最新信息动态
900

技术与信息分享

GTI广州科宸 (点击此处观看原文和视频)

 

Weixin Top banner

 

 

 

 

 

 

 

   

  900

 

25

 

尊敬的用户,

大家早上好! 

我们在怀疑中坚定,在坚定中憧憬,在憧憬中前行;为了美好生活,大家一些携手继续加油前行。

年底即将到来,我们技术团队中的项目经理和工程师们正在忙于交付有品质的技术服务。技术人员的时间和精力是项目成功交付的重要保障,故此原定在12月要举办的 GTI 定制化解决方案线下体验活动暂时顺延了,在这里我代表上海全体工程师团队非常感谢新、老用户和朋友们的关注和参与,谢谢!

我们销售队伍会利用和运用这段时间多做一些新项目经验总结、积极多一些与大家线下的走动和交流。昨天已成为历史无法改变,今天无论获得或失去了什么都不能松懈和气馁,现在就行动起来明天一定更加美好。

 

目 录

一. 客户需求分析

二. 选型、成本思考

三. VMware NSX 解决方案介绍

四. NSX 插件兼容性说明

五. NSX 运维可视化工具

27


一. 客户需求分析

 

28 

 

阶段一:如下图所示:规划目标每个商业应用/业务线是完整地包裹在一个安全的隔离的空间内,每个容器、K8s、虚拟机、物理机之间都是有防火墙进行精细化控制,同时该隔离区域提供路由、负载均衡、监控分析的必要的网络组件功能。

 

01

 

阶段二:如下图所示:当有2个商业应用/业务时,可以采用上述结构进行模块化叠加。

 

02

 

阶段三如下图所示:当发展到多个商业应用/业务时,就必须引入自动化管理框架,K8s、PKS、OpenShift 等等,逐渐实现CI/CD、Dev/Ops

 

03 

 

阶段四:如下图所示:商业应用/业务线开始从私有云内延展到公有云,进一步发展到跨接到多个公有云对于公有云资源使用可以采用虚拟机或者容器都是可行的,每个云内的最小资源同样能实施精细化隔离和控制,应用所跨接的多个云之间的底层网络被透明地二层打通。

 

04


经历四个发展阶段后

商业应用/业务线全景视图如下

05

 

29

27

 

二. 选型、成本思考

31

 

  • NSX与Cisco ACI 有何不同 ?

 

NSX 的最大竞争者是思科。思科在市场上有很强的地位。他们已经构建了一个名为 Nexus9K 的交换机,但它具有称为 ACI 的功能 - 以应用程序为中心的基础设施。他们试图做的是在操作系统中加入一个代理程序,然后勾画“这就是应用程序看起来的样子”然后将应用程序之间的通信量"发夹"到交换机上,进行安全检查。理论上是可以这么做。但如果你仔细想想,那么软件定义网络的重点就是在软件中对其进行定义,而且它独立于硬件所存在的,这会使部署和操作变得更加困难,而且成本也会更高,因为您必须购买这种独特的交换机

 

  • 为什么NSX的SDN战略比Cisco好 ?

 

因为 NSX 的价值主张是,不在乎您使用什么基础架构。您无需升级交换机,可以使用这些产品中使用寿命很长的旧 Cisco Catalyst 或 Cisco Nexus交换机或其他品牌的交换机。也许您是在运行在 Azure、Amazon 之上的工作负载,NSX 可以保证生产环境可以访问 Internet,但绝不会接触开发环境,并且开发环境也不会接触 Internet

 

  • 该如何定位NSX与Cisco ACI ?

 

Cisco 是一家伟大的公司。许多客户使用思科产品,这是有原因的。思科产品确实擅长硬件交换、结构管理,但是 VMware 真正擅长的领域是软件定义的网络。VMware 是软件公司,而不是硬件公司。由于 VMware 在堆栈中的核心位置,使得 NSX 对应用程序有更加深刻的理解。NSX 的管理程序就是启动 Web 服务器、启动应用程序服务器、启动数据库的安全控制过程。因此 NSX 确切地知道了这些事物的住处,它们的运行方式,并允许 NSX 执行以下非常简单的策略:Web服务器与应用服务器对话与数据库安全通信对话。NSX 与思科(或任何其他硬件供应商)之间最大的区别是软件重点和对应用程序的了解,使我们能够简化各种形式的基础架构中的策略落地实施。

 

  • NSX 安全优势 

 

如果您的目标是加强安全性并超越传统的基于外围的防御态势,那么 NSX 可能是管控虚拟流量的可靠选择。


NSX 可以 - 全面的应用可视性:减少网络安全团队在应用安全性审查周期中花费的时间。对应用组合的独有的可见性(从网络流量到工作负载上的进程级行为)可帮助自动创建网络安全策略。

NSX 也可以 - 实施已知的安全控制措施:帮助您实施跨多数据中心和混合云环境的网络安全策略,以保护虚拟机、容器和裸机服务器等之间的流量传输。

NSX 还可以 - 自适应网络安全策略(后续有篇幅做进一步介绍):将安全保护从被动流程转变为应用开发生命周期中的主动行为。即使应用会随着时间的推移而变化,也会自动为每个工作负载调配,会一直跟随工作负载的安全策略。当弃用工作负载时,其安全策略也将一并弃用,防止策略随着时间越积越多,并进一步简化管理。

 

  • 解决防火墙吞吐量挑战

 

到目前为止,由于必须通过物理链路过滤大量的数据,东西向防火墙一直很困难并且受到限制。东西向防火墙功能可从 Palo Alto Networks 等供应商处获得,但是实现和管理整个数据中心级策略所需的设备数量可能既昂贵又在管理上无法实现。这是虚拟化的分布式防火墙覆盖和虚拟化数据中心的优势所在。

单个 NSX 主机的防火墙具有 20 Gbps的吞吐量也可在您添加 NSX 节点时线性扩展。尽管诸如 Palo Alto Networks 之类的公司的产品比 NSX 防火墙具有更多的功能,但是传统产品无法满足纯吞吐量。VMware NSX 提供了现有的集成,以允许第三方防火墙 IPS、IDS 处理东西向流量。

  • 为什么合作伙伴在积极推荐 NSX ?


