自從Google在2006年公開提出云計(jì)算的概念以來，已經(jīng)過了13年的時(shí)間。隨著業(yè)務(wù)上云的熱潮席卷全球，越來越多的企業(yè)對(duì)云安全的認(rèn)知，從最初的顧忌和恐慌，轉(zhuǎn)變?yōu)槊つ康男湃魏鸵蕾嚒?/p>

然而，云計(jì)算并非企業(yè)安全的革命，云實(shí)例與我們的臺(tái)式機(jī)或獨(dú)立服務(wù)器其實(shí)運(yùn)行著相同的操作系統(tǒng)。因此，數(shù)據(jù)上云依舊面臨著來自硬件漏洞的威脅，服務(wù)商偷窺、工作人員不可控、安全布控成本增加等新問題也逐步體現(xiàn)。

隨著云計(jì)算技術(shù)廣泛普及，云安全問題日益受到重視，云安全市場(chǎng)持續(xù)快速增長(zhǎng)。在這里，雷鋒網(wǎng)根據(jù)中國信息通信研究院印發(fā)的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》進(jìn)行了詳細(xì)整理：

2019云安全“大閱兵”

根據(jù) Gartner 數(shù)據(jù)：2018 年全球云安全軟件市場(chǎng)規(guī)模達(dá)到58.09 億美元，相比 2017 年增長(zhǎng) 18.4%80；Forrester81預(yù)測(cè)，2023 年云安全支出將增長(zhǎng)至 126 億美元。國內(nèi)外安全廠商持續(xù)加大力度布局，2019 年 RSAC700 多家參展企業(yè)中，近 42%提供云安全產(chǎn)品和解決方案。

公有云方面：云安全技術(shù)創(chuàng)新活躍，風(fēng)險(xiǎn)監(jiān)測(cè)防御、應(yīng)對(duì)多云環(huán)境、敏感數(shù)據(jù)保護(hù)等仍然是云安全熱點(diǎn)領(lǐng)域。

云工作負(fù)載保護(hù)平臺(tái)（CWPP82）方面：

1、Symantec 的 CWPP 產(chǎn)品基于內(nèi)置云原生適配器適應(yīng) AWS83、Azure84和 Google85云等不同云計(jì)算環(huán)境，自動(dòng)探測(cè)可用域、標(biāo)簽、網(wǎng)絡(luò)等云計(jì)算環(huán)境信息作為策略和告警模塊的上下文信息補(bǔ)充，并通過安裝代理實(shí)現(xiàn)漏洞管理、實(shí)時(shí)惡意軟件保護(hù)等功能。

2、Radware86結(jié)合沙箱技術(shù)和加密挖礦控制套件，采用自動(dòng)檢測(cè)和自動(dòng)響應(yīng)來識(shí)別、警告和阻止公有云中的加密劫持挖礦活動(dòng)。

3、青藤云基于自適應(yīng)安全架構(gòu)構(gòu)建云上防護(hù)平臺(tái)，為用戶提供持續(xù)監(jiān)控、分析及響應(yīng)；椒圖科技采用RASP87、ASVE88、沙盒等基于異常行為的檢測(cè)技術(shù)，檢測(cè)并防御未知威脅。

云訪問安全代理（CASB）方向：國外主流廠商均已推出 CASB 產(chǎn)品或解決方案，如微軟、Netskope89、Bitglass90、Skyhigh91等。

——國內(nèi) CASB 市場(chǎng)仍處于萌芽階段——

1、奇安信產(chǎn)品云守基于對(duì)特定云應(yīng)用的數(shù)據(jù)安全防護(hù)策略保障云端數(shù)據(jù)及網(wǎng)絡(luò)安全，對(duì)云端和傳輸中的數(shù)據(jù)通過認(rèn)證、標(biāo)記化和加密等方式進(jìn)行保護(hù)，產(chǎn)品內(nèi)置 AES92算法、中國標(biāo)準(zhǔn)國密 SM 算法等數(shù)十種算法，保證結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)安全。

2、臻至科技通過使用深度學(xué)習(xí)技術(shù)按需監(jiān)控相關(guān)應(yīng)用及軟件實(shí) 現(xiàn) CASB 能力，提供 AES-GCM 256 位加密算法、針對(duì) ARM93平臺(tái)的CHACHA20 算法以及流式加密等，并支持將所有密鑰部署在全球區(qū)塊鏈節(jié)點(diǎn)上。

容器安全方向：

1、Aqua94的 Cloud Native Security Platform產(chǎn)品提供了針對(duì)容器和無服務(wù)環(huán)境的綜合型安全管理平臺(tái)，包括基于CI/CD95環(huán)境掃描的漏洞管理功能、針對(duì) PCI DSS96等標(biāo)準(zhǔn)和法案的合規(guī)審計(jì)服務(wù)以及其他相關(guān)安全能力；目前國內(nèi)在容器安全方向仍處于實(shí)驗(yàn)研究階段。

數(shù)據(jù)防泄漏（DLP97）方向：

1、McAfee98的 MVSION Cloud 產(chǎn)品對(duì)云中數(shù)據(jù)實(shí)施防泄漏策略，自動(dòng)對(duì)敏感信息進(jìn)行分類，以便在云中進(jìn)行刪除或隔離；思睿嘉得使用機(jī)器學(xué)習(xí)、自然語言處理、文本聚類分類等技術(shù)實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)，使用 ORC99和圖片相似度實(shí)現(xiàn)圖像內(nèi)容識(shí)別，支持終端策略阻斷、互聯(lián)網(wǎng)外發(fā)阻斷、郵件審批等數(shù)據(jù)保護(hù)功能。

