项目背景
广州花都万客隆食品超市有限公司成立于2019年03月21日,注册地位于广州市花都区迎宾大道163号高晟广场首层及二层部分,法定代表人为CHAIPORN TREELERTKUL。经营范围包括劳动防护用品批发;劳动防护用品零售;零售鲜肉;水产品零售;水产品批发;鲜肉、冷却肉配送;蛋类零售;水果零售;化妆品及卫生用品零售;五金零售;粮油零售;熟食零售;网络销售预包装食品;互联网商品零售等多项零售批发业务。
万客隆于2020年开始提供电商服务,致力于整合零售多元化能力,一站式助力客户购物电商业务。万客隆拥有专业的直营零售和渠道拓展团队配合品牌实现高效电商渠道和运营,以客户为中心创造真实的效益并不断开拓创新,帮助客户实现最大成本节约。
万客隆布局包括电商全平台、运营品牌旗舰店、发展手机移动端、实现全渠道优质服务。
从前端到后端的全套电商服务,包括:网站搭建、网络品牌定位 、电商视觉、运营策划、IT设施搭建、数据服务、客户服务、会员管理、仓储物流等整体托管服务。
随着电商业务的不断扩展,电商平台的安全性要求提升到一个新的高度,为此万客隆在电商业务发展的同时,也在不断的对其电商平台网络环境进行网络安全整改,针对万客隆网络环境平台安全需求,Agilewing协助万客隆在网络安全方面做出了如下方案。
目标
- 1. 在云厂商环境上部署安全设备,消除网络安全隐患。
- 2. 优化日志处理系统,达到符合网络安全法规定需求。
- 3. 实现物理机房与云厂商环境内部安全传输。
解决方案
架构说明
- 1. 创建Security Fabric的VPC,并在子网部署边界安全防护设备
- 2. 对整个网络环境的路由线路进行了重新规划设计,删除了多余的网络路由线路,确保数据流按照指定的网络线路行进。
- 3. 云边界防护设备部署:
● 在云厂商网络环境部署了两台FortiGate下一代防火墙
● 为FortiGate的EC2配置专属的Security Group安全组,同时两台FortiGate进行了HA高可用配置。
● 在FortiGate前端部署了一个ALB负载均衡器,用于控制网络流量对FortiGate的访问。
- 4. 云边界设备策略配置:
● Fortigate的高可用配置,避免了FortiGate单点故障,提高防护可用性。
● 云厂商防火墙安全策略,目前的安全策略主要用作对外进行业务发布。
● 云厂商边界防火墙的拦截日志:对于所有入向的策略均开启了AV、IPS检测。
● 云厂商上WAF高可用部署:FortiWeb部署为主主高可用模式,避免业务中断。
- 5. 总部架构整改:
● 采用FortiGate物理设备,并通过双通道模式实现端口高可用
● 部署部署管理设备FortiManger和日志设备FortiAnalyzer。
实现的效果
万客隆网络环境经过网络安全整改方案的实施,包括总部网络环境与云厂商网络环境。目前已针对渗透测试发现的问题与漏洞进行解决与封堵,很大程度地提升了万客隆整体网络环境的安全防护水平,包括边界防护、访问控制、入侵检测、安全审计等。
