如今，云計(jì)算的發(fā)展已經(jīng)到了“落云為雨”的階段，隨著虛擬化和云計(jì)算技術(shù)的不斷完善，對(duì)于當(dāng)下的企業(yè)而言，面臨的問題不再是“上不上云”，而是“上哪朵云”？而在此過程中，上云之后所面臨的新的安全問題，也成為制約云計(jì)算發(fā)展與企業(yè)用戶向云中遷移的首要問題。

在網(wǎng)絡(luò)安全領(lǐng)域，有這樣一家“老兵”級(jí)的安全廠商，自1996年成立以來，已在安全領(lǐng)域深耕二十余年。在云安全領(lǐng)域，東軟安全亦屬于起步較早的廠商之一。在企業(yè)上云成為不可阻擋的趨勢(shì)的當(dāng)下，東軟NetEye也推出了面向云平臺(tái)的安全防護(hù)產(chǎn)品——東軟“云啟”NCSS(NetEye Cloud Sceurity System)。

綜觀當(dāng)下的云安全現(xiàn)狀與防御態(tài)勢(shì)，并不樂觀。與根據(jù)來自思科的最新全球云智數(shù)報(bào)告顯示：數(shù)據(jù)中心的內(nèi)部流量，即東西向流量比重正在持續(xù)增加，到2020年將占比超過85%。同時(shí)，在云環(huán)境中，DDoS、基于漏洞的網(wǎng)絡(luò)攻擊等惡意攻擊行為依然頻繁發(fā)生。而傳統(tǒng)的云平臺(tái)邊界式安全解決方案防護(hù)模式，并沒有為云內(nèi)部東西向流量提供威脅檢測(cè)和隔離機(jī)制，讓云平臺(tái)內(nèi)部成為了安全盲點(diǎn)。今年在我國，隨著《網(wǎng)絡(luò)安全法》的頒布實(shí)施以及等保2.0中對(duì)云計(jì)算安全明確提出了“能監(jiān)控、識(shí)別虛擬機(jī)之間的流量”的安全要求，也讓企業(yè)對(duì)于云中的安全防護(hù)面臨著一系列新的挑戰(zhàn)。

在這樣的背景之下，東軟“云啟”又是如何應(yīng)對(duì)云安全下的一系列挑戰(zhàn)的？

[[216769]]

東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部云安全產(chǎn)品經(jīng)理崔進(jìn)

在東軟NetEye“云啟”(NCSS)產(chǎn)品發(fā)布會(huì)上，東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)部云安全產(chǎn)品經(jīng)理崔進(jìn)向我們?cè)敿?xì)介紹了東軟“云啟”的特色之處。

據(jù)了解，東軟“云啟”采用的是管理平面與業(yè)務(wù)平面相分離的模式，由vSMC和vSPM兩部分組成。vSMC虛擬安全管理模塊為管理平面，負(fù)責(zé)內(nèi)部可視化、安全配置管理，以及對(duì)業(yè)務(wù)平面的調(diào)度。vSPM虛擬安全防護(hù)模塊為業(yè)務(wù)平面，負(fù)責(zé)具體執(zhí)行安全功能，實(shí)現(xiàn)安全防護(hù)。東軟“云啟”通過引流、虛擬機(jī)圍隔離以及可視化等技術(shù)，為用戶提供全方位的云計(jì)算環(huán)境內(nèi)部安全解決方案。

基于微隔離的技術(shù)，東軟“云啟”為每個(gè)虛擬機(jī)提供了貼身防護(hù)，通過引流技術(shù)，東軟“云啟”也可以將每個(gè)虛擬機(jī)的流量牽引至虛擬安全防護(hù)模塊(vSPM)中進(jìn)行威脅檢測(cè)，從而發(fā)現(xiàn)并阻斷東西向流量的安全威脅。對(duì)此崔進(jìn)認(rèn)為：“在未來的一段時(shí)間內(nèi)，微分段技術(shù)一定會(huì)成為云計(jì)算數(shù)據(jù)中心的標(biāo)配?；谀壳霸瓢踩奶匦?，微分段是云安全的一個(gè)剛需，微分段實(shí)現(xiàn)微隔離，這是符合云計(jì)算安全要求的，微分段是一個(gè)云安全技術(shù)發(fā)展的必然成果和安全手段。”

“對(duì)于不可見的東西，人本會(huì)本能地恐懼。”崔進(jìn)說道。由此，實(shí)現(xiàn)云平臺(tái)內(nèi)部的流量及應(yīng)用可視化，從而對(duì)虛擬機(jī)之間的檢測(cè)與隔離、網(wǎng)絡(luò)攻擊的審計(jì)與溯源等便顯得尤為重要。在東軟“云啟”中，虛擬安全管理模塊(vSMC)便是用來收集并分析虛擬機(jī)之間的數(shù)據(jù)通信，其中包括不同端口之間的流量。同時(shí)，東軟“云啟”還可以為用戶呈現(xiàn)云平臺(tái)中指定時(shí)間段內(nèi)的新增流量，幫助用戶掌握云內(nèi)部的細(xì)微變化。借助深度可視化技術(shù)，東軟“云啟”可識(shí)別出虛擬機(jī)流量中的具體應(yīng)用類型，并在此基礎(chǔ)上提供流量與應(yīng)用控制功能，可以虛擬機(jī)間的業(yè)務(wù)訪問進(jìn)行細(xì)粒度的權(quán)限控制，以過濾非法訪問，保護(hù)業(yè)務(wù)安全。

