《云上安全白皮書2021》是由嘶吼安全產(chǎn)業(yè)研究院通過多方調(diào)研和專家訪談，歷時(shí)一個(gè)多月撰寫而成。本次云上安全白皮書首次引入了甲方視角，嘶吼產(chǎn)業(yè)研究院在會(huì)上解讀表示，2021年云上安全市場(chǎng)即將突破百億大關(guān)，盈利模式也從單純的賣產(chǎn)品和賣“人頭”開始向更多資本側(cè)、渠道側(cè)和經(jīng)濟(jì)型盈利模式側(cè)傾斜，未來云上安全的高速發(fā)展趨勢(shì)勢(shì)不可擋。

　　提升資源利用率、降低成本是混合云大勢(shì)所趨背后的主要原因

　　云計(jì)算是我國新基建重要戰(zhàn)略之一，是5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)的新基座，也是數(shù)字化轉(zhuǎn)型的必然趨勢(shì)；云計(jì)算概念于2006年首次提出，經(jīng)歷了形成、發(fā)展到廣泛應(yīng)用階段。根據(jù)不同行業(yè)、不同應(yīng)用需求形成公有云、私有云、專有云以及混合云，并在政務(wù)辦公、警務(wù)、醫(yī)療、教育等行業(yè)落地生根。

　　隨著用戶業(yè)務(wù)增多，單一私有云或公有云已經(jīng)無法滿足用戶對(duì)業(yè)務(wù)的發(fā)展需求，比如，在業(yè)務(wù)訪問高峰期需要快速擴(kuò)容來保障業(yè)務(wù)訪問的穩(wěn)定性，而在業(yè)務(wù)低谷期又需要快速回收資源以節(jié)省開支，顯然，單一的私有云環(huán)境很難實(shí)現(xiàn)資源的快速擴(kuò)容和回收，這時(shí)候?qū)⒋祟悩I(yè)務(wù)部署在公有云上無疑是最佳實(shí)踐，既能保障業(yè)務(wù)訪問的連續(xù)性、穩(wěn)定性，又能實(shí)現(xiàn)資源快速回收，節(jié)省開支，在短時(shí)間內(nèi)實(shí)現(xiàn)擴(kuò)容；此外，面對(duì)數(shù)據(jù)具有強(qiáng)合規(guī)、為保障數(shù)據(jù)的安全性，可以將前后端分離，前端部署在公有云、后端核心數(shù)據(jù)部署在私有云，通過云網(wǎng)聯(lián)動(dòng)實(shí)現(xiàn)數(shù)據(jù)的交互，既能保障業(yè)務(wù)訪問的連續(xù)性，又能保證數(shù)據(jù)的安全性，通過私有云、行業(yè)云、公有云等多云并來適應(yīng)新的業(yè)務(wù)發(fā)展，找到部署應(yīng)用程序的“最佳執(zhí)行地點(diǎn)”，既能提供業(yè)務(wù)訪問最佳性能、業(yè)務(wù)部署靈活性，又能保障業(yè)務(wù)數(shù)據(jù)的安全性、可靠性以及對(duì)數(shù)據(jù)的強(qiáng)大控制力。

　　混合云面臨的威脅與挑戰(zhàn)

　　云計(jì)算作為數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的新底座，云計(jì)算安全是保障業(yè)務(wù)穩(wěn)定、可靠運(yùn)行的先決條件，混合云架構(gòu)下安全有兩個(gè)方面的問題，1、業(yè)務(wù)從傳統(tǒng)物理機(jī)房遷移到云計(jì)算環(huán)境的共性問題，以及在混合云架構(gòu)下引生出的安全一致性、統(tǒng)一管理的問題。

　　在傳統(tǒng)單體建設(shè)模式下從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全及數(shù)據(jù)安全的安全責(zé)任主體和安全使用主體都是同一主體；而在云計(jì)算模式下，按服務(wù)模式不同，責(zé)任主體邊界不同。另外，安全防護(hù)的思路上單體建設(shè)模式下可以通過在邊界部署安全設(shè)備來保障內(nèi)網(wǎng)安全，基于流量對(duì)攻擊進(jìn)行檢測(cè)，分區(qū)分域來實(shí)現(xiàn)不同等級(jí)之間的差異化防護(hù)，而業(yè)務(wù)上云之后，計(jì)算虛擬化、存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化、資源集中化引生出邊界不固定，無法按照物理區(qū)域劃分，導(dǎo)致了采用物理設(shè)備隔離和檢測(cè)的思想無法實(shí)現(xiàn)。

　　在混合云架構(gòu)下，當(dāng)業(yè)務(wù)工作負(fù)載從私有云遷移到公有云時(shí)，如何保障在不同云計(jì)算環(huán)境之間遷移時(shí)，安全防護(hù)策略的一致性，多云之間的業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)如何去保障安全性，以及多云之間的安全事件如何統(tǒng)一管理、統(tǒng)一運(yùn)維以此來發(fā)現(xiàn)潛在的安全威脅。

　　混合云安全防護(hù)整體架構(gòu)