私有云方面：

除云工作負(fù)載保護(hù)平臺(tái)、數(shù)據(jù)防泄漏等公私有云均適用的產(chǎn)品外，國內(nèi)廠商聚焦于以云安全資源池為核心的云安全綜合解決方案。云安全資源池提供虛擬化的安全能力，如防火墻、WAF、IDS、IPS、堡壘機(jī)、數(shù)據(jù)庫審計(jì)等，并通過統(tǒng)一安全管理平臺(tái)對(duì)各類安全能力進(jìn)行組織和編排，形成整體安全方案。

1、安恒信息通過為用戶提供包含云監(jiān)測(cè)、云防御、云審計(jì)等覆蓋全生命周期的云安全產(chǎn)品服務(wù)提供一站式云安全解決方案；啟明星辰則運(yùn)用虛擬化、軟件定義安全等技術(shù)提升安全資源的利用效率并形成各項(xiàng)安全能力的動(dòng)態(tài)編排以及實(shí)現(xiàn)云上引流。

國內(nèi)部分云安全廠商能力介紹如表所示：

廠商們的十八般武藝

（一）三六零：360 云安全大腦實(shí)踐

1. SaaS 云安全能力

三六零云探系統(tǒng)是一款基于 SaaS 的安全服務(wù)產(chǎn)品。依靠 360 安全大腦強(qiáng)大的云端資源，以及 360 在搜索、終端安全、Web 安全、云安全等方面積累的數(shù)億用戶群和海量數(shù)據(jù)，為用戶提供網(wǎng)站漏洞掃描、網(wǎng)頁篡改監(jiān)測(cè)、網(wǎng)頁掛馬監(jiān)測(cè)、黑詞/暗鏈監(jiān)測(cè)、可用性監(jiān)測(cè)、仿冒/釣魚網(wǎng)站監(jiān)測(cè)、未知資產(chǎn)監(jiān)測(cè)、DDoS 攻擊監(jiān)測(cè)等安全監(jiān)測(cè)服務(wù)。三六零云探系統(tǒng)旨在通過云端大數(shù)據(jù)能力，發(fā)現(xiàn)企業(yè)網(wǎng)站的安全問題。三六零云探架構(gòu)如下圖所示。 

三六零云探架構(gòu)

產(chǎn)品設(shè)計(jì)目標(biāo)：

（1）解決網(wǎng)站未知資產(chǎn)監(jiān)控問題；

（2）解決網(wǎng)站問題發(fā)現(xiàn)不全問題；

（3）解決網(wǎng)站 0Day 漏洞發(fā)現(xiàn)問題；

（4）解決網(wǎng)站漏洞修復(fù)閉環(huán)問題；

（5）解決全國可用性監(jiān)控問題。

產(chǎn)品組成與架構(gòu)：

爬蟲引擎是監(jiān)測(cè)平臺(tái)重要的基礎(chǔ)組件，完成對(duì)監(jiān)測(cè)域名的內(nèi)容爬取，以供各類分析引擎使用。

大數(shù)據(jù)平臺(tái)存儲(chǔ)爬取的頁面數(shù)據(jù)，檢測(cè)的數(shù)據(jù)等，可用于后續(xù)做大數(shù)據(jù)分析和數(shù)據(jù)挖掘。

內(nèi)容監(jiān)測(cè) API 和運(yùn)維平臺(tái)主要針對(duì)已有數(shù)據(jù)進(jìn)行分析,為平臺(tái)提供監(jiān)測(cè)結(jié)果。

監(jiān)測(cè)平臺(tái) API 和運(yùn)維平臺(tái)主要是將群監(jiān)測(cè)的功能界面化,方便用戶的日常監(jiān)控及運(yùn)維管理。

三六零云探可以為用戶提供快速定位問題資產(chǎn)，提供實(shí)時(shí)托管式的安全監(jiān)控服務(wù)，支持本地化和云端的 SaaS 化部署模式，滿足各種用戶部署要求。

除了三六零云探系統(tǒng)，360 還提供三六零磐云 Web 應(yīng)用安全防護(hù)系統(tǒng)，為用戶提供一套基于云+端的，完整的“事前預(yù)警+事中防護(hù)+事后服務(wù)”Web 安全云解決方案。

2. 云安全集中管理平臺(tái)能力

通過 NFV（網(wǎng)絡(luò)功能虛擬化）技術(shù)把傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備進(jìn)行虛擬化以適應(yīng)虛擬化云計(jì)算環(huán)境，打造可以為云上用戶動(dòng)態(tài)獲取到云安全資源，從而使云上用戶可以按需獲取相應(yīng)的安全能力，滿足自身業(yè)務(wù)安全防護(hù)、等保合規(guī)和安全運(yùn)營(yíng)的需求。

云安全集中管理平臺(tái)集成有豐富的安全服務(wù)組件能力，包含網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全運(yùn)維審計(jì)等安全能力，可以對(duì)異構(gòu)多云平臺(tái)統(tǒng)一安全管理，安全服務(wù)編排、自助安全運(yùn)營(yíng)等。

（二）山石網(wǎng)科：基于 NFV 框架的云計(jì)算租戶級(jí)硬件防火墻防護(hù)方案

為滿足業(yè)務(wù)遷移上云的安全性，山石網(wǎng)科與某國內(nèi)知名電信廠商配合，基于OpenStack 標(biāo)準(zhǔn)框架，實(shí)現(xiàn)分行測(cè)試云的建設(shè)。為實(shí)現(xiàn)租戶級(jí)的安全防護(hù)，和租戶的自服務(wù)。租戶之間的安全防護(hù)，首先利用 SDN 實(shí)現(xiàn)二層網(wǎng)絡(luò)隔離。

