《云上安全白皮書2021》是由嘶吼安全產(chǎn)業(yè)研究院通過多方調(diào)研和專家訪談，歷時一個多月撰寫而成。本次云上安全白皮書首次引入了甲方視角，嘶吼產(chǎn)業(yè)研究院在會上解讀表示，2021年云上安全市場即將突破百億大關(guān)，盈利模式也從單純的賣產(chǎn)品和賣“人頭”開始向更多資本側(cè)、渠道側(cè)和經(jīng)濟型盈利模式側(cè)傾斜，未來云上安全的高速發(fā)展趨勢勢不可擋。

　　提升資源利用率、降低成本是混合云大勢所趨背后的主要原因

　　云計算是我國新基建重要戰(zhàn)略之一，是5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)的新基座，也是數(shù)字化轉(zhuǎn)型的必然趨勢；云計算概念于2006年首次提出，經(jīng)歷了形成、發(fā)展到廣泛應用階段。根據(jù)不同行業(yè)、不同應用需求形成公有云、私有云、專有云以及混合云，并在政務辦公、警務、醫(yī)療、教育等行業(yè)落地生根。

　　隨著用戶業(yè)務增多，單一私有云或公有云已經(jīng)無法滿足用戶對業(yè)務的發(fā)展需求，比如，在業(yè)務訪問高峰期需要快速擴容來保障業(yè)務訪問的穩(wěn)定性，而在業(yè)務低谷期又需要快速回收資源以節(jié)省開支，顯然，單一的私有云環(huán)境很難實現(xiàn)資源的快速擴容和回收，這時候?qū)⒋祟悩I(yè)務部署在公有云上無疑是最佳實踐，既能保障業(yè)務訪問的連續(xù)性、穩(wěn)定性，又能實現(xiàn)資源快速回收，節(jié)省開支，在短時間內(nèi)實現(xiàn)擴容；此外，面對數(shù)據(jù)具有強合規(guī)、為保障數(shù)據(jù)的安全性，可以將前后端分離，前端部署在公有云、后端核心數(shù)據(jù)部署在私有云，通過云網(wǎng)聯(lián)動實現(xiàn)數(shù)據(jù)的交互，既能保障業(yè)務訪問的連續(xù)性，又能保證數(shù)據(jù)的安全性，通過私有云、行業(yè)云、公有云等多云并來適應新的業(yè)務發(fā)展，找到部署應用程序的“最佳執(zhí)行地點”，既能提供業(yè)務訪問最佳性能、業(yè)務部署靈活性，又能保障業(yè)務數(shù)據(jù)的安全性、可靠性以及對數(shù)據(jù)的強大控制力。

　　混合云面臨的威脅與挑戰(zhàn)

　　云計算作為數(shù)字經(jīng)濟轉(zhuǎn)型的新底座，云計算安全是保障業(yè)務穩(wěn)定、可靠運行的先決條件，混合云架構(gòu)下安全有兩個方面的問題，1、業(yè)務從傳統(tǒng)物理機房遷移到云計算環(huán)境的共性問題，以及在混合云架構(gòu)下引生出的安全一致性、統(tǒng)一管理的問題。

　　在傳統(tǒng)單體建設模式下從物理安全、網(wǎng)絡安全、主機安全、應用安全及數(shù)據(jù)安全的安全責任主體和安全使用主體都是同一主體；而在云計算模式下，按服務模式不同，責任主體邊界不同。另外，安全防護的思路上單體建設模式下可以通過在邊界部署安全設備來保障內(nèi)網(wǎng)安全，基于流量對攻擊進行檢測，分區(qū)分域來實現(xiàn)不同等級之間的差異化防護，而業(yè)務上云之后，計算虛擬化、存儲虛擬化和網(wǎng)絡虛擬化、資源集中化引生出邊界不固定，無法按照物理區(qū)域劃分，導致了采用物理設備隔離和檢測的思想無法實現(xiàn)。

