最新信息动态
emailsign

技术与信息分享

GTI广州科宸(观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-22

2021110401 

 

亲爱的朋友们,大家好!

 

近期,整个IT圈又被勒索病毒搞得风声鹤唳,躁动不已。据报道2021年5月8日,美国管道石油公司突然遭遇网络袭击,黑客入侵了美国国内多家石油公司的网络,并远程关闭了石油管道,这次勒索软件袭击事件曾导致美国东海岸燃油供应短缺。美国政府一度宣布进入国家紧急状态。 

 

路透社报道,美国司法部6月7日宣布,在遭受勒索软件袭击后,Colonial Pipeline公司向“DarkSide网络支付了大约500万美元。 

 

波士顿安全公司Cybereason的首席执行官Lior Div向路透社透露,DarkSide的网站上已经有80多个未支付赎金的受害企业的数据被公开泄漏。 

 

国内也发生了针对地产行业的定向勒索攻击,引发了整个行业对于数据安全的重新评估与思考


 

数据备份作为企业数据安全的最后一道防线如何坚守住,以下几点成为基础架构管理者所普遍关心的问题:


1、 备份数据是否确定能恢复,如何验证?

2、 备份恢复RTO和RPO能做到多少?

3、 备份系统是否可以预防勒索攻击?

 
Cohesity在第二存储备份这一细分市场获得认可,并在Gartner处于第一象限的领导者地位。它提供了全新的,区别于传统备份架构的理念:

 


1、 相比较于超融合存储,具有完善的备份能力。

2、 相对于单纯备份软件,具备了控制端、备份空间,简化了控制端、网络、备份空间这种传统复杂的架构。

3、 相对于备份一体机,是真正的分布式系统,提供了高性能的并行计算能力,横向节点无限扩展能力。


 2021110410

 

1、 生产、开发/测试、文件、对象等数据第二存储。


2、 专用的大量数据归档,无限扩展,做到一个企业始终一套设备。


3、 分支机构、远程、异地集中备份。


4、 简化的存储与备份平台的架构和运维管理。


5、 与主存储区别的异构平台,有效隔离勒索病毒的内部蔓延。


2021110404

 

 

超融合存储平台Data PlatForm+备份平台DataProtect

 

Cohesity的 DataPlatform 是一个横向扩展的超融合平台,适用于辅助数据的存储。它在每个节点上都提供计算、SSD 和 HDD 的组合。


Cohesity DataPlatform 提供内置的重复数据消除、压缩、SnapTree 快照、数据索引、复制、加密和云集成。


Cohesity DataProtect 在平台上完全集成,并提供端到端备份和恢复套件。

 

 

2021110402

 

2021110403

 

 

2021110409

 

Cohesity提供对虚拟和物理,数据库,NAS,云环境和关键业务应用程序的所有工作负载提供了全面的保护。

 

2021110405

 

 

2021110407

 

1、 超融合存储平台+备份平台。


2、 从任何时间点立即恢复应用程序,以满足业务SLA真正分布式。


3、 无限横向节点扩展。


4、 无限高性能系统数据快照数量,基于专利的SnapTree,快速数据重构。


5、 跨所有节点的全局重复数据删除、可变长度。


6、 跨所有节点的全局索引和搜索。


7、自动逻辑/物理断开连接,以维护黄金源数据,预防勒索。


8、基于机器学习的异常行为检测、不可变备份、数据锁(WORM)、加密和RBAC有效预防勒索攻击。

 

GTI坚持不断引进行业内领先的产品及经验,弥补客户在现代化数据中心建设过程中产生的短板,并不断降低运维的复杂度。与客户一起加速数字化转型的旅程。

 

 

 2021110408

 

成功地为20+全球500强企业交付跨境、多地域、多产品集成、多供应商协作、多部门协调、有品质保障的项目。


  • 项目背景

  • 征求建议书

  • 工作范围

  • 高水平设计

  • 关键绩效指标

  • 项目风险评估

  • 里程碑

  • 项目时间计划

  • 项目团队组成和介绍 

 

20210423-05

2021110406

 

GTI 混合云基础架构、网络安全专业技术服务团队 - 工程师资质:


  • MS Azure、Aliyun、Citrix、NetApp、Palo Alto、VMware、Cisco、Cohesity、Veeam 、Oracle 等原厂高等级专业认证

  • CISSP,CISA,CEH,CCSK,PMP 第三方中立认证

  • CISSP:(ISC)²注册信息系统安全专家

  • CISA:  国际信息系统审计师

  • CEH:  道德骇客(正派黑客)“白帽子”

  • CCSK:   国际云计算安全认证

  • PMP:  项目管理专家

 

  20210423-04

 

20200828-09

2021011915

2021011913

2021011916

2020-3-6-23

了解更多 ›

250

技术与信息分享

GTI广州科宸(观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-2220210423-06

 

 

亲爱的新、老朋友们,

 

大家早上好!

