萬物皆可“云”，經(jīng)歷了十多年的發(fā)展，云計(jì)算已經(jīng)成為數(shù)字社會(huì)中連接萬物的的IT基礎(chǔ)設(shè)施，在人們生產(chǎn)生活的背后，是一朵朵看不見的“云”。同時(shí)，云安全也從當(dāng)初的一個(gè)專門方向，變成了如今融合在各個(gè)安全領(lǐng)域中的一個(gè)基礎(chǔ)能力。

　　云安全是未來產(chǎn)業(yè)的重點(diǎn)方向

　　簡(jiǎn)而言之，隨著云計(jì)算和云安全的發(fā)展，未來業(yè)界可能不再專門特指“云安全”這個(gè)概念，因?yàn)楝F(xiàn)在的安全基本都面向云環(huán)境。如亞信安全總裁陸光明去年所提出的“全云化、全連接、全智能”，傳統(tǒng)的安全問題已經(jīng)變成了云上的安全問題，不論是廠商還是用戶，都需要致力于提升云安全的能力。

　　云安全正迎來蓬勃發(fā)展的下半場(chǎng)。政策加持上，“十四五”規(guī)劃綱要提出，要“加快云操作系統(tǒng)迭代升級(jí)，推動(dòng)超大規(guī)模分布式存儲(chǔ)、彈性計(jì)算、數(shù)據(jù)虛擬隔離等技術(shù)創(chuàng)新，提高云安全水平。以混合云為重點(diǎn)培育行業(yè)解決方案、系統(tǒng)集成、運(yùn)維管理等云服務(wù)產(chǎn)業(yè)”。產(chǎn)業(yè)環(huán)境下，新基建、數(shù)字化轉(zhuǎn)型的戰(zhàn)略推動(dòng)，疫情對(duì)信息化進(jìn)程的倒逼加速，都讓云安全面臨前所未有的發(fā)展機(jī)遇。

　　云時(shí)代需重視云主機(jī)安全

　　那么，在云為核心的數(shù)字時(shí)代，業(yè)界該如何架構(gòu)自己的云防護(hù)體系？是傳統(tǒng)安全能力的遷移，還是頭疼醫(yī)頭、腳痛醫(yī)腳的被動(dòng)防護(hù)？

　　在亞信安全首席研發(fā)官吳湘寧看來，當(dāng)企業(yè)的業(yè)務(wù)已經(jīng)全云化時(shí)，虛擬機(jī)時(shí)代的防護(hù)已經(jīng)是過去式，需要用一個(gè)更高維度的視角來看待云安全，提供基于云原生的安全解決方案。云原生的解決方案從底層簡(jiǎn)單的配置管理，到全面的數(shù)據(jù)保護(hù)，是基于現(xiàn)在資源池的安全平臺(tái)所提出的解決方案，這里的關(guān)鍵就是云主機(jī)安全。

　　云主機(jī)承載著企業(yè)的大量核心業(yè)務(wù)資產(chǎn)，是云安全系統(tǒng)核心構(gòu)成，也是網(wǎng)絡(luò)安全領(lǐng)域第二道防火墻。云主機(jī)安全直接關(guān)系到虛擬化、容器和無服務(wù)器計(jì)算等的安全。云防護(hù)體系中，云主機(jī)安全至關(guān)重要。

　　Gartner提出的CWPP（Cloud Workload Protection Platform 云工作負(fù)載安全防護(hù)平臺(tái)）模型，在當(dāng)前云安全建設(shè)中被廣泛應(yīng)用，市場(chǎng)前景十分看好。根據(jù)Gartner發(fā)布的CWPP全球預(yù)測(cè)分析報(bào)告顯示，2023年，CWPP市場(chǎng)規(guī)模將達(dá)24.4億美元，年復(fù)合增長(zhǎng)率達(dá)18.8%。

　　在全云化的理念下，亞信安全的云主機(jī)深度安全防護(hù)系統(tǒng)（Deep Security，簡(jiǎn)稱DS）應(yīng)運(yùn)而生。亞信安全近日專門就最新的亞信安全云主機(jī)安全DS 20版本和媒體做了深度溝通。

　　據(jù)亞信安全副總裁劉政平介紹，亞信安全云主機(jī)安全DS 20版本，是一套專門為虛擬化、云計(jì)算和傳統(tǒng)的數(shù)據(jù)中心環(huán)境設(shè)計(jì)的安全防護(hù)軟件，全面支持VMware、華為、華三的虛擬化平臺(tái)，兼容主流云主機(jī)操作系統(tǒng)，通過病毒防護(hù)、訪問控制、入侵檢測(cè)/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)、EDR、主機(jī)加固、容器防護(hù)等功能實(shí)現(xiàn)服務(wù)器系統(tǒng)的全面防護(hù)，充分滿足了CWPP的各項(xiàng)功能。