雷鋒網(wǎng)了解到，租戶之間和租戶與外部的網(wǎng)絡(luò)訪問控制采用 OpenStack 的標(biāo)準(zhǔn) FWaaS 實(shí)現(xiàn)，由山石網(wǎng)科的硬件下一代防火墻和云集配合 SDN 和云平臺(tái)完成。山石網(wǎng)科硬件下一代防火墻通過 vSYS 功能（一虛多），為每個(gè)云租戶創(chuàng)建一個(gè)虛擬防火墻，防火墻提供訪問控制、NAT 等相關(guān)功能。租戶的自服務(wù)，租戶通過在云管平臺(tái)進(jìn)行配置、創(chuàng)建防火墻。

山石云·集提供了標(biāo)準(zhǔn)的FWaaS 的輕量級(jí)插件，用于從云管平臺(tái)獲取配置信息。根據(jù) FWaaS 上生成的創(chuàng)建防火墻、配置防火墻的信息，由山石云·集對(duì)硬件防火墻（或虛擬防火墻）進(jìn)行生命周期的管理，創(chuàng)建防火墻，配置的注入。

同時(shí)山石云·集也提供了對(duì) SDN的接口，利用 SDN 接口，對(duì) SDN 進(jìn)行配置，以確保和 SDN 配置和生命周期的同步。

山石云·集會(huì)保持所有對(duì)防火墻或虛擬防火墻配置的狀態(tài)信息，以及自身運(yùn)行狀態(tài)的信息，一方面方便用戶在出現(xiàn)故障時(shí)能夠及時(shí)參與故障排查和恢復(fù)，山石云·集設(shè)計(jì)時(shí)完全參照了 NFV 框架，扮演 NFVM 和 EMS 的角色，并提供標(biāo)準(zhǔn)化 RestAPI 接口。

當(dāng)環(huán)境中有 MANO 時(shí)，可以配合 MANO、VIM 完成自動(dòng)化編排部署工作。它向 MANO 提供相關(guān)設(shè)備信息，便于 MANO 進(jìn)行編排管理，在 MANO 完成 SDN 配置調(diào)整同時(shí)，完成防火墻的創(chuàng)建和配置管理。

山石云·集可以自動(dòng)完成網(wǎng)元管理，包括根據(jù)網(wǎng)元運(yùn)行負(fù)載進(jìn)行擴(kuò)縮。方案的特點(diǎn)是：

1、標(biāo)準(zhǔn)化方案，基于事實(shí)標(biāo)準(zhǔn) OpenStack 框架或 NFV 標(biāo)準(zhǔn)框架，可實(shí)現(xiàn)多個(gè)廠家云管平臺(tái)、2、SDN 的對(duì)接，山石網(wǎng)科已與多個(gè)國內(nèi)廠家完成對(duì)接。

3、自動(dòng)化部署，租戶自服務(wù)、云、網(wǎng)、安全自動(dòng)開通。

4、故障可定位、可排障。

5、平滑向全虛擬化方案過渡，方案未來具備向虛擬網(wǎng)元方向發(fā)展。

山石云·集 云安全建設(shè)方案如圖所示。

山石云·集 云安全建設(shè)方案

（三）中國網(wǎng)安：基于第三方的政務(wù)云安全監(jiān)管實(shí)踐

項(xiàng)目基于第三方監(jiān)管的理念，針對(duì)多級(jí)云平臺(tái)、多種云服務(wù)商、多種云平臺(tái)技術(shù)路線的混合云場(chǎng)景，通過統(tǒng)一平臺(tái)實(shí)現(xiàn)資源管理、安全管理與云平臺(tái)的解耦，為政務(wù)云、大型企業(yè)等云用戶提供對(duì)云服務(wù)的統(tǒng)一資源監(jiān)管、統(tǒng)一安全監(jiān)管、統(tǒng)一運(yùn)營(yíng)管理功能，幫助云用戶解決混合云場(chǎng)景下的統(tǒng)一監(jiān)管體系，符合等保 2.0集中管控、持續(xù)監(jiān)管的思想，是行業(yè)內(nèi)云安全綜合管理、Cloud SIEM、混合云管理等的云安全熱點(diǎn)問題的落地方案。

1. 基于第三方的多云監(jiān)管體系

在整體架構(gòu)中，云監(jiān)管平臺(tái)底層通過云資源適配層（接口適配）的標(biāo)準(zhǔn)數(shù)據(jù)接口接入不同技術(shù)路線的多個(gè)云服務(wù)商平臺(tái)資源數(shù)據(jù)、安全數(shù)據(jù)等，支持異構(gòu)云服務(wù)商，也支持匯聚下級(jí)云監(jiān)管平臺(tái)采集的數(shù)據(jù)和分析結(jié)果。

上述數(shù)據(jù)匯聚到云監(jiān)管平臺(tái)后，通過平臺(tái)整理、關(guān)聯(lián)、分析、挖掘，對(duì)上提供對(duì)多個(gè)異構(gòu)云服務(wù)商平臺(tái)的統(tǒng)一資源監(jiān)管、運(yùn)營(yíng)監(jiān)管、安全運(yùn)維、云服務(wù)商能力考評(píng)等功能。上述功能，通過統(tǒng)一門戶提供給云租戶和云監(jiān)管人員使用。基于第三方的多云監(jiān)管架構(gòu)如圖所示。

第三方多云監(jiān)管架構(gòu)

2. 云監(jiān)管能力

云監(jiān)管平臺(tái)為云用戶提供的主要云監(jiān)管能力包括資源監(jiān)管、運(yùn)營(yíng)管理、云服務(wù)商能力考評(píng)和云安全運(yùn)維。