 

众所周知,云计算是企业数字化成功转型所必须投资的重要平台,本次由我继续给大家带来GTI技术队伍在公有云 Azure 和 Aliyun 管理运维服务领域的项目经验。希望我们的实践能够有更多的机会为大家服务。如有类似需求,非常欢迎与我们联系,感谢!


 
献给数字化转型的践行者们,犹如一道海平线的光,
穿过夜晚迷雾重重漆黑汹涌的大海,
为海的另一边带来了曙光。

20210423-10

... ...
扬起了帆
愿无视我脸上所有疲倦
愿忽略我最心底的思念
愿抓住我眼中的那道光线
穿过夜的终点
... ...

 

 20210423-07

 

数字化转型是当下众多企业正在经历的旅程,我们结合实际的案例梳理出一条清晰的发展脉络,如下:

 20210423-01

 

数字化转型的目标:业务变得更加敏捷,能够快速适应市场的变化;降本增效使得竞争优势更明显;大幅优化了客户的体验,客户价得到了提升。


人工智能、物联网、SDWAN、云计算等技术的集成为企业转型的强大引擎,它们推动着业务流程和企业文化的变革,无疑这将是一个充满挑战而漫长的演进过程,那么如何制定发展与治理的平衡策略将成为企业高管必须思考的重要战略。

 

- 先发展、后治理

- 先治理、后发展

- 边发展、边治理


通过对众多企业的观察和思考,我们发现大部分客户决策者都采用了先发展、后治理的的策略。数字化转型初期,企业管理者并未对各个业务创新部门或者小组设置过多的条条框框,而是放手让他们去干、积极变革,摸着石头过河。当变革成效显现时,就开始着手制定整体的治理策略。为进一步的大规模推广和发展奠定了坚实的的基础,从而探索出一条适应企业自身的变革之路。


GTI 技术团队有幸亲身参与了某500强客户的公有云的治理阶段,在微软云和阿里云方面积累了丰富的治理经验。主要分为如下三方面内容:


- 云的成本优化

- 云的安全基准配置建立

- 定制化业务费用账单分析平台

 

20210423-09

 
伴随着数字化转型进入深水区,新的矛盾和冲突开始显现,管理者们正在积极寻找解决问题的办法,同时着手制定出公有云治理方针和策略,涉及有如下三个方面最为突出。

20210423-03

 

 

- 云的成本优化


解决之道:通过对每个 IaaS、PaaS 组件工作负载资源的,计算资源、网络资源、存储资源的实际使用情况,进行可视化的图表化展示、与工作负载所属的应用部门进行充分的沟通,评估资源的利用是否合理、实施相应的配置变更以及自动化 RunBook。制定适应组织的成本管理策略,便于用户的各个数字化转型团队快速行动。


 

- 云的安全基准配置建立


解决之道:在遵循中国网安法、等保2.0、GDPR 等法律的指引下,参考 CIS Azure Benchmark、Azure 以及阿里云安全架构的最佳实践,为业务部门的任何工作负载建立出安全基准策略配置。可持续监控安全合规情况,保证业务的安全合规运行。


- 定制化业务费用账单分析平台

 


解决之道:基于微软 PowerBI,提供全自动、实时、可视化费用支出分析平台。既能彰显IT运维部门的关键作用,又为各个业务团队决策者提供实际消费的详尽数据分析,同时还是 CFO 实时掌控全局业务投资的可视化管理工具。


我们的技术团队历经了上千封邮件、百场线上会议、多地域、多个用户部门、多个供应商、沟通协作对象接近百人、几百个工作日,大量技术性文档(评估文档、实施配置变更文档、日常管理建议指南等),成功交付了该定制化管理服务项目,获得了用户一致好评。

 

20210423-11


成功地为20+全球500强企业交付跨境、多地域、多产品集成、多供应商协作、多部门协调、有品质保障的项目。


  • 项目背景

  • 征求建议书

  • 工作范围

  • 高水平设计

  • 关键绩效指标

  • 项目风险评估

  • 里程碑

  • 项目时间计划

  • 项目团队组成和介绍 

 

20210423-05

 