VMware 有将近10,000个客户在使用虚拟网络产品,其中82个在《财富》100强中采用了 NSX。对于渠道合作伙伴而言,最重要的是利用这种新的自动化功能,并将其构建到客户的持续集成和持续交付管道中。现代的基于云的应用程序开发人员已经达到了一切都自动化的地步,您只需一次推动就可以部署工作负载。将网络部分当作软件来对待,而不是像一堆黑盒子那样,必须依赖其他部门的专业人员登录,进行更改,更新并打开安全通道。使用 NSX,现在可以对网络进行编码,那是非常兴奋的事情。渠道合作伙伴可以帮助客户理解该代码,将其构建到他们的工作流和软件开发流程中,并在自己的环境中获得公共云体验。

 

  • NSX 大幅减少防火墙的支出

 

减少整体安全资本支出,部署其他物理防火墙以控制增长数据中心内部的东西流量对于大多数组织而言,很多微分段方案成本过高。此外,所需设备数量庞大以及建立和管理如此复杂的系统所需的防火墙规则在操作上采用了这种方法是不可行的。


而 VMware NSX 微分段可以完全控制无需购买数据中心中的单个工作负载额外的物理或虚拟防火墙,从而大大节省了投资。 如下图所示:显示了一个典型的使用案例数据中心,比较的结果是节省投资72%。同时还带来了其他优势,避免将应用程序之间的通信量“发夹”到交换机或安全设备上(网络上多了好几跳和延迟的增加)

 

06

  • NSX 大幅降低运营费用


NSX 微分段大大减少了人工工作和安全任务所需的时间,包括移动/添加/更改,扩展和故障排除/修复。如果您考虑了配置所需的所有手动任务和管理物理网络的安全性 - 在整个开发过程中,测试,验证和生产环境一一微分段可以自动执行这些任务,您开始看到减少运营的所有机会费用。


如下图中的分析所示,NSX 微分段大大加快了安全性的初始设置服务投入生产。使用传统硬件,相关的周期时间来为新申请迫使企业平均等待23天的时间,而网络虚拟化将其减少到几分钟 - 几乎减少了100%,并大幅加快了应用上市时间。同样,为新应用程序设置安全服务花费14.3小时的时间或接近两天的时间,而微分段将其减少到小于2小时 - 大幅减少了87%

 

07

  •  安全地实现业务敏捷性

 

通过 VMware NSX 网络虚拟化进行微分段的好处在于能够改变历史上企业一直被迫在 IT 安全团队中选择速度和安全性通常被不公平地认为会抑制业务敏捷性安全地开展业务的局面。NSX 使微分段成为现实并使企业能够快速,安全地进行创新在保持无所不在的同时获得竞争优势数据中心的持久安全性。业务领域也能享受着许多安全性和高性能微分段的好处,并将继续发现真正改变游戏规则的创新用途和应用技术。

38


27


三. VMware NSX 解决方案介绍

34

  • VMware NSX 产品愿景

 

VMware NSX 产品虚拟云网络的强大愿景背后是强大的产品组合。自从2018年 VMworld 以来,VMware 网络和安全性角度积累了重要的产品组合。NSX 建立在 {任何基础设施〜任何云〜任何应用程序〜任何平台〜任何设备} 的基础上,已成为家族品牌。如下图所示。

 

08

  • 定制化隔离与控制解决方案

 

根据我们实际接触到的案例总结出大多数用户的环境中既有大量虚拟机、又有不少容器还有若干物理机,GTI 定制化隔离与控制解决方案旨在解决具有异构端点和技术堆栈的应用程序框架和体系结构。除 vSphere 外,这些环境可能还包括其他虚拟机管理程序,容器,裸机操作系统和公共云。定制化方案的价值在于帮助用户的 IT 和开发团队选择最适合其特定应用程序的技术。除 IT 之外,该方案还可用于开发组织的管理,运营和使用。如下图所示。

09

  • 解决方案体系结构设计原理

 

体系结构围绕四个基本属性进行设计。 如下图所示描绘了从任何站点到任何云,再到任何端点设备的那些属性的通用性。这不仅在基础架构级别(例如,硬件,虚拟机管理程序),而且在公共领域都实现了更大的解耦。云(例如,AWS,Azure)和容器级别(例如,K8s,Pivotal);所有这些都保留了跨域实施的平台的四个关键属性。 方案架构的价值和特征包括:一致性策略整体网络的连通性安全控制服务可视化

10

  • 与容器和云本机应用程序集成

 

当前的数字转换时代对 IT 部门提出了挑战,要求他们解决指令以规范应用程序和数据的安全性,提高交付速度并提高应用程序可用性。IT 管理员意识到必须采用新方法来保持相关性。至关重要的是该解决方案通过在应用程序生命周期中专门定义连接性,安全性和策略来架构性地解决问题。

基于应用程序驱动的基础架构以编程方式自动创建网络和交换网段是满足这些新架构要求的唯一方法。该方案使 IT 和开发团队可以选择最适合其特定应用程序的技术。它提供了一个通用框架来管理和增加同时包含 VM 和容器的环境的可见性。随着开发人员采用诸如容器之类的较新技术,并且在公共云中运行的工作负载百分比不断增加,网络虚拟化必须扩展以提供这些环境中原生的全方位网络和安全服务(例如LB,NAT,DFW等)。通过为在 VM 和容器上运行的工作负载提供无缝的网络虚拟化。

11

 

  • NSX 容器插件 NCP


NSX 容器插件(NCP)旨在提供与许多基于容器的应用程序可以驻留的环境的直接集成。NSX 容器插件利用CNI与容器接口,并允许 NSX 协调容器的网络,策略和负载平衡。诸如Kubernetes(即k8s)之类的容器编排器非常适合 NSX 集成。包含 k8s 企业发行版的解决方案,著名的 PKS 和 RedHat Open Shift 支持 NSX 解决方案。此外,NSX 支持与 PaaS 解决方案(如Pivotal Cloud Foundry)集成。有关详细内容,后期我们将在线下活动内做 Demo 演示。


NCP 的主要组件在容器中运行,并与 NSX Manager 和 Kubernetes API 服务器通信(对于k8s / OpenShift)。NCP 监视对容器和其他资源。它还通过 NSX API 管理容器的网络资源,例如逻辑端口,交换机,路由器和安全组。


NSX 容器插件:NCP 是容器映像形式的软件组件,通常作为 Kubernetes 容器运行。

适配器层:NCP 以模块化方式构建,因此可以为各种 CaaS 和 PaaS 平台添加单独的适配器。

NSX 基础结构层:实现创建拓扑,附加逻辑端口等的逻辑。

NSX API客户端:实现 NSX API 的标准化接口。

12

 

  • NSX 的多云架构


当扩展到公共云中的工作负载时,NSX 为跨私有云和多个公共云的网络和安全策略管理提供了一个单一的平台


此外,在 NSX 中,会自动发现本机云服务端点(RDS,ELB,Azure LB 等),并可在 NSX 分布式防火墙策略中使用。你可以在创建这些策略时不需要手动查找端点 IP。

 

从结构上讲,公共云网关负责发现云虚拟机/服务端点以及两种操作模式下的策略实现。在本机云强制模式下,NSX 提供公共管理平面,用于跨多个公共云配置丰富的微分段策略。使用 NSX 强制模式时,公共云网关还提供服务,例如 VPN,NAT 和边缘防火墙,类似于本地 NSX Edge。NSX 强制模式进一步允许每个基于云的 VM 实例具有其他好处,包括分布式数据平面,其中包括逻辑交换,逻辑路由和监视功能(例如 syslog,端口镜像,IPFIX 等),同时允许客户遵循云提供商的最佳做法进行设计网络拓扑。


13

 

