自從Google在2006年公開提出云計算的概念以來，已經(jīng)過了13年的時間。隨著業(yè)務上云的熱潮席卷全球，越來越多的企業(yè)對云安全的認知，從最初的顧忌和恐慌，轉(zhuǎn)變?yōu)槊つ康男湃魏鸵蕾嚒?/p>

然而，云計算并非企業(yè)安全的革命，云實例與我們的臺式機或獨立服務器其實運行著相同的操作系統(tǒng)。因此，數(shù)據(jù)上云依舊面臨著來自硬件漏洞的威脅，服務商偷窺、工作人員不可控、安全布控成本增加等新問題也逐步體現(xiàn)。

隨著云計算技術廣泛普及，云安全問題日益受到重視，云安全市場持續(xù)快速增長。在這里，雷鋒網(wǎng)根據(jù)中國信息通信研究院印發(fā)的《中國網(wǎng)絡安全產(chǎn)業(yè)白皮書》進行了詳細整理：

2019云安全“大閱兵”

根據(jù) Gartner 數(shù)據(jù)：2018 年全球云安全軟件市場規(guī)模達到58.09 億美元，相比 2017 年增長 18.4%80；Forrester81預測，2023 年云安全支出將增長至 126 億美元。國內(nèi)外安全廠商持續(xù)加大力度布局，2019 年 RSAC700 多家參展企業(yè)中，近 42%提供云安全產(chǎn)品和解決方案。

公有云方面：云安全技術創(chuàng)新活躍，風險監(jiān)測防御、應對多云環(huán)境、敏感數(shù)據(jù)保護等仍然是云安全熱點領域。

云工作負載保護平臺（CWPP82）方面：

1、Symantec 的 CWPP 產(chǎn)品基于內(nèi)置云原生適配器適應 AWS83、Azure84和 Google85云等不同云計算環(huán)境，自動探測可用域、標簽、網(wǎng)絡等云計算環(huán)境信息作為策略和告警模塊的上下文信息補充，并通過安裝代理實現(xiàn)漏洞管理、實時惡意軟件保護等功能。

2、Radware86結(jié)合沙箱技術和加密挖礦控制套件，采用自動檢測和自動響應來識別、警告和阻止公有云中的加密劫持挖礦活動。

3、青藤云基于自適應安全架構(gòu)構(gòu)建云上防護平臺，為用戶提供持續(xù)監(jiān)控、分析及響應；椒圖科技采用RASP87、ASVE88、沙盒等基于異常行為的檢測技術，檢測并防御未知威脅。

云訪問安全代理（CASB）方向：國外主流廠商均已推出 CASB 產(chǎn)品或解決方案，如微軟、Netskope89、Bitglass90、Skyhigh91等。

——國內(nèi) CASB 市場仍處于萌芽階段——

1、奇安信產(chǎn)品云守基于對特定云應用的數(shù)據(jù)安全防護策略保障云端數(shù)據(jù)及網(wǎng)絡安全，對云端和傳輸中的數(shù)據(jù)通過認證、標記化和加密等方式進行保護，產(chǎn)品內(nèi)置 AES92算法、中國標準國密 SM 算法等數(shù)十種算法，保證結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)安全。

2、臻至科技通過使用深度學習技術按需監(jiān)控相關應用及軟件實 現(xiàn) CASB 能力，提供 AES-GCM 256 位加密算法、針對 ARM93平臺的CHACHA20 算法以及流式加密等，并支持將所有密鑰部署在全球區(qū)塊鏈節(jié)點上。

容器安全方向：

1、Aqua94的 Cloud Native Security Platform產(chǎn)品提供了針對容器和無服務環(huán)境的綜合型安全管理平臺，包括基于CI/CD95環(huán)境掃描的漏洞管理功能、針對 PCI DSS96等標準和法案的合規(guī)審計服務以及其他相關安全能力；目前國內(nèi)在容器安全方向仍處于實驗研究階段。

數(shù)據(jù)防泄漏（DLP97）方向：

1、McAfee98的 MVSION Cloud 產(chǎn)品對云中數(shù)據(jù)實施防泄漏策略，自動對敏感信息進行分類，以便在云中進行刪除或隔離；思睿嘉得使用機器學習、自然語言處理、文本聚類分類等技術實現(xiàn)數(shù)據(jù)分類分級，使用 ORC99和圖片相似度實現(xiàn)圖像內(nèi)容識別，支持終端策略阻斷、互聯(lián)網(wǎng)外發(fā)阻斷、郵件審批等數(shù)據(jù)保護功能。

