能导致潜在的安全漏洞。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_5_ActiveDirectory_ManageGuestAccount/index.html#more


2020070619

 

目标


确保已启用 “All Users” 组,以便在您的 Active Directory 帐户中进行集中访问管理。确保在 Azure Active Directory(AD)的组中通过包含所有用户的规则生成器生成动态组,以便启用 “All Users” 组进行集中访问管理。此组表示 Active Directory 用户(包括来宾和外部用户)的整个集合,您可以使用这些用户在目录中使访问权限更易于管理。


All Users”组可用于向 Azure Active Directory 帐户中的所有用户分配相同的权限。例如,目录中的所有用户都可以通过分配一组特定的权限来访问 SaaS 应用程序,这些权限允许应用程序访问 “All Users” 专用组。这确保为所有现有和未来用户创建了一个通用策略,并且不需要实现单独的访问权限


风险等级
(应该实施


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_8_ActiveDirectory_EnableAllUsersGroup/index.html#more


2020070620

 

目标


启用密码重置的双重标识,确保用户密码重置所需的方法数设置为 2


确保在允许重置 Azure Active Directory(AD)的密码之前提供了两种备用的用户标识形式。当至少提供了在 Azure Active Directory 设置中配置的密码重置所需的方法数,则可以成功重置用户密码。


在允许在你的 Azure Active Directory 帐户中重置密码之前启用双重身份验证,通过确保用户身份由两种不同的身份验证形式(如电子邮件和短信)进行确认,增强了访问安全性。攻击者必须攻陷重置用户密码所需的 2个 方法后,他才能完成恶意重置 Azure Active Directory 用户密码。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_10_ActiveDirectory_EnableDualIDForPasswordReset/index.html#more


2020070621


目标

确保为所有非特权用户启用了多因素身份验证功能。

确保为非特权用户(如开发人员、服务读者或运营商)启用多因素身份验证(MFA),以帮助保护对 Microsoft Azure 云数据和应用程序的访问。MFA 通过在现有用户凭据的基础上提供额外的安全保护,使用第二种身份验证形式来保护员工、客户和合作伙伴的访问,降低了组织风险并帮助实现法规遵从性。默认情况下,对所有 Microsoft Azure用户禁用了多因素身份验证。

MFA 代表了一种简单有效的验证 Azure 云用户身份的方法,它要求由虚拟或硬件设备生成的身份验证码,以及常规的访问凭据(即用户名和密码)。如果在启用了 Azure 多因素身份验证的情况下,攻击者即使设知道了用户的账号及密码,如果没法通过其他身份的验证方法,则泄露的身份验证信息也将毫无用处。

 

风险等级
(不可接受的风险)

阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_11_ActiveDirectory_EnableMFAForNonPrivilegedAzureUser/index.html#more


2020070622


目标


确认为所有特权用户启用了多因素身份验证功能。确保Microsoft Azure 帐户中的云资源具有写访问权限的所有用户凭据已经启用多因素身份验证。多因素身份验证(MFA)是一种简单而有效的方法,除了你通用的访问凭据(如用户名和密码)外,还使用虚拟或硬件设备生成的身份验证码(也称为 PassCode)来验证你的Azure用户身份。

拥有受MFA保护的Azure帐户,是保护云资源免受恶意用户和攻击者攻击的有效方法,因为多因素身份验证通过要求特权用户(参与者,订阅所有者和服务共同管理员)在授予其访问权限之前提供至少两种独立的授权形式。在了启用多因素身份验证(MFA)的情况下,攻击者需要至少攻破两种不同的身份验证机制,从而增加了攻破访问凭据的难度,从而显著降低了攻击风险。

风险等级
(不可接受的风险)

 

阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_12_ActiveDirectory_EnableMFAForPrivilegedAzureUser/index.html#more


2020070623


目标


启用身份验证重新确认,请确保已在活动目录密码重置策略中启用用户身份验证信息重新确认。

要求用户重新确认其身份验证信息之前的天数” 表示在指定的一段时间(最多 730天)后,AD 注册用户需要重新确认其现有身份验证信息,以确保这些信息仍然有效。如果禁用了身份重新验证(即设置为 0 天),则不会提示 Active Directory 用户需要重新验证身份的信息。

风险等级
(应该实施)

阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_9_ActiveDirectory_EnableAuthenticationReconfirmation/index.html#more


- 如有类似需求,欢迎与我们联系。-

谢谢您的阅读。-

 

 2020070624

 

Azure Security 云安全管理服务:

  • Azure安全基准配置评估和加固

  • 安全架构咨询、设计、交付

  • 实施多层纵深防御、零信任网络模型

  • 主动合规等保三级2.0

  • 管理服务/年度(远程 or 现场)


ACR 云消费优化管理服务:

  • 自动化审计报表,集成Power BI可视化展示

  • 业务部门自助门户 - 创建/回收资源

  • 服务工单门户 - 创建/跟踪/变更

  • 管理服务/年度(远程 or 现场)

2020070610


我们的特色在于可以帮助用户交付本地、私有云与公有云安全一致性的解决方案,为企业数字化转型保驾护航、行稳致远。

2020070606

 GTI技术团队致力与您一起工作,帮助您解决企业组织在数字化转型旅程中所遇到的难题。


2020032517


2020051115


 20200634


2020051113

 20200633

 2020-3-6-23



  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


了解更多 ›

2020600

技术与信息分享

GTI广州科宸(点击观看原文)


 

 

 

 

2020-3-6-22

202000

 
亲爱的新、老朋友们,

 

大家早上好。

5月15日,在国新办新闻发布会上,4月主要经济数据出炉。国家统计局新闻发言人刘爱华表示,“4月份总体经济延续了3月份以来恢复改善的势头,主要指标呈现积极变化,转型升级态势持续。”工业生产逐步恢复,服务业降幅收窄,其中高技术制造业增加值同比增长10.5%,增速比上月加快1.6个百分点。

 

高技术行业是离不开人才辛勤的劳动。我看到身边和周围的技术大咖们一边抗疫,一边坚持工作岗位迎难而上,为各自所属行业的数字化经济转型升级添砖加瓦,展示着自己的聪明才智。我在这里给您们加油和点赞!

 

突如其来的疫情,并不能阻挡各行业所进行的数字化转型趋势。伴随当前“大佬+网红”直播带货的兴起,数字经济正在蓬勃发展。在未来滚滚商业数字化潮流中,谁能做到跑得更快和管理好风险,就能占据领先的地位。

 

最近2-3个月我身边的交通央企、芯片设计国企、保险金融的大咖朋友们,非常忙碌和辛苦,因为他们参与了2020年的护网行动。他们正在为各自的企业和组织保驾护航和争取荣誉,管理着数字化快速转型旅程中所遇到的风险,发挥着关键性的作用。他们既是专业的“背锅侠”,又是企业组织的中坚力量,义无反顾地承担着义务和责任。他们所流露出来的责任和担当让我感动,激励着我与我们的团队与他们一起前行,倍感荣耀。

 

护网行动下个月(正式护网阶段)即将开始。分享一下我们团队的观察和践行(自查整改阶段)。这里归纳总结主要是我们所接触和经历到的,鉴于水平和能力之限,不足和遗漏之处在所难免,望指正。

 

观察:

  • 员工(全员)签署责任书
  • 落实责任人
  • 定位 - 中、上游
  • 自我安全评估

 

践行:

  • 双因素认证 - 多场景
  • 安全态势感知平台
  • Tie2 - 异构防火墙

 

希望对明年要参与护网行动的新、老朋友有所帮助,同时也对老朋友表达感激之情。有困难我们一起抗,坚决地与大家携手应对,共克时艰。

 

向逆向而行、坚守岗位、

迎难而上的“专业背锅侠”致敬!

 

 

20200601

 

 

如疫情的联防联控,需要人人参与一样,搞好企业组织的网络安全是需要全体员工的积极参与。譬如钓鱼邮件,真的是需要员工具备一定安全意识不能随意点击。再如公司重要应用系统的密码真的是需要好好的保护起来,以及在固定周期内进行变更。所以普遍参与护网行动的企业都采取全员线上签署网络安全责任书的措施进行安全意识教育,引起全员的重视,并提供了非常便利的参与工具。

 

 

20200638

 

 

20200602

 

 

压实网络安全主体责任,提升重点单位的安全防护水平是护网行动的目的。几乎所有企业组织都是坚持“谁主管谁负责,谁运营谁负责,谁被突破谁担责”的责任分工和赏罚原则,明确护网结果纳入年度信息化考核。

 

  • 作战指挥部 - 建立护网行动专项小组
  • 设立:溯源分析组,应急处置组,业务组,监测预警组,保障组,报告组,等
  • 三个保障:组织保障、资金及场地保障、技术保障

 

护网完毕后公安部会在总结材料中通报部分网络安全工作开展不力,护网效果不好的单位,并呈上级领导批阅示。企业组织的各级领导对此次行动重视程度很高,所以信息化和网络安全部门压力和责任是巨大的。

 

 

20200603

 

 

工作目标:确保所选定参演目标系统的安全性,避免发生大范围攻陷情况,确保公司在行业内处于较好水平,处于中、上游水平。同时借助这次行动的契机,提升网络安全的防护水平,在未来数字化转型升级的旅程中管理好风险。

 

 

20200604

 

 

参与护网行动的企业组织采用了如下策略进行自我安全评估:

 