　　哪些用戶需要云主機(jī)安全

　　云主機(jī)安全適用于哪些企業(yè)？劉政平介紹，從產(chǎn)品視角來看，首先，是私有云、行業(yè)云建設(shè)得比較好的企業(yè)，例如部署了VMware、華為、華三等私有云的客戶，同時(shí)具備私有云和公有云的混合云用戶，使用虛擬桌面的用戶，這些用戶對(duì)云主機(jī)安全有著天然的需求。

　　其次，是對(duì)合規(guī)管理有高要求的用戶。信息系統(tǒng)通?！罢l建設(shè)誰負(fù)責(zé)，誰運(yùn)營(yíng)誰負(fù)責(zé)”，等保2.0的實(shí)施對(duì)云主機(jī)和服務(wù)器提出了加固要求，加上等級(jí)保護(hù)的“通用”部分中惡意代碼防范、入侵防范，云擴(kuò)展要求中的訪問控制，這些都是云服務(wù)商和上云用戶所關(guān)心的，而云主機(jī)安全可以幫助用戶做到這些方面的合規(guī)。

　　再次，是業(yè)務(wù)連續(xù)性要求很高的用戶。例如能源、金融、醫(yī)療、廣電、制造業(yè)等用戶，業(yè)務(wù)系統(tǒng)的服務(wù)器7×24小時(shí)，365天不間斷運(yùn)營(yíng)，不能斷電，甚至不允許重啟，服務(wù)器在高度運(yùn)營(yíng)的同時(shí)要滿足安全防護(hù)要求，這時(shí)就到了亞信安全云主機(jī)安全DS 20大展身手的時(shí)刻，因?yàn)槠湎嚓P(guān)功能的安裝不需要重啟，更新也不需要重啟服務(wù)器。

　　最后是，是準(zhǔn)備或待建設(shè)有本地?cái)?shù)據(jù)中心和公有云數(shù)據(jù)中心的用戶。例如地方政府、運(yùn)營(yíng)商，都在積極進(jìn)行“云改數(shù)轉(zhuǎn)”，通過加強(qiáng)云平臺(tái)的建設(shè)，支撐政府、行業(yè)的數(shù)字化轉(zhuǎn)型，那么只有安全先行，用戶才會(huì)放心的把關(guān)鍵業(yè)務(wù)上云。

　　再?gòu)挠脩舻膶?shí)際運(yùn)營(yíng)視角來看，云上安全，最關(guān)心的痛點(diǎn)是什么？亞信安全云主機(jī)安全DS 20版本如何解決？

　　劉政平認(rèn)為，在全云化的場(chǎng)景下，病毒風(fēng)暴、掃描風(fēng)暴、業(yè)務(wù)不中斷、攻擊難溯源，是用戶最為關(guān)心的問題。

　　病毒風(fēng)暴，就像黑客帝國(guó)里的場(chǎng)景，無數(shù)的史密斯自我復(fù)制、傳播，大規(guī)模感染，耗盡主機(jī)的資源，讓數(shù)據(jù)中心癱瘓，2017年永恒之藍(lán)病毒的爆發(fā)就是類似的場(chǎng)景。這時(shí)候亞信安全云主機(jī)安全DS 20就像黑客帝國(guó)中的救世主，通過無代理病毒防護(hù)引擎，在云平臺(tái)這一層就解決安全風(fēng)險(xiǎn)，不用每臺(tái)虛擬主機(jī)都去加載一個(gè)病毒防護(hù)模塊。

　　掃描風(fēng)暴，這是一個(gè)能效比的問題。因?yàn)橹鳈C(jī)安全和業(yè)務(wù)系統(tǒng)部署在一起，用戶最關(guān)心的部署完畢不能影響生產(chǎn)業(yè)務(wù)的運(yùn)行，不能搶占業(yè)務(wù)系統(tǒng)的資源。如果幾萬臺(tái)云主機(jī)的掃描同時(shí)開啟，那么可能帶來云平臺(tái)癱瘓這種災(zāi)難性的后果。所以，亞信安全云主機(jī)安全DS 20做了很多優(yōu)化設(shè)計(jì)，如掃描排隊(duì)機(jī)制，確保主機(jī)資源合理利用。