  • NSX 作为高级安全平台


除了提供网络虚拟化之外,NSX-T还可以用作高级安全平台,提供丰富的功能集以简化安全解决方案的部署


  • NSX 分布式防火墙(DFW)在 vNIC级别上为工作负载提供状态保护。DFW 强制执行发生在系统管理程序内核中,有助于实现微分段。

  • 用于本地和云部署的统一安全策略模型,支持多管理程序(即ESXi 和KVM)和多工作负载,粒度级别低至 VM、容器、裸机属性。

  • 与计算域不可知-支持由不同计算管理器管理的虚拟机监控程序,同时允许将定义的微分段策略应用于跨多个 vCenter 环境的虚拟机监控程序。

  • 支持基于第3层,第4层,第7层 APP-ID 和基于身份的防火墙策略。

  • NSX 网关防火墙充当 N-S 流量的集中式状态防火墙服务。网关防火墙是针对每个网关实现的,在 Tier-0 和 Tier-1 上均受支持。从策略配置和实施角度来看,网关防火墙独立于 NSX DFW。

  • 网关和分布式防火墙服务插入功能,可通过与合作伙伴生态系统集成来提供 IPS/IDS 等高级防火墙服务。

  • 根据各种标准(包括标记,虚拟机名称,子网和段)将对象动态分组为称为组的逻辑结构。

  • 策略实施的范围可以是选择性的,具有应用程序或工作负载级别的粒度。

  • SpoofGuard 在 vNIC 级别阻止IP欺骗。

  • 交换机安全性提供风暴控制和安全性,防止未经授权的流量。

 

  • 与众不同的安全策略 - 动态自适应

 

NSX 的分布式防火墙安全策略与现有大多数的防火墙与众不同,抛弃了以往的静态安全策略,而是启用动态安全策略,能否覆盖很多复杂的场景,灵活而便捷。以往 IP 地址被替换为组,端口被替换为服务,同时增加了上下文关联的配置文件。细心的网络安全工程师或您可以看如下图例所示,可以细细体会出其中的变化与奥妙,维护动态安全策略的工作量大幅减少,这种动态自适应安全策略达到了易于实施的应用安全隔离和实现应用网络流量精细化控制的目标。

14


  • 策略:安全策略包括防火墙规则和服务配置等各种安全元素。策略以前称为防火墙区域控制规则。

  • 规则:作为流量评估依据和定义在匹配时所执行操作的一组参数。规则包括源和目标、服务、上下文配置文件、日志记录以及标记等参数。

  • :组包括静态和动态添加的不同对象,可用作防火墙规则的源和目标字段。可以将组配置为包含虚拟机、IP 集、MAC 集、逻辑端口、逻辑交换机、AD 用户组和其他嵌套组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。创建组时,必须包括该组所属的域,默认情况下为默认域。

  • 服务:定义端口和协议的组合。用于根据端口和协议对流量进行分类。可以在防火墙规则中使用预定义的服务和用户定义的服务。

  • 上下文配置文件:定义上下文感知的属性,其中包括应用程序 ID 和域名。此外,还包括子属性,如应用程序版本或密码集。防火墙规则可以包含上下文配置文件以启用第 7 层防火墙规则。


35


27


四. NSX 插件兼容性说明

37

 

  • 裸机服务器 

15 

  • 裸机Linux容器 

16

  • Kubernetes 

17

 

  • Pivotal Cloud Foundry(PCF) 

18

 

  • OpenShift 

49-1

  • OpenStack Neutron 

19

38


27

 

五. NSX 运维可视化工具

40

 

  • 网络可见性和分析

 

  • 混合云/多云和 SD-WAN 的可见性,支持 VMware NSX,VeloCloud,AWS 上的 VMware Cloud 和 Microsoft Azure

  • 发现覆盖网络和底层网络之间的连通性

  • 跨混合云分析流量和应用程序

 

  • 规划应用程序安全性和云迁移
  • 发现应用程序(虚拟机,容器),识别流量模式

  • 在应用程序发现和定义中支持 Azure 虚拟机

  • 创建应用程序层时,支持对 Kubernetes 实体执行“自定义搜索”

  • 优化了仪表板,提高了响应能力,缩短了加载时间

  • 规划安全性:推荐防火墙策略,微分段应用

  • 解决跨 VM,容器和云的混合应用程序的安全性

  • 映射依赖关系以减少应用迁移期间的风险


 

  • 对虚拟和物理网络进行优化和故障排除

 

  • 减少应用程序连接性问题的平均修复时间(MTTR)

  • 通过消除网络瓶颈来优化应用程序性能

  • 对 Kubernetes 服务和 Pod 执行网络路径跟踪

  • 在多个 NSX Manager 中进行管理和扩展


  • 范例一:应用仪表盘增强

Network Insight 工具有一个引人注目的仪表板,专注于应用程序。一切都在那里;应用程序本身的拓扑,在应用程序的层与外部之间流动的实时网络流,所有基础结构事件,所有工作负载指标;解决应用程序故障所需的一切。网络拓扑特别有用,因为它可以显示网络流量,但是仅限于4.1 版本中的层。使用 Network Insight 4.2,放大时可以看到每个流。通过放大,层可以扩展为包括所有工作负载(VM,容器)和每个工作负载的流连接。

20 


  • 范例二:K8s 服务to服务和 Pod to Pod

21

 

  • 范例三:流式遥测以获取物理交换机拥塞指标

22

  • 范例四:网络延迟指标


延迟是应用程序性能的最佳指标之一;延迟越大,最终用户的等待时间就越长。Network Insight 4.2 引入了两种形式的网络延迟度量:连接到网络流的 TCP 往返时间(RTT)和特定组件(vSphere主机中的虚拟和物理NIC)之间的延迟度量


TCP RTT 度量标准附加到网络流,可以在流的仪表板中找到(单击特定流),也可以使用搜索引擎,例如流的“平均TCP RTT”,其中“平均TCP RTT> 10ms”。这将导致具有10ms 更高 RTT 延迟的流列表。

23

 

通过使用 Flow Insights 页面并查看“网络性能”图,还有一种很好的方法来分析整个基础结构的延迟性能。

24


上图显示了总体延迟统计信息,并快速识别了性能最差组中的所有流。然后,您可以深入查找未执行的确切流程并分析原因。

其他可用的延迟度量标准是虚拟 NIC(vNIC)和物理 NIC(pNIC)的延迟度量标准。当前在同一 vSphere 主机内跟踪这些延迟指标,并且支持不同的路径,即 vNIC 到 pNIC,pNIC 到 vNIC 和 vNIC 到 vNIC。要获取延迟指标,需要适用于 vSphere 6.4.5 或更高版本的 NSX Data Center。

41


27

  

43 


Cotract us



 

 

 

Zhenglu Gu

资深网络工程师、咨询顾问

GTI 中国

电话:+86(21) 6375 8369

邮箱:ding.yi@gti.com.hk

 

Tony Ding

技术经理、咨询顾问

GTI 中国

电话:+86(21) 6375 8369

邮箱:ding.yi@gti.com.hk

 

