谨防“蚁穴效应”，确保云数据中心安全运行

云计算的益处无需多言，然而云上数据中心带来了更多的数字资产暴露面，一台被攻陷的云主机，很可能造成云内其他服务器的全部沦陷，可谓“一招致命”。

一方面持续变动的网络形态，加大了网络安全边界延伸的不可预测性；此外，云主机、容器、边缘计算打破了设备单一的物理形态，尤其是大量云主机的安全管理，让数据中心的安全运营出现了全新挑战。

失陷云主机，随时可能“叛变”

首先，各类操作系统与应用组件漏洞的披露越来越频繁，安全运维人员将面临非常消耗人力的补丁管理工作，一旦出现纰漏，就会让整个数据中心的安全出现短板。其次，在整个云上攻击事件中，勒索病毒、挖矿软件攻击依然相当流行，而遭到两类病毒入侵，不仅会丢失算力、消耗电力，更可能会出现文件被加密、交付巨额赎金，业务停摆等情况。最后，云端存储了大量机密数据以及用户的个人隐私数据，而数据泄露的结果不仅会让企业面临法律惩戒，还会让企业面临严重的信任危机，甚至从此一蹶不振。

此外，一旦某台云主机失陷，就可能让数据中心遭遇持久性攻击。比如，云架构在创建新主机时，提供了可以匹配所需任何硬件或软件环境的灵活性，这意味着如果黑客设法使用已传递到云主机恶意脚本，便会持续不断地与外部服务器的连接(C&C通信)，并且利用横向移动（Lateral Movement）来达到控制更多主机的目的，窃取机密数据。

一体化管理，杜绝“二次伤害”

产业互联网时代，云已经成为网络安全的主战场。为此，亚信安全亚信安全提供了能够全面覆盖云工作负载保护平台（CWPP）能力的信舱云主机安全(DeepSecurity)解决方案，通过防病毒、防攻击、防漏洞、行为监控、应用控制、完整性保护、微隔离、主机加固、日志审计、EDR等保护能力，为云数据中心构建出第二道防火墙。

以漏洞管理为例，信舱DS能够实现对云主机及应用的漏洞扫描、风险评估、修复建议，满足用户对漏洞修复的需求，也能通过虚拟补丁能力，在面对0Day漏洞无法快速防护漏洞、老旧操作系统及应用无法修复补丁、关键服务器无法重启的情况下，利用虚拟补丁实现服务器及应用系统漏洞批量管理。

其次，信舱DS提供了更自动化的安全运维配置方法。比如，云主机资产的自动化盘点，管理员可在此基础上实现等保定级跟踪，并根据所选服务器的操作系统、软件应用等信息，自动筛选出该服务器上需要检查的系统、应用基线，进而制定出云主机安全加固模板，迅速实现云端安全基线的一致化。

此外，DS还携带了云主机EDR模块，这相当于在每一台云主机上安装了高清雷达，通过在每一台云主机内安装一个极其轻量的探针，记录着系统运行过程中发生的所有事件，并将所有记录的数据上传至服务端长期存储，可以根据主机之间的事件关系，还原出完整的攻击链，找到攻击方，严防命令外联、横向移动等“二次伤害”。

支持跨云策略一致性，容器安全有保障

目前，混合云的采用率正在大幅上升，越来越多的企业进入到私有云和公有云环境交织、私有云虚拟化平台复杂多样的“混合世界”中。用户不仅要面临几大公有云管理平台上的“移动目标”，内部私有云中也会存在VMware、Citrix 、华为、微软、KVM等虚拟化平台的管理“烟囱”，这让企业的安全策略几乎无法实现统一。

为此，亚信安全信舱DS提供了可以统一管控本地物理服务器、近端和云端虚拟化服务器的管理平台，全面支持各大云服务商混合云方案和容器等开源技术构建的混合云。尤其是在容器安全方面，可以对容器镜像进行持续的检测和分析，实现了容器环境的资源可视化管理、镜像风险管理、合规性检测和微服务API风险管理，最终保障容器在构建、部署、迁移和运行时都能满足提前制定的安全标准。