隨著云計算業(yè)務(wù)的快速發(fā)展，國內(nèi)外云計算企業(yè)的專利之爭也愈發(fā)激烈。在云計算這樣的技術(shù)領(lǐng)域，專利儲備往往代表著企業(yè)的技術(shù)實力。華云數(shù)據(jù)本期"智匯華云"專欄將針對"如何構(gòu)建企業(yè)上云安全防護(hù)體系"，與大家共同分享云計算領(lǐng)域的發(fā)展趨勢。

[[258827]]

當(dāng)前，網(wǎng)絡(luò)數(shù)字化、智能化快速發(fā)展，網(wǎng)絡(luò)威脅加速滲透，網(wǎng)絡(luò)安全面臨重大風(fēng)險和挑戰(zhàn)。大量分散數(shù)據(jù)集中到云內(nèi)，這些數(shù)據(jù)中包含的巨大信息和潛在價值吸引了更多的攻擊者，針對云上安全防護(hù)的需求也與日俱增。云安全的建設(shè)需要充分保證租戶業(yè)務(wù)安全與數(shù)據(jù)安全，要求云服務(wù)提供商能夠提供持續(xù)運營安全服務(wù)。

在數(shù)字化時代，由于云計算風(fēng)險集中，導(dǎo)致大規(guī)模安全風(fēng)險的出現(xiàn)，讓網(wǎng)絡(luò)安全形勢更加嚴(yán)峻。那么，企業(yè)上云安全該如何建設(shè)，如何才能擁有一套成熟的安全體系？華云數(shù)據(jù)作為中國云計算、大數(shù)據(jù)獨角獸企業(yè)，積極助力數(shù)字中國網(wǎng)絡(luò)安全體系建設(shè)，助推網(wǎng)絡(luò)安全生態(tài)健康發(fā)展。

2019年2月28日，華云數(shù)據(jù)集團(tuán)售前方案經(jīng)理屈崇凱分享了云上安全合規(guī)的解決方案及探索與實踐，助力企業(yè)開啟安全、可控的上云之路。

精彩言論

1、當(dāng)前，網(wǎng)絡(luò)數(shù)字化、智能化快速發(fā)展，網(wǎng)絡(luò)威脅加速滲透，網(wǎng)絡(luò)安全面臨重大風(fēng)險和挑戰(zhàn)。嚴(yán)峻的行業(yè)背景下，網(wǎng)絡(luò)安全技術(shù)與實踐應(yīng)用、網(wǎng)絡(luò)安全體系及生態(tài)建設(shè)備受業(yè)界關(guān)注?；ヂ?lián)網(wǎng)是關(guān)系國民經(jīng)濟(jì)和社會發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟(jì)格局、利益格局和安全格局。基于互聯(lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)正面臨網(wǎng)絡(luò)地址消耗殆盡、服務(wù)質(zhì)量難以保證等問題。下一代的互聯(lián)網(wǎng)協(xié)議第六版（IPv6）應(yīng)運而生。

2、2017年11月26日，《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》（以下簡稱《行動計劃》）印發(fā)，對各行業(yè)IPv6遷移過渡提出明確安排和時間要求。作為國家經(jīng)濟(jì)運行的重要支撐，金融行業(yè)應(yīng)積極開展IPv6技術(shù)的試點研究與探索，為其全面部署落實奠定基礎(chǔ)。2019年1月10日，《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》發(fā)布?！缎袆佑媱潯芬笤谖磥?~10年間實現(xiàn)下一代互聯(lián)網(wǎng)IPv6自助產(chǎn)業(yè)技術(shù)體系和產(chǎn)業(yè)生態(tài)，并在經(jīng)濟(jì)社會各領(lǐng)域深度融合應(yīng)用，金融機(jī)構(gòu)網(wǎng)絡(luò)將首先完成互聯(lián)網(wǎng)環(huán)境的IPv6規(guī)模部署。

