如果将金融機構IT系統比作一個大城市
那麼雲就是城市建立衛星城的天然土壤
城市原有的空間和環境資源有限
随着城市化程序的加速
中心城區多半出現房價貴
競争壓力、交通擁堵等現象
規模擴大的同時
需要更多的資源和空間以疏導城市功能
與中心城眉毛胡子一把抓的發展思路不同
雲上衛星城
有其獨特的功能定位和建設政策
金融機構互金核心系統搬上“專有雲”
雲上架構優勢支撐金融敏态業務平滑開展
軟體授權(License+Renew)/訂閱模式(Subscription)靈活選擇
IT投入成本大幅降低
安全能力服務化,營運效率顯著提升
金融科技助力業務發展
一天, 城外爆發大規模瘟疫
為了不影響城市的正常運轉
管理者決定在城市入口設定集中隔離區
并将“對外貿易”的視窗統一設定在這裡
這一區域被稱為DMZ區
金融機構将必須公開業務的Web前置伺服器設定在這裡
如手機銀行、直銷銀行、數字分行(支付寶小程式、生活号)等
這樣做的好處是顯而易見的:
外部流量屬性複雜
夾雜大量攻擊和病毒
隔離區天然具有安全屬性
可以有效防止“疫情”蔓延至城内
内部流量通過DMZ區伺服器進行對公互動
同樣不影響與來自網際網路流量的業務往來
DMZ區位于系統中間的緩沖地帶
是與公網互動承載複雜“對外貿易”的視窗
同時也是“安保措施”最完備的區域
60%-70%的安全産品部署在這裡
對公網流入的複雜流量進行識别、檢測、清洗、攔截、阻斷和追溯
傳統DMZ:碎片化管理的安全孤島
由于中心城區建設周期長
曆史久遠,且主要資源集中
管理者早期将隔離區設定在中心城區外
招聘來自不同城市的安保人員
針對性管理各類貿易
運作一段時間後
這種隔離方式的弊端逐漸顯現出來:
首先,來自不同地區的安保人員語言不通
管理割裂
資訊難以聚合和共享
安全孤島和碎片化令防護效率大打折扣
其次,線上金融業務具有大流量、高并發、強波動的特點
當與傳統業務共享流量入口時
基于中心城區架構設定的隔離區
基礎架構原始,管理模式陳舊
難以根據業務需求實作動态彈性伸縮
此外,在新增應用或金融強對抗場景下
涉及多個團隊管理的多個網絡域配置變更
團隊間溝通、申請、審批等流程繁瑣
難以實作自動化靈活變更與管理
那麼問題來了:
DMZ隔離區該如何設定才能在保證安全的同時不影響正常貿易往來?
安保人員如何配置設定才能達到最佳防護效果?
防護效率與成本投入之間如何取得動态平衡?
DMZ上雲:雙軌并行實作平滑過渡
2020年,人民銀行釋出多個金融行業标準
開啟金融安全的雲化“元年”
随着銀行消金和場景金融持續高速增長
《網上銀行系統資訊安全通用規範》2020新版釋出
互金核心“DMZ區域和内網區域”整體上雲成為必選項
監管合規了
遷移的實際困難仍不可忽視
銀行IT基礎設施曆史悠久、結構複雜
流量入口遷移上雲
實作業務平穩過渡是關鍵
對于建立局點
雲安全産品與業務一體化管控
對于傳統DMZ
在原有安全措施不變的前提下
新DMZ與傳統DMZ雙軌并行,實作雙活
壓測穩定後
随業務與安全需求“漸進式遷移”
降低遷移風險和更新成本
更重要的是,流量入口上雲後
Web前置與業務應用互動方式不變
不增加運維負擔,大幅提升安全效率
把複雜留給阿裡雲,簡單留給使用者
相較于傳統DMZ區
雲上安全不再“各自為戰”
雲盾平台統一安全管控
雲端威脅情報動态感覺
單點威脅全網阻斷
自動化編排響應
安全事件處置效率提升百倍
數字化開放生态平台
無感應對複雜場景擴容
複雜防護與強對抗場景,凸顯雲的原生架構優勢
架構優勢從不單純局限于管理提效
網絡攻防演習中
整體安全水位高于傳統DMZ
雲原生情報賦能
防護規則更新速率數倍于傳統安全産品
安全事件歸并
真正需要被關注的告警減少到20%
雲盾統一資産管理與漏洞管理
提升漏洞治理水位
協助使用者建立安全漏洞管理機制
覆寫資訊系統全生命周期
快速發現安全漏洞
依托有效的漏洞管理
逐漸降低存量漏洞數量
攻擊面收斂API化
鍊條式管理杜絕資産割裂
所有對外暴露IP登記上雲,全面可查
全部IP實作界面檢視或API導出,高效管理
依托雲的原生一體化安全優勢
提升應急響應時效
雲上安全元件橫向拉通
應急處置能力提升8倍以上
自動化編排賦能事件處置秒級響應
運作在阿裡專有雲之上的金融核心業務
借助阿裡雲ASR容災演練平台
做到運維人員面對資料中心級别故障時
能夠敢于下決策進行切換
安全産品跟随業務決策自動關聯切換
在不可抗災難中
有效保障資料不丢失、業務不中斷
告别傳統DMZ高建設成本和運維投入
雲端DMZ全局點建設投入節約近 75%
後期維保成本同比例下降
中台架構理念下數字安全體系賦能業務
控制台+賬戶+日志“多元統一”
安全智能打破資料孤島
人員投入大幅縮減
實作便捷、高效安全運維