压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：北京安數云信息技術有限公司是云與大數據安全整體解決方案及服務提供商。本文將分享全球領先的云安全技術、云端安全解決方案，以及安數云獨創的云端安全問題解決思路。圍繞各企業、各行業當前面臨的云端安全問題和挑戰；云安全和傳統安全的區別；云端安全整體防護思路等，從技術層面和設計思路層面，深入分析如何防護及保障公有云、私有云中租戶與用戶的全方位安全。

徐鋒????安數云CTO

一、云安全面臨的挑戰

（一）云安全形勢-復雜嚴峻

國內的云計算產業如火如荼，特別是去年工信部印發了《云計算發展的三年行動計劃》，推進“政務上云”“企業上云”，國內的云計算發展特別迅速，各大政務云、公有云的發展非常迅猛。剛剛邵總工程師提到網絡安全面臨的威脅在不斷提升，曝露出很多國家隊的身影。特別是去年NASA網絡攻擊庫的泄漏，導致網絡工具的武器化。我們面臨的安全形勢非常嚴峻。

云上的業務和數據越來越重要、我們面臨的形勢和安全威脅越來越嚴峻，都是有組織、有背景，甚至有國家支持的威脅。

（二）云安全標準-還需完善

今天上午，有領導介紹云安全標準。我們關注度比較高的安全標準是等保2.0推出以后的云擴展要求。這個要求分為兩個部分，第一部分是對云平臺自身的安全要求，第二部分是我們對云租戶的安全要求。這些標準在不斷完善。有很多國外標準也可以參考。云安全領域的基本標準，或者是網絡安全領域的基本標準還沒有完善。比如，不同安全廠家的設備，最簡單的防火墻，每個廠家的配置界面、配置命令都是不一樣的。在云計算的環境下，假設用戶想進行統一管控是沒有任何參照標準的。在云安全領域缺乏安全的技術標準。

（三）安全技術-面臨的挑戰

1.安全邊界的模糊化。云的底層基本上都是虛擬化的，虛擬化和云模式下的安全邊界已經變得越來越模糊。比如，在同一臺物理主機上，可能有甲方的業務，又有乙方的業務，中間就會存在隔離的問題。虛機、資源都是動態變化的，有可能今天在A服務器上跑，明天A服務器出了故障，根據云計算的特點，它會自動遷移到另外的服務器上。這使得傳統的安全防護手段沒辦法很好的防護。

2.安全需求的個性化。云平臺上不同的租戶的安全需求是不一樣的。比如，門戶網站特別關心Web類的安全，像篡改、跨站的攻擊；有些是視頻類的站點，會更多關注業務可用性方面的需求。新的云計算模式下的安全特別要滿足個性化的安全需求。

3.防護需求的多變化。云平臺是具有彈性的，今天的資源有5個虛機在工作，某一天要搞一個秒殺活動，可能需要100臺機器來支撐。聯想到安全防護設備，如果它的性能還是按照傳統模式，你只能配置支持100臺，或者更高流量的處理能力的設備來滿足防護需求。秒殺活動過去以后，這部分資源就會浪費掉。新的云防護就需要滿足多變化的需求。

4.云等保的合規性。等保的合規性主要是通過兩個方面，一是云平臺本身的安全。二是租戶的安全，租戶也有等級保護的要求。

二、云安全解決方案

（一）云安全解決方案—安全服務數據中心理念

去年，安數云首次在業界提出了安全服務中心這一理念，這個理念由五大能力組成。

1.安全服務標準化能力?？梢云帘尾煌瑥S家的安全產品的差異性。做過運維自動化的同事會知道，特別是網絡運維自動化，華為、思科、H3C的配置都是不一樣的，如何屏蔽它的差異性呢？這需要有一個標準的中間件來做適配。在云計算安全的情況下，必須定義相關的標準和能力，不同的防火墻產生的日志是不同的，我們需要有不同廠家的WAF，或者是不同廠家的路掃、不同廠家的審計產生的標準都是不一樣的。我們首先要把安全服務能力標準化作為中間層進行適配。

2.安全服務多樣化能力。不僅要有自己的安全產品，包括像基礎的防火墻、WAF、數據庫審計，還要囊括進第三方的安全虛擬資源池。

3.威脅識別能力。全天候7×24小時不間斷的把云平臺上產生的流量、用戶行為、安全產品產生的事件日志、告警日志進行統一的大數據分析，分析結果可以指導自動的安全資源編排引擎。

4.自動編排能力?？梢詫⒘鹘浀陌踩{流量通過不同的自定義的安全防護手段，滿足用戶需求。

5.動態彈性伸縮能力。剛剛我講到支持秒殺的動態資源擴充，提升安全防護能力。動態擴充一般要支持橫向和縱向，橫向可以起多個安全防護設備，把不同的流量導向到多個安全資源池。縱向的可以對單個虛擬安全設備進行調整。

我們的目標是通過我們的努力實現使用安全資源就像使用云資源一樣方便。我們是通過軟件定義流量、完成定義資源、軟件定義威脅，建立起動態的閉環的軟件定義的云安全服務體系。給用戶帶來的價值就是使得云安全防護變得非常簡單、敏捷、合規，將業務和安全解耦，實現安全操作。敏捷可以通過動態的資源伸縮、自動編排等能力來實現。

