《云上安全白皮書2021》是由嘶吼安全產(chǎn)業(yè)研究院通過多方調(diào)研和專家訪談，歷時一個多月撰寫而成。本次云上安全白皮書首次引入了甲方視角，嘶吼產(chǎn)業(yè)研究院在會上解讀表示，2021年云上安全市場即將突破百億大關(guān)，盈利模式也從單純的賣產(chǎn)品和賣“人頭”開始向更多資本側(cè)、渠道側(cè)和經(jīng)濟型盈利模式側(cè)傾斜，未來云上安全的高速發(fā)展趨勢勢不可擋。

　　提升資源利用率、降低成本是混合云大勢所趨背后的主要原因

　　云計算是我國新基建重要戰(zhàn)略之一，是5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)的新基座，也是數(shù)字化轉(zhuǎn)型的必然趨勢；云計算概念于2006年首次提出，經(jīng)歷了形成、發(fā)展到廣泛應(yīng)用階段。根據(jù)不同行業(yè)、不同應(yīng)用需求形成公有云、私有云、專有云以及混合云，并在政務(wù)辦公、警務(wù)、醫(yī)療、教育等行業(yè)落地生根。

　　隨著用戶業(yè)務(wù)增多，單一私有云或公有云已經(jīng)無法滿足用戶對業(yè)務(wù)的發(fā)展需求，比如，在業(yè)務(wù)訪問高峰期需要快速擴容來保障業(yè)務(wù)訪問的穩(wěn)定性，而在業(yè)務(wù)低谷期又需要快速回收資源以節(jié)省開支，顯然，單一的私有云環(huán)境很難實現(xiàn)資源的快速擴容和回收，這時候?qū)⒋祟悩I(yè)務(wù)部署在公有云上無疑是最佳實踐，既能保障業(yè)務(wù)訪問的連續(xù)性、穩(wěn)定性，又能實現(xiàn)資源快速回收，節(jié)省開支，在短時間內(nèi)實現(xiàn)擴容；此外，面對數(shù)據(jù)具有強合規(guī)、為保障數(shù)據(jù)的安全性，可以將前后端分離，前端部署在公有云、后端核心數(shù)據(jù)部署在私有云，通過云網(wǎng)聯(lián)動實現(xiàn)數(shù)據(jù)的交互，既能保障業(yè)務(wù)訪問的連續(xù)性，又能保證數(shù)據(jù)的安全性，通過私有云、行業(yè)云、公有云等多云并來適應(yīng)新的業(yè)務(wù)發(fā)展，找到部署應(yīng)用程序的“最佳執(zhí)行地點”，既能提供業(yè)務(wù)訪問最佳性能、業(yè)務(wù)部署靈活性，又能保障業(yè)務(wù)數(shù)據(jù)的安全性、可靠性以及對數(shù)據(jù)的強大控制力。

　　混合云面臨的威脅與挑戰(zhàn)

　　云計算作為數(shù)字經(jīng)濟轉(zhuǎn)型的新底座，云計算安全是保障業(yè)務(wù)穩(wěn)定、可靠運行的先決條件，混合云架構(gòu)下安全有兩個方面的問題，1、業(yè)務(wù)從傳統(tǒng)物理機房遷移到云計算環(huán)境的共性問題，以及在混合云架構(gòu)下引生出的安全一致性、統(tǒng)一管理的問題。

　　在傳統(tǒng)單體建設(shè)模式下從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全及數(shù)據(jù)安全的安全責(zé)任主體和安全使用主體都是同一主體；而在云計算模式下，按服務(wù)模式不同，責(zé)任主體邊界不同。另外，安全防護的思路上單體建設(shè)模式下可以通過在邊界部署安全設(shè)備來保障內(nèi)網(wǎng)安全，基于流量對攻擊進行檢測，分區(qū)分域來實現(xiàn)不同等級之間的差異化防護，而業(yè)務(wù)上云之后，計算虛擬化、存儲虛擬化和網(wǎng)絡(luò)虛擬化、資源集中化引生出邊界不固定，無法按照物理區(qū)域劃分，導(dǎo)致了采用物理設(shè)備隔離和檢測的思想無法實現(xiàn)。

　　在混合云架構(gòu)下，當業(yè)務(wù)工作負載從私有云遷移到公有云時，如何保障在不同云計算環(huán)境之間遷移時，安全防護策略的一致性，多云之間的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)如何去保障安全性，以及多云之間的安全事件如何統(tǒng)一管理、統(tǒng)一運維以此來發(fā)現(xiàn)潛在的安全威脅。