私有云方面：

除云工作負載保護平臺、數(shù)據(jù)防泄漏等公私有云均適用的產(chǎn)品外，國內(nèi)廠商聚焦于以云安全資源池為核心的云安全綜合解決方案。云安全資源池提供虛擬化的安全能力，如防火墻、WAF、IDS、IPS、堡壘機、數(shù)據(jù)庫審計等，并通過統(tǒng)一安全管理平臺對各類安全能力進行組織和編排，形成整體安全方案。

1、安恒信息通過為用戶提供包含云監(jiān)測、云防御、云審計等覆蓋全生命周期的云安全產(chǎn)品服務提供一站式云安全解決方案；啟明星辰則運用虛擬化、軟件定義安全等技術提升安全資源的利用效率并形成各項安全能力的動態(tài)編排以及實現(xiàn)云上引流。

國內(nèi)部分云安全廠商能力介紹如表所示：

廠商們的十八般武藝

（一）三六零：360 云安全大腦實踐

1. SaaS 云安全能力

三六零云探系統(tǒng)是一款基于 SaaS 的安全服務產(chǎn)品。依靠 360 安全大腦強大的云端資源，以及 360 在搜索、終端安全、Web 安全、云安全等方面積累的數(shù)億用戶群和海量數(shù)據(jù)，為用戶提供網(wǎng)站漏洞掃描、網(wǎng)頁篡改監(jiān)測、網(wǎng)頁掛馬監(jiān)測、黑詞/暗鏈監(jiān)測、可用性監(jiān)測、仿冒/釣魚網(wǎng)站監(jiān)測、未知資產(chǎn)監(jiān)測、DDoS 攻擊監(jiān)測等安全監(jiān)測服務。三六零云探系統(tǒng)旨在通過云端大數(shù)據(jù)能力，發(fā)現(xiàn)企業(yè)網(wǎng)站的安全問題。三六零云探架構(gòu)如下圖所示。 

三六零云探架構(gòu)

產(chǎn)品設計目標：

（1）解決網(wǎng)站未知資產(chǎn)監(jiān)控問題；

（2）解決網(wǎng)站問題發(fā)現(xiàn)不全問題；

（3）解決網(wǎng)站 0Day 漏洞發(fā)現(xiàn)問題；

（4）解決網(wǎng)站漏洞修復閉環(huán)問題；

（5）解決全國可用性監(jiān)控問題。

產(chǎn)品組成與架構(gòu)：

爬蟲引擎是監(jiān)測平臺重要的基礎組件，完成對監(jiān)測域名的內(nèi)容爬取，以供各類分析引擎使用。

大數(shù)據(jù)平臺存儲爬取的頁面數(shù)據(jù)，檢測的數(shù)據(jù)等，可用于后續(xù)做大數(shù)據(jù)分析和數(shù)據(jù)挖掘。

內(nèi)容監(jiān)測 API 和運維平臺主要針對已有數(shù)據(jù)進行分析,為平臺提供監(jiān)測結(jié)果。

監(jiān)測平臺 API 和運維平臺主要是將群監(jiān)測的功能界面化,方便用戶的日常監(jiān)控及運維管理。

三六零云探可以為用戶提供快速定位問題資產(chǎn)，提供實時托管式的安全監(jiān)控服務，支持本地化和云端的 SaaS 化部署模式，滿足各種用戶部署要求。

除了三六零云探系統(tǒng)，360 還提供三六零磐云 Web 應用安全防護系統(tǒng)，為用戶提供一套基于云+端的，完整的“事前預警+事中防護+事后服務”Web 安全云解決方案。

2. 云安全集中管理平臺能力

通過 NFV（網(wǎng)絡功能虛擬化）技術把傳統(tǒng)網(wǎng)絡安全設備進行虛擬化以適應虛擬化云計算環(huán)境，打造可以為云上用戶動態(tài)獲取到云安全資源，從而使云上用戶可以按需獲取相應的安全能力，滿足自身業(yè)務安全防護、等保合規(guī)和安全運營的需求。

云安全集中管理平臺集成有豐富的安全服務組件能力，包含網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全以及安全運維審計等安全能力，可以對異構(gòu)多云平臺統(tǒng)一安全管理，安全服務編排、自助安全運營等。