  • 敏感信息梳理
  • 收敛供给面
  • 资产脆弱性检测与加固
  • 网络纵深防御
  • 安全防护覆盖面及有效性验证
  • 集权系统重点防护
  • 安全培训

 

普遍的共性结论是当前在互联网出口集中防护、数据中心安全域改造和态势感知、多场景的双因素认证、保障团队规模等当面仍存在短板。有幸我们的安全团队参与三个安全整改项目的实践。

  • 双因素认证 - 多场景
  • 安全态势感知平台
  • Tie2 - 异构防火墙

 

20200605

 
 
客户现有信息化系统是经过多年不断演变而来,历史遗留问题一定存在。单个重要场景双因素认证是急需实施安全整改,但是内部还存在多个场景需要统一覆盖,具体挑战如下:

 

挑战、痛点:

 

  • VPN接入(Palo Alto,深信服)、虚拟化应用/桌面(Citrix VA/VD,Citrix Gateway)、等;
  • OWA、Office365(中国和国际版)、邮件系统、SSO、等;
  • WiFi、有线网络接入、等;
  • 私有云基础设施:堡垒机(齐治)、虚拟化(vCenter)、交换机(Cisco)、等;
  • 公有云Azure基础设施:Azure AD、管理Portal、等;
  • 注重使用的体验,保持原有使用习惯。
 
 
应对、方案:
 
 
业务系统众多,但帐号源各异共存,缺乏统一加强对帐号安全保护的方式。经过实践,我们网络安全团队针对该需求推荐了宁盾的解决方案。
 
 
通过双因素认证以及单点登录方案为多套应用系统提供统一入口,在业务系统、应用、网络设备等现有帐号密码认证基础增加一层动态密码保护,是目前解决该痛点理想方案。

 

20200636

 

 

经过我们团队的PoC验证,我们帮助解决了如下客户难题:

 

 

  • 虚拟化应用/桌面(Citrix VA/VD,Citrix Gateway);
  • VPN接入(Palo Alto GP,深信服);
  • OWA、Office365(中国和国际版);
  • 公有云Azure基础设施:Azure AD、管理Portal;
  • 私有云基础设施:堡垒机(齐治)、虚拟化(vCenter)、交换机(Cisco)、等;
  • 通过自动化和集中管理,大幅提高管理效率和成本效益;
  • 短信、生物识别、企业微信/钉钉H5、扫一扫、手机App、手机App推送。

 

 

实践:

 

使用 Azure MFA 作为 Citrix ADC 的认证方法 - Azure NPS 扩展作为 NetScaler 的 RADIUS 服务:
 



20200614

 

 

20200623

 
 

20200624 

 

20200625

 

 20200606
 

 

当前,权威部门举办的COVID19疫情防控新闻发布会,在及时通报疫情进展、解读政策条例、回应群众关切、科普辟谣、科学防控、稳定民心、提振信心等方面发挥了重要作用。网络安全态势感知平台与疫情防控新闻发布会有很多异曲同工之处,所以几乎所有参加护网行动单位在集团都建立了全局安全态势感知平台,全面覆盖下属二、三、四级单位。但是,在运营实践后也遇到如下挑战:

挑战、痛点:

 

  • 集团下属单位反馈安全告警事件数量(成千上万)过多;
  • 安全事件的准确性不高,误报率高;
  • 安全事件的调查需要的天数(4-5天)过多;
  • 孤立的工具,复杂且手动任务耗时过长;
  • 仅能提供监控,不支持联动和阻断威胁的功能;
  • 自动化响应几乎没有,完全靠人工手动;
  • 对于现有基础架构团队的技能要求过高;
  • 缺少低门槛的安全运维平台;
  • 实际网络责任人提供合适的工具。

 

应对、方案:

鉴于以上痛点,下属单位会再部署一套Tie2 异构的安全态势平台,主要目的是能够充分运用本单位现有基础架构队伍人力资源,尽可能覆盖当前所遇到的挑战。

 

GTI网络安全团队所践行的解决方案为Palo Alto Cortex 2.0。通过统一网络、端点和云数据找到并阻止隐蔽性攻击,平台扩展的检测和响应功能帮助用户的团队排除干扰,专注于应对真实威胁。其优点如下:

 

  • 利用分析检测高级攻击:通过 AI、行为分析和自定义检测发现威胁;
  • 警报频率降低 50 倍:颠覆传统的统一事件引擎可以将相关警报进行智能分组,避免产生警报疲劳;
  • 调查速度提高 8 倍:利用根本原因分析全面掌握攻击情况,快速验证威胁;
  • 阻止攻击的同时不降低性能:使用轻量级代理可获得最有效的端点防护;
  • 最大化投资回报率:使用现有基础架构进行数据收集和控制,将成本降低44%。

