▲圖片來源：中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟

　　云數(shù)據(jù)中心安全建設(shè)面臨的三大新挑戰(zhàn)

　　業(yè)務(wù)上云大勢(shì)所趨，越來越多的企事業(yè)單位將自己的業(yè)務(wù)遷移到云上，在業(yè)務(wù)上云過程中的安全問題至關(guān)重要。用戶云安全建設(shè)普遍存在云用戶個(gè)性化安全需求難滿足、云內(nèi)安全不可視不可控、IT架構(gòu)不斷變化難以持續(xù)提供有效保護(hù)等諸多挑戰(zhàn)。

　　1. 云服務(wù)用戶的個(gè)性安全需求難滿足

　　不同的云服務(wù)用戶存在差異化的安全防護(hù)需求，且組織的多個(gè)數(shù)據(jù)中心或多套云平臺(tái)同樣存在不同的安全防護(hù)需求，多種不同的安全需求很難同時(shí)滿足；兼容開放問題也在影響安全資源的敏捷交付。

　　2. 云內(nèi)安全不可視不可控、缺乏適宜的技術(shù)手段

　　傳統(tǒng)云安全建設(shè)多為病毒檢測(cè)和補(bǔ)丁修復(fù)類，很少關(guān)注行為檢測(cè)和可視化；傳統(tǒng)云主機(jī)安全類Agent占用資源多，易引發(fā)藍(lán)屏、死機(jī)、重啟等問題；傳統(tǒng)云安全建設(shè)抱著一切從簡(jiǎn)思維，僅劃分有限區(qū)域，域內(nèi)主機(jī)數(shù)量多風(fēng)險(xiǎn)大，且業(yè)務(wù)復(fù)雜、管理復(fù)雜、云內(nèi)網(wǎng)絡(luò)改造難度大。

　　3. IT架構(gòu)不斷變化，難以持續(xù)提供業(yè)務(wù)保護(hù)

　　越來越多的企事業(yè)單位計(jì)劃進(jìn)行云原生改造或遷移到混合多云環(huán)境，但無法構(gòu)建面向未來的安全防護(hù)體系，難以適應(yīng)業(yè)務(wù)形態(tài)的變化和云計(jì)算技術(shù)的演進(jìn)。

　　如何持續(xù)開展有效的云數(shù)據(jù)中心安全建設(shè)？

　　在上述背景下，用戶如何開展有效的云數(shù)據(jù)中心安全建設(shè)？陳立峰在會(huì)上表示，“越來越多的數(shù)據(jù)和業(yè)務(wù)應(yīng)用集中在云平臺(tái)上，建設(shè)一套‘以保護(hù)業(yè)務(wù)為中心’的安全體系至關(guān)重要。現(xiàn)代化的云數(shù)據(jù)中心安全建設(shè)應(yīng)‘面向業(yè)務(wù)，向上提供服務(wù)，向下集中管理’，達(dá)成‘能力易集成、自適應(yīng)閉環(huán)、自動(dòng)化運(yùn)營(yíng)’三大能力目標(biāo)。”

　　1、能力易集成

　　深信服通過打造開放兼容的云安全平臺(tái)，按需集成安全組件，為云上業(yè)務(wù)或租戶敏捷交付安全能力，滿足合規(guī)及業(yè)務(wù)的個(gè)性化需求。

　　2、自適應(yīng)閉環(huán)

　　降低對(duì)業(yè)務(wù)的影響，建設(shè)云內(nèi)自適應(yīng)防護(hù)體系，解決云內(nèi)風(fēng)險(xiǎn)不可視不可控的問題；適應(yīng)未來IT架構(gòu)變化，為業(yè)務(wù)提供持續(xù)的保護(hù)。

　　3、自動(dòng)化運(yùn)營(yíng)

　　深信服將通過建立面向云數(shù)據(jù)的中心的安全運(yùn)營(yíng)平臺(tái)，以SOAR提升運(yùn)營(yíng)效率，人機(jī)共智保障運(yùn)營(yíng)效果，降低安全運(yùn)維壓力。

　　易管理可運(yùn)營(yíng)的云數(shù)據(jù)中心安全解決方案

　　陳立峰在會(huì)上說到，“深信服基于軟件定義安全技術(shù)，幫助用戶構(gòu)建‘能力易集成、自動(dòng)化運(yùn)營(yíng)的云上自適應(yīng)安全架構(gòu)’，保護(hù)云數(shù)據(jù)中心平臺(tái)、租戶及業(yè)務(wù)的安全，深化云內(nèi)安全建設(shè)，并不斷提升整體安全運(yùn)營(yíng)的效率和效果?！?/p>

　　此前，深信服云數(shù)據(jù)中心安全解決方案已進(jìn)行全新升級(jí)，可以根據(jù)用戶的上云階段，分三個(gè)步驟逐步滿足云數(shù)據(jù)中心安全建設(shè)要求：