（二）山石網(wǎng)科：基于 NFV 框架的云計算租戶級硬件防火墻防護方案

為滿足業(yè)務遷移上云的安全性，山石網(wǎng)科與某國內(nèi)知名電信廠商配合，基于OpenStack 標準框架，實現(xiàn)分行測試云的建設。為實現(xiàn)租戶級的安全防護，和租戶的自服務。租戶之間的安全防護，首先利用 SDN 實現(xiàn)二層網(wǎng)絡隔離。

雷鋒網(wǎng)了解到，租戶之間和租戶與外部的網(wǎng)絡訪問控制采用 OpenStack 的標準 FWaaS 實現(xiàn)，由山石網(wǎng)科的硬件下一代防火墻和云集配合 SDN 和云平臺完成。山石網(wǎng)科硬件下一代防火墻通過 vSYS 功能（一虛多），為每個云租戶創(chuàng)建一個虛擬防火墻，防火墻提供訪問控制、NAT 等相關功能。租戶的自服務，租戶通過在云管平臺進行配置、創(chuàng)建防火墻。

山石云·集提供了標準的FWaaS 的輕量級插件，用于從云管平臺獲取配置信息。根據(jù) FWaaS 上生成的創(chuàng)建防火墻、配置防火墻的信息，由山石云·集對硬件防火墻（或虛擬防火墻）進行生命周期的管理，創(chuàng)建防火墻，配置的注入。

同時山石云·集也提供了對 SDN的接口，利用 SDN 接口，對 SDN 進行配置，以確保和 SDN 配置和生命周期的同步。

山石云·集會保持所有對防火墻或虛擬防火墻配置的狀態(tài)信息，以及自身運行狀態(tài)的信息，一方面方便用戶在出現(xiàn)故障時能夠及時參與故障排查和恢復，山石云·集設計時完全參照了 NFV 框架，扮演 NFVM 和 EMS 的角色，并提供標準化 RestAPI 接口。

當環(huán)境中有 MANO 時，可以配合 MANO、VIM 完成自動化編排部署工作。它向 MANO 提供相關設備信息，便于 MANO 進行編排管理，在 MANO 完成 SDN 配置調(diào)整同時，完成防火墻的創(chuàng)建和配置管理。

山石云·集可以自動完成網(wǎng)元管理，包括根據(jù)網(wǎng)元運行負載進行擴縮。方案的特點是：

1、標準化方案，基于事實標準 OpenStack 框架或 NFV 標準框架，可實現(xiàn)多個廠家云管平臺、2、SDN 的對接，山石網(wǎng)科已與多個國內(nèi)廠家完成對接。

3、自動化部署，租戶自服務、云、網(wǎng)、安全自動開通。

4、故障可定位、可排障。

5、平滑向全虛擬化方案過渡，方案未來具備向虛擬網(wǎng)元方向發(fā)展。

山石云·集 云安全建設方案如圖所示。

山石云·集 云安全建設方案

（三）中國網(wǎng)安：基于第三方的政務云安全監(jiān)管實踐

項目基于第三方監(jiān)管的理念，針對多級云平臺、多種云服務商、多種云平臺技術路線的混合云場景，通過統(tǒng)一平臺實現(xiàn)資源管理、安全管理與云平臺的解耦，為政務云、大型企業(yè)等云用戶提供對云服務的統(tǒng)一資源監(jiān)管、統(tǒng)一安全監(jiān)管、統(tǒng)一運營管理功能，幫助云用戶解決混合云場景下的統(tǒng)一監(jiān)管體系，符合等保 2.0集中管控、持續(xù)監(jiān)管的思想，是行業(yè)內(nèi)云安全綜合管理、Cloud SIEM、混合云管理等的云安全熱點問題的落地方案。

1. 基于第三方的多云監(jiān)管體系

在整體架構(gòu)中，云監(jiān)管平臺底層通過云資源適配層（接口適配）的標準數(shù)據(jù)接口接入不同技術路線的多個云服務商平臺資源數(shù)據(jù)、安全數(shù)據(jù)等，支持異構(gòu)云服務商，也支持匯聚下級云監(jiān)管平臺采集的數(shù)據(jù)和分析結(jié)果。

上述數(shù)據(jù)匯聚到云監(jiān)管平臺后，通過平臺整理、關聯(lián)、分析、挖掘，對上提供對多個異構(gòu)云服務商平臺的統(tǒng)一資源監(jiān)管、運營監(jiān)管、安全運維、云服務商能力考評等功能。上述功能，通過統(tǒng)一門戶提供給云租戶和云監(jiān)管人員使用?；诘谌降亩嘣票O(jiān)管架構(gòu)如圖所示。