　　混合云安全防護整體架構(gòu)

　　混合云的安全建設(shè)首先要遵循國家標準規(guī)范，先明確安全責(zé)任主體和安全等級劃分，根據(jù)不同的責(zé)任主體和不同的業(yè)務(wù)構(gòu)建安全體系，云安全防護體系分為五大部分：云平臺安全通信網(wǎng)絡(luò)、云平臺安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全運維/服務(wù)體系。

　　此外，安全是一個體系化建設(shè)過程，應(yīng)從安全管理、安全建設(shè)和安全運維等維度進行考量，在保障平臺通用安全、平臺虛擬化安全及租戶安全的同時，還應(yīng)該提供持續(xù)的安全監(jiān)控和運維保障，通過產(chǎn)品+服務(wù)方式構(gòu)建安全閉環(huán)，實現(xiàn)云從建設(shè)到運營、從事前到事后構(gòu)建全生命周期的安全防護體系。

　　天融信混合云安全防護架構(gòu)助力云上安全

　　天融信針對公有云、私有云及專有云等混合云架構(gòu)，提出了云計算環(huán)境4層縱深防御體系，將云計算環(huán)境劃分為物理邊界層，云虛擬邊界層、云虛擬化層和云主機層等4個層面，而面對公有云、私有云及專有云等不同的云計算應(yīng)用場景，針對云平臺方和云租戶提供對應(yīng)的安全能力；同時針對不同云計算場景下的安全能力通過云安全管理中心實現(xiàn)統(tǒng)一納管，統(tǒng)一運維，以此實現(xiàn)混合云架構(gòu)下的安全策略一致性、安全統(tǒng)一管理。

　　在傳統(tǒng)的物理邊界層，采用傳統(tǒng)的安全設(shè)備，解決邊界訪問控制、入侵攻擊、漏洞攻擊、流量攻擊等安全問題，有效實現(xiàn)物理邊界安全防護；針對云上多租戶之間的安全隔離以及租戶云內(nèi)差異化安全建設(shè)需求，提供云安全資源池及公有云原生安全能力，進行縱向防護、橫向隔離，靈活解決不同租戶之間的安全隔離和差異化防護需求；針對云內(nèi)虛擬機之間的流量隔離和流量可視化，采用無代理微隔離防火墻打造基于虛擬化層的隔離，有效預(yù)防安全威脅在虛擬機之間橫向傳播；針對云主機的惡意代碼攻擊、漏洞利用攻擊，采用輕代理的EDR、自適應(yīng)主機安全產(chǎn)品，能夠更精準、更準確的實現(xiàn)全生命周期防護，那么通過分層設(shè)計、分層防護的思想，構(gòu)建縱深防御體系，能夠抵御來自各個層面的攻擊。

　　公有云原生安全。公有云方面，天融信針對公有云上云租戶提供安全賦能，通過安全生態(tài)的建設(shè)，比如將安全能力融入到阿里公有云上，為租戶提供安全服務(wù)。天融信作為國最早做網(wǎng)絡(luò)安全的廠商之一，產(chǎn)品體系相對完善，可以提供從網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)等維度提供安全保障，實現(xiàn)公有云上租戶業(yè)務(wù)的全生命周期防護。

　　私有云平臺內(nèi)部東西向防護設(shè)計—微隔離。針對私有云/專有云，云平臺內(nèi)東西向的安全防護，天融信采用的是虛擬化分布式防火墻進行實現(xiàn)，目前這款產(chǎn)品是國內(nèi)首家獲得VMware Ready認證的產(chǎn)品，也是國內(nèi)首個適配并應(yīng)用信創(chuàng)云環(huán)境的產(chǎn)品。通過與各大云平臺緊耦合對接，可根據(jù)租戶網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用、使用環(huán)境及應(yīng)用端口等不同屬性、不同等級進行個性化安全策略制定、動態(tài)調(diào)整，讓安全更貼近業(yè)務(wù)，將業(yè)務(wù)流量按不同層級實現(xiàn)可視化梳理，有效保障云平臺虛擬網(wǎng)絡(luò)安全。

