7月28日，由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟主辦，深信服科技、數(shù)字認(rèn)證等IT領(lǐng)域知名廠商協(xié)辦的“新基建浪潮下的云上安全”專題研討會成功舉辦。本次會議邀請了眾多安全領(lǐng)域?qū)＜?、學(xué)者共同探討在新基建背景下的云安全運(yùn)營之道。會上，深信服云安全CTO陳立峰發(fā)表《打造易管理、可運(yùn)營的云上安全架構(gòu)》主題演講，為觀眾分享云數(shù)據(jù)中心安全建設(shè)實(shí)踐經(jīng)驗(yàn)。

▲圖片來源：中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟

云數(shù)據(jù)中心安全建設(shè)面臨的三大新挑戰(zhàn)

業(yè)務(wù)上云大勢所趨，越來越多的企事業(yè)單位將自己的業(yè)務(wù)遷移到云上，在業(yè)務(wù)上云過程中的安全問題至關(guān)重要。用戶云安全建設(shè)普遍存在云用戶個(gè)性化安全需求難滿足、云內(nèi)安全不可視不可控、IT架構(gòu)不斷變化難以持續(xù)提供有效保護(hù)等諸多挑戰(zhàn)。

1、云服務(wù)用戶的個(gè)性安全需求難滿足

不同的云服務(wù)用戶存在差異化的安全防護(hù)需求，且組織的多個(gè)數(shù)據(jù)中心或多套云平臺同樣存在不同的安全防護(hù)需求，多種不同的安全需求很難同時(shí)滿足；兼容開放問題也在影響安全資源的敏捷交付。

2、云內(nèi)安全不可視不可控、缺乏適宜的技術(shù)手段

傳統(tǒng)云安全建設(shè)多為病毒檢測和補(bǔ)丁修復(fù)類，很少關(guān)注行為檢測和可視化；傳統(tǒng)云主機(jī)安全類Agent占用資源多，易引發(fā)藍(lán)屏、死機(jī)、重啟等問題；傳統(tǒng)云安全建設(shè)抱著一切從簡思維，僅劃分有限區(qū)域，域內(nèi)主機(jī)數(shù)量多風(fēng)險(xiǎn)大，且業(yè)務(wù)復(fù)雜、管理復(fù)雜、云內(nèi)網(wǎng)絡(luò)改造難度大。

3、IT架構(gòu)不斷變化，難以持續(xù)提供業(yè)務(wù)保護(hù)

越來越多的企事業(yè)單位計(jì)劃進(jìn)行云原生改造或遷移到混合多云環(huán)境，但無法構(gòu)建面向未來的安全防護(hù)體系，難以適應(yīng)業(yè)務(wù)形態(tài)的變化和云計(jì)算技術(shù)的演進(jìn)。

如何持續(xù)開展有效的云數(shù)據(jù)中心安全建設(shè)？

在上述背景下，用戶如何開展有效的云數(shù)據(jù)中心安全建設(shè)？陳立峰在會上表示，“越來越多的數(shù)據(jù)和業(yè)務(wù)應(yīng)用集中在云平臺上，建設(shè)一套‘以保護(hù)業(yè)務(wù)為中心’的安全體系至關(guān)重要?，F(xiàn)代化的云數(shù)據(jù)中心安全建設(shè)應(yīng)‘面向業(yè)務(wù)，向上提供服務(wù)，向下集中管理’，達(dá)成‘能力易集成、自適應(yīng)閉環(huán)、自動化運(yùn)營’三大能力目標(biāo)。”

1、能力易集成

深信服通過打造開放兼容的云安全平臺，按需集成安全組件，為云上業(yè)務(wù)或租戶敏捷交付安全能力，滿足合規(guī)及業(yè)務(wù)的個(gè)性化需求。

2、自適應(yīng)閉環(huán)

降低對業(yè)務(wù)的影響，建設(shè)云內(nèi)自適應(yīng)防護(hù)體系，解決云內(nèi)風(fēng)險(xiǎn)不可視不可控的問題；適應(yīng)未來IT架構(gòu)變化，為業(yè)務(wù)提供持續(xù)的保護(hù)。

3、自動化運(yùn)營

深信服將通過建立面向云數(shù)據(jù)的中心的安全運(yùn)營平臺，以SOAR提升運(yùn)營效率，人機(jī)共智保障運(yùn)營效果，降低安全運(yùn)維壓力。

易管理可運(yùn)營的云數(shù)據(jù)中心安全解決方案

陳立峰在會上說到，“深信服基于軟件定義安全技術(shù)，幫助用戶構(gòu)建‘能力易集成、自動化運(yùn)營的云上自適應(yīng)安全架構(gòu)’，保護(hù)云數(shù)據(jù)中心平臺、租戶及業(yè)務(wù)的安全，深化云內(nèi)安全建設(shè)，并不斷提升整體安全運(yùn)營的效率和效果。”