第三方多云監(jiān)管架構(gòu)

2. 云監(jiān)管能力

云監(jiān)管平臺為云用戶提供的主要云監(jiān)管能力包括資源監(jiān)管、運營管理、云服務商能力考評和云安全運維。

資源監(jiān)管主要提供資源運行狀態(tài)監(jiān)管、資源變更情況監(jiān)管、資源配置情況監(jiān)管、資源故障告警情況監(jiān)管、資源統(tǒng)計分析報表及租戶自身資源操作功能模塊，支持全局視角、云服務商視角、租戶視角、業(yè)務視角及單個資源視角等維度的監(jiān)管。

運營管理將底層資源包裝成標準的可度量的標準化服務對外供應。實現(xiàn)服務目錄管理、訂單全生命周期管理、用戶資源占用的計量和計費、運營情況的報表統(tǒng)計分析等。

云服務商能力考評幫助云監(jiān)管平臺監(jiān)管人員對云服務商所提供云服務的綜合監(jiān)管，由云服務性價比考評、云服務商運維水平考核及云服務商安全審查功能模塊組成。

云安全運維包括態(tài)勢感知、安全預警、綜合運維、應急響應、硬件準入管理、安全審計功能和安全服務支撐模塊，對整個政務云平臺安全設備進行統(tǒng)一管理，對接入政務云平臺的各種硬件設備做準入審批，對政務云平臺進行集中安全監(jiān)管。

（四）天融信：云安全解決方案實踐

天融信云安全解決方案，是天融信云安全縱深防御思想的完美體現(xiàn)，采用安全資源池實現(xiàn)租戶邊界防御，融合基于無代理技術的虛擬化分布式防火墻進行東西向防護，結(jié)合 EDR 進行云主機內(nèi)安全防護，通過云安全管理平臺進行統(tǒng)一管理和云安全態(tài)勢呈現(xiàn)，構(gòu)成了從外到內(nèi)多層縱深主動防御體系，全面保障政務云安全。云安全防護產(chǎn)品示意圖如圖所示。

云安全防護產(chǎn)品示意圖

統(tǒng)一管控

采用統(tǒng)一云安全管理平臺對安全網(wǎng)元集中管控，實現(xiàn)安全服務一鍵部署、自動激活。用戶通過安全管理平臺對安全網(wǎng)元進行集中化運維，避免大量安全設備帶來的賬號管理困難、運維操作復雜等難題。

動態(tài)可視

通過運維監(jiān)控大屏頁面，對安全資源使用情況、業(yè)務系統(tǒng)安全風險進行統(tǒng)一展示，方便運維人員及時發(fā)現(xiàn)性能告警、安全威脅。

按需購買

安全資源池為租戶提供豐富的安全網(wǎng)元，允許租戶根據(jù)業(yè)務發(fā)展的安全需求按需購買，滿足個性化防護需求，提供差異化安全防護能力。

深度融合

資源池與上層云平臺深度集成，通過云平臺賬戶直接開通、配置資源池中的安全網(wǎng)元，增加使用便捷性。分布式防火墻與云平臺深度融合，采用零信任、微分段模型，實現(xiàn)以虛機為單位的東西向安全防護。

（五）綠盟：基于安全資源池的云安全服務平臺實踐

1. 總體技術實現(xiàn)架構(gòu)

充分考慮云計算的特點和優(yōu)勢，以及最新安全防護技術發(fā)展情況，提供資源彈性、按需分配的安全能力。

云平臺安全技術實現(xiàn)架構(gòu)

展示層：提供安全服務用戶開通、使用、配置各種安全服務的門戶，提供安全運維人員對云平臺進行統(tǒng)一管理、監(jiān)控的門戶。

服務層：是安全運營服務平臺的核心，其負責安全設備管理、安全資源池的管理以及提供用戶開通安全防護時所需的流量調(diào)度功能。在安全防護設備/服務啟用后，還提供服務管理、配置管理、告警管理能力。同時，提供各種安全資源/設備的日志、事件、運維、性能、監(jiān)控和告警管理。另外，還提供了用戶賬戶、權(quán)限等系統(tǒng)管理功能。

資源層：包括了各類安全資源，如傳統(tǒng)安全設備、虛擬化安全設備、大網(wǎng)安全防護服務以及專用安全資源池等。這些安全資源接收上層安全管理平臺的管理，對外提供安全保障能力。