Rock Long

区域经理、咨询顾问

GTI 中国

电话:+86(21) 6375 8369

邮箱:rock.long@gti.com.hk

 


 

摆脱以往的备份模式,数据实验室备份下来的数据完全可以使用,数据实验室打造了一个封闭隔离的环境,与生产环境是完全隔离的两套环境,用户可以随时访问到隔离环境的业务,可在数据实验室的备份环境中做系统打补丁、培训、开发等,来充分使用备份资源,使用完成后可以快速回收及释放资源

可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。

可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。

了解更多 ›

022

技术与信息分享

GTI广州科宸 (点击此处观看原文和视频)

 

Weixin Top banner

 
 
 
 
 
 
 
   

022 

移动知识型工作者便携机安全管控“实践指南” 

技术经理:Tony Ding;区域经理:Rock Long

 

026

 

尊敬的新、老朋友们,

大家好

GTI 安全团队有幸参与并实施了跨地域、高复杂性、大规模数量的便携机笔记本安全管控项目的落地,从客户身上学到不少先进的方法论、框架设计以及具体的产品选型;后期我们的安全顾问将项目的成功经验进行抽象、归纳、分类、整理,分享出这篇指南贡献给大家,希望对大家日常的笔记本安全管控工作带来帮助,避免 “踩坑” 和 “少走弯路” 。


契机,2019年4月份,微软正式启动了 Windows 7 支持到期的系统通知。在支持终止后,微软将不再为该操作系统提供免费的安全更新和技术支持。

 

001 

通知内容是 Windows 7 即将在2020年1月14日终止支持。微软还警告Win7系统架构已经过于老旧,不再先进,安全性得不到保证,并且会增加额外成本花费。正如同此前的Windows XP一样,会遇到日益严重的网络安全威胁。微软希望Win7用户尽快升级到Win10,获得持续不断的功能更新和安全技术支持。

明年1月14日后,微软就不再提供 Window 7 安全修复补丁了,不升级的个人用户可能面临各种恶意软件入侵的风险

也许大家认为这仅仅是一件笔记本升级操作系统的事情,没有必要浪费笔墨,企业内部 IT HelpDesk 部门就能很好的完成。但是站在一家世界200强企业的 CISO、CSO、CIO 和全球安全团队角度来审视这并不件小事情,而是一个针对知识型工作者的便携机笔记本实施安全管控的系统工程项目,其中颇有不少门道值得细细推敲。

 

一、项目“实施组”的定制化组合

 

项目的成功离不开公司高层的重视和支持,资源的组织、协同投入是最终获得卓越的安全成效首要条件。组织或公司的安全实施资源可以大致归类为三类,可对标入座。

 

  • 实施组 1 - Implementation Group 1

    拥有约10名员工的企业可以自行归类为 IG1


    IG1 组织是中小型企业,拥有有限的IT和网络安全专业知识,致力于保护IT资产和人员。这些组织的主要关注点是保持业务运营因为它们对停机时间的容忍度有限。他们试图保护的数据的敏感性很低,主要围绕员工和财务信息。但是,可能会有一些中小型组织负责保护敏感数据,因此会落入更高级别的组织。IG1 应该可以通过有限的网络安全知识来实施,旨在阻止一般的非目标攻击。通常使用到 SMB 级别的硬件或软件配合使用


  • 实施组 2 - Implementation Group 2
    提供服务的区域性组织可将其自身归类为 IG2

    IG2 组织雇佣负责管理和保护 IT 基础架构的人员。这些组织根据工作职能和使命支持多个具有不同风险态势的部门。IG2 组织通常存储和处理敏感的客户、公司信息,并可以承担短暂的服务中断。如果发生违规行为,避免一个主要问题失去公众信心的发生。IG2 需要应对增加的操作复杂性,同时将依赖于企业级技术和专业知识来正确安装和配置


  • 实施组 3 - Implementation Group 3
    拥有数千名员工的大型公司可能会被标记为 IG3


    IG3 组织聘请了专门研究网络安全不同方面的安全专家例如:风险管理,渗透测试,应用程序安全)。IG3 系统和数据包含受法规和合规性约束的敏感信息或功能监督。IG3 组织必须解决服务的可用性以及敏感数据的机密性和完整性。成功的攻击可能对公共福利造成重大损害,IG3 必须减少来自复杂对手的目标攻击,并减少零日攻击的影响


虽然上述方法论提供了安全项目通用实施指南,但这不应取代组织了解其自身组织风险状况的需要。组织仍应根据其资源,使命目标和风险,适当和合理的深入分析,量身定制出具体实施组组合

结论:在预算尽可能充足的情况,建议全方位考虑 IG1、IG2、IG3的组合。

 

002 

 

 二、十二点建议指南

 

具体项目实战总结出,如何更好的定制化组合 IG1、IG2、IG3 变为成功的关键,从而实现平衡资源限制和有效降低风险。

GTI 安全团队愿意祝您组织一臂之力,如有雷同的需求可与我们联系,我们的安全咨询顾问与您一起坐下来一项一项进行对标和梳理。谢谢

 
建议一:硬件资产清单

 

003

 
建议二:软件资产清单
 

004

 

建议三:系统补丁清单

 

005

 
建议四:特权帐号清单

 

006

 

建议五:安全配置镜像或模板

 

007

 

建议六:日志的维护监控分析

 

008

 

建议七:邮件和浏览器的保护

 

009

 

建议八:恶意软件的防御

 

010

 

建议九:数据保护

 

011

 

建议十:基于需要知道的受控访问

 

012

 

建议十一:无线访问控制

 

013

 

建议十二:帐号监控和控制

 

014

 

三、关于项目实施成功的七个原则


读到这里,感谢您花费了不少时间,希望上述12个分类建议、45项安全控制项能够与您日常所遇到的便携机安全管控工作产生共鸣。接下来,大家一定非常关心具体应该选用什么产品、安全配置该如何落地、到底需要多少人力资源、如何避免掉进雷区等干货问题。

“雷区” 说起来容易,没有具体碰过恐怕不是那么容易的感受到,故此总结出需要坚持的原则,是很有必要。

 

具体产品的选用、安全配置等细节这里不做详细说明了,每个用户的场景不太一样,需要根据具体情况进行 PoC 和定制。有兴趣的话,大家可以与我们联系,谢谢!