此前，深信服云數(shù)據(jù)中心安全解決方案已進(jìn)行全新升級，可以根據(jù)用戶的上云階段，分三個(gè)步驟逐步滿足云數(shù)據(jù)中心安全建設(shè)要求：

第一步：滿足云基礎(chǔ)設(shè)施安全保護(hù) 

在業(yè)務(wù)上云初期，同步做好網(wǎng)絡(luò)安全建設(shè)，從云平臺自身安全合規(guī)和業(yè)務(wù)、租戶安全合規(guī)兩個(gè)維度來加強(qiáng)基礎(chǔ)設(shè)施安全保護(hù)：

• 云平臺自身安全合規(guī)：在安全的底層環(huán)境基礎(chǔ)上，將云平臺劃分為不同的安全區(qū)域，通過不同的云租戶VPC進(jìn)行各單位業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)隔離等措施，同時(shí)建設(shè)安全管理中心，滿足云平臺自身安全合規(guī)的要求。
• 業(yè)務(wù)/租戶安全合規(guī)：基于軟件定義安全技術(shù)構(gòu)建安全資源池，為云租戶提供按需交付的安全資源，安全資源覆蓋訪問控制、入侵防御、數(shù)據(jù)加密等各個(gè)方面，滿足云租戶個(gè)性化的安全需求，所有安全資源自動完成資源創(chuàng)建和網(wǎng)絡(luò)部署，簡化交付流程，提高生產(chǎn)效率。

第二步：云工作負(fù)載閉環(huán)保護(hù) 

在云上業(yè)務(wù)進(jìn)入規(guī)模運(yùn)行后，針對云內(nèi)資產(chǎn)梳理難、風(fēng)險(xiǎn)不可視、Agent占用資源多，影響業(yè)務(wù)、難以適應(yīng)IT架構(gòu)變化等問題，深信服推出了對業(yè)務(wù)無侵害的“CWPP云工作負(fù)載保護(hù)平臺”解決方案，方案由平臺+軟探針（Agent）兩部分構(gòu)成，從云上高危資產(chǎn)全面清點(diǎn)和云內(nèi)風(fēng)險(xiǎn)可視可控入手，全面適配云原生環(huán)境，實(shí)現(xiàn)云內(nèi)自適應(yīng)防護(hù)。

第三步：云安全持續(xù)運(yùn)營 

隨著云上業(yè)務(wù)規(guī)模的逐漸擴(kuò)大，依托單點(diǎn)的安全設(shè)備進(jìn)行安全管理將顯得十分低效。云數(shù)據(jù)中心安全運(yùn)營中心，通過網(wǎng)絡(luò)探針和主機(jī)探針采集云外與云內(nèi)的流量和日志，全面分析和識別云平臺漏洞情況和安全風(fēng)險(xiǎn)，并借助SOAR實(shí)現(xiàn)運(yùn)營自動化。此外，可引入專業(yè)安全服務(wù)團(tuán)隊(duì)，實(shí)現(xiàn)人機(jī)共智，持續(xù)保護(hù)云上應(yīng)用和數(shù)據(jù)安全。

深信服云數(shù)據(jù)中心安全解決方案在滿足前面三大能力目標(biāo)的同時(shí)，基于軟件定義安全技術(shù)，連接云安全資源平臺、云安全管理中心、云安全運(yùn)營中心三部分，可持續(xù)為云數(shù)據(jù)中心的IT基礎(chǔ)架構(gòu)或業(yè)務(wù)應(yīng)用輸送安全能力。

政企事業(yè)單位進(jìn)行數(shù)字化轉(zhuǎn)型，向軟件定義的基礎(chǔ)架構(gòu)轉(zhuǎn)變過程中，深信服云數(shù)據(jù)中心安全解決方案能夠幫助用戶在快速迭代、規(guī)模龐大的云計(jì)算環(huán)境中，更好地應(yīng)對安全風(fēng)險(xiǎn)，擁抱變化，并能夠讓云上安全管理更簡單、更高效。

目前，深信服已為國家信息中心、廣電總局、北京電信、葛洲壩集團(tuán)等超500家知名用戶進(jìn)行云數(shù)據(jù)中心安全建設(shè)。未來，深信服將持續(xù)以“能力易集成、自適應(yīng)閉環(huán)、自動化運(yùn)營”為目標(biāo)，保護(hù)云數(shù)據(jù)中心平臺、租戶及業(yè)務(wù)的安全，深化云內(nèi)安全建設(shè)，并不斷為用戶提升整體安全運(yùn)營的效率和效果