通過此技術實現(xiàn)架構(gòu)，可以實現(xiàn)安全服務/能力的按需分配和彈性調(diào)度。當然，在進行安全防護措施具體部署時，仍可以采用傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。

2. 平臺功能框架

安全運營服務平臺功能框架如圖所示。

安全運營服務平臺功能框架

安全服務平臺

平臺用于云環(huán)境下的安全服務，可以統(tǒng)一管理云平臺中的各種資源。平臺基于安全資源池提供的安全能力以服務化的方式提供給管理員，提供管理、控制、分析、呈現(xiàn)功能的組件。

安全資源池

支持物理安全設備和虛擬安全設備等類型的安全資源，接受資源池控制器的管理，對外提供相應的安全能力。目前，安全資源池中包含了系統(tǒng)掃描器、Web應用防火墻、入侵檢測系統(tǒng)等安全組件。

資源池控制器

控制硬件和虛擬化的安全設備，提供安全策略管理、配置管理、安全能力管理等與特定安全密切相關的功能。根據(jù)應用場景的不同，可靈活配置和擴展。

日志分析系統(tǒng)

日志分析系統(tǒng)可以收集設備日志，實現(xiàn)日志的統(tǒng)一管理，將設備用戶行為記錄下來，便于 IT 運維人員進行快速分析和查詢。

（六）亞信安全：服務器深度防護實踐

亞信安全針對云化環(huán)境提供的信息安全防護方案——DeepSecurity，通過病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁、主機完整性監(jiān)控、日志審計等功能實現(xiàn)虛擬主機和虛擬系統(tǒng)的全面防護，并滿足信息系統(tǒng)合規(guī)性審計要求。

亞信安全針對虛擬化環(huán)境提供創(chuàng)新的方法解決安全防護程序帶來的資源消耗問題，通過使用虛擬化層相關的 API 接口實現(xiàn)全面的病毒防護。DeepSecurity 部署如圖所示。

DeepSecurity 部署圖

亞信安全針對虛擬系統(tǒng)中通過接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝 Agent 程序，即虛擬主機系統(tǒng)無代理方式實現(xiàn)實時的防護，這樣無需消耗分配給虛擬主機的計算資源和更多的網(wǎng)絡資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。

訪問控制

亞信安全 DeepSecurity 防火墻提供全面基于狀態(tài)檢測細粒度的訪問控制功能，可以實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity 的防火墻同時支持各種泛洪攻擊的識別和攔截。

惡意代碼防范

亞信安全 DeepSecurity 提供全的主機惡意代碼防護功能，可以防護傳統(tǒng)惡意代碼和新型的安全威脅（例如：勒索軟件、挖礦病毒等）。并提供機器學習功能，對于同一惡意軟件家族的變種。

入侵檢測/防護

DeepSecurity 除了提供傳統(tǒng) IDS/IPS 系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策（policy-based）監(jiān)控和分析工具，使 DeepSecurity 更精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡行為，為虛擬網(wǎng)絡提供更高的安全性。

虛擬補丁防護

亞信安全 DeepSecurity 通過虛擬補丁技術完全可以解決由于補丁導致的問題，通過在虛擬系統(tǒng)的接口對虛擬主機系統(tǒng)進行評估，并可以自動對每個虛擬主機提供全面的漏洞修補功能，在操作系統(tǒng)在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。

亞信安全 DeepSecurity 的虛擬補丁功能既不需要停機安裝，也不需要進行廣泛的應用程序測試。雖然此集成包可以為 IT 人員節(jié)省大量時間。虛擬補丁防護如圖所示。

虛擬補丁防護

完整性審計

亞信安全 DeepSecurity 產(chǎn)品可以針對系統(tǒng)支持依據(jù)基線的文件、目錄、注冊表等關鍵文件監(jiān)控和審計功能，當這些關鍵位置為惡意篡改或攻擊時，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性。

日志審計和報表功能

亞信安全 DeepSecurity 提供全面的系統(tǒng)日志和詳盡的報告功能，除了記錄自身的各功能日志外，還可以將虛擬主機操作系統(tǒng)日志結(jié)合 DeepSecurity 自身日志進行統(tǒng)一的統(tǒng)計和分析，日志系統(tǒng)還可以生成符合國際相關安全規(guī)范的報表。

DeepSecurity 通過對日志進行分析可以讓管理員跟蹤 IT 基礎設施的活動，評估服務器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時發(fā)生、在何處發(fā)生的有效方法。

