医疗行业云安全解决方案

医疗行业数据中心的安全解决方案黎晓红4May2018234全球信息安全调查报告2017年全国医疗行业信息安全调查报告•在4663个全国医疗执业单位互联网资产样本的风险检测中，风险排名前五位的依次是：域名信息泄露、恶意代码、异常流量、僵尸网络、IP被封。•从外部威胁来看，65%的医疗执业单位认为网络被攻击，对外通信中断为最重大的安全风险；其次窃取患者身份、病例或治疗信息排名第2位。从内部威胁来看，68%的单位认为员工安全意识薄弱是目前最大的挑战，系统以及数据管理存在漏洞排名第2位，内容人员系统访问权限混乱位居第3位。•面对新技术发展趋势，医疗机构将面临新的挑战，受访单位的安全期望前三位依次是：76%的受访单位认为保证复杂的医疗事务大数据安全，60%认为保证智慧化医疗流程、结果、“物-物交互”的安全，57%认为需要标准化的安全控制指南5数据来源：东软对外发布《数据至上，业务安全--2017年医疗行业信息安全调查报告》医疗行业相关信息安全规范管理6•《中华人民共和国网络安全法》•《信息安全技术网络安全等级保护基本要求》•新版《互联网医疗保健信息服务管理办法》•国际标准化组织（ISO）发布的ISO17090：2008《卫生信息-公共要素信息结构》安全合规是虚拟化云计算场景首要考虑因素•应允许云服务客户设置不同虚拟机之间的访问控制策略；•应保证当虚拟机迁移时，访问控制策略随其迁移；•应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务。•应实现不同云服务客户虚拟网络之间的隔离•应具有根据云服务客户业务需求自主设置安全策略集的能力，包括定义访问路径、选择安全组件、配置安全策略；•应能检测到云客户虚拟机发起的网络攻击行为GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22239-XXXX《信息安全技术网络安全等级保护基本要求》适用范围：凡是承载等保业务的云平台均受约束上升为法律:网络安全法网络安全法将网络安全等级保护变更为基本制度，基本国策，上升为法律。第二十一条国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务。第三十一条，国家对关键基础设施，在网络安全等级保护基础上，实行重点保护。如何防御？8黑客发现漏洞利用漏洞制作病毒，勒索软件发起零日攻击大规模感染，公众发现安全厂家研制补丁和识别码厂家发放布丁用户安装补丁，识别码DayZero典型黑客攻击与防御WindowofVulnerability安全真空期99SourcefromHongKongHospitalAuthority攻击如何发生的？UnconstrainedcommunicationLittleornolateralcontrolsinsideperimeterLowprioritysystemsaretargetedfirst.Attackerscanmovefreelyaroundthedatacenter.101101001101010010100000101001110010100Attackersthengatherandexfiltratedataoverweeksorevenmonths.InternetDataCenterPerimeter11INTERNETDATACENTERDATACENTERPERIMETER数据中心的安全威胁Proliferationofdevicesaccessingthedatacenter,yetnotallaresecured移动用户桌面工作站虚拟桌面／远程登录用户MOBILEWORKERSHAVEBROADACCESSTODATACENTERRESOURCESSECUREENDUSER12NSX实现软件定义数据中心云安全虚拟化平台–CloudSecurityINTERNETDATACENTERDATACENTERPERIMETER虚拟机之间的“零信任”信息安全隔离Extendmicro-segmentationouttosecuretheenduserdeviceMobiledeviceinthefieldorathomeLaptopordesktopatworkorhomeVDIatabranchorremotelocationMICRO-SEGMENTATIONLIMITSDEVICEACCESSTOONLYWHATISNEEDEDSECUREENDUSER14面向业务的安全隔离MaintainthatlevelofconsistentsecurityacrossanentireapplicationMICRO-SEGMENTATIONModernappstodayaredistributedinnatureWEBDBSecurityneedstoreachbeyondanindividualVMEachVMistypicallypartofalargerapplication15小王(财务部)小张(人事部)HRFinanceEmailSharePointApplicationResourcesHumanResourcesFinance虚拟桌面工作站16基于用户身份识别的信息安全隔离BusinessvalueMoresecureand1/3thecostoflesssecureinfrastructure建立前-中-后360度全方位立体防御DeliveringinherentlysecureinfrastructureDataCenterPerimeterInternetDMZSecureUserEnvironmentsSecuritypoliciessimplifiedLogicalgroupsenabledThreatscontainedZeroTrustModel,DMZAnywhere日常安全管理18做好三件事端到端的可视化故障排除实时的数据中心整体健康报告基于业务安全微分段的分析，评估和策略AcrossVirtual,PhysicalandCloud19主动式的监控管理20信息安全的监控与数据分析SecurityAnalyticandNetworkVisibilityforPhysicalandVirtualNetworkSourcefromHongKongHospitalAuthority虚拟机服务器传播途径病毒／恶意代码／勒索软件零信任安全模型安全微分段VMware数据中心安全方案Eco-SystemPartnerSolutions•安全监控与分析软件面对未知的安全威胁防御方法21NSX架构扩展性：广泛的合作伙伴生态系统基于NSXNETX集成的第三方分布式vNGFW实现VMwareNSX分布式防火墙与非NSX技术对比NSX分布式内核防火墙：•分布式内核态，每主机20Gbps+•无需引流，无网络hop，部署运维简单•丰富的VM属性，简化Fw策略部署•支持跨DC，VC，站点统一安全策略管理、部署、迁移•NSX部署无拓扑依赖，ip可达即可•NSX平台不仅安全，支持更多的使用场景非NSXvm-based防火墙：•虚拟机形态部署，vds夹层，性能低•复杂的vlan及vds拼接引流，额外的故障点和维护点•仅支持ip子网分组，或者基本的vm名称和端口组•仅支持DC及站点内部vSOM防火墙部署•无VMware官方support。•仅vNGFW功能，无代理杀毒仍需第三方•多租户，vDS，SDN兼容问题，额外的opexNSX实现软件定义数据中心云安全虚拟化平台–CloudSecurityTHANKYOU