20210423-08

GTI 混合云基础架构、网络安全专业技术服务团队 - 工程师资质:


  • MS Azure、Aliyun、Citrix、NetApp、Palo Alto、VMware、Cisco、Cohesity、Veeam 、Oracle 等原厂高等级专业认证

  • CISSP,CISA,CEH,CCSK,PMP 第三方中立认证

  • CISSP:(ISC)²注册信息系统安全专家

  • CISA:  国际信息系统审计师

  • CEH:  道德骇客(正派黑客)“白帽子”

  • CCSK:   国际云计算安全认证

  • PMP:  项目管理专家

 

20210423-04

 

最后,希望我们的实践能够有更多的机会为大家服务。如有类似需求,非常欢迎与我们联系,感谢!

 

  

 

20200828-09 2021011917

 2021011918

2021011915

2021011914

2021011913

2021011916

2020-3-6-23

 

 

了解更多 ›

2021011920

技术与信息分享

GTI广州科宸(点击此处观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-22 

尊敬的新、老客户,

大家早上好!

我国防疫措施起到关键作用。数据显示,第三季度 GDP 已达到 4.9% 的正增长,真实地感受到经济水平接近疫情未出现时的水平,这实在是令人鼓舞振奋。在这里我为大家的坚持努力付出,加油点赞!

近半年来,我们工程团队正在参与客户的数字化转型项目。发现云计算、网络空间安全、工厂制造业物联网等领域成为投资热点,疫情加速了市场洗牌、推动行业数字化转型。

感谢2020年有您们在,2021年我们继续为大家提供顾问式、经验证的定制化解决方案,交付有品质的专业技术服务,尽心尽力地满足客户的期望值,争做用户可信赖中立的建议者。

 

 2021011906

 

2021011901

 

2021011907

 

2021011902

 

2021011908

 

2021011903

 

2021011909

  • 多名从业 IT 领域年限在15-18年以上的技术专家组成的顾问团队;
  • 专注在特定行业领域经验积累至少8-10年以上;
  • 额外拥有第三方国际认可的证书 PMP、CISA、CISSP、CEH 、CCSK、ITIL 等;
  • 掌握相关知识的证明文件或专业认证证书 MSC-AAA、MSC-ASAE、CCNA、CCNP、CCIE、VCP-C、VCP-N、CCEV、CCP-N、NCDA、NCIE、NCSIE、PCNSE、OCP、VMTSP 等

 


 2021011911

 

成功地为20+ 全球500强企业交付跨境、多地域、多产品集成、多供应商协作、多部门协调,有品质保障的项目。涉及行业有:银行,运营商,保险,芯片研发、制造,药物研发、制造,审计咨询,汽车制造,消费品、零售,大型基建设计院,互联网,基金,第三方支付等。

 

2021011904 

 2021011910

  • 项目背景(现有环境描述,项目驱动力介绍)

  • 征求建议书(实现目标,需求定义;转化为功能描述清单)

  • 工作范围(甲方负责内容、乙方负责内容,例外内容)

  • 高水平设计(系统架构图,重点需求功能描述,硬件、软件、人力 等简要清单)

  • 关键绩效指标(可度量、量化项目验收指标)

  • 项目风险评估(评估项目风险清单)

  • 里程碑(分阶段实施,定义阶段里程碑)

  • 项目时间计划(定义项目具体时间计划)

  • 项目团队组成和介绍(项目团队成员安排,项目人员介绍)

 

20200828-09 2021011917

 2021011918

2021011915

2021011914

2021011913

2021011916

2020-3-6-23

 

 

了解更多 ›

review

技术与信息分享

GTI广州科宸(点击此处观看原文和视频)

 

 

 

 

 

 

 

 

 

   

2020-3-6-22  

 

2021011801

 

2021011802

 

 2021011803

 

2021011804

 

2021011805

 

2021011806

 

2021011807

 

2021011809

 

2021011810

 

2021011811

 

2021011812

 

2021011813

 

2021011814

 

2021011815

 

2021011816

 

2021011817

 

2021011818

 

2021011819

 

2021011820

 

2021011821

 

2021011822

 

在此感谢与会人员的积极参与,

感谢GTI 技术伙伴大力支持

感谢看到这里的小伙伴,感谢你们支持GTI 广州科宸。如果你有什么想和我们交流的,欢迎在底下评论和点赞。

祝大家,国庆和中秋安康!