1. 镜像标准化

选用一个稳定适宜的 Win 10 版本,梳理和标准化知识性工作者所需要的非敏感性应用软件清单(数量建议控制在 30 以内),软件资产清单监测和维护工具、补丁升级管理工具、标准化的浏览器这 3 类基本软件必须实施,也就是大家俗称的 “Golden Image”。可以是按照地域、笔记本机型来制作出不同的黄金镜像。

  • 标准化

  • 数量成千上万

  • 跨地域

  • 不同机型

  • 企业合规、正版的软件清单

  • 必要的自动化管理工具

  • 标准化的浏览器


2. 帐号管理

 

本地管理员帐号必须收回用户仅用专用或辅助帐号,所有访问企业资源的工作场景必须要加入域控接受被管理。

  • 建立不同安全级别的帐号(辅助管理)

  • 域管理员帐号帐号需要受到严格保护


3. 高级端点保护


基于特征签名匹配的端点保护技术已经逐渐落后,建议部署采用“轻量级” EDR 终端检测与响应系统、基于大数据分析的新技术平台。其特点是:CPU/MEM/HDD 占用率很低、没有传统意义上的扫描、甚至可以脱离网络进行防御、用户的使用体验很好;能够阻止漏洞攻击利用技术;更为重要的是其提供了一个大数据的“云服务”,全网实时搜集端点上的日志、安全事件、威胁情报进行关联分析,是防御已知/未知威胁、恶意软件的新平台。

  • 轻量级
  • 离线状态也能防御
  • 防御未知威胁、恶意软件
  • 基于用户行为、日志分析的 SaaS 平台
  • 协同防御


4. 敏感信息防护


梳理、分类出敏感型应用和数据清单和镜像,通过软件定义边界、双因素认证、设备合规性检测准入、数字安全工作空间的技术将他们 “包裹” 并 “虚拟化” 出来集中存放在数据中心,应用和数据不落地。 同时实施零信任网络安全模型和七元组关联的安全管控策略,达到敏感型数据 “看得见”、“摸不着”、“带不走” 的效果。有条件的话,建议搭建出多层纵深分层防御架构和 Tie 2 防火墙 DMZ 区域
  • 敏感型应用和数据清单和镜像

  • 软件定义边界

  • 双因素认证

  • 设备合规性检测准入

  • 数字安全工作空间

  • 零信任网络安全模型

  • 实施四层纵深分层的防御架构

  • Tie 2 防火墙 DMZ 区域

  • 设备、人、桌面、网络、应用、资源系统、数据七元素关联匹配

 

5. 上网

提供安全标准化、合规的浏览器和邮件客户端。所有网络通信一律经过代理进行通信,无论是在内部还是外部、还是在出差、还是在任何地方,所有流量的URL、域名解析请求都需要进行安全检测。有条件的话,所有通信都实施 “中间人” 解密和所有邮件的附件进行沙箱分析。实施必要的无线访问控制,长期脱域场景可以通过VPN来缓解。

  • 浏览器和邮件客户端标准化

  • 所有通信经过代理

  • URL、域名解析请求必须检测

  • “中间人” 解密

  • 沙箱分析

  • 无线访问控制

 

6. 设备意外丢失


为了防止笔记本设备意外丢失,加密 Windows 操作系统所有卷上、USB 驱动器卷存储的所有数据可以更好地保护计算机中的数据。

  • 基于系统级别加密


7. 自动化部署


由于笔记本的数量庞大、而且分散不同的地域、个人数据的复杂性,需要采用定制化脚本编程来解决。同时实施卓越的项目管理,以及有效的培训保障项目成功的落地。

  • 定制化脚本编程
  • 备份个人数据
  • 格式化和覆盖黄金镜像
  • 导入个人数据
  • 卓越的项目管理
  • 现场支持
  • 有效的培训

 

027

 

 

 

Cotract us


 

 

 

 

DingYi

技术经理
GTI 中国
电话:+86(21) 6375 8369
邮箱:ding.yi@gti.com.hk

 

RockLong

咨询顾问
GTI 中国
电话:+86(21) 6375 8369
邮箱:rock.long@gti.com.hk

 

 

摆脱以往的备份模式,数据实验室备份下来的数据完全可以使用,数据实验室打造了一个封闭隔离的环境,与生产环境是完全隔离的两套环境,用户可以随时访问到隔离环境的业务,可在数据实验室的备份环境中做系统打补丁、培训、开发等,来充分使用备份资源,使用完成后可以快速回收及释放资源
可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。
可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。

了解更多 ›

00 cloud environment

技术与信息分享

原创:Chelsea  GTI广州科宸 (点击此处观看原文和视频)

 

 Weixin Top banner

 
 
 
 
 
 
 
 

 

0830 Word 1

 

0830 Word 2

 (点击播放音乐)

 

 0830 Word 3

 

 0830 Word 4

对于关注GTI公众号的小伙伴们对GTI并不陌生,新的小伙伴们可以通过关注GTI公众号了解更多活动内容。我是GTI咨询顾问Chelsea小姐姐,同时我也是本次线上活动的联络员☺

 

 

0 GTI solution

 

0830 Word 5

 GTI联合Veeam线上活动 - 讲师 Veeam 资深技术顾问Wei Lei

 

0830 Word 6

 

1 Veeam cloud date

 

该方案可通过单个管理控制台为所有虚拟、物理和云工作负载提供可用性,不仅提供最佳的 VMware vSphere 和 Microsoft Hyper-V 解决方案,而且在任何云上为任何应用和数据提供最佳可用性。可将备份和复制功能整合在单个软件解决方案中,助力您彻底、永久摆脱传统备份

 

 

2 instant recovery

 

该功能可支持极速、可靠地恢复单个文件、整个虚拟机和应用程序项目,帮助客户自信应对几乎所有的恢复场景。

• Instant VM Recovery(即时虚拟机恢复):

在不到 2 分钟的时间内恢复故障VM

 

 

3 finegrained backup  recovery

 

共有57种各种各样的恢复能力,帮助您恢复需要恢复的数据,灵活性相对比较有优势。可选择需求时间、需求文件、数据库的某一个对象等需求进行恢复,同时不会影响其他的应用。 

 

 

4 avoid date lossagrregate number

 

3-2-1数据保护的黄金法则,数据选择多副本存放、实现多种介质的存放、数据异地存放,做到0数据丢失此为纯软件解决方案,可以灵活搭配各种硬件和各种技术去实现架构的搭配,从而实现全方位的数据保护,这也是纯软件解决方案的优势。

 

 

5 data lab 1

 

 5 data lab 2

 

 

 摆脱以往的备份模式,数据实验室备份下来的数据完全可以使用,数据实验室打造了一个封闭隔离的环境,与生产环境是完全隔离的两套环境,用户可以随时访问到隔离环境的业务,可在数据实验室的备份环境中做系统打补丁、培训、开发等,来充分使用备份资源,使用完成后可以快速回收及释放资源

 

 

6 verifiable protection

 

可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。

 

7 super available platform

 

监控和管理的功能,可以帮助客户做容量规划、资源分析、配置追踪和备份资源的监控和管理等,减少后台运维人员的投入,节省企业IT成本

 

0830 Word 7

 

GTI 实践Veeam 对物理机采用客户端备份时,无法将物理机备份为VMware的VM格式,无法直接在VMware的环境内进行挂载开启。

 

请看GTI 团队解决之道

 

个性化安全需求:

物理机备份的有效性验证:自动化导入到虚拟化环境中开启并验证其有效性。

缺乏自动化编排系统和与生产隔离的环境:无法完成对于需要合规的应用系统(若干台物理机和若干数量虚拟机组成)进行打补丁验证和带破坏性的漏扫和渗透工作。

 

