云上安全产业沙龙 | 混合云架构下的云安全防护实践

《云上安全白皮书2021》是由嘶吼安全产业研究院通过多方调研和专家访谈，历时一个多月撰写而成。本次云上安全白皮书首次引入了甲方视角，嘶吼产业研究院在会上解读表示，2021年云上安全市场即将突破百亿大关，盈利模式也从单纯的卖产品和卖“人头”开始向更多资本侧、渠道侧和经济型盈利模式侧倾斜，未来云上安全的高速发展趋势势不可挡。(PS:关注公众号“嘶吼专业版”，回复“云上安全白皮书2021”即可下载《致广大 尽精微：云上安全白皮书 2021》完整版。)

在云上安全产业沙龙活动中，部分企业代表在活动上进行了精彩分享，嘶吼安全产业研究院将会议精要内容进行整理，以连载的方式在嘶吼独家发布，向大家逐步呈现，欢迎关注！

黄安松 天融信科技集团云安全市场总监

提升资源利用率、降低成本是混合云大势所趋背后的主要原因

云计算是我国新基建重要战略之一，是5G、物联网、工业互联的新基座，也是数字化转型的必然趋势；云计算概念于2006年首次提出，经历了形成、发展到广泛应用阶段。根据不同行业、不同应用需求形成公有云、私有云、专有云以及混合云，并在政务办公、警务、医疗、教育等行业落地生根。

随着用户业务增多，单一私有云或公有云已经无法满足用户对业务的发展需求，比如，在业务访问高峰期需要快速扩容来保障业务访问的稳定性，而在业务低谷期又需要快速回收资源以节省开支，显然，单一的私有云环境很难实现资源的快速扩容和回收，这时候将此类业务部署在公有云上无疑是最佳实践，既能保障业务访问的连续性、稳定性，又能实现资源快速回收，节省开支，在短时间内实现扩容；此外，面对数据具有强合规、为保障数据的安全性，可以将前后端分离，前端部署在公有云、后端核心数据部署在私有云，通过云网联动实现数据的交互，既能保障业务访问的连续性，又能保证数据的安全性，通过私有云、行业云、公有云等多云并来适应新的业务发展，找到部署应用程序的“最佳执行地点”，既能提供业务访问最佳性能、业务部署灵活性，又能保障业务数据的安全性、可靠性以及对数据的强大控制力。

混合云面临的威胁与挑战

云计算作为数字经济转型的新底座，云计算安全是保障业务稳定、可靠运行的先决条件，混合云架构下安全有两个方面的问题，1、业务从传统物理机房迁移到云计算环境的共性问题，以及在混合云架构下引生出的安全一致性、统一管理的问题。

在传统单体建设模式下从物理安全、网络安全、主机安全、应用安全及数据安全的安全责任主体和安全使用主体都是同一主体；而在云计算模式下，按服务模式不同，责任主体边界不同。另外，安全防护的思路上单体建设模式下可以通过在边界部署安全设备来保障内网安全，基于流量对攻击进行检测，分区分域来实现不同等级之间的差异化防护，而业务上云之后，计算虚拟化、存储虚拟化和网络虚拟化、资源集中化引生出边界不固定，无法按照物理区域划分，导致了采用物理设备隔离和检测的思想无法实现。

在混合云架构下，当业务工作负载从私有云迁移到公有云时，如何保障在不同云计算环境之间迁移时，安全防护策略的一致性，多云之间的业务数据流转如何去保障安全性，以及多云之间的安全事件如何统一管理、统一运维以此来发现潜在的安全威胁。

混合云安全防护整体架构

混合云的安全建设首先要遵循国家标准规范，先明确安全责任主体和安全等级划分，根据不同的责任主体和不同的业务构建安全体系，云安全防护体系分为五大部分：云平台安全通信网络、云平台安全区域边界、安全计算环境、安全管理中心、安全运维/服务体系。

此外，安全是一个体系化建设过程，应从安全管理、安全建设和安全运维等维度进行考量，在保障平台通用安全、平台虚拟化安全及租户安全的同时，还应该提供持续的安全监控和运维保障，通过产品+服务方式构建安全闭环，实现云从建设到运营、从事前到事后构建全生命周期的安全防护体系。

天融信混合云安全防护架构助力云上安全

天融信针对公有云、私有云及专有云等混合云架构，提出了云计算环境4层纵深防御体系，将云计算环境划分为物理边界层，云虚拟边界层、云虚拟化层和云主机层等4个层面，而面对公有云、私有云及专有云等不同的云计算应用场景，针对云平台方和云租户提供对应的安全能力；同时针对不同云计算场景下的安全能力通过云安全管理中心实现统一纳管，统一运维，以此实现混合云架构下的安全策略一致性、安全统一管理。