 

2021011912

2021011917

2021011918

2021011915

2021011914

2021011913

2021011916

 

2020-3-6-23

 

 

了解更多 ›

20200828-01

技术与信息分享

GTI广州科宸(点击观看原文)


 

 

 


2020-3-6-22

20200828-01

 
最新热点
实践和创新

GTI中国、联想凌拓、微软、派拓网络
技术经理、售前顾问、架构师们
9月23日为大家精心准备的
交流分享会
线下活动

敬请光临

20200828-02

 

20200828-03

 

洞察:
以“转祸为福”的心态看待后疫情时代(未来更难预测),是众多企业管理者普遍想法。疫情间GTI团队与客户保持了紧密地沟通和协作,发现企业对于云计算和现代化办公有了新的理解,行动策略和优先级发生了不小的改变。企业上云的真正动力是因为云变成了一个工具,一个可以提升开发速度、快速迭代的工具,从而可以让企业将精力集中在差异化创新上。同时,疫情也促使企业管理者全面思考现代化办公的定义。”为企业的知识型工作者提供全新的办公空间,重点是考虑如何提升员工的生产力。“

实践:
  • Azure China 消费的优化
  • Azure China 安全治理
  • 现代化办公与协作框架

 

20200828-04

近些年,企业信息安全事故频发,身份盗取、钓鱼邮件、数据窃取、加密勒索等有组织的攻击安全事件层出不穷:此类事件一旦发生就会给相关企业带来巨大的经济和声誉损失,甚至法律风险,云上安全成为企业越来越关注的话题。


伴随云技术的不断发展,越来越多企业选择将业务和数据存储于云端,但企业的安全理念和防御体系却仍停滞在数年前,云时代的安全架构与传统的安全防护有何不同?企业如何预判潜在的风险?面对攻击事件,难道企业只能在攻击事件爆发才发现黑客已入侵并潜伏许久?

从抵御数字威胁的方方面面为您剖析当前环境下企业所面对的风险和挑战。深入介绍基于Microsoft 365和Azure云服务构建企业“零信任”的安全框架以及现代化SOC体系,同时通过大量实例和演示为您展示企业级云安全的最佳实践。

 

20200828-05

 

实现云转型存在两个基本安全挑战:如何让用户安全地访问云,以及如何确保云中部署的应用的安全。当前的云安全方法需要使用数十种不同的专用产品,这会给组织增加成本和复杂性,最终会让组织面临无谓的风险。这是老方法。


Palo Alto Networks Prisma 采用了与之不同的方法,通过提供业内最全面的云安全功能,由内而外保护云。借助 Prisma,组织可以保护各个位置的用户、应用和数据。


  • Prisma Access:一种安全访问服务边缘 (SASE) 平台,能够将全球各地的移动用户、分支机构和零售店互联并为其提供保护。

  • Prisma SaaS:一种SaaS应用安全产品,能够保护数据,监管数据并确保数据合规,帮助组织安全地采用SaaS。

  • Prisma Cloud:一种云原生安全平台,能够在多云环境中提供一致、全面的可视性、威胁防御、合规保证和数据保护。

  • VM-Series:一种虚拟化新一代防火墙,能够在私有云和公共云环境中提供内联网络安全和威胁防御。

 

 20200828-06

轻松配置持久存储。对于寻求更高速度和效率的应用程序开发和基础架构运营团队来说,容器变得越来越重要。了解有状态应用程序管理持久存储的过程,内容包括:


  • 容器持久存储的基本配置
  • 消除移交工作并通过自动化向 CI/CD 过渡
  • 按需提供持久存储

20200828-07

 

由各个主讲方安排代表,为发表感言者奉上精美礼品。

 

 

活动期间提供
免费午餐、茶歇、精美礼品

扫码报名

 

20200828-08

20200828-09



20200828-010

 

20200828-011

20200828-012

 

 

 2020-3-6-23



  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


了解更多 ›

2020070608

技术与信息分享

GTI广州科宸(点击观看原文)


 

 

 


2020-3-6-22

2020070608

 
亲爱的新、老朋友们,

大家早上好。


6月份全国疫情防控取得重大战略成果,大家仍然时刻绷紧疫情防控这根弦,扎实推进复工复产复学,为快速恢复经济社会发展活力贡献着自己的光和热。我在这里给大家加油和点赞!