通過虛擬安全管理模塊(vSMC)，東軟“云啟”實(shí)現(xiàn)了集中管理，使得用戶通過單一管理界面即可實(shí)現(xiàn)整個(gè)云平臺(tái)的統(tǒng)一安全部署和管理，實(shí)現(xiàn)了一點(diǎn)觸發(fā)、多點(diǎn)生效。

除了可視化之外，對(duì)DoS/DDoS攻擊的防御、以及先進(jìn)的入侵防御技術(shù)也是東軟“云啟”的主要功能特色。據(jù)了解，東軟“云啟”能夠精確識(shí)別和準(zhǔn)確防范眾多的DoS/DDoS攻擊，并進(jìn)行有效檢測(cè)和防御，實(shí)現(xiàn)攻擊的智能防范，最大限度地保障用戶的網(wǎng)絡(luò)層及應(yīng)用層網(wǎng)絡(luò)安全。入侵防御模塊(IPS)則是基于具有自主知識(shí)產(chǎn)權(quán)及國際專利技術(shù)的東軟事件描述語言(NEL)引擎，以及超過3000種攻擊防御簽名，支持對(duì)已知和未知網(wǎng)絡(luò)及應(yīng)用層攻擊的檢測(cè)及防御。

在部署方面，東軟“云啟”為純軟件產(chǎn)品，無任何硬件支持要求，部署過程中也無需虛擬機(jī)系統(tǒng)上部署任何代理插件或客戶端;并支持虛擬機(jī)遷移、支持基于虛擬機(jī)的訪問策略、支持動(dòng)態(tài)策略自動(dòng)遷移、支持彈性擴(kuò)縮等，具備自動(dòng)化適應(yīng)的特色。并支持VMware?vSphere5.1/5.5/6.0等虛擬化平臺(tái)。

基于東軟NetEye 20多年的安全能力和歷史，安全技術(shù)和行業(yè)經(jīng)驗(yàn)的積累對(duì)于云安全產(chǎn)品的性能和功能研發(fā)都起到了巨大的支持作用。在談及東軟“云啟”的特色時(shí)，崔進(jìn)向記者說道：“我們對(duì)產(chǎn)品的要求就是符合客戶使用場(chǎng)景，靈活安全。東軟“云啟”是基于微分段的云安全系統(tǒng)，是基于用戶使用場(chǎng)景的一款安全系統(tǒng)，但我們?nèi)诤狭撕芏嗥渌募夹g(shù)特色，并且接受客戶云環(huán)境的獨(dú)特定制。依托東軟安全較雄厚的技術(shù)積累和行業(yè)經(jīng)驗(yàn)，我們?cè)谠瓢踩慕鉀Q方案的研發(fā)中，也會(huì)少走很多彎路，會(huì)有更多的技術(shù)質(zhì)量保障。”

在此，更加值得一提的是，東軟安全的每次產(chǎn)品發(fā)布，與其他廠商也略有不同。正如在發(fā)布會(huì)的當(dāng)天，東軟網(wǎng)絡(luò)安全事業(yè)部副總經(jīng)理路娜所說的那樣：“東軟安全的產(chǎn)品是有實(shí)踐才會(huì)有發(fā)布，這是東軟安全歷來的風(fēng)格。”

作為一家低調(diào)務(wù)實(shí)的安全廠商，此次東軟“云啟”亦是在大量技術(shù)積淀及優(yōu)秀的實(shí)踐案例后正式發(fā)布的。據(jù)悉，東軟“云啟”在2016年下半年便開始投放市場(chǎng)，至今已在多個(gè)行業(yè)應(yīng)用并獲得肯定。“東軟‘云啟’在投放期間也經(jīng)過了很多的功能新增、性能加強(qiáng)等。到了今年上半年，各個(gè)用戶運(yùn)行的“云啟”系統(tǒng)已經(jīng)相對(duì)平穩(wěn)，反饋也不錯(cuò)。相信隨著我們產(chǎn)品的不斷進(jìn)步，將能幫助更多行業(yè)的云計(jì)算系統(tǒng)保駕護(hù)航。”崔進(jìn)說道。

可以預(yù)見的是，未來的云安全將是一片很大的市場(chǎng)，而在這個(gè)市場(chǎng)中的博弈需要的是真正符合用戶需求、滿足云安全防護(hù)的產(chǎn)品和技術(shù)實(shí)力。隨著國家對(duì)云安全的愈發(fā)重視，企業(yè)對(duì)云安全的需求也將進(jìn)入一個(gè)新的階段。但對(duì)于安全廠商而言，腳步還將不僅止步于此。

因此，在當(dāng)天發(fā)布會(huì)采訪的最后，在談及對(duì)未來云安全市場(chǎng)的看法時(shí)，崔進(jìn)也進(jìn)一步說道：“對(duì)企業(yè)而言，法規(guī)層面所規(guī)定的如果都做到了，會(huì)做到相對(duì)的安全，但市場(chǎng)上實(shí)際需求層面需求會(huì)比法規(guī)要求更多，安全廠商不能僅僅幫助用戶做到合規(guī)，更要幫助用戶做到符合實(shí)際的使用需求。未來，我們的安全產(chǎn)品和安全服務(wù)會(huì)以實(shí)際需求為目標(biāo)，以國家標(biāo)準(zhǔn)為基礎(chǔ)去進(jìn)行產(chǎn)品的更新升級(jí)策略。”