　　私有云虛擬化邊界南北向防護設(shè)計——安全資源池。天融信安全資源池產(chǎn)品內(nèi)置十多種安全能力，租戶可根據(jù)安全防護需求進行按需購買，實現(xiàn)差異化防護，租戶可按等級保護合規(guī)需求，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全技術(shù)環(huán)境等幾個維度通過可視化流量編排技術(shù)，實現(xiàn)訪問控制、通信傳輸、邊界防護、入侵防范、安全審計等安全防護措施，完美滿足等保合規(guī)管理條例。目前這款產(chǎn)品是國內(nèi)首家應(yīng)用信創(chuàng)政務(wù)云，同時支持IPv6的數(shù)據(jù)存放的產(chǎn)品。

　　混合云API網(wǎng)關(guān)。混合云構(gòu)架下如何實現(xiàn)多云數(shù)據(jù)安全？API網(wǎng)關(guān)能夠幫助用戶解決應(yīng)用API接口對外提供服務(wù)過程中惡意訪問、SQL注入、DDOS攻擊等安全問題。同時，API網(wǎng)關(guān)作為零信任架構(gòu)體系中重要一環(huán)，對訪問者身份認證進行控制。

　　容器云安全是天融信未來發(fā)展的方向。容器安全防護系統(tǒng)是天融信基于容器全生命周期防護理念推出的一款容器防護產(chǎn)品。產(chǎn)品以容器環(huán)境安全、容器鏡像安全、容器網(wǎng)絡(luò)安全、工作負載安全四個維度為切入點，通過建立從主機層到容器應(yīng)用層的縱深防御體系，確保容器環(huán)境中業(yè)務(wù)系統(tǒng)安全可靠運行。

　　多云混合云架構(gòu)下提的比較多的是云主機工作負載安全。天融信構(gòu)建以云工作負載保護平臺為核心，集預(yù)測、防御、檢測和響應(yīng)一體的自適應(yīng)安全防護體系，通過加強監(jiān)測和響應(yīng)能力以及持續(xù)的監(jiān)控和分析，及時應(yīng)對新威脅、調(diào)整安全策略、將安全能力賦能到云主機。相對于防御和應(yīng)急響應(yīng)的安全防御體系，自適應(yīng)安全防護理念面對云主機安全貫穿從信息收集、網(wǎng)絡(luò)入侵、提升權(quán)限、內(nèi)網(wǎng)滲透、安裝后門及清除痕跡等整個攻擊過程，有效應(yīng)對復(fù)雜的高級持續(xù)威脅。

　　混合云安全管理。天融信可以做到通過混合云安全管理中心實現(xiàn)用戶安全購買，通過租戶管理模式開通線上申請。

　　按需購買。針對不同的應(yīng)用場景，天融信提供通用的應(yīng)用場景解決方案，如基礎(chǔ)安全、安全運維、網(wǎng)絡(luò)安全、等級保護等。用戶側(cè)可以通過按需購買方式一鍵開通安全服務(wù)，快速保證自身業(yè)務(wù)安全。

　　混合云安全中臺—云網(wǎng)安全態(tài)勢。安全作為保障業(yè)務(wù)安全的前提，云計算安全應(yīng)為云服務(wù)方和云服務(wù)客戶提供安全可視化能力。天融信面對云服務(wù)商及云服務(wù)客戶提供安全事件態(tài)勢、安全運營態(tài)勢、安全組件態(tài)勢，全面感知云內(nèi)安全風(fēng)險，保障安全可用性、安全可靠性和完整性。

　　混合云安全方案總結(jié)

　　天融信整體云安全解決方案分為四個部分：縱深防御，全面覆蓋，解決云平臺各層防護需求；面向云平臺安全建設(shè)，防止風(fēng)險進入云平臺；在云平臺內(nèi)部采用微隔離、微分段技術(shù)實現(xiàn)云平臺內(nèi)安全防護；集中安全管理，實現(xiàn)多云混合云架構(gòu)下統(tǒng)一管理、統(tǒng)一運維、安全態(tài)勢集中展示。

　　通過產(chǎn)品和服務(wù)方式構(gòu)建安全能力閉環(huán)，提供持續(xù)的安全監(jiān)控和運維保障，實現(xiàn)混合云從設(shè)計、建設(shè)到運營生命周期內(nèi)的全覆蓋，為云上業(yè)務(wù)保駕護航，為企業(yè)的數(shù)字化轉(zhuǎn)型提動態(tài)防御、彈性擴展、集中監(jiān)測的新動能。