在这次疫情防控中,宅经济”“线上经营”“智能制造”等数字经济业态快速发展,各类互联网平台在防疫物资生产、调配、销售方面发挥了重要作用。我发现身边很多企业正在积极布局落实国家所制定的“两新一重”的建设战略。将新型基础设施建设新型城镇化建设有机结合,推动重大工程建设数字化转型和智能化升级,努力实现新基建和新产业双轮驱动。


2020070609

 

众所周知云计算是数字化转型必经之路,而网络安全更是云计算的核心组件。安全责任共担是目前所有云计算网络运营者共同策略,也遵循了行业标准及国家法律法规的要求,所以很多用户高度重视并已经积极采取了行动。本次我将分享我们工程师团队在微软Azure China安全方面的最佳实践

 

在我与众多企业的信息化高管项目互动的过程中,受到了很多感悟启示。做信息安全就如疫情防控,首先要重视和绷紧弦、然后认真地梳理评估重要业务的暴露面和风险、与此同时积极缓解/修补所梳理出的高风险漏洞、接下来逐步搭建自身所能适应的安全运维管理平台。人人争当专业背锅侠,放弃懒政不作为的思想,信息安全的建设就能如疫情防控一样定能取得重大战略成果。


Azure China是外企、民企、制造业、零售等行业首选公有云网络运营者。Azure China所定义的共担安全责任模型如下图,我们可以在安全上下文中重新构建这个模型。根据您所选的服务类型,服务中将内置一些安全保护措施,而其他保护措施则由客户负责。必须仔细评估所选择的服务和技术,以确保为体系结构提供适当的安全控制。
 

2020070601

 

 如上图所示,无论用户选择的是IaaS、或PaaS、或SaaS服务,其中标识和目录基础结构帐户和访问管理都是用户所需承担安全责任的范畴。

 

标识和目录基础结构:


  • Azure Active Directory (Azure AD) 企业标识服务提供单一登录和多重身份验证,受此服务保护的用户可免受 99.9% 的网络安全攻击。


 

帐户和访问管理:


  • 针对用户的项目RFP,如何运用好Azure AD的最佳实践(多场景)是安全项目实施成功的关键。


MFA和条件访问策略

2020070603



2019 Gartner

身份治理和管理魔力象限 

 

 2020070607

 
 

希望本文的最佳实践内容对正在或即将使用Azure China的新、老朋友有所帮助,同时也对老朋友表达感激之情。有困难我们一起抗,坚决地与大家携手应对,共克时艰。


向逆向而行、坚守岗位、
迎难而上的“专业背锅侠”致敬!

 

2020070611



如下实践内容全部来自我亲爱的同事Tony Ding,他一边做项目实施交付、一边进行整理并记录,12个场景 - 5个高风险、7个中风险。供大家参考和交流。


高风险


  1. 活动目录 - 只有管理员组才可以创建安全组

  2. 活动目录 - 只有管理员组才可以管理 Office 365 组

  3. 活动目录 - 只有管理员组才可以管理安全组

  4. 活动目录 - 禁用自助服务组管理

  5. 活动目录 - 禁用记住多重身份验证


中风险:


  1. 访问控制 - 删除自定义的所有者角色

  2. 活动目录 - 删除 Active Directory中不需要的 Guest 来宾用户

  3. 活动目录 - 启用 All Users 用户组

  4. 活动目录 - 启用密码重置的双重标识

  5. 活动目录 - 为非特权用户启用多因素身份验证

  6. 活动目录 - 为特权用户启用多因素身份验证

  7. 活动目录 - 启用身份验证重新确认

2020070604


2020070605



2020070612

 

目标


确保在 Azure Active Directory 设置 - “用户可以在 Azure 门户中创建安全组” 选项设置为  ,从而确保非特权用户不能通过 Azure 门户创建安全组。


安全组用于管理一组用户对于Azure共享资源中的成员和计算机进行访问。当 “用户可以在 Azure 门户中创建安全组” 选项设置为 ,你的 Active Directory 账户中的所有用户可以创建新的安全组,并可以向这些安全组添加成员。除非您的业务需要权限委派,否则安全组的创建应仅限于AD管理员


注意目前还不支持通过 Microsoft Graph API or Azure CLI 获取 “用户可以在 Azure 门户中创建安全组” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。


风险等级
(不可接受的风险)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_2_ActiveDirectory_CreateSecurityGroup/index.html#more

 
 
 2020070613
 
 
 
目标

 

确认只有 Active Directory(AD) 管理员组的账户再能够管理 Office 365 组。确认 Azure Active Directory 设置中的 “用户可以在 Azure 门户中创建 Office 365 组” 策略设置为 ,确保非特权管理用户不能够通过 Azure Portal 管理 Office 365 用户组。默认情况下,所有组的所有者都可以在Azure活动目录中将其他成员分配为组的所有者