資源監(jiān)管主要提供資源運(yùn)行狀態(tài)監(jiān)管、資源變更情況監(jiān)管、資源配置情況監(jiān)管、資源故障告警情況監(jiān)管、資源統(tǒng)計(jì)分析報(bào)表及租戶自身資源操作功能模塊，支持全局視角、云服務(wù)商視角、租戶視角、業(yè)務(wù)視角及單個(gè)資源視角等維度的監(jiān)管。

運(yùn)營(yíng)管理將底層資源包裝成標(biāo)準(zhǔn)的可度量的標(biāo)準(zhǔn)化服務(wù)對(duì)外供應(yīng)。實(shí)現(xiàn)服務(wù)目錄管理、訂單全生命周期管理、用戶資源占用的計(jì)量和計(jì)費(fèi)、運(yùn)營(yíng)情況的報(bào)表統(tǒng)計(jì)分析等。

云服務(wù)商能力考評(píng)幫助云監(jiān)管平臺(tái)監(jiān)管人員對(duì)云服務(wù)商所提供云服務(wù)的綜合監(jiān)管，由云服務(wù)性價(jià)比考評(píng)、云服務(wù)商運(yùn)維水平考核及云服務(wù)商安全審查功能模塊組成。

云安全運(yùn)維包括態(tài)勢(shì)感知、安全預(yù)警、綜合運(yùn)維、應(yīng)急響應(yīng)、硬件準(zhǔn)入管理、安全審計(jì)功能和安全服務(wù)支撐模塊，對(duì)整個(gè)政務(wù)云平臺(tái)安全設(shè)備進(jìn)行統(tǒng)一管理，對(duì)接入政務(wù)云平臺(tái)的各種硬件設(shè)備做準(zhǔn)入審批，對(duì)政務(wù)云平臺(tái)進(jìn)行集中安全監(jiān)管。

（四）天融信：云安全解決方案實(shí)踐

天融信云安全解決方案，是天融信云安全縱深防御思想的完美體現(xiàn)，采用安全資源池實(shí)現(xiàn)租戶邊界防御，融合基于無代理技術(shù)的虛擬化分布式防火墻進(jìn)行東西向防護(hù)，結(jié)合 EDR 進(jìn)行云主機(jī)內(nèi)安全防護(hù)，通過云安全管理平臺(tái)進(jìn)行統(tǒng)一管理和云安全態(tài)勢(shì)呈現(xiàn)，構(gòu)成了從外到內(nèi)多層縱深主動(dòng)防御體系，全面保障政務(wù)云安全。云安全防護(hù)產(chǎn)品示意圖如圖所示。

云安全防護(hù)產(chǎn)品示意圖

統(tǒng)一管控

采用統(tǒng)一云安全管理平臺(tái)對(duì)安全網(wǎng)元集中管控，實(shí)現(xiàn)安全服務(wù)一鍵部署、自動(dòng)激活。用戶通過安全管理平臺(tái)對(duì)安全網(wǎng)元進(jìn)行集中化運(yùn)維，避免大量安全設(shè)備帶來的賬號(hào)管理困難、運(yùn)維操作復(fù)雜等難題。

動(dòng)態(tài)可視

通過運(yùn)維監(jiān)控大屏頁面，對(duì)安全資源使用情況、業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)一展示，方便運(yùn)維人員及時(shí)發(fā)現(xiàn)性能告警、安全威脅。

按需購買

安全資源池為租戶提供豐富的安全網(wǎng)元，允許租戶根據(jù)業(yè)務(wù)發(fā)展的安全需求按需購買，滿足個(gè)性化防護(hù)需求，提供差異化安全防護(hù)能力。

深度融合

資源池與上層云平臺(tái)深度集成，通過云平臺(tái)賬戶直接開通、配置資源池中的安全網(wǎng)元，增加使用便捷性。分布式防火墻與云平臺(tái)深度融合，采用零信任、微分段模型，實(shí)現(xiàn)以虛機(jī)為單位的東西向安全防護(hù)。

（五）綠盟：基于安全資源池的云安全服務(wù)平臺(tái)實(shí)踐

1. 總體技術(shù)實(shí)現(xiàn)架構(gòu)

充分考慮云計(jì)算的特點(diǎn)和優(yōu)勢(shì)，以及最新安全防護(hù)技術(shù)發(fā)展情況，提供資源彈性、按需分配的安全能力。

云平臺(tái)安全技術(shù)實(shí)現(xiàn)架構(gòu)

展示層：提供安全服務(wù)用戶開通、使用、配置各種安全服務(wù)的門戶，提供安全運(yùn)維人員對(duì)云平臺(tái)進(jìn)行統(tǒng)一管理、監(jiān)控的門戶。

服務(wù)層：是安全運(yùn)營(yíng)服務(wù)平臺(tái)的核心，其負(fù)責(zé)安全設(shè)備管理、安全資源池的管理以及提供用戶開通安全防護(hù)時(shí)所需的流量調(diào)度功能。在安全防護(hù)設(shè)備/服務(wù)啟用后，還提供服務(wù)管理、配置管理、告警管理能力。同時(shí)，提供各種安全資源/設(shè)備的日志、事件、運(yùn)維、性能、監(jiān)控和告警管理。另外，還提供了用戶賬戶、權(quán)限等系統(tǒng)管理功能。

資源層：包括了各類安全資源，如傳統(tǒng)安全設(shè)備、虛擬化安全設(shè)備、大網(wǎng)安全防護(hù)服務(wù)以及專用安全資源池等。這些安全資源接收上層安全管理平臺(tái)的管理，對(duì)外提供安全保障能力。

通過此技術(shù)實(shí)現(xiàn)架構(gòu)，可以實(shí)現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。當(dāng)然，在進(jìn)行安全防護(hù)措施具體部署時(shí)，仍可以采用傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。