　　混合云的安全建設(shè)首先要遵循國家標(biāo)準(zhǔn)規(guī)范，先明確安全責(zé)任主體和安全等級(jí)劃分，根據(jù)不同的責(zé)任主體和不同的業(yè)務(wù)構(gòu)建安全體系，云安全防護(hù)體系分為五大部分：云平臺(tái)安全通信網(wǎng)絡(luò)、云平臺(tái)安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全運(yùn)維/服務(wù)體系。

　　此外，安全是一個(gè)體系化建設(shè)過程，應(yīng)從安全管理、安全建設(shè)和安全運(yùn)維等維度進(jìn)行考量，在保障平臺(tái)通用安全、平臺(tái)虛擬化安全及租戶安全的同時(shí)，還應(yīng)該提供持續(xù)的安全監(jiān)控和運(yùn)維保障，通過產(chǎn)品+服務(wù)方式構(gòu)建安全閉環(huán)，實(shí)現(xiàn)云從建設(shè)到運(yùn)營、從事前到事后構(gòu)建全生命周期的安全防護(hù)體系。

　　天融信混合云安全防護(hù)架構(gòu)助力云上安全

　　天融信針對(duì)公有云、私有云及專有云等混合云架構(gòu)，提出了云計(jì)算環(huán)境4層縱深防御體系，將云計(jì)算環(huán)境劃分為物理邊界層，云虛擬邊界層、云虛擬化層和云主機(jī)層等4個(gè)層面，而面對(duì)公有云、私有云及專有云等不同的云計(jì)算應(yīng)用場(chǎng)景，針對(duì)云平臺(tái)方和云租戶提供對(duì)應(yīng)的安全能力；同時(shí)針對(duì)不同云計(jì)算場(chǎng)景下的安全能力通過云安全管理中心實(shí)現(xiàn)統(tǒng)一納管，統(tǒng)一運(yùn)維，以此實(shí)現(xiàn)混合云架構(gòu)下的安全策略一致性、安全統(tǒng)一管理。

　　在傳統(tǒng)的物理邊界層，采用傳統(tǒng)的安全設(shè)備，解決邊界訪問控制、入侵攻擊、漏洞攻擊、流量攻擊等安全問題，有效實(shí)現(xiàn)物理邊界安全防護(hù)；針對(duì)云上多租戶之間的安全隔離以及租戶云內(nèi)差異化安全建設(shè)需求，提供云安全資源池及公有云原生安全能力，進(jìn)行縱向防護(hù)、橫向隔離，靈活解決不同租戶之間的安全隔離和差異化防護(hù)需求；針對(duì)云內(nèi)虛擬機(jī)之間的流量隔離和流量可視化，采用無代理微隔離防火墻打造基于虛擬化層的隔離，有效預(yù)防安全威脅在虛擬機(jī)之間橫向傳播；針對(duì)云主機(jī)的惡意代碼攻擊、漏洞利用攻擊，采用輕代理的EDR、自適應(yīng)主機(jī)安全產(chǎn)品，能夠更精準(zhǔn)、更準(zhǔn)確的實(shí)現(xiàn)全生命周期防護(hù)，那么通過分層設(shè)計(jì)、分層防護(hù)的思想，構(gòu)建縱深防御體系，能夠抵御來自各個(gè)層面的攻擊。

　　公有云原生安全。公有云方面，天融信針對(duì)公有云上云租戶提供安全賦能，通過安全生態(tài)的建設(shè)，比如將安全能力融入到阿里公有云上，為租戶提供安全服務(wù)。天融信作為國最早做網(wǎng)絡(luò)安全的廠商之一，產(chǎn)品體系相對(duì)完善，可以提供從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等維度提供安全保障，實(shí)現(xiàn)公有云上租戶業(yè)務(wù)的全生命周期防護(hù)。

　　私有云平臺(tái)內(nèi)部東西向防護(hù)設(shè)計(jì)—微隔離。針對(duì)私有云/專有云，云平臺(tái)內(nèi)東西向的安全防護(hù)，天融信采用的是虛擬化分布式防火墻進(jìn)行實(shí)現(xiàn)，目前這款產(chǎn)品是國內(nèi)首家獲得VMware Ready認(rèn)證的產(chǎn)品，也是國內(nèi)首個(gè)適配并應(yīng)用信創(chuàng)云環(huán)境的產(chǎn)品。通過與各大云平臺(tái)緊耦合對(duì)接，可根據(jù)租戶網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用、使用環(huán)境及應(yīng)用端口等不同屬性、不同等級(jí)進(jìn)行個(gè)性化安全策略制定、動(dòng)態(tài)調(diào)整，讓安全更貼近業(yè)務(wù)，將業(yè)務(wù)流量按不同層級(jí)實(shí)現(xiàn)可視化梳理，有效保障云平臺(tái)虛擬網(wǎng)絡(luò)安全。