根据您的业务需求,您可以使用 Azure Active Direcroty 设置,来实现对用户自助服务组管理的更细粒度访问控制。仅允许 Activ Directory 的管理员可以管理 Office 365 组,禁止用户对此类型的组进行任何更改。这可确保 Office 365 组的管理权限不会委派给未经授权的用户。


注意目前还不支持 通过 Microsoft Graph API or Azure CLI 获取 “用户可以在 Azure 门户中创建 Office 365 组” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_3_ActiveDirectory_CreateO365Group/index.html#more

 


2020070614

 

目标


确认只有 Active Directory(AD)管理员 才可以管理安全组。需确认 Azure Active Directory 设置中的 “可以将成员分配为 Azure 门户中组所有者的所有者” 策略设置为 无,确保非特权管理用户不能够通过 Azure Portal 管理安全组。默认情况下,所有组所有者都可以在Azure活动目录中将其他成员分配为组的所有者。


仅将安全组管理的权限限制为 Active Directory 的管理员,禁止普通用户更改安全组。这可确保安全组仅由Azure Active Directory 活动目录帐户中指定的授权用户来进行管理。


注意目前还不支持 通过 Microsoft Graph API or Azure CLI 获取 “可以将成员分配为 Azure 门户中组所有者的所有者” 的配置状态。我们只能通过访问 Azure Portal 进行手动查询才能达成目标。


风险等级
(不可接受的风险)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_4_ActiveDirectory_ManageSecurityGroup/index.html#more

 

 

 

2020070615

 

目标


确认对于非管理用户禁用了 Active Directory(AD)自助服务组管理。确保非管理员用户无法在你的 Azure Active Directory 中创建和管理 安全组 和 Office 365 组。一旦对非管理员用户禁用了自助服务组管理,这些用户就无法再更改自身的组配置,也无法通过批准其他用户加入其现有组的请求来管理其成员身份。


自助服务组管理允许用户在 Azure Active Directory(AD)中创建和管理安全组或 Office 365 组。自助服务组管理还可以将所有者分组,以便将所有权分配给其他用户。由于这些组可以授予对敏感和私有的信息或 Azure AD 关键配置的访问权限,因此应为所有非管理员用户禁用自助服务组管理功能。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_7_ActiveDirectory_DisableSelfServiceGroupManage/index.html#more


 

2020070616


目标


确认允许用户记住他们信任的设备上的多因素身份验证。确保在你的 Microsoft Azure 帐户中 禁用 允许用户在其信任的设备上记住多重身份验证 ”功能,以确保你的用户不被允许绕过 MFA的验证。多因素身份验证是一种有效的方法,在通常使用的访问凭据外,额外要求虚拟设备或硬件设备生成的身份验证码来验证你的Azure用户身份。


记住设备和浏览器的多因素身份验证(MFA)允许 Microsoft Azure 用户在使用MFA密码执行成功登录后的特定天数内可以选择绕过MFA。记住MFA可以通过减少用户需要在同一设备上执行两步验证的次数来增强可用性,但是,如果帐户或设备受到入侵,记住受信任设备和浏览器的多因素身份验证可能导致安全漏洞。当“允许用户在其信任的设备上记住多重身份验证 ”功能被禁用时,对于每次登录尝试,都将要求用户执行多因素身份验证。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_6_ActiveDirectory_DisableRemeberMFA/index.html#more

 

 

 2020070617


前言


最近一直在花时间研究 Azure 云上的安全措施。根据官方发布的(例如 Microsoft Doc 以及 CIS Microsoft Azure Foundations Benchmark v1.0.0)最佳实践作为指导,考虑自己写一些 Audit 的脚本,对于用户的大规模场景可以快速统计那些不合规的配置,并生成最终的分析报表。


采用的语言平台及工具为:

  • PowerShell 7.0.1

  • Azure CLI 2.6.0


目标


确保你的 Azure 帐户中没有自定义 Subscription 订阅所有者的角色存在,以便遵守云安全的最佳实践,并实现最小权限原则 - 这是为每个用户提供执行其任务所需的最小访问权限的最佳做法。


典型的 Azure Subscription 订阅管理员角色提供基本的访问管理。如果分配给自定义订阅所有者角色,让其具有完全的管理权限,并且分配范围是所有的订阅,那它可以执行任何操作 (例如 “*“)。作为安全的最佳实践,强烈建议在刚开始时,给予最少的必要权限。以后可根据需要,Account 帐户持有人可以再添加权限。这将确保 Azure Account 帐户持有者无法执行非预期的操作。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_1_AccessControl/index.html#more