2. 平臺(tái)功能框架

安全運(yùn)營(yíng)服務(wù)平臺(tái)功能框架如圖所示。

安全運(yùn)營(yíng)服務(wù)平臺(tái)功能框架

安全服務(wù)平臺(tái)

平臺(tái)用于云環(huán)境下的安全服務(wù)，可以統(tǒng)一管理云平臺(tái)中的各種資源。平臺(tái)基于安全資源池提供的安全能力以服務(wù)化的方式提供給管理員，提供管理、控制、分析、呈現(xiàn)功能的組件。

安全資源池

支持物理安全設(shè)備和虛擬安全設(shè)備等類型的安全資源，接受資源池控制器的管理，對(duì)外提供相應(yīng)的安全能力。目前，安全資源池中包含了系統(tǒng)掃描器、Web應(yīng)用防火墻、入侵檢測(cè)系統(tǒng)等安全組件。

資源池控制器

控制硬件和虛擬化的安全設(shè)備，提供安全策略管理、配置管理、安全能力管理等與特定安全密切相關(guān)的功能。根據(jù)應(yīng)用場(chǎng)景的不同，可靈活配置和擴(kuò)展。

日志分析系統(tǒng)

日志分析系統(tǒng)可以收集設(shè)備日志，實(shí)現(xiàn)日志的統(tǒng)一管理，將設(shè)備用戶行為記錄下來，便于 IT 運(yùn)維人員進(jìn)行快速分析和查詢。

（六）亞信安全：服務(wù)器深度防護(hù)實(shí)踐

亞信安全針對(duì)云化環(huán)境提供的信息安全防護(hù)方案——DeepSecurity，通過病毒防護(hù)、訪問控制、入侵檢測(cè)/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)等功能實(shí)現(xiàn)虛擬主機(jī)和虛擬系統(tǒng)的全面防護(hù)，并滿足信息系統(tǒng)合規(guī)性審計(jì)要求。

亞信安全針對(duì)虛擬化環(huán)境提供創(chuàng)新的方法解決安全防護(hù)程序帶來的資源消耗問題，通過使用虛擬化層相關(guān)的 API 接口實(shí)現(xiàn)全面的病毒防護(hù)。DeepSecurity 部署如圖所示。

DeepSecurity 部署圖

亞信安全針對(duì)虛擬系統(tǒng)中通過接口實(shí)現(xiàn)針對(duì)虛擬系統(tǒng)和虛擬主機(jī)之間的全面防護(hù)，無需在虛擬主機(jī)的操作系統(tǒng)中安裝 Agent 程序，即虛擬主機(jī)系統(tǒng)無代理方式實(shí)現(xiàn)實(shí)時(shí)的防護(hù)，這樣無需消耗分配給虛擬主機(jī)的計(jì)算資源和更多的網(wǎng)絡(luò)資源消耗，最大化利用計(jì)算資源的同時(shí)提供全面病毒的實(shí)時(shí)防護(hù)。

訪問控制

亞信安全 DeepSecurity 防火墻提供全面基于狀態(tài)檢測(cè)細(xì)粒度的訪問控制功能，可以實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity 的防火墻同時(shí)支持各種泛洪攻擊的識(shí)別和攔截。

惡意代碼防范

亞信安全 DeepSecurity 提供全的主機(jī)惡意代碼防護(hù)功能，可以防護(hù)傳統(tǒng)惡意代碼和新型的安全威脅（例如：勒索軟件、挖礦病毒等）。并提供機(jī)器學(xué)習(xí)功能，對(duì)于同一惡意軟件家族的變種。

入侵檢測(cè)/防護(hù)

DeepSecurity 除了提供傳統(tǒng) IDS/IPS 系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策（policy-based）監(jiān)控和分析工具，使 DeepSecurity 更精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。

虛擬補(bǔ)丁防護(hù)

亞信安全 DeepSecurity 通過虛擬補(bǔ)丁技術(shù)完全可以解決由于補(bǔ)丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接口對(duì)虛擬主機(jī)系統(tǒng)進(jìn)行評(píng)估，并可以自動(dòng)對(duì)每個(gè)虛擬主機(jī)提供全面的漏洞修補(bǔ)功能，在操作系統(tǒng)在沒有安裝補(bǔ)丁程序之前，提供針對(duì)漏洞攻擊的攔截。

亞信安全 DeepSecurity 的虛擬補(bǔ)丁功能既不需要停機(jī)安裝，也不需要進(jìn)行廣泛的應(yīng)用程序測(cè)試。雖然此集成包可以為 IT 人員節(jié)省大量時(shí)間。虛擬補(bǔ)丁防護(hù)如圖所示。

虛擬補(bǔ)丁防護(hù)

完整性審計(jì)

亞信安全 DeepSecurity 產(chǎn)品可以針對(duì)系統(tǒng)支持依據(jù)基線的文件、目錄、注冊(cè)表等關(guān)鍵文件監(jiān)控和審計(jì)功能，當(dāng)這些關(guān)鍵位置為惡意篡改或攻擊時(shí)，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性。

日志審計(jì)和報(bào)表功能

亞信安全 DeepSecurity 提供全面的系統(tǒng)日志和詳盡的報(bào)告功能，除了記錄自身的各功能日志外，還可以將虛擬主機(jī)操作系統(tǒng)日志結(jié)合 DeepSecurity 自身日志進(jìn)行統(tǒng)一的統(tǒng)計(jì)和分析，日志系統(tǒng)還可以生成符合國際相關(guān)安全規(guī)范的報(bào)表。

DeepSecurity 通過對(duì)日志進(jìn)行分析可以讓管理員跟蹤 IT 基礎(chǔ)設(shè)施的活動(dòng)，評(píng)估服務(wù)器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時(shí)發(fā)生、在何處發(fā)生的有效方法。

