在云計(jì)算安全實(shí)踐中，傳統(tǒng)安全防護(hù)措施顯得滯后且成本較高，云原生安全成為公認(rèn)的發(fā)展趨勢。

　　在云計(jì)算安全實(shí)踐中，傳統(tǒng)安全防護(hù)措施顯得滯后且成本較高，云原生安全成為公認(rèn)的發(fā)展趨勢。在云原生計(jì)算環(huán)境安全里，防火橋架云原生安全體系用更輕量級的Agent、更輕量化的部署，幫助企業(yè)更智能化地防御網(wǎng)絡(luò)入侵攻擊。

　　騰訊安全云防火墻產(chǎn)品，是騰訊云安全團(tuán)隊(duì)自主研發(fā)的SaaS化云原生防火墻產(chǎn)品，具有八大優(yōu)勢，為云上客戶提供可信賴的安全解決方案。

　　SaaS化產(chǎn)品，可自動同步云上資產(chǎn)變更，梳理云上資產(chǎn)暴露面，一鍵開啟防火墻開關(guān)，實(shí)現(xiàn)快速部署。

　　集成IPS虛擬補(bǔ)丁，勿須重啟服務(wù)，即刻獲得新漏洞的防護(hù)能力，已累計(jì)各類漏洞利用POC檢測能力超5000+

　　眾所周知，針對漏洞的攻擊利用，根本上解決需要及時(shí)安裝漏洞修復(fù)補(bǔ)丁，但在業(yè)務(wù)實(shí)踐中，補(bǔ)丁安裝往往相對滯后，黑灰產(chǎn)業(yè)攻擊利用漏洞的速度要快得多。云用戶可能擔(dān)心業(yè)務(wù)系統(tǒng)安裝補(bǔ)丁造成服務(wù)短時(shí)中斷或出現(xiàn)兼容問題，補(bǔ)丁安裝積極性受影響。

　　虛擬補(bǔ)丁的構(gòu)想由此而生：騰訊安全團(tuán)隊(duì)密切跟進(jìn)漏洞通告信息，及時(shí)分析、檢測高危漏洞利用的POC代碼，云防火墻通過流量分析，檢測出入流量中是否存在漏洞利用。開啟虛擬補(bǔ)丁后，云防火墻會對所有可被漏洞利用和攻擊的流量，進(jìn)行自動識別和攔截，從而避免云服務(wù)器中的漏洞暴露在互聯(lián)網(wǎng)。虛擬補(bǔ)丁的啟用，勿須中斷、重啟虛擬機(jī)服務(wù)，確保業(yè)務(wù)運(yùn)行不受影響。也勿須在虛擬機(jī)系統(tǒng)中實(shí)際安裝補(bǔ)丁程序，降低了業(yè)務(wù)中斷或異常風(fēng)險(xiǎn)。

　　由專家級運(yùn)營團(tuán)隊(duì)負(fù)責(zé)高危漏洞的跟進(jìn)響應(yīng)，及時(shí)更新漏洞防御規(guī)則，自動同步到所有云防火墻用戶端，使用戶具有對漏洞的實(shí)時(shí)防御能力。

　　云端接入騰訊安全威脅情報(bào)系統(tǒng)，防火橋架秒級響應(yīng)威脅?？蓪?shí)時(shí)檢測網(wǎng)絡(luò)流量，阻止惡意域名、IP的訪問，并支持自動回掃修正誤報(bào)。

　　騰訊安全具有全球的安全大數(shù)據(jù)庫，結(jié)合的大數(shù)據(jù)及可視化分析技術(shù)，打造的態(tài)勢感知能力，通過海量數(shù)據(jù)多維度分析、及時(shí)對安全威脅及時(shí)作出智能處置。

　　依托強(qiáng)大的安全大數(shù)據(jù)能力，2020年，全球的ICT市場信息咨詢、顧問和活動服務(wù)專業(yè)提供商IDC發(fā)布《新冠疫情下，IT安全提供商如何保障企業(yè)業(yè)務(wù)穩(wěn)定運(yùn)營》報(bào)告（以下簡稱“報(bào)告”）。騰訊安全內(nèi)容風(fēng)控整體解決方案、數(shù)據(jù)安全解決方案、小程序“微應(yīng)急”安全防護(hù)方案在實(shí)踐過程中獲得了客戶的高度認(rèn)可，得到了IDC報(bào)告的權(quán)威推薦。在本次報(bào)告中，騰訊安全是入選解決方案及案例多的IT安全提供商。