（七）阿里云：基于全球防御體系的大流量 DDoS 防護實踐

DDoS 高防 IP 服務是阿里云自主研發(fā)、通過專用高防機房提供 DDoS 攻擊防護的云安全服務。

服務針對互聯(lián)網(wǎng)服務器（包括非阿里云主機）在遭受大流量DDoS 攻擊后導致服務不可用的情況時，將攻擊流量引流到阿里云高防 IP 機房，經(jīng)過對攻擊流量的清洗后將正常業(yè)務流量轉(zhuǎn)發(fā)至源站服務器，從而確保源站服務器的穩(wěn)定可用。

1. 超大規(guī)模分布式全球 DDoS 防御體系

阿里云在全球范圍內(nèi)升級云盾高防網(wǎng)絡，以提高響應速度和穩(wěn)定性，防御能力近 10Tbps。DDoS 高防 IP 服務突破了現(xiàn)有 BGP 高防防護帶寬小、購買成本昂貴等不足，相比傳統(tǒng)靜態(tài)大帶寬攻擊防御系統(tǒng)的優(yōu)勢體現(xiàn)在靈活的彈性可擴展能力，更好的網(wǎng)絡穩(wěn)定性和交付體驗上。

在分布式能力上，DDoS 高防 IP 服務全面升級 BGP Anycast 網(wǎng)絡，充分利用阿里云全球清洗中心能力，采用智能調(diào)度技術將大規(guī)模 DDoS 攻擊流量自動牽引至距離攻擊源最近的清洗中心，同時具備多機房自動容災的能力。高防 IP 服務也可以為非阿里云內(nèi)用戶提供同等能力的 DDoS攻擊防御。阿里云內(nèi)用戶防御架構(gòu)如圖所示。

阿里云內(nèi)用戶防御架構(gòu)

2. 精細化和智能化的防御機制

阿里云基于自主研發(fā)的云盾產(chǎn)品，為用戶提供全面的 DDoS 防護服務，可以防護 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC 攻擊等三到七層 DDoS 攻擊。

除了對傳統(tǒng)業(yè)務提供有效的防御之外，阿里云 DDoS 高防 IP 服務層支持對包括社交類 APP、交易、視頻直播和智能物聯(lián)網(wǎng)等低延遲，高實時性新業(yè)務應用的大規(guī)模 DDoS 攻擊防御。

在傳統(tǒng)的代理、探測、反彈、認證、黑白名單、報文合規(guī)等標準技術的基礎上，結(jié)合 Web 安全過濾、信譽、七層應用分析、用戶行為分析、特征學習、防護對抗、威脅情報等多種技術，對 DDoS 攻擊進行阻斷過濾：

精細化。通過對 in/out 雙向流量信息的分析，提供精細化、域名級別、session 級別的應用級 DDoS 防護；

智能化。擺脫傳統(tǒng)基于統(tǒng)計的分析算法，引入了行為識別、機器學習算法和實踐，使得防御更加高效和精準；

全網(wǎng)威脅情報。基于阿里云安全大數(shù)據(jù)和全網(wǎng)威脅情報能力，針對全網(wǎng)的惡意 IP 進行持續(xù)跟蹤，在去除掉偽造 IP 后，系統(tǒng)能根據(jù) IP 信譽庫自動過濾掉經(jīng)常發(fā)起攻擊的惡意 IP。

3. 防御過程和效果可視化

安全可視化是云安全服務的關鍵能力，特別是在大流量 DDoS 攻擊場景下，對攻擊的實時監(jiān)控顯得尤為重要。

阿里云 DDoS 高防 IP 服務不斷升級可視化能力，實現(xiàn)攻防的數(shù)據(jù)化、可視化和透明化。

阿里云 DDoS 高防 IP 服務提供對攻擊完整和詳細的記錄，一方面可以進行快速有效的實時分析，進一步改進防護效果；另一方面也便于后續(xù)取證和溯源，變被動防守為主動對抗。

（八）杭州迪普：基于硬件設備的云數(shù)據(jù)中心安全防護解決方案

迪普科技提出了以“云安全、硬實力”云數(shù)據(jù)中心安全解決方案，通過獨立的硬件安全設備來解決云網(wǎng)絡的安全問題，幫助用戶構(gòu)建自動化部署的安全資源池，為云網(wǎng)絡提供全面、彈性、可編排的安全防護能力，如圖所示。