 

A0 backup  restore challenges

 

A1 what we should build a backup platform

 GTI建议的备份平台

 

A2 data lab

 

A3 Veeam availability

 

A4 demo

 GTI Demo演示环境架构

 

A5 what did data lab do

Demo视频演示请点击观看

 

 

总结项目核心价值

从原有手动处理升级到预先定义编排流程并自动化完成验证备份的有效性,效率和准确性得到质的飞跃;同时为安全部门日常工作提供针对应用系统的沙箱环境,保障生产系统稳定运行;主动合规等保2.0规范;实现安全转型,为企业数字化旅程保驾护航。

 

GTI团队扩展延伸

我们深知迁移至云环境的重要意义,以及数据对于客户、客户的客户和世界的重要性。云、多云、内部、虚拟和物理服务器:该定制化解决方案具备备份和复制功能,支持云的双向移动性。此外,提供广泛的数据管理和可视性、控制功能、强大的编排引擎,充分保障灾难恢复 (DR) 的实施。我们所提供的一体化现代备份平台可为客户提供敏捷性、可用性、安全合规、业务加速等优势。(阅读原文-GTI微信推送)

 

 

 

深度了解及体验

 

GTI可安排资深工程师为您咨询及定制

 

 

7月的风 8月的雨

卑微的我喜欢遥远的你

你还未来 怎敢老去

未来的我和你奉陪到底

GTI的队员们正在准备

10月线上分享 12月线下活动

期待您来参与

 

 

Cotract us


 

 

 

 

Kenny She

咨询顾问、云基础架构专家
GTI 中国
电话:+86(21) 6375 8369
邮箱:yue.she@gti.com.hk

 

 

Chelsea Wu

咨询顾问、客户经理
GTI 中国
电话:+86(21) 6375 8369
邮箱:chelsea.wu@gti.com.hk

 

 

摆脱以往的备份模式,数据实验室备份下来的数据完全可以使用,数据实验室打造了一个封闭隔离的环境,与生产环境是完全隔离的两套环境,用户可以随时访问到隔离环境的业务,可在数据实验室的备份环境中做系统打补丁、培训、开发等,来充分使用备份资源,使用完成后可以快速回收及释放资源
可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。
可用于灾备演练,使用SureBackup可以全自动验证每一个作业、虚拟机、操作系统等,验证完成后会生成报告发送给管理员审查。

了解更多 ›

J top-3

技术与信息分享

原创:JackyPan  GTI广州科宸 (点击此处观看原文和视频)

 

J top-3

 

Word 1 

 

 

 形式很严峻,但一切皆有可能,一首好听的Dream It Possible送给大家,先舒缓一下紧绷的神经,再激情满满的投入到工作中!

 

J song

(点击播放音乐)

 

J-title 1

 

Word 2


 

J-1

 

J-title 2

 

混合云要实现的是公有云服务与私有云的基础架构融合、应用融合、安全融合,实现统一的运维管理平台。
云供应商及云应用无比繁复,企业如何选择适合自己业务的混合云及多云框架,GTI以专业经验及最佳实践为您逐一梳理。

 

J-title 3

 

  • 借助VMware在AWS上提供的服务,提供与私有云一致的计算、网络、存储资源,与企业私有云平台无缝对接,实现统一管理平台,如图:

 

J-2

 

  • 借助基于Citrix Cloud在AWS上提供的服务,提供与私有云一致的虚拟桌面服务,与企业私有云平台无缝对接,如图

 

J-3

 

J-title 4

 

公有云服务的优势是成本低,扩展性非常好。缺点是对于云端的资源缺乏控制、数据的安全性、网络性能延展及一致性问题,为解决以上问题,各厂商积极推出了自己云解决方案,从个维度弥补公有云、混合云的不足。

 

很多企业在上云过程中会有数据安全方及可靠性方面的顾虑,根据GTI经验建议企业可按业务需求逐步规划上云方案。获取公有云弹性计算资源、边缘应用上云,达到最高投资预期及安全合规,积累足够的管理及运维经验后,再合适的契机将整体基础架构,关键应用、数据上云。

 

  • 公有云服务商订阅

计算、存储、网络、安全组件实现云计算基础架构的弹性扩容,并提供该服务的管理平台。

 

J-4

 

  • 应用数据混合云下的存储及统一管理平台

 

NetApp Cloud Volumes ONTAP,这是一项针对 AWS 和 Azure 的存储服务,可在云计算和云存储顶层运行,为用户提供了传统的存储体验和完整的云中体验。通过使用快照和复制,可以更加快速地将数据迁移到云。重复数据删除则减少要移动的文件的数量。

 

J-5

 

  • Veeam实现本地及云端备份


可帮助企业将任何内部或云端工作负载轻松移植和快速恢复至 Amazon AWS、Microsoft Azure 和 Azure Stack,以保持混合云环境中的业务连续性和可用性。

 

J-6

 

  • 私有云与公有云安全架构策略的一致性


PaloAlto
VM-Series云安全,保障私有云及公有云安全策略的一致性,提供一个持续、统一的安全运维平台,而且这些安全策略是以一种自动化方式相互关联部署的。

 

J-8

 

  • 未来云环境对前沿技术的支持

 

以DevOps、微服务、容器编排等技术为基础的云原生应用,是将来混合云多云的主要发展方向,可以使云的价值最大化,因此,“云原生”将是云计算发展的必经之路
VMware Essential PKS容器管理平台(云部署产品),为容器的混合云部署提供了可持续发的发展之路。

 

J-7

 

J-title 5

 

在混合云、多云框架下,难以清晰定义数据中心边界,网络架构及安全、员工的工作模式发生了很大变化,GTI在实践中,利用Citrix软件定义边界,安全数字围栏解决方案,重新定义了新场景下的数字工作空间,真正做到了任意设备、任意应用、任意地点高效的完成工作,并重新定义了安全边界。

 

  • 借助Citrix Cloud部署虚拟桌面在Azure的落地。

 

J-9

 

  • 借助Citrix  Workspace实现本地与云端应用的 统一工作空间。

 

J-10

 

  • 借助Citrix ADC实现混合云环境下的应用访问控制、单点登入、双因素认证。

 

J-11

 

GTI正蓄势以待,在云计算之路上不断探索实践,砥砺前行。以我们的经验,实现客户的最大价值,是我们追求的目标,我们共同前进!