 

在 MITRE ATT&CK™ 评估的第二轮中,Cortex XDR再次受到考验,这一次是针对被称为APT29 aka Cozy Bear 或者 The Dukes 的威胁组织所使用的战术和技术,该组织以其隐蔽、复杂和高度定制的攻击而闻名。评估涉及两个完整的攻击场景,利用 MITRE ATT&CK™ 框架中的58种独特技术。在这次评估中,没有其他供应商比Cortex XDR更能实现更高的攻击技术覆盖率,因为Cortex XDR管理的威胁搜索服务将自动产品检测和浓缩功能强大地结合在一起。(如下图)

https://blog.paloaltonetworks.com/2020/04/cortex-mitre/

 

20200609

 

 

 

该态势感知平台可以严丝合缝地变化为安全运营平台。依赖于三个基础产品:端点安全、下一代防火墙、态势感知。最大的特点在于三个产品之间能够完成无缝地联动、隔离、阻断的功能,成为一套适用于日常使用的安全运营管控平台。(如下图)

 

20200616

 

 

打个比方,为控制疫情的大面积爆发,就是严格的执行了所有交通对人流的检测和控制(网络,Palo Alto和Check Point、Fortinet、Cisco FW),所有社区内部对人流的检测控制(端点 Traps),这两者的信息检测和控制数据汇总到了大数据平台(Cortex XDR),很好的实现了数据的多样性和完整性,从而才能分析出专业可靠的结论,为人员的疫情控制策略发布(威胁处置)提供了重要决策依据。重点再重复一次,该安全运营平台具备了隔离、阻断的能力

 

 实践:

经过实践后客户一致把建设安全运营平台设为目标,根据自身具体情况分阶段来建设。除了向客户提供 Palo Alto 安全运营平台外,我们网络安全团队可为客户交付如下安全管理服务。

  • 全年全天候监控和警报管理;
  • 调查 Cortex XDR 生成的每个警报和时间;
  • 了解您所处环境的专注、主动的威胁搜寻专家;
  • 指导性或完成的威胁补救措施;
  • 减少 MTTD 和 MTTR;
  • 自定义调整 Cortex XDR 以增强防御能力、可视性和检测能力;
  • 直接与我们的分析人员和取证专家联系; 跨网络、端点和云资源的可视性和覆盖范围。

 

 

20200615

 

 

20200610

 

 

20200612 

 

20200611

 

20200613

 

 

20200607

 

 

无论是安全行业的最佳实践,还是法规遵从(等保、护网行动)都是建议数据中心采用异构防火墙至少2个品牌的安全架构设计。

 

挑战、痛点:

 

  • 经过多年的沉淀,互联网区域各种类型安全设备太多;
  • 面对互联网的出入口,如何确认安全设备的“前/后”位置;
  • 安全区域如何划分更加合理,更方便运维和排错;
  • 面对新型网络攻击,传统端口防御方式无效;
  • 关于零信任网络策略该如何落地;
  • 如何与态势感知平台集成联动。

 

应对、方案:

Tie2 异构防火墙并不是新话题,GTI网络安全团队推荐的解决方案是Palo Alto NGFW (硬件、虚拟机、公有云版)。随着业务和技术的发展和更新,在整改和建设的过程中原则更新如下:

 

  • 将互联网流量按照“入/出”进行分离,采用不同的安全等级防护(“严进宽出”),同时考虑便于运维和排错;
  • 一层为传统端口型4层防火墙,一层为7层防火墙(NGFW)。既能提高检测能力,又能降低投资成本;
  • NGFW 必配 IPS 和防病毒功能; 根据业务类型,应用数据的敏感性划分不同安全等级的区域;
  • 关键性区域实施零信任安全策略(解密、应用ID、用户ID、内容ID),对所经过的网络流量始终检测并仅赋予最小权限;
  • 同时具备检测已知、未知威胁、监测与分析APT攻击的能力;
  • 防火墙既作为网络上探针,又能扮演阻断设备,与态势感知平台实现无缝集成; 整体方案既能在私有云交付,也能在公有云中落地,并保持安全策略的一致性。

 

实践:

经过实践后客户一致把建设安全运营平台设为目标,根据自身具体情况分阶段来建设。除了向客户提供 Palo Alto 安全运营平台外,我们网络安全团队可为客户交付如下定制化解决方案。  

 

20200620

 

20200618

 

20200617

 

 

20200608

 

 

 保护从本地基础架构到云、端点和 IoT 的所有方面,确保交付有品质的管理服务和业务高可用性、以及主动合规。

 

 

20200622

 

 

20200621

 

 

20200635

 

 

 

 20200629

 

2020032517

 

2020051115

 

 20200634

 

2020051113

 20200633

 2020-3-6-23



  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)

了解更多 ›