在云模式下，很多區域都被虛擬化，通過虛擬安全設備來隔離。通過安全服務數據中心，可以把復雜的硬件資源全部囊括到擎安池里面，部署會特別簡單。

（二）云安全解決方案-擎安池云安全防護平臺總體架構圖

底層是基礎云平臺，我們自己的擎安云用于存載上一層的安全資源，一層的安全資源可以分為通信層的安全、邊界層的安全、主機層的安全、內容層的安全，每個層面都有安全組件來滿足用戶需求。

上一層是態勢感知層，主要是針對不同設備產生的日志、流量、不同的威脅情報庫，基于大數據的威脅建模來做態勢感知。給用戶提供安全門戶、安全服務。需要邊界安全服務的可以自動生成安全資源，這一塊的門戶可以跟第三方的云平臺進行融合。對最終用戶來講，可以通過安全門戶來實現。

（三）私有云場景部署圖

最下面是擎安池的簡單原形，它的核心是導流引擎。我們主要用到了SDAS技術，這張圖的兩邊是針對虛擬環境的部署，左邊描述的是同一臺物理機的虛擬化環境、云環境。在沒有部署擎安池的情況下，所有流量都在虛擬機內部交換掉。我要做東西向隔離的流量只能在主機上做，通過主機的防火墻來實現，這樣做起來會比較復雜。架構了擎安池以后，首先我們會把SDN結合起來的策略發到軟交換區，對虛擬機的流量進行導出。所有需要防護的流量可以從VM里面導出以后，經過導流引擎，送到安全防護資源池。通過安全清洗以后，再把安全流量返回到VM，這樣可以實現比較靈活的部署方案。這也是用戶比較關心的隔離東西向流量，可以實現虛擬機縱深防御的部署圖。

（四）云安全服務鏈

不同的租戶有不同的安全服務需求，我們的引擎控制器可以定義，A租戶需要防火墻，導流引擎可以通過防火墻防護經過它的流量，再轉發出去。B租戶可能需要行為審計和防火墻，導流引擎可以把流量導到兩個虛擬資源設備上。租戶3和租戶4都可以實現自定義的流量導入和安全防護，實現縱深的安全防護。

我們還可以做很多事情?？梢愿鶕I務進行導流。原來物理安全防護是通過IP和端口，可以區分流量，在同一個主機上的視頻業務流量可以不通過安全設備的清洗，提高防護效率。

（五）云安全解決方案-公有云場景部署圖

我們已經跟部分的公有云平臺廠家實現了API的對接。

（六）云安全解決方案-擎安池特色及優勢

1.統一安全管理。不同設備的單點登錄、統一配置、統一導流、統一管理。

2.統一數據分析。對不同的安全日志統一進行基于大數據的態勢感知。

3.服務按需交付。根據用戶預定義的資源進行統一交付，而且可以是自動化的。

4.自動化安全部署。

5.安全合規。可以很好的滿足等保2.0的等級保護要求，可以對技術平臺進行防護，不同的租戶可以實現不同的防護需求。

6.彈性擴容。支持橫向、縱向的彈性擴容。導流引擎可以把流量分成多個流量，原IP不同、目的IP相同，可以導流到多個虛擬安全設備上，實現虛擬安全設備的負載均衡，整體實現橫向的擴展。

7.租戶隔離。實現東西向流量的保護。

8.安全可視化。在系統平臺中可以看到整體的虛擬環境、物理環境的安全拓撲，風險威脅可視。

三、云安全成功案例

（一）滿足云等保安全需求，落實縱深安全防護

等保2.0的云擴展要求首先對平臺自身提出了安全要求，包括通信安全、邊界安全、主機安全、內容安全。租戶同樣要實現等保，A租戶實現二級，B租戶實現三級，不同的業務需要不同的安全防護手段和防護設備來提供支持。每一個云防護之間都可以相互隔離，都有自己的管控界面。

（二）運營商：幫助運營商搭建安全服務平臺，為用戶的云提供安全服務

云提供商要滿足安全合規、安全縱深防護的要求。原來的防火墻設備是用于保障云平臺自身的安全防護需求。通過部署兩套擎安池，實現租戶自助的安全防護需求。對客戶來說，滿足了等保合規的要求、保障租戶的云安全、安全責任更加清晰、降低運維成本，租戶關心自己的業務安全、虛擬機的安全，云服務商滿足云平臺的安全，安全責任劃分的比較清晰。運營商還可以通過對租戶提供安全服務來增加收入。

（三）某信息中心-業務與安全解耦

原來在出口串了很多安全設備，最開始是防火墻、IPS、WAF，整個架構特別復雜，而且很容易出現安全問題、單點故障。通過跟用戶交流，原來的安全設備挪到其他地方，整個出口和入口用兩套擎安池代替。所有業務實現動態的彈性的縱深防護，讓用戶的運維變得非常簡單。

（四）某單位信息安全實驗室-動態敏捷

這個單位的內部需要不同的安全研究平臺，需要有靶基和防護設備，不同的學生的資源要求也不一樣，我們提供了擎安云、擎安池一整套平臺。

? 四、安數云發展之道

安數云成立于2008年，最近兩年開始發力，推出了很多安全解決方案和安全產品。特別是這兩年比較火的安全導流技術、SDN技術相對成熟以后推出了云平臺防護系統擎安池。去年成立了物聯網安全研究實驗室。

公司產品核心是以基于SDS的云池為主的四個產品系列，我們稱之為新、防、查、態。“新”主要是在新的主流大會上提出的新的安全解決方案，像RAS防火墻、基于零規則的防火墻、Web防火墻。防護方面我們有WAF。查的方面我們有綜合安全評估檢查系統，包括網站的、數據庫的等等一系列產品。最后是大數據的態勢感知。