方案部署圖

無縫對接云網(wǎng)絡

由于在云環(huán)境下，同一物理服務器下的多租戶互訪默認通過虛擬交換機就能轉(zhuǎn)發(fā)，并不通過物理網(wǎng)絡設備和安全設備。

因此在云環(huán)境中東西向安全是一個比較大的難題。迪普科技通過將安全網(wǎng)關與 VXLAN 技術的結(jié)合解決了這一問題。

迪普科技 VXLAN 安全網(wǎng)關可以作為 VTEP（VXLAN Tunnel End Point）,即三層網(wǎng)關，用于對 VXLAN 報文進行封裝、解封裝，并進行跨 VXLAN 的三層報文轉(zhuǎn)發(fā)。

在虛擬機和安全網(wǎng)關中，形成一個完整的 VXLAN 網(wǎng)絡，處于不同VXLAN 的虛擬機之間互訪必須經(jīng)過迪普科技安全網(wǎng)關進行轉(zhuǎn)發(fā)和控制，從而實現(xiàn)了對于多租戶之間的安全隔離。三層網(wǎng)關（L3 Gateway）工作原理圖如圖所示。

三層網(wǎng)關（L3 Gateway）工作原理圖

適應多租戶的安全虛擬化

迪普科技使用 N:M 虛擬化技術，將 N 臺設備虛擬成一個資源池，再將資源池按需分成 M 臺邏輯設備，從而實現(xiàn)針對不同的租戶劃分出不同的 VSA（虛擬安全設備），可以從 CPU、內(nèi)存、吞吐量、并發(fā)連接數(shù)、新建連接數(shù)、路由協(xié)議等維度進行劃分，從而實現(xiàn) 1 個租戶、1 個 VSA、1 個配置界面的目標。

自動化編排能力

迪普科技的云安全網(wǎng)關全面支持基于 OpenStack 的云管理，用戶可以像管理計算、存儲、網(wǎng)絡資源一樣管理迪普的安全設備，實現(xiàn)真正意義上的資源自動配置管理。

（九）奇安信：基于協(xié)同聯(lián)動的云安全實踐

奇安信云安全管理平臺創(chuàng)新性的融合多種安全技術與云計算技術，可面向云上租戶和業(yè)務提供全面、定制化的安全服務。該解決方案整體設計以“防范”為中心，基于傳統(tǒng)的邊界防御技術，提升為由“預防—防御—監(jiān)測—響應”等技術形成的立體安全防護架構(gòu)，深入云內(nèi)，覆蓋了云環(huán)境中的網(wǎng)絡層、宿主機層、虛擬化層、云主機層、應用層、數(shù)據(jù)層等多層防護。

云安全管理平臺架構(gòu)圖

云安全管理平臺主要有以下特點：

立體聯(lián)動防御體系

方案遵循“發(fā)現(xiàn)”-“阻斷”-“取證”-“研判”-“溯源”的防護體系，通過云安全威脅感知系統(tǒng)將原本碎片化的威脅告警、防護狀態(tài)、云內(nèi)資產(chǎn)等信息數(shù)據(jù)結(jié)構(gòu)化并統(tǒng)一整合，并結(jié)合威脅情報進行安全預判溯源，通過實時交互可視化技術，將原來未知安全威脅變得可視可管，使安全態(tài)勢一目了然，最終實現(xiàn)“云端、邊界、端點”+“安全可視與感知”的立體聯(lián)動防御體系。

東西向流量的微隔離：

以虛擬主機安全防護為核心，采用軟件定義的安全資源池，通過配置 AV、HFW 和 HIPS，實現(xiàn)東西向流量之間的微隔離，構(gòu)建主機安全防護，重點解決虛擬網(wǎng)絡層面的邊界防護、虛擬網(wǎng)絡可視化等問題，同時實現(xiàn)虛擬機遷移過程的安全策略跟隨。

安全服務鏈編排

用戶可根據(jù)不同業(yè)務需求部署不同的安全組件（如 vFW、入侵檢測、vWAF等），按需編排服務節(jié)點形成安全服務鏈，在全生命周期內(nèi)為應用提供安全服務。

（十）深信服：云安全技術實踐

云安全服務鏈技術是深信服在軟件定義安全領域的創(chuàng)新實踐之一。

云安全服務鏈是云計算環(huán)境下，安全產(chǎn)品服務化、自動化交付的核心技術，能夠?qū)崿F(xiàn)基于用戶身份、業(yè)務應用類型對網(wǎng)絡流量進行按需防護，支持根據(jù)不同業(yè)務需求將不同的安全硬件或 NFV 節(jié)點（如 vFW、入侵檢測、vLB 等）按需編排形成安全服務鏈，在應用生命周期內(nèi)為應用提供安全服務。技術原理和框架如圖所示： 