3、對于企業(yè)而言，云安全建設(shè)需求主要有三點，其一是業(yè)務(wù)牽引，包括業(yè)務(wù)安全的積極預(yù)防，云及混合云環(huán)境是否能夠防患于未然，提前感知威脅；業(yè)務(wù)自身及環(huán)境安全，業(yè)務(wù)上云，如何保障云平臺安全、數(shù)據(jù)安全、應(yīng)用安全；業(yè)務(wù)安全的持續(xù)監(jiān)測，如何檢測云上業(yè)務(wù)系統(tǒng)面臨的各類安全威脅；業(yè)務(wù)安全的處置手段，云環(huán)境中，出問題后如何快速定位，止損溯源。其二是技術(shù)牽引，建設(shè)云安全體系。在云環(huán)境下，原有的隔離原則將會失效，原有可信的邊界日益模糊，攻擊平面增多。軟件定義安全成為趨勢，越來越多的安全軟件化、虛擬化，并支持可編程式的控制。用云方式解決安全問題會越來越普及。其三是合規(guī)快速響應(yīng)，能否一站式解決新技術(shù)和新合規(guī)要求。

4、  虛擬化會帶來一些安全風(fēng)險，比如虛擬機(jī)逃逸，正常情況下，同一虛擬化平臺下的客戶虛擬機(jī)之間不能互相監(jiān)視、影響其他虛擬機(jī)及其進(jìn)程，但虛擬化漏洞的存在或隔離方式的不正確可能會導(dǎo)致隔離失效，使得非特權(quán)虛擬機(jī)獲得 Hypervisor 的訪問權(quán)限。對于虛擬化平臺而言，也存在一些安全風(fēng)險。虛擬機(jī)遷移時，需要先遷移虛擬機(jī)的內(nèi)存等狀態(tài)信息，并傳輸虛擬機(jī)副本到新的物理機(jī)上恢復(fù)運行，黑客有較多的時間截取敏感信息。虛擬機(jī)鏡像、快照恢復(fù)的時候，由于缺乏及時的系統(tǒng)補(bǔ)丁，造成新創(chuàng)建的虛擬機(jī)極易遭受威脅。

5、  云資源可以靈活調(diào)配，擊破傳統(tǒng)安全域的便捷。同一物理機(jī)上虛擬機(jī)（業(yè)務(wù)系統(tǒng)）間的網(wǎng)絡(luò)流量無法使用傳統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行檢測。內(nèi)部病毒爆發(fā)引起的互相感染攻擊無法通過邊界安全設(shè)備控制。傳統(tǒng)安全策略無法感知、跟隨虛擬機(jī)的遷移。虛擬機(jī)之間的隔離主要通過虛擬化層軟件實現(xiàn)，無法控制同一宿主機(jī)中的其它租戶安全防護(hù)能力如果黑客利用一臺虛擬機(jī)獲得宿主機(jī)的所有資源，導(dǎo)致其他虛擬機(jī)沒有資源可用，將造成虛擬化環(huán)境下的拒絕服務(wù)攻擊，"鄰居"失火殃及"自己"。

6、  虛擬網(wǎng)絡(luò)存在風(fēng)險，一方面?zhèn)鹘y(tǒng)的安全域被打破，東西向流量不可見，同一宿主機(jī)中不同業(yè)務(wù)系統(tǒng)間的通信（東西流向），傳統(tǒng)（南北流向）物理安全設(shè)備無法檢測，另一方面，在超大的二層虛擬網(wǎng)絡(luò)中，被黑客攻破的通道很多，攻擊危害性都遠(yuǎn)遠(yuǎn)超過了它們在傳統(tǒng)網(wǎng)絡(luò)中的影響。因此，也帶來了安全管理方面的風(fēng)險。運維人員通常使用遠(yuǎn)程管理平臺對虛擬機(jī)進(jìn)行管理，如VMware的vCenter、Citrix的XenCenter。集中管理降低了管理復(fù)雜度，但可能帶來如SQL注入等危險。

7、云計算有安全強(qiáng)制規(guī)范，公安部發(fā)布了《網(wǎng)絡(luò)安全等級保護(hù)條例》，對于大型云計算平臺，應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。傳統(tǒng)安全手段無法滿足云等保合規(guī)的要求。在云環(huán)境下，云安全責(zé)任模型需要建設(shè)端到端整體安全體系，治理層次清、權(quán)責(zé)界限清，核心理念是智慧云安全，以等保合規(guī)為基礎(chǔ)，安全組件齊全，安全資源池滿足快速交付，日志集中審計和存放，三權(quán)分立。以軟件定義安全為架構(gòu)，開放的整體架構(gòu)，南向支持第三方安全組件集成，東西向，支持不同的云平臺對接，北向開放接口支持被集成。以安全運營為核心，資產(chǎn)同步、租戶同步，服務(wù)編排，事件監(jiān)測、報警和處置，計量計費，安全服務(wù)。