　　用戶可根據(jù)危險(xiǎn)流量告警信息，有針對性的添加危險(xiǎn)流量攔截規(guī)則。針對關(guān)鍵服務(wù)的保護(hù)，在特殊應(yīng)用場景（比如HW行動、黑客攻擊活動高發(fā)期間等），可以一次將可能的危險(xiǎn)流量全部封堵，以保障業(yè)務(wù)正常運(yùn)行，高危風(fēng)險(xiǎn)渡過之后，再恢復(fù)正常服務(wù)。

　　在另一種使用場景，若企業(yè)需要在內(nèi)網(wǎng)中的某些指定區(qū)域使用某些網(wǎng)絡(luò)服務(wù)，可以按地理位置配置ACL，將可能的外部風(fēng)險(xiǎn)直接阻止，減少企業(yè)服務(wù)在互聯(lián)網(wǎng)的暴露風(fēng)險(xiǎn)。

　　基于虛擬機(jī)顆粒度的主動外聯(lián)管控，同一Region只需要一個(gè)NAT網(wǎng)關(guān)防火墻，即可實(shí)現(xiàn)該Region內(nèi)多個(gè)VPC的SNAT（源地址轉(zhuǎn)換）需求。

　　結(jié)合騰訊安全的威脅情報(bào)能力，當(dāng)識別存在惡意軟件導(dǎo)致的主動外聯(lián)行為（比如發(fā)現(xiàn)勒索病毒、僵尸網(wǎng)絡(luò)入侵后的橫向擴(kuò)散），云防火墻可以主動阻斷失陷主機(jī)對其他網(wǎng)絡(luò)資產(chǎn)的攻擊行為。

　　VPC邊界防火墻，精細(xì)化管控VPC之間的訪問流量。VPC 間規(guī)則提供有多張?jiān)L問控制列表，每張?jiān)L問控制列表對應(yīng)一對互通 VPC，同時(shí)也對應(yīng)一個(gè) VPC 間防火墻開關(guān)?？梢栽谠骗h(huán)境中實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)的分區(qū)分域隔離，保護(hù)重點(diǎn)核心資產(chǎn)。當(dāng)遭遇惡意攻擊時(shí)，VPC邊界防火墻的劃分，可有效減少威脅橫向擴(kuò)散范圍。

　　日志審計(jì)與分析，長達(dá)6個(gè)月的日志留存，審計(jì)流量日志、訪問控制日志、入侵防御日志，滿足安全審計(jì)、日志分析與等保合規(guī)要求。

　　在本案例中，騰訊安全團(tuán)隊(duì)在日常巡檢時(shí)發(fā)現(xiàn)，有攻擊者利用Apache Solr遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-0193）對某客戶進(jìn)行攻擊，由于客戶部署的騰訊云防火墻已對該類型攻擊進(jìn)行識別并設(shè)置為“阻斷”，該攻擊事件未對客戶IT資產(chǎn)造成影響。通過溯源分析，防火橋架騰訊安全專家成功鎖定該事件為BuleHero挖礦蠕蟲病毒變種的攻擊活動。

　　騰訊云防火墻依靠出色的八大核心優(yōu)勢，為云租戶提供互聯(lián)網(wǎng)邊界、NAT邊界、VPC邊界流量的訪問控制，集成威脅情報(bào)、及入侵防御系統(tǒng)(IPS) 保護(hù)云資產(chǎn)安全與云上業(yè)務(wù)。騰訊云防火墻，也是云原生防護(hù)體系的道防線，憑借出色的防護(hù)能力，騰訊安全成功助力2020網(wǎng)上廣交會等多項(xiàng)重點(diǎn)保護(hù)項(xiàng)目實(shí)現(xiàn)0風(fēng)險(xiǎn)0事故。
以上信息由江蘇有銘集團(tuán)有限公司整理編輯，了解更多防火橋架信息請?jiān)L問http://www.aiqzb.com