云安全服務鏈技術架構(gòu)

CSSP 將用戶輸入的訂閱信息（如用戶購買的安全組件及定義的組件順序）和標識信息（用戶五元組和 VLAN 信息），通過北向接口下發(fā)給 SDN控制器；

SDN 控制器根據(jù)用戶的訂閱信息、標識信息和服務節(jié)點的網(wǎng)絡配置（如網(wǎng)絡設備的接口、VLAN）計算出流表（基于 OpenFlow 協(xié)議）下發(fā)給SDN 交換機；

當來自外網(wǎng)的數(shù)據(jù)流第一次經(jīng)過 SDN 交換機時，SDN 交換機按照定義的流分類規(guī)則匹配數(shù)據(jù)報文，并將其轉(zhuǎn)發(fā)到相應的服務鏈，進入第一個服務節(jié)點；

從第一個服務節(jié)點返回到 SDN 交換機的數(shù)據(jù)流，SDN 交換機基于入端口、五元組信息或 VLAN 查詢流表（基于 OpenFlow 協(xié)議），匹配相應的出端口，轉(zhuǎn)發(fā)到下一個服務節(jié)點；

數(shù)據(jù)流按照服務鏈定義的順序在服務節(jié)點之間按順序轉(zhuǎn)發(fā)；

最后一個服務節(jié)點返回到 SDN 交換機的數(shù)據(jù)流，SDN 交換機基于入端口、五元組信息或 VLAN 查詢流表（基于 OpenFlow 協(xié)議），匹配服務鏈出端口，轉(zhuǎn)發(fā)到內(nèi)網(wǎng)；

當服務節(jié)點狀態(tài)發(fā)生變化時，如服務節(jié)點故障停止工作，CSSP 將檢測到該變化，并通知 SDN 控制器重新計算流表，下發(fā)給 SDN 交換機完成服務鏈動態(tài)更新；

當用戶訂閱信息發(fā)生變化時，如服務節(jié)點授權(quán)到期，CSSP 將檢測到該變化，并通知 SDN 控制器重新計算流表，下發(fā)給 SDN 交換機完成服務鏈動態(tài)更新。

未來展望

首先，政策方面：

2019 年 5 月，國家標準《信息安全技術 網(wǎng)絡安全等級保護基本要求》（“等保 2.0”）正式發(fā)布并將于年底實施，標準新增“云計算安全擴展要求”，進一步提出不同等級云計算平臺的安全擴展要求；

7 月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部共同發(fā)布《云計算服務安全評估辦法》，以提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平。

云安全政策標準的進一步細化完善，將進一步提高云租戶等對云安全的重視程度，有效帶動云安全市場需求。

其次，支持多云的安全解決方案、云內(nèi)東西向安全或?qū)⒊蔀榘l(fā)展重點。

多云模式可以提供針對不同業(yè)務場景和安全需求的解決方案，降低企業(yè)上云成本，提高云計算環(huán)境的數(shù)據(jù)業(yè)務安全性以及抗災能力。

多云的部署發(fā)展，將驅(qū)動適配多云模式的安全解決方案需求增長。隨著云計算規(guī)模擴大和云中節(jié)點數(shù)增加，云內(nèi)滲透威脅亦逐漸加劇，CWPP、微隔離、終端防護等東西向防護技術和產(chǎn)品需求日益迫切。三是云計算技術的發(fā)展將進一步推動云安全技術創(chuàng)新。

雷鋒網(wǎng)看來，近年來，云計算技術發(fā)展迅速，容器、微服務、云原生、DevOps100等新興技術已逐漸成為云計算技術的新方向，100 DevOps：Development 和 Operations 的組合詞，是一組過程、方法與系統(tǒng)的統(tǒng)稱，用于促進開發(fā)（應用程序/軟件工程）、技術運營和質(zhì)量保障（QA）部門之間的溝通、協(xié)作與整合相關安全挑戰(zhàn)也隨之產(chǎn)生，容器安全、DevSecOps101等技術成為云安全領域的研究熱點。

此外，隨著 5G、物聯(lián)網(wǎng)、區(qū)塊鏈等新技術的發(fā)展，云計算環(huán)境將面臨新的安全挑戰(zhàn)，從而催生新的云安全需求。

注：文章內(nèi)容摘自中國信息通信研究院印發(fā)的《中國網(wǎng)絡安全產(chǎn)業(yè)白皮書》。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。