大华股份携手伊克罗德,打造云上安全策略

2020-08-19 11:10

大华股份是中国安全行业最强大的公司之一。他们主要从事算法研发和视频设备制造。研发产品主要供中国政府,企业和公安部门使用。



面临的挑战


作为安全公司,它可能会遭受各种攻击,大华服务的客户对安全性都有很高的要求。大华本身在平台,网络和数据方面做出了很多努力。存储和审核以及合规性具有很高的标准。大华股份面临一些安全挑战:



1.有很多员工,不能保证每个人都能按要求操作和使用系统资源。


2.数据非常重要,需要跨地区备份。


3.经常受到一些黑客的DDoS攻击。


4.希望数据传输安全,稳定,不被他人截取。


5.需要GDPR认证,更合规,让用户放心。



使用的第三方应用程序或解决方案


Palo Alto Networks

Palo Alto Networks ,我们eCloudrover帮助第三方PolaAlto人员在Amazon EC2中共同部署了防火墙,并根据Amazon Web Services 安全白皮书和WAF案例,提出了手动IP,SQL注入,HTTP泛洪,扫描程序和探针,IP信誉列表, DDoS等。标准和建设性的意见帮助Dahua.tech实现了最有效,最安全的网络流量精确控制,完善的监视以及内部系统免受未知威胁的保护。


Symantec DLP


基于Amazon Web Services 安全白皮书和DR案例,eCloudrover提出了数据完整性,备份周期,窗口时间,RPO和RTO的规范和建设性意义。我们帮助大华股份实施最有效,最安全的文件数据完整性保护机制,并开发了完整的灾难恢复流程进行数据恢复和业务启动,使大华股份的系统数据更加可靠。我们自己的MSP团队还提供独立开发的Atlas软件,该软件还可以为客户实现跨区域自动备份功能。


McAfee

McAfee防病毒软件是世界上最畅销的防病毒软件之一。McAfee防病毒软件除了更新操作界面外,还结合了公司的WebScanX功能,增加了许多新功能! 除了帮助您检测和清除病毒之外,它还具有VShield自动监视系统的功能,该系统将驻留在系统托盘中。伊克罗德(eCloudrover)可以与McAfee一起在Amazon EC2中安装病毒防护程序,从而使业务应用程序具有更高的自动安全防护功能。


解决方案和架构


基于大量的安全案例经验和客户现有状况,伊克罗德分析了大华股份面临的挑战,并针对这些问题提供了以下解决方案:


伊克罗德为大华股份实施了一项权限管理计划。使用IAM用户组可以为Dahua.tech不同管理级别的员工设置资源访问权限,并且更容易在员工入职和离职时修改权限。设置“ IAM 90天访问密钥轮换执行”功能。自定义使用Amazon Lambda,定期检测要求员工每季度更新一次以确保安全,并且还设置CloudTrail来监视新用户的创建,并且必须将MFA添加到新用户。


伊克罗德为大华股份提供了多种数据灾难恢复解决方案。伊克罗德推荐由大华股份开发的Atlas平台,该平台可在Amazon Web Services 中实现EC2系统和卷的自动备份。后来,大华股份推出了第三方赛门铁克DLP。基于Amazon Web Services 安全白皮书和DR案例,ECR提出了数据完整性校验,备份周期,窗口时间,RPO和RTO规范以及对大华股份灾难恢复计划具有建设性的意义。伊克罗德与赛门铁克合作,帮助大华股份实现了最有效,最安全的文件数据完整性保护机制,并为数据恢复和业务启动开发了完整的灾难恢复流程。使大华股份的系统数据更加可靠。


伊克罗德为大华股份提供了防DDoS安全解决方案。伊克罗德与客户进行了沟通,分析了他们以前经常遇到的攻击方式,并针对大量的肮流量和透传提出了有针对性的解决方案。伊克罗德基于以往帮助其他客户的Shield Advance方案的经验,帮助大华的账号设置保护。伊克罗德还提出了在紧急情况下使用CloudEvent加lambda的替代方案,以将受攻击的服务器HA迁移到另一台服务器,受攻击的服务器和EIP。在新服务器正常运行的同时,它可以继续接受攻击而不关闭它。以达到减轻和消除DDoS的目的。