　　第一步：滿足云基礎(chǔ)設(shè)施安全保護(hù)

　　在業(yè)務(wù)上云初期，同步做好網(wǎng)絡(luò)安全建設(shè)，從云平臺(tái)自身安全合規(guī)和業(yè)務(wù)、租戶安全合規(guī)兩個(gè)維度來加強(qiáng)基礎(chǔ)設(shè)施安全保護(hù)：

　　o 云平臺(tái)自身安全合規(guī)：在安全的底層環(huán)境基礎(chǔ)上，將云平臺(tái)劃分為不同的安全區(qū)域，通過不同的云租戶VPC進(jìn)行各單位業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)隔離等措施，同時(shí)建設(shè)安全管理中心，滿足云平臺(tái)自身安全合規(guī)的要求。

　　o 業(yè)務(wù)/租戶安全合規(guī)：基于軟件定義安全技術(shù)構(gòu)建安全資源池，為云租戶提供按需交付的安全資源，安全資源覆蓋訪問控制、入侵防御、數(shù)據(jù)加密等各個(gè)方面，滿足云租戶個(gè)性化的安全需求，所有安全資源自動(dòng)完成資源創(chuàng)建和網(wǎng)絡(luò)部署，簡(jiǎn)化交付流程，提高生產(chǎn)效率。

　　第二步：云工作負(fù)載閉環(huán)保護(hù)

　　在云上業(yè)務(wù)進(jìn)入規(guī)模運(yùn)行后，針對(duì)云內(nèi)資產(chǎn)梳理難、風(fēng)險(xiǎn)不可視、Agent占用資源多，影響業(yè)務(wù)、難以適應(yīng)IT架構(gòu)變化等問題，深信服推出了對(duì)業(yè)務(wù)無侵害的“CWPP云工作負(fù)載保護(hù)平臺(tái)”解決方案，方案由平臺(tái)+軟探針（Agent）兩部分構(gòu)成，從云上高危資產(chǎn)全面清點(diǎn)和云內(nèi)風(fēng)險(xiǎn)可視可控入手，全面適配云原生環(huán)境，實(shí)現(xiàn)云內(nèi)自適應(yīng)防護(hù)。

　　第三步：云安全持續(xù)運(yùn)營(yíng)

　　隨著云上業(yè)務(wù)規(guī)模的逐漸擴(kuò)大，依托單點(diǎn)的安全設(shè)備進(jìn)行安全管理將顯得十分低效。云數(shù)據(jù)中心安全運(yùn)營(yíng)中心，通過網(wǎng)絡(luò)探針和主機(jī)探針采集云外與云內(nèi)的流量和日志，全面分析和識(shí)別云平臺(tái)漏洞情況和安全風(fēng)險(xiǎn)，并借助SOAR實(shí)現(xiàn)運(yùn)營(yíng)自動(dòng)化。此外，可引入專業(yè)安全服務(wù)團(tuán)隊(duì)，實(shí)現(xiàn)人機(jī)共智，持續(xù)保護(hù)云上應(yīng)用和數(shù)據(jù)安全。

　　深信服云數(shù)據(jù)中心安全解決方案在滿足前面三大能力目標(biāo)的同時(shí)，基于軟件定義安全技術(shù)，連接云安全資源平臺(tái)、云安全管理中心、云安全運(yùn)營(yíng)中心三部分，可持續(xù)為云數(shù)據(jù)中心的IT基礎(chǔ)架構(gòu)或業(yè)務(wù)應(yīng)用輸送安全能力。

　　政企事業(yè)單位進(jìn)行數(shù)字化轉(zhuǎn)型，向軟件定義的基礎(chǔ)架構(gòu)轉(zhuǎn)變過程中，深信服云數(shù)據(jù)中心安全解決方案能夠幫助用戶在快速迭代、規(guī)模龐大的云計(jì)算環(huán)境中，更好地應(yīng)對(duì)安全風(fēng)險(xiǎn)，擁抱變化，并能夠讓云上安全管理更簡(jiǎn)單、更高效。

　　目前，深信服已為國(guó)家信息中心、廣電總局、北京電信、葛洲壩集團(tuán)等超500家知名用戶進(jìn)行云數(shù)據(jù)中心安全建設(shè)。未來，深信服將持續(xù)以“能力易集成、自適應(yīng)閉環(huán)、自動(dòng)化運(yùn)營(yíng)”為目標(biāo)，保護(hù)云數(shù)據(jù)中心平臺(tái)、租戶及業(yè)務(wù)的安全，深化云內(nèi)安全建設(shè)，并不斷為用戶提升整體安全運(yùn)營(yíng)的效率和效果

xiesc