（七）阿里云：基于全球防御體系的大流量 DDoS 防護(hù)實(shí)踐

DDoS 高防 IP 服務(wù)是阿里云自主研發(fā)、通過專用高防機(jī)房提供 DDoS 攻擊防護(hù)的云安全服務(wù)。

服務(wù)針對(duì)互聯(lián)網(wǎng)服務(wù)器（包括非阿里云主機(jī)）在遭受大流量DDoS 攻擊后導(dǎo)致服務(wù)不可用的情況時(shí)，將攻擊流量引流到阿里云高防 IP 機(jī)房，經(jīng)過對(duì)攻擊流量的清洗后將正常業(yè)務(wù)流量轉(zhuǎn)發(fā)至源站服務(wù)器，從而確保源站服務(wù)器的穩(wěn)定可用。

1. 超大規(guī)模分布式全球 DDoS 防御體系

阿里云在全球范圍內(nèi)升級(jí)云盾高防網(wǎng)絡(luò)，以提高響應(yīng)速度和穩(wěn)定性，防御能力近 10Tbps。DDoS 高防 IP 服務(wù)突破了現(xiàn)有 BGP 高防防護(hù)帶寬小、購買成本昂貴等不足，相比傳統(tǒng)靜態(tài)大帶寬攻擊防御系統(tǒng)的優(yōu)勢(shì)體現(xiàn)在靈活的彈性可擴(kuò)展能力，更好的網(wǎng)絡(luò)穩(wěn)定性和交付體驗(yàn)上。

在分布式能力上，DDoS 高防 IP 服務(wù)全面升級(jí) BGP Anycast 網(wǎng)絡(luò)，充分利用阿里云全球清洗中心能力，采用智能調(diào)度技術(shù)將大規(guī)模 DDoS 攻擊流量自動(dòng)牽引至距離攻擊源最近的清洗中心，同時(shí)具備多機(jī)房自動(dòng)容災(zāi)的能力。高防 IP 服務(wù)也可以為非阿里云內(nèi)用戶提供同等能力的 DDoS攻擊防御。阿里云內(nèi)用戶防御架構(gòu)如圖所示。

阿里云內(nèi)用戶防御架構(gòu)

2. 精細(xì)化和智能化的防御機(jī)制

阿里云基于自主研發(fā)的云盾產(chǎn)品，為用戶提供全面的 DDoS 防護(hù)服務(wù)，可以防護(hù) SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC 攻擊等三到七層 DDoS 攻擊。

除了對(duì)傳統(tǒng)業(yè)務(wù)提供有效的防御之外，阿里云 DDoS 高防 IP 服務(wù)層支持對(duì)包括社交類 APP、交易、視頻直播和智能物聯(lián)網(wǎng)等低延遲，高實(shí)時(shí)性新業(yè)務(wù)應(yīng)用的大規(guī)模 DDoS 攻擊防御。

在傳統(tǒng)的代理、探測(cè)、反彈、認(rèn)證、黑白名單、報(bào)文合規(guī)等標(biāo)準(zhǔn)技術(shù)的基礎(chǔ)上，結(jié)合 Web 安全過濾、信譽(yù)、七層應(yīng)用分析、用戶行為分析、特征學(xué)習(xí)、防護(hù)對(duì)抗、威脅情報(bào)等多種技術(shù)，對(duì) DDoS 攻擊進(jìn)行阻斷過濾：

精細(xì)化。通過對(duì) in/out 雙向流量信息的分析，提供精細(xì)化、域名級(jí)別、session 級(jí)別的應(yīng)用級(jí) DDoS 防護(hù)；

智能化。擺脫傳統(tǒng)基于統(tǒng)計(jì)的分析算法，引入了行為識(shí)別、機(jī)器學(xué)習(xí)算法和實(shí)踐，使得防御更加高效和精準(zhǔn)；

全網(wǎng)威脅情報(bào)。基于阿里云安全大數(shù)據(jù)和全網(wǎng)威脅情報(bào)能力，針對(duì)全網(wǎng)的惡意 IP 進(jìn)行持續(xù)跟蹤，在去除掉偽造 IP 后，系統(tǒng)能根據(jù) IP 信譽(yù)庫自動(dòng)過濾掉經(jīng)常發(fā)起攻擊的惡意 IP。

3. 防御過程和效果可視化

安全可視化是云安全服務(wù)的關(guān)鍵能力，特別是在大流量 DDoS 攻擊場(chǎng)景下，對(duì)攻擊的實(shí)時(shí)監(jiān)控顯得尤為重要。

阿里云 DDoS 高防 IP 服務(wù)不斷升級(jí)可視化能力，實(shí)現(xiàn)攻防的數(shù)據(jù)化、可視化和透明化。

阿里云 DDoS 高防 IP 服務(wù)提供對(duì)攻擊完整和詳細(xì)的記錄，一方面可以進(jìn)行快速有效的實(shí)時(shí)分析，進(jìn)一步改進(jìn)防護(hù)效果；另一方面也便于后續(xù)取證和溯源，變被動(dòng)防守為主動(dòng)對(duì)抗。

（八）杭州迪普：基于硬件設(shè)備的云數(shù)據(jù)中心安全防護(hù)解決方案

迪普科技提出了以“云安全、硬實(shí)力”云數(shù)據(jù)中心安全解決方案，通過獨(dú)立的硬件安全設(shè)備來解決云網(wǎng)絡(luò)的安全問題，幫助用戶構(gòu)建自動(dòng)化部署的安全資源池，為云網(wǎng)絡(luò)提供全面、彈性、可編排的安全防護(hù)能力，如圖所示。

方案部署圖

無縫對(duì)接云網(wǎng)絡(luò)