 

 

对以上云计算场景有兴趣的

我们可安排资深工程师为您咨询及定制规划

 

 

Cotract us


 

 

 

 

Tony Ding
技术经理、网络安专家
GTI 中国
电话:+86(21) 6375 8369
邮箱:ding.yi@gti.com.hk

 

 

Jacky Pan
咨询顾问
GTI 中国
电话:+86(21) 6375 8369
邮箱:jacky.pan@gti.com.hk

 

 

了解更多 ›

20190816-00

技术与信息分享

原创:洛克  GTI广州科宸 (点击此处观看原文和视频)

 Weixin Top banner

 

  

 

 

安全润物细无声定制化解决方案演示第四期

技术经理:Tony Ding;区域经理:Rock Long

 

自2017年 Gartner 首次提出“安全编排、自动化及响应”- SOAR 这个术语以来,SOAR 已经确认成为 SIEM 未来发展方向,同时也是下一代 SoC 中心必要的组成部分。

 

今年5月份 GTI 中国在上海举办了主题为“安全润物细无声”线下体验活动,安全工团队展示了 SOAR 实战探索和项目心得。借此机会分享给大家,衷心希望能够帮助到大家,谢谢!


特别感谢我们的用户能够给项目机会我们实践,同时也感谢Tony、Zhenglu为此所付出的辛苦劳动,感谢感谢!

 

尊敬的新、老朋友们,

 

大家早上好! 

 

2019年已过半,自己感触颇深,各位广大朋友们都非常不容易,埋头苦干和积极创新的工作过程中所自然流露出的责任感、勇于承担的精神让我感动,也深深激励着我。还有5个月时间,我与大家一起砥砺前行,适应并把握大势,坚定不移地做好自己事情。快乐生活和快乐工作,在生活和工作中找到平衡。

 

当下IT运维人有两条清晰的角色进化路线:系统运维人会向容器、云、Dev/Ops、现代API等方向演变和迭代;网络运维人会向软件定义网络、网络空间安全、不同安全组件之间API联动响应、安全分析等方向衍生和发展。本期侧重介绍 GTI 安全团队在安全分析和API级别联动响应的平台 SOAR 项目实战分享。

 

SOAR 平台的理解和运用

一、核心概念

20190816-01

 

  • Orchestration – 编排

    与过去相比,现在的安全运营中心需要整合大量的系统,运维的复杂度也大大增加,事件的响应与处理需要应对各种各样的复杂的情况。要满足这些需求,必然需要提供丰富的事件响应与处理编排能力,可以进行流程定制,流程执行,流程监控,结果的验证与评估,流程再造。

 

  • Automation - 自动化

    当前安全分析师在解决安全问题时所需要的数据、分析的方法与过去相比,其工作量和内容都大大增加。数据是海量的数据,大量的数据需要使用自动化方式去处理。既可以节省时间、人力、成本,也避免人在处理大量数据的过程中带来的误差或失误。

 

  • 合理的KPI评估体系

    系统提供编排与自动化执行能力,也需要对流程和自动化执行的结果进行有效的评估,需要提供合理的评估方法,可量化的评估指标,根据评估结果,才可以进行流程再造,优化我们的编排内容,带来整个安全运营中心的效率提升。

 

一套好的SOAR平台,是能够整合不同厂家的相关产品,不管是SIEM,SOC,还是IT相关产品。而传统的SOC产品更偏重于事件的采集,分析与告警,响应在SOC中更多的是靠手动的的操作,在编排、自动化响应、KPI评估体系方面有明显的不足。

 

 二、解决什么问题

20190816-02

 

  • 大量的安全事件,都需要安全分析师的介入。需要更少的钱,来做更多的事;

    - 安全事件的精准聚焦,同时降低安全分析师的入门门槛。


  • 安全分析师的分析时间,经常被浪费在低级别或无关紧要的事件分析上;

    - 预先定义好“安全剧本”,让机器人去完成初步分析。

 

  • 传统的安全响应执行流程,响应时间长,人工接入多,相关处理的过程难以定量评估;

    - 与相关设备/系统进行API级别联动,自动化完成响应。

 

  • 人员流动,带来运营过程的变化和运营质量的变化。老人的离职,新人入职需要培训,需要时间和经验的积累。

    - 引入Case/KPI管理系统、以及安全事件完整过程、取证/分析管理系统。

 

三、安全运营成熟度模型 与Gartner SOAR 市场指南

 

20190816-03

 

SOAR 已经被纳入安全运营成熟度模型中的第四级“主动防御”。我们从安全咨询项目视角来观察,大型企业、组织的高级管理层一直偏爱运用成熟度模型这个工具,通过“建标”、“对标”、“达标”、“创标”四个循环阶段对网络空间安全实施治理,安全运营成熟度模型不仅是很棒的咨询/评估工具,更是企业安全建设指引方向的灯塔。

 

Gartner于今年27/June发布了SOAR解决方案的市场指南,各位如有兴趣可以自行下载或者联系我。全球范围内Gartner持续跟踪SOAR市场中的28家供应商,今天我们所分享的实战经验正是其中的一家 PA - Demisto

(Published 27/June 2019 - ID G00389446)

 

20190816-04

 

GTI SOAR 平台实战框架

 20190816-05

 

 一、平台框架介绍 - GTI 定制

SOAR是需要依赖SIEM系统,我们选择的是Elastic Stack的商业版的机器学习以及自动化功能作为基础;运用Kafka分布式消息队列为整个平台搭建消息总线,将采集层、预处理层、分析层的各个模块连接到该总线上完成整体数据流的自动化运算和处理;最后Demisto作为控制层、Elastic Stack作为展示层输出。

 

 

  • 采集层

    Windows、Linux、Citrix NetScaler/ADC、PA 防火墙、ForeScout 等,以上产品都是我们 GTI 工程师所精通的产品。

     

  • 预处理层

    将所采集的数据先做标准格式化处理,然后进行数据清洗,再经过脱敏,最后与威胁情报进行关联分析。我们工程师所验证过的商业化威胁情报源有3个:Cortex XDR、WildFire、AutoFocus,这3个都是来自于PA。

     

  • 分析层

    分析层分为2个部分,Elastic用于最终的可视化,而另一个就是SOAR PA  Demisto。

     

  • 展示层

    可通过Kibana、Zabbix、Grafana、Mail、微信等组件完成客户所想要的可视化大屏。

     

  • 控制层

    通过PA Demisto 与 PA 防火墙、Tenable漏扫、DC 域控、Mail、API 语句完成自动化响应。以上所控制的项目都得到了我们工程师的验证。

 

该平台为以分析师为中心的安全运营的有效工具,减轻了对用户经验的需求。GTI 安全团队帮助用户以预先构建策略(剧本),与指导性调查工作流(机器人)和自动化警报分级相结合,大幅降低安全分析师的入门门槛,无需更多经验

 

20190816-25

 

 二、拥有SOAR平台的安全运维

 

20190816-09

 

 

 a 加速事件响应

通过替换低级手动任务,增加相应的自动化和安全协调,事件响应时间大幅缩短,同时也提高了准确性和分析师满足度。

 

b 标准化和流程扩展

通过逐步、可复制的工作流程、安全协调为标准化事件赋能和简化响应流程,从而提高响应的基线质量,并为规模的扩大做好准备。

 

c统一安全基础架构

安全协调平台可以充当连接结构,贯穿迄今为止完全不同的安全产品,为分析人员提供一个中央控制台,通过它可以加快事件响应。

 

d提高安全分析师生产力

由于低级任务是自动化的,流程是标准化的,因此分析师可以将时间花在更重要的决策上,并绘制未来的安全性改进图,而不是陷入笨拙的工作中。

 

e利用现有投资

通过自动执行可重复操作并最大限度地减少控制台切换,安全编排使团队能够轻松协调多个产品,并从现有安全投资中获取更多价值。

 

 f 改善整体安全态势

上述所有收益的总和是整体改善组织的安全态势,并相应降低安全性和业务风险。

 