伊克罗德为大华股份提供了安全的数据传输解决方案。伊克罗德建议大华股份从地端的摄像机收集存储的视频和其他内容,在Amazon Web Services 本地配置VPN,在客户端和云上设置双向加密,并在整个过程中使用HTTPS进行传输,以确保所收集的数据位于地面和云之间传输安全。而且,伊克罗德建议为VPN建立冗余通道,以避免由于单点故障而影响数据传输的线路问题。


伊克罗德帮助大华股份完成了GDPR认证。根据Amazon Web Services 安全白皮书,伊克罗德VPC中对安全组,白名单和网络ACL进行了设置。在人员权限和资源控制方面,已经对IAMConfigCloudTrailCloudwatch等进行了设置;除了Amazon Web Services 的服务,还与第三方工具合作,做了很多的安全强化。伊克罗德协助大华股份实施GDPR标准并申请认证。



Amazon EC2:允许客户定义安全组和网络访问控制规则。允许客户更改默认的供应商配置,安全控制和供应商默认密码。允许客户对所有客户可配置项目进行安全且合规的配置。这可能包括Amazon EC2实例的OS配置,数据库服务的日志记录和日志保留,或者Amazon Web Services 管理功能的权限。


Amazon KMS:允许客户根据以下内容创建,使用和管理加密密钥。


Amazon GuardDuty:持续监控VPC流日志和CloudTrail日志。


Amazon CloudTrail:继续监控账户并加强合规性。它还记录日常操作并跟踪资源更改,以方便调查安全问题。


Amazon Direct Connect:建立从本地到AWS的专用网络连接,降低网络成本,增加带宽流量,并减少由于网络波动而造成的数据丢失。


Amazon CloudWatch:设置Amazon CloudWatch Events和lambda以对检测到的服务资源更改进行及时的高级和更正处理。


Amazon CloudFormation:Amazon CloudFormation模板在与Amazon Web Services 最佳实践和安全合规性框架保持一致的堆栈内部署架构,如下所示:

1. IAM堆栈:使用自定义策略,组和角色创建基本的IAM配置。


2.日志堆栈:设置基准AWS Config规则进行监视。启用AWS CloudTrail,S3存储桶和存储桶策略以记录和存档数据。为与安全相关的CloudTrail事件创建标准的Amazon CloudWatch警报。


3. VPC堆栈:为包含子网,NAT实例或NAT网关,路由表,安全组和自定义网络访问控制列表(网络ACL)规则的应用程序配置安全的Amazon VPC。


4.配置规则堆栈:设置用于监控的基准AWS Config规则。


5.应用程序堆栈:为Web应用程序,数据库,HTTPS弹性负载平衡,Amazon CloudWatch警报设置EC2实例。


防火墙:阻止OWASP Web攻击,设置白名单和黑名单。


Amazon Shield:抵抗DDoS攻击并减少损失。


项目成果

1.满足中国安全等级要求。

2.提供AWS服务安全认证,协助客户获得GDPR认证,使用户可以更安全,轻松地使用大华平台。

3.让客户了解Amazon的安全服务,让客户能更好的使用。

4.可以在Amazon上顺利匹配第三方的安全产品,以增强客户在Amazon上系统环境的安全性。

5.帮助客户大大减轻DDoS带来的麻烦。

6.ECR解决了大华科技人事权限管理中的麻烦问题,减少了人为误操作可能造成的损失。

7.大华数据安全得到保障。


使用的Amazon Web Services服务

· Amazon Identity and Access Management (IAM)

· Amazon GuardDuty

· Amazon CloudTrail

· Amazon CloudWatch

· Amazon CloudWatch Events   

· Amazon Lambda

· Amazon Key Management Service (KMS)

· Amazon Direct Connect

· Amazon Shield

· Amazon Certificate Manager


云代理伙伴
扫描关注微信公众号
获取更多云端资讯
联系我们
——

模板表单-2(1)

  • 姓名*

  • 电话*

  • 邮箱*

  • 职称*

  • 公司*

  • 地址*

  • 需求*

  • * 点击提交,即表示您同意我们存储和处理您提交的个人信息,以向您提供所请求的内容,该信息仅供公司提供服务使用。您的信息受到相关法律的安全保护。