由于在云環(huán)境下，同一物理服務(wù)器下的多租戶互訪默認(rèn)通過虛擬交換機(jī)就能轉(zhuǎn)發(fā)，并不通過物理網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

因此在云環(huán)境中東西向安全是一個(gè)比較大的難題。迪普科技通過將安全網(wǎng)關(guān)與 VXLAN 技術(shù)的結(jié)合解決了這一問題。

迪普科技 VXLAN 安全網(wǎng)關(guān)可以作為 VTEP（VXLAN Tunnel End Point）,即三層網(wǎng)關(guān)，用于對(duì) VXLAN 報(bào)文進(jìn)行封裝、解封裝，并進(jìn)行跨 VXLAN 的三層報(bào)文轉(zhuǎn)發(fā)。

在虛擬機(jī)和安全網(wǎng)關(guān)中，形成一個(gè)完整的 VXLAN 網(wǎng)絡(luò)，處于不同VXLAN 的虛擬機(jī)之間互訪必須經(jīng)過迪普科技安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)和控制，從而實(shí)現(xiàn)了對(duì)于多租戶之間的安全隔離。三層網(wǎng)關(guān)（L3 Gateway）工作原理圖如圖所示。

三層網(wǎng)關(guān)（L3 Gateway）工作原理圖

適應(yīng)多租戶的安全虛擬化

迪普科技使用 N:M 虛擬化技術(shù)，將 N 臺(tái)設(shè)備虛擬成一個(gè)資源池，再將資源池按需分成 M 臺(tái)邏輯設(shè)備，從而實(shí)現(xiàn)針對(duì)不同的租戶劃分出不同的 VSA（虛擬安全設(shè)備），可以從 CPU、內(nèi)存、吞吐量、并發(fā)連接數(shù)、新建連接數(shù)、路由協(xié)議等維度進(jìn)行劃分，從而實(shí)現(xiàn) 1 個(gè)租戶、1 個(gè) VSA、1 個(gè)配置界面的目標(biāo)。

自動(dòng)化編排能力

迪普科技的云安全網(wǎng)關(guān)全面支持基于 OpenStack 的云管理，用戶可以像管理計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源一樣管理迪普的安全設(shè)備，實(shí)現(xiàn)真正意義上的資源自動(dòng)配置管理。

（九）奇安信：基于協(xié)同聯(lián)動(dòng)的云安全實(shí)踐

奇安信云安全管理平臺(tái)創(chuàng)新性的融合多種安全技術(shù)與云計(jì)算技術(shù)，可面向云上租戶和業(yè)務(wù)提供全面、定制化的安全服務(wù)。該解決方案整體設(shè)計(jì)以“防范”為中心，基于傳統(tǒng)的邊界防御技術(shù)，提升為由“預(yù)防—防御—監(jiān)測(cè)—響應(yīng)”等技術(shù)形成的立體安全防護(hù)架構(gòu)，深入云內(nèi)，覆蓋了云環(huán)境中的網(wǎng)絡(luò)層、宿主機(jī)層、虛擬化層、云主機(jī)層、應(yīng)用層、數(shù)據(jù)層等多層防護(hù)。

云安全管理平臺(tái)架構(gòu)圖

云安全管理平臺(tái)主要有以下特點(diǎn)：

立體聯(lián)動(dòng)防御體系

方案遵循“發(fā)現(xiàn)”-“阻斷”-“取證”-“研判”-“溯源”的防護(hù)體系，通過云安全威脅感知系統(tǒng)將原本碎片化的威脅告警、防護(hù)狀態(tài)、云內(nèi)資產(chǎn)等信息數(shù)據(jù)結(jié)構(gòu)化并統(tǒng)一整合，并結(jié)合威脅情報(bào)進(jìn)行安全預(yù)判溯源，通過實(shí)時(shí)交互可視化技術(shù)，將原來未知安全威脅變得可視可管，使安全態(tài)勢(shì)一目了然，最終實(shí)現(xiàn)“云端、邊界、端點(diǎn)”+“安全可視與感知”的立體聯(lián)動(dòng)防御體系。

東西向流量的微隔離：

以虛擬主機(jī)安全防護(hù)為核心，采用軟件定義的安全資源池，通過配置 AV、HFW 和 HIPS，實(shí)現(xiàn)東西向流量之間的微隔離，構(gòu)建主機(jī)安全防護(hù)，重點(diǎn)解決虛擬網(wǎng)絡(luò)層面的邊界防護(hù)、虛擬網(wǎng)絡(luò)可視化等問題，同時(shí)實(shí)現(xiàn)虛擬機(jī)遷移過程的安全策略跟隨。

安全服務(wù)鏈編排

用戶可根據(jù)不同業(yè)務(wù)需求部署不同的安全組件（如 vFW、入侵檢測(cè)、vWAF等），按需編排服務(wù)節(jié)點(diǎn)形成安全服務(wù)鏈，在全生命周期內(nèi)為應(yīng)用提供安全服務(wù)。

（十）深信服：云安全技術(shù)實(shí)踐

云安全服務(wù)鏈技術(shù)是深信服在軟件定義安全領(lǐng)域的創(chuàng)新實(shí)踐之一。

云安全服務(wù)鏈?zhǔn)窃朴?jì)算環(huán)境下，安全產(chǎn)品服務(wù)化、自動(dòng)化交付的核心技術(shù)，能夠?qū)崿F(xiàn)基于用戶身份、業(yè)務(wù)應(yīng)用類型對(duì)網(wǎng)絡(luò)流量進(jìn)行按需防護(hù)，支持根據(jù)不同業(yè)務(wù)需求將不同的安全硬件或 NFV 節(jié)點(diǎn)（如 vFW、入侵檢測(cè)、vLB 等）按需編排形成安全服務(wù)鏈，在應(yīng)用生命周期內(nèi)為應(yīng)用提供安全服務(wù)。技術(shù)原理和框架如圖所示： 