　　私有云虛擬化邊界南北向防護(hù)設(shè)計(jì)——安全資源池。天融信安全資源池產(chǎn)品內(nèi)置十多種安全能力，租戶可根據(jù)安全防護(hù)需求進(jìn)行按需購買，實(shí)現(xiàn)差異化防護(hù)，租戶可按等級(jí)保護(hù)合規(guī)需求，從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全技術(shù)環(huán)境等幾個(gè)維度通過可視化流量編排技術(shù)，實(shí)現(xiàn)訪問控制、通信傳輸、邊界防護(hù)、入侵防范、安全審計(jì)等安全防護(hù)措施，完美滿足等保合規(guī)管理?xiàng)l例。目前這款產(chǎn)品是國內(nèi)首家應(yīng)用信創(chuàng)政務(wù)云，同時(shí)支持IPv6的數(shù)據(jù)存放的產(chǎn)品。

　　混合云API網(wǎng)關(guān)?；旌显茦?gòu)架下如何實(shí)現(xiàn)多云數(shù)據(jù)安全？API網(wǎng)關(guān)能夠幫助用戶解決應(yīng)用API接口對(duì)外提供服務(wù)過程中惡意訪問、SQL注入、DDOS攻擊等安全問題。同時(shí)，API網(wǎng)關(guān)作為零信任架構(gòu)體系中重要一環(huán)，對(duì)訪問者身份認(rèn)證進(jìn)行控制。

　　容器云安全是天融信未來發(fā)展的方向。容器安全防護(hù)系統(tǒng)是天融信基于容器全生命周期防護(hù)理念推出的一款容器防護(hù)產(chǎn)品。產(chǎn)品以容器環(huán)境安全、容器鏡像安全、容器網(wǎng)絡(luò)安全、工作負(fù)載安全四個(gè)維度為切入點(diǎn)，通過建立從主機(jī)層到容器應(yīng)用層的縱深防御體系，確保容器環(huán)境中業(yè)務(wù)系統(tǒng)安全可靠運(yùn)行。

　　多云混合云架構(gòu)下提的比較多的是云主機(jī)工作負(fù)載安全。天融信構(gòu)建以云工作負(fù)載保護(hù)平臺(tái)為核心，集預(yù)測(cè)、防御、檢測(cè)和響應(yīng)一體的自適應(yīng)安全防護(hù)體系，通過加強(qiáng)監(jiān)測(cè)和響應(yīng)能力以及持續(xù)的監(jiān)控和分析，及時(shí)應(yīng)對(duì)新威脅、調(diào)整安全策略、將安全能力賦能到云主機(jī)。相對(duì)于防御和應(yīng)急響應(yīng)的安全防御體系，自適應(yīng)安全防護(hù)理念面對(duì)云主機(jī)安全貫穿從信息收集、網(wǎng)絡(luò)入侵、提升權(quán)限、內(nèi)網(wǎng)滲透、安裝后門及清除痕跡等整個(gè)攻擊過程，有效應(yīng)對(duì)復(fù)雜的高級(jí)持續(xù)威脅。

　　混合云安全管理。天融信可以做到通過混合云安全管理中心實(shí)現(xiàn)用戶安全購買，通過租戶管理模式開通線上申請(qǐng)。

　　按需購買。針對(duì)不同的應(yīng)用場(chǎng)景，天融信提供通用的應(yīng)用場(chǎng)景解決方案，如基礎(chǔ)安全、安全運(yùn)維、網(wǎng)絡(luò)安全、等級(jí)保護(hù)等。用戶側(cè)可以通過按需購買方式一鍵開通安全服務(wù)，快速保證自身業(yè)務(wù)安全。

　　混合云安全中臺(tái)—云網(wǎng)安全態(tài)勢(shì)。安全作為保障業(yè)務(wù)安全的前提，云計(jì)算安全應(yīng)為云服務(wù)方和云服務(wù)客戶提供安全可視化能力。天融信面對(duì)云服務(wù)商及云服務(wù)客戶提供安全事件態(tài)勢(shì)、安全運(yùn)營態(tài)勢(shì)、安全組件態(tài)勢(shì)，全面感知云內(nèi)安全風(fēng)險(xiǎn)，保障安全可用性、安全可靠性和完整性。

　　混合云安全方案總結(jié)

　　天融信整體云安全解決方案分為四個(gè)部分：縱深防御，全面覆蓋，解決云平臺(tái)各層防護(hù)需求；面向云平臺(tái)安全建設(shè)，防止風(fēng)險(xiǎn)進(jìn)入云平臺(tái)；在云平臺(tái)內(nèi)部采用微隔離、微分段技術(shù)實(shí)現(xiàn)云平臺(tái)內(nèi)安全防護(hù)；集中安全管理，實(shí)現(xiàn)多云混合云架構(gòu)下統(tǒng)一管理、統(tǒng)一運(yùn)維、安全態(tài)勢(shì)集中展示。

　　通過產(chǎn)品和服務(wù)方式構(gòu)建安全能力閉環(huán)，提供持續(xù)的安全監(jiān)控和運(yùn)維保障，實(shí)現(xiàn)混合云從設(shè)計(jì)、建設(shè)到運(yùn)營生命周期內(nèi)的全覆蓋，為云上業(yè)務(wù)保駕護(hù)航，為企業(yè)的數(shù)字化轉(zhuǎn)型提動(dòng)態(tài)防御、彈性擴(kuò)展、集中監(jiān)測(cè)的新動(dòng)能。