 

2020070618

 

目标

确认在 Azure Active Directory 中不存在没有必要的 Guest 来宾用户。


对于 Microsoft Azure 企业对企业(B2B)协作,每个活动目录(AD)的 Guest 来宾用户都需要与企业所有者或业务流程相关联。当不需要 B2B 协作时,请确保 Microsoft Azure 帐户中没有可用的 AD Guest 来宾用户。


Active Directory Business-To-Business(B2B)协作用于与来自其他组织的来宾用户和外部合作伙伴安全地共享应用程序和服务,同时保持对自己数据的完全控制。Azure AD 被配置为处理 B2B 的协作,允许您邀请组织外部的人成为 Azure 云帐户中的 Guest 来宾用户。除非您有真正的业务需求,需要向外部用户提供 Guest 来宾访问,否则请避免创建此类来宾用户。Active Directory 来宾用户通常在公司管理的员工入职/离职流程的情况之外添加,这最终可能导致潜在的安全漏洞。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_5_ActiveDirectory_ManageGuestAccount/index.html#more


2020070619

 

目标


确保已启用 “All Users” 组,以便在您的 Active Directory 帐户中进行集中访问管理。确保在 Azure Active Directory(AD)的组中通过包含所有用户的规则生成器生成动态组,以便启用 “All Users” 组进行集中访问管理。此组表示 Active Directory 用户(包括来宾和外部用户)的整个集合,您可以使用这些用户在目录中使访问权限更易于管理。


All Users”组可用于向 Azure Active Directory 帐户中的所有用户分配相同的权限。例如,目录中的所有用户都可以通过分配一组特定的权限来访问 SaaS 应用程序,这些权限允许应用程序访问 “All Users” 专用组。这确保为所有现有和未来用户创建了一个通用策略,并且不需要实现单独的访问权限


风险等级
(应该实施


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_8_ActiveDirectory_EnableAllUsersGroup/index.html#more


2020070620

 

目标


启用密码重置的双重标识,确保用户密码重置所需的方法数设置为 2


确保在允许重置 Azure Active Directory(AD)的密码之前提供了两种备用的用户标识形式。当至少提供了在 Azure Active Directory 设置中配置的密码重置所需的方法数,则可以成功重置用户密码。


在允许在你的 Azure Active Directory 帐户中重置密码之前启用双重身份验证,通过确保用户身份由两种不同的身份验证形式(如电子邮件和短信)进行确认,增强了访问安全性。攻击者必须攻陷重置用户密码所需的 2个 方法后,他才能完成恶意重置 Azure Active Directory 用户密码。


风险等级
(应该实施)


阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_10_ActiveDirectory_EnableDualIDForPasswordReset/index.html#more


2020070621


目标

确保为所有非特权用户启用了多因素身份验证功能。

确保为非特权用户(如开发人员、服务读者或运营商)启用多因素身份验证(MFA),以帮助保护对 Microsoft Azure 云数据和应用程序的访问。MFA 通过在现有用户凭据的基础上提供额外的安全保护,使用第二种身份验证形式来保护员工、客户和合作伙伴的访问,降低了组织风险并帮助实现法规遵从性。默认情况下,对所有 Microsoft Azure用户禁用了多因素身份验证。

MFA 代表了一种简单有效的验证 Azure 云用户身份的方法,它要求由虚拟或硬件设备生成的身份验证码,以及常规的访问凭据(即用户名和密码)。如果在启用了 Azure 多因素身份验证的情况下,攻击者即使设知道了用户的账号及密码,如果没法通过其他身份的验证方法,则泄露的身份验证信息也将毫无用处。

 

风险等级
(不可接受的风险)

阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_11_ActiveDirectory_EnableMFAForNonPrivilegedAzureUser/index.html#more


2020070622


目标


确认为所有特权用户启用了多因素身份验证功能。确保Microsoft Azure 帐户中的云资源具有写访问权限的所有用户凭据已经启用多因素身份验证。多因素身份验证(MFA)是一种简单而有效的方法,除了你通用的访问凭据(如用户名和密码)外,还使用虚拟或硬件设备生成的身份验证码(也称为 PassCode)来验证你的Azure用户身份。