　　業(yè)務(wù)不中斷，就像前面所說的，云安全產(chǎn)品在防護(hù)的時(shí)候不能影響業(yè)務(wù)性能。這點(diǎn)實(shí)施起來非常困難，例如發(fā)現(xiàn)了漏洞如何在不重啟服務(wù)的情況下打補(bǔ)丁？補(bǔ)丁會(huì)不會(huì)引起系統(tǒng)及應(yīng)用異常？現(xiàn)在云和云上的應(yīng)用迭代速度非常快，如何保證兼容性和穩(wěn)定性？對(duì)此，亞信安全云主機(jī)安全DS20用深度包檢測(cè)模塊（虛擬補(bǔ)?。〨PI來解決漏洞的問題，讓業(yè)務(wù)一直在線；同時(shí)，亞信安全和華為、新華三等云服務(wù)商有著高度的耦合，保持著研發(fā)的同步性和兼容性。

　　攻擊難溯源，需要解決發(fā)現(xiàn)難、溯源難的問題。如今的85%的入侵在數(shù)分鐘內(nèi)就完成，用戶往往被攻破了還尚不自知。近年來的實(shí)網(wǎng)攻防演練也越來越強(qiáng)調(diào)溯源能力，能不能找到問題的根源所在，并及時(shí)修復(fù)。這里就用到亞信安全云主機(jī)安全DS 20的云主機(jī)EDR模塊+威脅狩獵服務(wù)，從攻防視角出發(fā)，加強(qiáng)云平臺(tái)的檢測(cè)能力和響應(yīng)能力。

　　此外，還有用戶關(guān)心的等保合規(guī)問題，可以用亞信安全云主機(jī)安全DS 20的主機(jī)安全加固、資產(chǎn)管理等功能來解決。對(duì)當(dāng)前流行的挖礦病毒、勒索病毒，亞信安全云主機(jī)安全DS 20提供了相應(yīng)的云主機(jī)一體化方案。

　　面對(duì)場(chǎng)景的安全能力交付

　　不同行業(yè)對(duì)于云安全有著千變?nèi)f化的落地需求，亞信安全對(duì)應(yīng)的戰(zhàn)略是安全能力服務(wù)化、業(yè)務(wù)能力場(chǎng)景化、產(chǎn)品能力原子化。

　　安全能力服務(wù)化，據(jù)陸光明介紹，在全面進(jìn)行整體平臺(tái)和能力構(gòu)建的同時(shí)，亞信安全今年加大了攻防和安全的服務(wù)能力建設(shè)和投入，在云安全上提供越來越多的SaaS產(chǎn)品和服務(wù)，能夠更好地為企業(yè)客戶提供安全賦能。

　　業(yè)務(wù)能力場(chǎng)景化和產(chǎn)品能力原子化則是相輔相成。吳湘寧表示，亞信安全正在堅(jiān)決地把產(chǎn)品進(jìn)行原子解耦，換句話說就是打破固有產(chǎn)品的狀態(tài)，而是將產(chǎn)品中的安全能力變成一個(gè)個(gè)單獨(dú)的插件。這樣一來，不僅在產(chǎn)品研發(fā)上可以去除重復(fù)的能力，迭代更新更快，更重要的是可以打破傳統(tǒng)產(chǎn)品交付的模式，用戶可以基于自己的業(yè)務(wù)場(chǎng)景來采購(gòu)安全服務(wù)和產(chǎn)品，亞信安全則根據(jù)用戶的場(chǎng)景需求，將這些原子能力進(jìn)行整合、編排和管理，來交付一個(gè)真正適合用戶場(chǎng)景的產(chǎn)品。

　　吳湘寧強(qiáng)調(diào)，產(chǎn)品能力原子化不是一個(gè)技術(shù)問題，而是一個(gè)管理能力問題，對(duì)企業(yè)的組織管理能力和資源協(xié)調(diào)能力是很大的挑戰(zhàn)。原子能力已經(jīng)是亞信安全的特質(zhì)，亞信安全會(huì)不斷地圍繞用戶場(chǎng)景做更多、更細(xì)的能力解耦，形成面對(duì)場(chǎng)景的安全能力交付。

　　云安全的市場(chǎng)風(fēng)暴期正在到來，云主機(jī)安全是亞信安全先發(fā)的重點(diǎn)，已經(jīng)在包括運(yùn)營(yíng)商、金融、醫(yī)療、政企、高端制造業(yè)、能源和電力等多個(gè)垂直行業(yè)得到成功應(yīng)用。作為云計(jì)算發(fā)展中的越來越被重視的部分，云安全來自于云，終將融合于云，成為全云化時(shí)代中必不可少的IT基礎(chǔ)部分，前路漫漫，未來可期。