在传统的物理边界层，采用传统的安全设备，解决边界访问控制、入侵攻击、漏洞攻击、流量攻击等安全问题，有效实现物理边界安全防护；针对云上多租户之间的安全隔离以及租户云内差异化安全建设需求，提供云安全资源池及公有云原生安全能力，进行纵向防护、横向隔离，灵活解决不同租户之间的安全隔离和差异化防护需求；针对云内虚拟机之间的流量隔离和流量可视化，采用无代理微隔离防火墙打造基于虚拟化层的隔离，有效预防安全威胁在虚拟机之间横向传播；针对云主机的恶意代码攻击、漏洞利用攻击，采用轻代理的EDR、自适应主机安全产品，能够更精准、更准确的实现全生命周期防护，那么通过分层设计、分层防护的思想，构建纵深防御体系，能够抵御来自各个层面的攻击。

公有云原生安全。公有云方面，天融信针对公有云上云租户提供安全赋能，通过安全生态的建设，比如将安全能力融入到阿里公有云上，为租户提供安全服务。天融信作为国最早做网络安全的厂商之一，产品体系相对完善，可以提供从网络、主机、应用、数据等维度提供安全保障，实现公有云上租户业务的全生命周期防护。

私有云平台内部东西向防护设计—微隔离。针对私有云/专有云，云平台内东西向的安全防护，天融信采用的是虚拟化分布式防火墙进行实现，目前这款产品是国内首家获得VMware Ready认证的产品，也是国内首个适配并应用信创云环境的产品。通过与各大云平台紧耦合对接，可根据租户网络、业务应用、使用环境及应用端口等不同属性、不同等级进行个性化安全策略制定、动态调整，让安全更贴近业务，将业务流量按不同层级实现可视化梳理，有效保障云平台虚拟网络安全。

私有云虚拟化边界南北向防护设计——安全资源池。天融信安全资源池产品内置十多种安全能力，，租户可根据安全防护需求进行按需购买，实现差异化防护，租户可按等级保护合规需求，从安全通信网络、安全区域边界、安全技术环境等几个维度通过可视化流量编排技术，实现访问控制、通信传输、边界防护、入侵防范、安全审计等安全防护措施，完美满足等保合规管理条例。目前这款产品是国内首家应用信创政务云，同时支持IPv6的数据存放的产品。

混合云API网关。混合云构架下如何实现多云数据安全？API网关能够帮助用户解决应用API接口对外提供服务过程中恶意访问、SQL注入、DDOS攻击等安全问题。同时，API网关作为零信任架构体系中重要一环，对访问者身份认证进行控制。

容器云安全是天融信未来发展的方向。容器安全防护系统是天融信基于容器全生命周期防护理念推出的一款容器防护产品。产品以容器环境安全、容器镜像安全、容器网络安全、工作负载安全四个维度为切入点，通过建立从主机层到容器应用层的纵深防御体系，确保容器环境中业务系统安全可靠运行。

多云混合云架构下提的比较多的是云主机工作负载安全。天融信构建以云工作负载保护平台为核心，集预测、防御、检测和响应一体的自适应安全防护体系，通过加强监测和响应能力以及持续的监控和分析，及时应对新威胁、调整安全策略、将安全能力赋能到云主机。相对于防御和应急响应的安全防御体系，自适应安全防护理念面对云主机安全贯穿从信息收集、网络入侵、提升权限、内网渗透、安装后门及清除痕迹等整个攻击过程，有效应对复杂的高级持续威胁。

混合云安全管理。天融信可以做到通过混合云安全管理中心实现用户安全购买，通过租户管理模式开通线上申请。

按需购买。针对不同的应用场景，天融信提供通用的应用场景解决方案，如基础安全、安全运维、网络安全、等级保护等。用户侧可以通过按需购买方式一键开通安全服务，快速保证自身业务安全。

混合云安全中台—云网安全态势。安全作为保障业务安全的前提，云计算安全应为云服务方和云服务客户提供安全可视化能力。天融信面对云服务商及云服务客户提供安全事件态势、安全运营态势、安全组件态势，全面感知云内安全风险，保障安全可用性、安全可靠性和完整性。

混合云安全方案总结

天融信整体云安全解决方案分为四个部分：纵深防御，全面覆盖，解决云平台各层防护需求；面向云平台安全建设，防止风险进入云平台；在云平台内部采用微隔离、微分段技术实现云平台内安全防护；集中安全管理，实现多云混合云架构下统一管理、统一运维、安全态势集中展示。

通过产品和服务方式构建安全能力闭环，提供持续的安全监控和运维保障，实现混合云从设计、建设到运营生命周期内的全覆盖，为云上业务保驾护航，为企业的数字化转型提动态防御、弹性扩展、集中监测的新动能。