GTI SOAR 平台实战 Demo

 g 剧本 - Playbook(重要概念之一)

剧本(或Runbooks)是基于任务的图形工作流程,可帮助实现跨安全产品的流程可视化。 这些剧本可以完全自动化,完全手动,或介于两者之间。

 

h集成 - Integration(重要概念之二)

产品集成(或应用程序)是安全协调平台与其他产品通信的机制。 这些集成可以通过REST API,Webhooks 和其他技术来执行。 集成可以是单向的,也可以是双向的,后者允许两个产品执行跨控制台操作。

 

 20190816-06

 

 一、Windows 帐号暴力猜解检测与响应

 

20190816-07

 

 二、Citrix 帐号暴力猜解检测与响应

 

20190816-08

 

、Demo实战过程展示

7天内,DBot(机器人按照剧本)自动化处理 57.2k 个安全事件,142个事件未分配给分析师,今天新增156个事件。

20190816-10

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

20190816-11

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

由于采用的是流式实时处理分析技术,对于基础架构的配置有一定性能的要求。需要进行实时的监控。

 

20190816-12

 

 某安全分析师的看板,有51个安全事件需要处理,延误的处理安全事件为 0。系统管理员可以自定义该安全分析师的SLA。

 

20190816-13

 

 可以用四个参数来度量SLA的质量:事件侦测、事件响应补救、MTTD、MTTR

 

20190816-14

 

20190816-15

 

20190816-16

 

完全采用图形化拖、拉、拽等方式编程,完成某种类型攻击的自动化侦测、分析、响应、纠正、API 联动。本次实战针对Window、Citrix 帐号的暴力破解先编程好了剧本集 Palybooks,后期通过dBot机器人自动化响应。

 

20190816-17

 

API 联动,主要是脚本化语言。例如:Python,代码量并不大,通常几十行、几个循环与判断语句、交换一下JSON/XML数据即可实现。

 

20190816-18

 

14大类,263个厂商进行API 深度联动集成。

 

https://www.demisto.com/integrations/

 

 

20190816-19

 

Elastic Stack作为展示层输出

 

20190816-20

 

20190816-21

 

20190816-22

 

20190816-23

 

20190816-24

 

 

 

深度了解及体验方案

我们可安排资深工程师为您咨询及定制规划

 

联系我们

Tony Ding
技术经理、咨询顾问
GTI 中国
电话:+86(21) 6375 8369
邮箱:ding.yi@gti.com.hk

 

 

Rock Long
区域经理、咨询顾问
GTI 中国
电话:+86(21) 6375 8369
邮箱:rock.long@gti.com.hk

 

 

三、安全运营成熟度模型 与

Gartner SOAR 市场指南
 
二、Citrix 帐号暴力猜解检测与响应
某安全分析师的看板,有51个安全事件需要处理,延误的处理安全事件为 0。系统管理员可以自定义该安全分析师的SLA。
Elastic Stack作为展示层输出

了解更多 ›

20190801

技术与信息分享

Chelsea  GTI广州科宸 (点击此处观看原文和视频)

 

 20190801

 

亲爱的伙伴们,大家好~

 

夏末秋初,今年已过去大半有余,给时间时间,让过去过去,2019下半年的5个月继续 roll up our sleeves to work harder,GTI与您一起前行~

 

我是GTI 小姐姐Chelsea,感谢各位新老朋友、客户、合作伙伴们长期关注GTI公众号~

 

8月我们有幸邀请到Veeam技术大咖与伙伴们分享云数据管理&防御。虽已初秋,魔都炎热依旧,所以我们此次活动为线上分享,伙伴们可以在办公室座位上,在地铁里,在某个吹冷气的场所,打开链接上线观看互动~

 

~下面为本次线上活动的详细信息~

 

 1-1

 

1-2

  

 1

 

当前,全球网络攻击、勒索软件、数据泄露等网络安全事件频发,每天有超过2500万条数据遭到入侵或泄露,领域涵盖医疗、金融、财务数据、个人身份信息乃至政治安全等。

 

为了保障网络安全,维护网络空间主权和国家安全、社会公共利益等,《中华人民共和国网络安全法》从2017年6月1日起开始实行。

 

今年两会期间全国人大代表呼吁,尽快制定数据安全法,明确数据安全法律责任,完善监管体系,保障国家安全、公民个人隐私权益和社会安全稳定。

 

在数据安全法未落地之前,企业如何管理及保护数据,GTI与Veeam联合与您分享云数据管理及防御,8/15下午14:00-15:00 等您上线~

 

Unnamed item

 

•  Veeam可用性云数据管理平台概览

•  即时恢复 – 保证业务连续

•  细粒度备份恢复

•  避免数据丢失,聚合数据

•  数据实验室

•   Veeam超可用平台 – 可视化&管理

 

Unnamed item 

 

GTI 中国(Global Technology Integrator Ltd. - 广州科宸电脑工程有限公司)是一家为加速客户数字化转型旅程,并提供云计算基础架构和网络空间安全领域的咨询、规划、设计、落地、运维、管理等一站式专业服务提供商。

 

GTI 自1989年成立至今已有30年,集成全球领先技术和产品,可管理顾问式定制化解决方案营销流程,运用专业管理工具保障所提供服务的品质,争做用户中立可信赖的建议者。

 

  Unnamed item

拥有17年+工作经验的工程师团队,项目经验丰富。

伙伴们首选的可信赖的建议者。

 

 

扫码报名参加线上分享

~坐等您上线~ 

 

  Unnamed item

 

Weixin Bootem banner


•  Veeam可用性云数据管理平台概览

•  即时恢复 – 保证业务连续

•  细粒度备份恢复

•  避免数据丢失,聚合数据

•  数据实验室

•   Veeam超可用平台 – 可视化&管理

•  Veeam可用性云数据管理平台概览

•  即时恢复 – 保证业务连续

•  细粒度备份恢复

•  避免数据丢失,聚合数据

•  数据实验室

•   Veeam超可用平台 – 可视化&管理

•  Veeam可用性云数据管理平台概览

•  即时恢复 – 保证业务连续

•  细粒度备份恢复

•  避免数据丢失,聚合数据

•  数据实验室

•   Veeam超可用平台 – 可视化&管理

•  Veeam可用性云数据管理平台概览

•  即时恢复 – 保证业务连续

•  细粒度备份恢复

•  避免数据丢失,聚合数据

•  数据实验室

•   Veeam超可用平台 – 可视化&管理

了解更多 ›