拥有受MFA保护的Azure帐户,是保护云资源免受恶意用户和攻击者攻击的有效方法,因为多因素身份验证通过要求特权用户(参与者,订阅所有者和服务共同管理员)在授予其访问权限之前提供至少两种独立的授权形式。在了启用多因素身份验证(MFA)的情况下,攻击者需要至少攻破两种不同的身份验证机制,从而增加了攻破访问凭据的难度,从而显著降低了攻击风险。

风险等级
(不可接受的风险)

 

阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_12_ActiveDirectory_EnableMFAForPrivilegedAzureUser/index.html#more


2020070623


目标


启用身份验证重新确认,请确保已在活动目录密码重置策略中启用用户身份验证信息重新确认。

要求用户重新确认其身份验证信息之前的天数” 表示在指定的一段时间(最多 730天)后,AD 注册用户需要重新确认其现有身份验证信息,以确保这些信息仍然有效。如果禁用了身份重新验证(即设置为 0 天),则不会提示 Active Directory 用户需要重新验证身份的信息。

风险等级
(应该实施)

阅读更多(详细配置):https://www.tonywalker.tech/Microsoft/AzureSecurityBestPractics_9_ActiveDirectory_EnableAuthenticationReconfirmation/index.html#more


- 如有类似需求,欢迎与我们联系。-

谢谢您的阅读。-

 

 2020070624

 

Azure Security 云安全管理服务:

  • Azure安全基准配置评估和加固

  • 安全架构咨询、设计、交付

  • 实施多层纵深防御、零信任网络模型

  • 主动合规等保三级2.0

  • 管理服务/年度(远程 or 现场)


ACR 云消费优化管理服务:

  • 自动化审计报表,集成Power BI可视化展示

  • 业务部门自助门户 - 创建/回收资源

  • 服务工单门户 - 创建/跟踪/变更

  • 管理服务/年度(远程 or 现场)

2020070610


我们的特色在于可以帮助用户交付本地、私有云与公有云安全一致性的解决方案,为企业数字化转型保驾护航、行稳致远。

2020070606

 GTI技术团队致力与您一起工作,帮助您解决企业组织在数字化转型旅程中所遇到的难题。


2020032517


2020051115


 20200634


2020051113

 20200633

 2020-3-6-23



  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


  • 将定义的应用系统,工作人员的工作空间,所有的数据,网络空间安全四个核心子系统全部部署在混合云中,完全由乙方代为管理和控制,甲方很难触碰到,增加用户的粘性;


  • 主要架构放在世纪互联 - Azure China 上运行,甲方本地无需投资新的数据中心机房,无需建风火水电等系统,降低初期基建成本;

  • 业务主应用考虑高可用方案,各种类型的应用有2份,并放置在可用性集中,防止由于Azure计划维护造成的业务中断;

  • 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验,同时提高互联网访问的安全性;

  • 部署Citrix ADC,提供网站的WAF功能,高级7层负载均衡,以及虚拟桌面安全网关,并提供 OTP 双因素认证功能;

  • 部署 NetApp Cloud Volume ONTAP,提供数据库以及虚拟桌面的用户数据的存放,并异步同步回乙方的数据中心私有云内;

  • 部署数据库审计系统 – 安华金和,完成数据库层面的安全审计;

  • 部署PaloAlto NGFW VM-300,Traps和Cortex XDR订阅,实现零信任网络安全模型的建立,系统防护以及安全态势感知;

  • Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路,结合Citrix SD-WAN 实现链路逻辑捆绑,增加链路的高可用性以及带宽,同时降低MPLS专业的费用;

  • 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用,防止数据外泄,屏幕可以加水印;

  • 部署Office 365 商业高级版(中国版),提供正版Office、邮件系统以及协作会议工具Teams;

  • 会议系统建议使用 Teams,需要结合本地的数字化Polycom等系统;

  • 该设计已经考虑未来多云的部署,所投资的所有的软件许可可以无缝部署在AWS或阿里云上,避免投资浪费,为实现未来多云战略打下了良好基础;

  • 由于混合云的基础架构和安全产品选择与私有云保持一致,能够显著降低运维支持人员技能要求,也能降低运维方面出错的机率;

  • 该方案交付灵活,无需等待采购运输,无需去用户现场实施,时间效率大幅提升。

我们的技术经理Ding Yi带领上海Cloud Infra、Security 2个团队已经完成了为该用户的平台搭建和验证(Azure上海)。

疫情期间在Azure China的大力支持下,我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户,还是新朋友欢迎与我们团队任何一位成员联系并咨询,应用场景合适的即刻提供5仟人民币的Azure体验金,赶快行动。(团队成员具体联系方式在本文章的末尾处)


了解更多 ›