　　在混合云架構(gòu)下，當業(yè)務工作負載從私有云遷移到公有云時，如何保障在不同云計算環(huán)境之間遷移時，安全防護策略的一致性，多云之間的業(yè)務數(shù)據(jù)流轉(zhuǎn)如何去保障安全性，以及多云之間的安全事件如何統(tǒng)一管理、統(tǒng)一運維以此來發(fā)現(xiàn)潛在的安全威脅。

　　混合云安全防護整體架構(gòu)

　　混合云的安全建設首先要遵循國家標準規(guī)范，先明確安全責任主體和安全等級劃分，根據(jù)不同的責任主體和不同的業(yè)務構(gòu)建安全體系，云安全防護體系分為五大部分：云平臺安全通信網(wǎng)絡、云平臺安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全運維/服務體系。

　　此外，安全是一個體系化建設過程，應從安全管理、安全建設和安全運維等維度進行考量，在保障平臺通用安全、平臺虛擬化安全及租戶安全的同時，還應該提供持續(xù)的安全監(jiān)控和運維保障，通過產(chǎn)品+服務方式構(gòu)建安全閉環(huán)，實現(xiàn)云從建設到運營、從事前到事后構(gòu)建全生命周期的安全防護體系。

　　天融信混合云安全防護架構(gòu)助力云上安全

　　天融信針對公有云、私有云及專有云等混合云架構(gòu)，提出了云計算環(huán)境4層縱深防御體系，將云計算環(huán)境劃分為物理邊界層，云虛擬邊界層、云虛擬化層和云主機層等4個層面，而面對公有云、私有云及專有云等不同的云計算應用場景，針對云平臺方和云租戶提供對應的安全能力；同時針對不同云計算場景下的安全能力通過云安全管理中心實現(xiàn)統(tǒng)一納管，統(tǒng)一運維，以此實現(xiàn)混合云架構(gòu)下的安全策略一致性、安全統(tǒng)一管理。

　　在傳統(tǒng)的物理邊界層，采用傳統(tǒng)的安全設備，解決邊界訪問控制、入侵攻擊、漏洞攻擊、流量攻擊等安全問題，有效實現(xiàn)物理邊界安全防護；針對云上多租戶之間的安全隔離以及租戶云內(nèi)差異化安全建設需求，提供云安全資源池及公有云原生安全能力，進行縱向防護、橫向隔離，靈活解決不同租戶之間的安全隔離和差異化防護需求；針對云內(nèi)虛擬機之間的流量隔離和流量可視化，采用無代理微隔離防火墻打造基于虛擬化層的隔離，有效預防安全威脅在虛擬機之間橫向傳播；針對云主機的惡意代碼攻擊、漏洞利用攻擊，采用輕代理的EDR、自適應主機安全產(chǎn)品，能夠更精準、更準確的實現(xiàn)全生命周期防護，那么通過分層設計、分層防護的思想，構(gòu)建縱深防御體系，能夠抵御來自各個層面的攻擊。

　　公有云原生安全。公有云方面，天融信針對公有云上云租戶提供安全賦能，通過安全生態(tài)的建設，比如將安全能力融入到阿里公有云上，為租戶提供安全服務。天融信作為國最早做網(wǎng)絡安全的廠商之一，產(chǎn)品體系相對完善，可以提供從網(wǎng)絡、主機、應用、數(shù)據(jù)等維度提供安全保障，實現(xiàn)公有云上租戶業(yè)務的全生命周期防護。

　　私有云平臺內(nèi)部東西向防護設計—微隔離。針對私有云/專有云，云平臺內(nèi)東西向的安全防護，天融信采用的是虛擬化分布式防火墻進行實現(xiàn)，目前這款產(chǎn)品是國內(nèi)首家獲得VMware Ready認證的產(chǎn)品，也是國內(nèi)首個適配并應用信創(chuàng)云環(huán)境的產(chǎn)品。通過與各大云平臺緊耦合對接，可根據(jù)租戶網(wǎng)絡、業(yè)務應用、使用環(huán)境及應用端口等不同屬性、不同等級進行個性化安全策略制定、動態(tài)調(diào)整，讓安全更貼近業(yè)務，將業(yè)務流量按不同層級實現(xiàn)可視化梳理，有效保障云平臺虛擬網(wǎng)絡安全。