云安全服務(wù)鏈技術(shù)架構(gòu)

CSSP 將用戶輸入的訂閱信息（如用戶購買的安全組件及定義的組件順序）和標(biāo)識(shí)信息（用戶五元組和 VLAN 信息），通過北向接口下發(fā)給 SDN控制器；

SDN 控制器根據(jù)用戶的訂閱信息、標(biāo)識(shí)信息和服務(wù)節(jié)點(diǎn)的網(wǎng)絡(luò)配置（如網(wǎng)絡(luò)設(shè)備的接口、VLAN）計(jì)算出流表（基于 OpenFlow 協(xié)議）下發(fā)給SDN 交換機(jī)；

當(dāng)來自外網(wǎng)的數(shù)據(jù)流第一次經(jīng)過 SDN 交換機(jī)時(shí)，SDN 交換機(jī)按照定義的流分類規(guī)則匹配數(shù)據(jù)報(bào)文，并將其轉(zhuǎn)發(fā)到相應(yīng)的服務(wù)鏈，進(jìn)入第一個(gè)服務(wù)節(jié)點(diǎn)；

從第一個(gè)服務(wù)節(jié)點(diǎn)返回到 SDN 交換機(jī)的數(shù)據(jù)流，SDN 交換機(jī)基于入端口、五元組信息或 VLAN 查詢流表（基于 OpenFlow 協(xié)議），匹配相應(yīng)的出端口，轉(zhuǎn)發(fā)到下一個(gè)服務(wù)節(jié)點(diǎn)；

數(shù)據(jù)流按照服務(wù)鏈定義的順序在服務(wù)節(jié)點(diǎn)之間按順序轉(zhuǎn)發(fā)；

最后一個(gè)服務(wù)節(jié)點(diǎn)返回到 SDN 交換機(jī)的數(shù)據(jù)流，SDN 交換機(jī)基于入端口、五元組信息或 VLAN 查詢流表（基于 OpenFlow 協(xié)議），匹配服務(wù)鏈出端口，轉(zhuǎn)發(fā)到內(nèi)網(wǎng)；

當(dāng)服務(wù)節(jié)點(diǎn)狀態(tài)發(fā)生變化時(shí)，如服務(wù)節(jié)點(diǎn)故障停止工作，CSSP 將檢測(cè)到該變化，并通知 SDN 控制器重新計(jì)算流表，下發(fā)給 SDN 交換機(jī)完成服務(wù)鏈動(dòng)態(tài)更新；

當(dāng)用戶訂閱信息發(fā)生變化時(shí)，如服務(wù)節(jié)點(diǎn)授權(quán)到期，CSSP 將檢測(cè)到該變化，并通知 SDN 控制器重新計(jì)算流表，下發(fā)給 SDN 交換機(jī)完成服務(wù)鏈動(dòng)態(tài)更新。

未來展望

首先，政策方面：

2019 年 5 月，國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（“等保 2.0”）正式發(fā)布并將于年底實(shí)施，標(biāo)準(zhǔn)新增“云計(jì)算安全擴(kuò)展要求”，進(jìn)一步提出不同等級(jí)云計(jì)算平臺(tái)的安全擴(kuò)展要求；

7 月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、財(cái)政部共同發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》，以提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購使用云計(jì)算服務(wù)的安全可控水平。

云安全政策標(biāo)準(zhǔn)的進(jìn)一步細(xì)化完善，將進(jìn)一步提高云租戶等對(duì)云安全的重視程度，有效帶動(dòng)云安全市場(chǎng)需求。

其次，支持多云的安全解決方案、云內(nèi)東西向安全或?qū)⒊蔀榘l(fā)展重點(diǎn)。

多云模式可以提供針對(duì)不同業(yè)務(wù)場(chǎng)景和安全需求的解決方案，降低企業(yè)上云成本，提高云計(jì)算環(huán)境的數(shù)據(jù)業(yè)務(wù)安全性以及抗災(zāi)能力。

多云的部署發(fā)展，將驅(qū)動(dòng)適配多云模式的安全解決方案需求增長(zhǎng)。隨著云計(jì)算規(guī)模擴(kuò)大和云中節(jié)點(diǎn)數(shù)增加，云內(nèi)滲透威脅亦逐漸加劇，CWPP、微隔離、終端防護(hù)等東西向防護(hù)技術(shù)和產(chǎn)品需求日益迫切。三是云計(jì)算技術(shù)的發(fā)展將進(jìn)一步推動(dòng)云安全技術(shù)創(chuàng)新。

雷鋒網(wǎng)看來，近年來，云計(jì)算技術(shù)發(fā)展迅速，容器、微服務(wù)、云原生、DevOps100等新興技術(shù)已逐漸成為云計(jì)算技術(shù)的新方向，100 DevOps：Development 和 Operations 的組合詞，是一組過程、方法與系統(tǒng)的統(tǒng)稱，用于促進(jìn)開發(fā)（應(yīng)用程序/軟件工程）、技術(shù)運(yùn)營(yíng)和質(zhì)量保障（QA）部門之間的溝通、協(xié)作與整合相關(guān)安全挑戰(zhàn)也隨之產(chǎn)生，容器安全、DevSecOps101等技術(shù)成為云安全領(lǐng)域的研究熱點(diǎn)。

此外，隨著 5G、物聯(lián)網(wǎng)、區(qū)塊鏈等新技術(shù)的發(fā)展，云計(jì)算環(huán)境將面臨新的安全挑戰(zhàn)，從而催生新的云安全需求。

注：文章內(nèi)容摘自中國信息通信研究院印發(fā)的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。