　　私有云虛擬化邊界南北向防護設計——安全資源池。天融信安全資源池產(chǎn)品內(nèi)置十多種安全能力，租戶可根據(jù)安全防護需求進行按需購買，實現(xiàn)差異化防護，租戶可按等級保護合規(guī)需求，從安全通信網(wǎng)絡、安全區(qū)域邊界、安全技術(shù)環(huán)境等幾個維度通過可視化流量編排技術(shù)，實現(xiàn)訪問控制、通信傳輸、邊界防護、入侵防范、安全審計等安全防護措施，完美滿足等保合規(guī)管理條例。目前這款產(chǎn)品是國內(nèi)首家應用信創(chuàng)政務云，同時支持IPv6的數(shù)據(jù)存放的產(chǎn)品。

　　混合云API網(wǎng)關(guān)?；旌显茦?gòu)架下如何實現(xiàn)多云數(shù)據(jù)安全？API網(wǎng)關(guān)能夠幫助用戶解決應用API接口對外提供服務過程中惡意訪問、SQL注入、DDOS攻擊等安全問題。同時，API網(wǎng)關(guān)作為零信任架構(gòu)體系中重要一環(huán)，對訪問者身份認證進行控制。

　　容器云安全是天融信未來發(fā)展的方向。容器安全防護系統(tǒng)是天融信基于容器全生命周期防護理念推出的一款容器防護產(chǎn)品。產(chǎn)品以容器環(huán)境安全、容器鏡像安全、容器網(wǎng)絡安全、工作負載安全四個維度為切入點，通過建立從主機層到容器應用層的縱深防御體系，確保容器環(huán)境中業(yè)務系統(tǒng)安全可靠運行。

　　多云混合云架構(gòu)下提的比較多的是云主機工作負載安全。天融信構(gòu)建以云工作負載保護平臺為核心，集預測、防御、檢測和響應一體的自適應安全防護體系，通過加強監(jiān)測和響應能力以及持續(xù)的監(jiān)控和分析，及時應對新威脅、調(diào)整安全策略、將安全能力賦能到云主機。相對于防御和應急響應的安全防御體系，自適應安全防護理念面對云主機安全貫穿從信息收集、網(wǎng)絡入侵、提升權(quán)限、內(nèi)網(wǎng)滲透、安裝后門及清除痕跡等整個攻擊過程，有效應對復雜的高級持續(xù)威脅。

　　混合云安全管理。天融信可以做到通過混合云安全管理中心實現(xiàn)用戶安全購買，通過租戶管理模式開通線上申請。

　　按需購買。針對不同的應用場景，天融信提供通用的應用場景解決方案，如基礎(chǔ)安全、安全運維、網(wǎng)絡安全、等級保護等。用戶側(cè)可以通過按需購買方式一鍵開通安全服務，快速保證自身業(yè)務安全。

　　混合云安全中臺—云網(wǎng)安全態(tài)勢。安全作為保障業(yè)務安全的前提，云計算安全應為云服務方和云服務客戶提供安全可視化能力。天融信面對云服務商及云服務客戶提供安全事件態(tài)勢、安全運營態(tài)勢、安全組件態(tài)勢，全面感知云內(nèi)安全風險，保障安全可用性、安全可靠性和完整性。

　　混合云安全方案總結(jié)

　　天融信整體云安全解決方案分為四個部分：縱深防御，全面覆蓋，解決云平臺各層防護需求；面向云平臺安全建設，防止風險進入云平臺；在云平臺內(nèi)部采用微隔離、微分段技術(shù)實現(xiàn)云平臺內(nèi)安全防護；集中安全管理，實現(xiàn)多云混合云架構(gòu)下統(tǒng)一管理、統(tǒng)一運維、安全態(tài)勢集中展示。

　　通過產(chǎn)品和服務方式構(gòu)建安全能力閉環(huán)，提供持續(xù)的安全監(jiān)控和運維保障，實現(xiàn)混合云從設計、建設到運營生命周期內(nèi)的全覆蓋，為云上業(yè)務保駕護航，為企業(yè)的數(shù)字化轉(zhuǎn)型提動態(tài)防御、彈性擴展、集中監(jiān)測的新動能。