摘要：北京安数云信息技术有限公司是云与大数据安全整体解决方案及服务提供商。本文将分享全球领先的云安全技术、云端安全解决方案，以及安数云独创的云端安全问题解决思路。围绕各企业、各行业当前面临的云端安全问题和挑战；云安全和传统安全的区别；云端安全整体防护思路等，从技术层面和设计思路层面，深入分析如何防护及保障公有云、私有云中租户与用户的全方位安全。

徐锋    安数云CTO

一、云安全面临的挑战

（一）云安全形势-复杂严峻

国内的云计算产业如火如荼，特别是去年工信部印发了《云计算发展的三年行动计划》，推进“政务上云”“企业上云”，国内的云计算发展特别迅速，各大政务云、公有云的发展非常迅猛。刚刚邵总工程师提到网络安全面临的威胁在不断提升，曝露出很多国家队的身影。特别是去年NASA网络攻击库的泄漏，导致网络工具的武器化。我们面临的安全形势非常严峻。

云上的业务和数据越来越重要、我们面临的形势和安全威胁越来越严峻，都是有组织、有背景，甚至有国家支持的威胁。

（二）云安全标准-还需完善

今天上午，有领导介绍云安全标准。我们关注度比较高的安全标准是等保2.0推出以后的云扩展要求。这个要求分为两个部分，第一部分是对云平台自身的安全要求，第二部分是我们对云租户的安全要求。这些标准在不断完善。有很多国外标准也可以参考。云安全领域的基本标准，或者是网络安全领域的基本标准还没有完善。比如，不同安全厂家的设备，最简单的防火墙，每个厂家的配置界面、配置命令都是不一样的。在云计算的环境下，假设用户想进行统一管控是没有任何参照标准的。在云安全领域缺乏安全的技术标准。

（三）安全技术-面临的挑战

1.安全边界的模糊化。云的底层基本上都是虚拟化的，虚拟化和云模式下的安全边界已经变得越来越模糊。比如，在同一台物理主机上，可能有甲方的业务，又有乙方的业务，中间就会存在隔离的问题。虚机、资源都是动态变化的，有可能今天在A服务器上跑，明天A服务器出了故障，根据云计算的特点，它会自动迁移到另外的服务器上。这使得传统的安全防护手段没办法很好的防护。

2.安全需求的个性化。云平台上不同的租户的安全需求是不一样的。比如，门户网站特别关心Web类的安全，像篡改、跨站的攻击；有些是视频类的站点，会更多关注业务可用性方面的需求。新的云计算模式下的安全特别要满足个性化的安全需求。

3.防护需求的多变化。云平台是具有弹性的，今天的资源有5个虚机在工作，某一天要搞一个秒杀活动，可能需要100台机器来支撑。联想到安全防护设备，如果它的性能还是按照传统模式，你只能配置支持100台，或者更高流量的处理能力的设备来满足防护需求。秒杀活动过去以后，这部分资源就会浪费掉。新的云防护就需要满足多变化的需求。

4.云等保的合规性。等保的合规性主要是通过两个方面，一是云平台本身的安全。二是租户的安全，租户也有等级保护的要求。

二、云安全解决方案

（一）云安全解决方案—安全服务数据中心理念

去年，安数云首次在业界提出了安全服务中心这一理念，这个理念由五大能力组成。

1.安全服务标准化能力。可以屏蔽不同厂家的安全产品的差异性。做过运维自动化的同事会知道，特别是网络运维自动化，华为、思科、H3C的配置都是不一样的，如何屏蔽它的差异性呢？这需要有一个标准的中间件来做适配。在云计算安全的情况下，必须定义相关的标准和能力，不同的防火墙产生的日志是不同的，我们需要有不同厂家的WAF，或者是不同厂家的路扫、不同厂家的审计产生的标准都是不一样的。我们首先要把安全服务能力标准化作为中间层进行适配。

2.安全服务多样化能力。不仅要有自己的安全产品，包括像基础的防火墙、WAF、数据库审计，还要囊括进第三方的安全虚拟资源池。

3.威胁识别能力。全天候7×24小时不间断的把云平台上产生的流量、用户行为、安全产品产生的事件日志、告警日志进行统一的大数据分析，分析结果可以指导自动的安全资源编排引擎。

4.自动编排能力。可以将流经的安全威胁流量通过不同的自定义的安全防护手段，满足用户需求。

5.动态弹性伸缩能力。刚刚我讲到支持秒杀的动态资源扩充，提升安全防护能力。动态扩充一般要支持横向和纵向，横向可以起多个安全防护设备，把不同的流量导向到多个安全资源池。纵向的可以对单个虚拟安全设备进行调整。

我们的目标是通过我们的努力实现使用安全资源就像使用云资源一样方便。我们是通过软件定义流量、完成定义资源、软件定义威胁，建立起动态的闭环的软件定义的云安全服务体系。给用户带来的价值就是使得云安全防护变得非常简单、敏捷、合规，将业务和安全解耦，实现安全操作。敏捷可以通过动态的资源伸缩、自动编排等能力来实现。

在云模式下，很多区域都被虚拟化，通过虚拟安全设备来隔离。通过安全服务数据中心，可以把复杂的硬件资源全部囊括到擎安池里面，部署会特别简单。

（二）云安全解决方案-擎安池云安全防护平台总体架构图

底层是基础云平台，我们自己的擎安云用于存载上一层的安全资源，一层的安全资源可以分为通信层的安全、边界层的安全、主机层的安全、内容层的安全，每个层面都有安全组件来满足用户需求。

上一层是态势感知层，主要是针对不同设备产生的日志、流量、不同的威胁情报库，基于大数据的威胁建模来做态势感知。给用户提供安全门户、安全服务。需要边界安全服务的可以自动生成安全资源，这一块的门户可以跟第三方的云平台进行融合。对最终用户来讲，可以通过安全门户来实现。

（三）私有云场景部署图

最下面是擎安池的简单原形，它的核心是导流引擎。我们主要用到了SDAS技术，这张图的两边是针对虚拟环境的部署，左边描述的是同一台物理机的虚拟化环境、云环境。在没有部署擎安池的情况下，所有流量都在虚拟机内部交换掉。我要做东西向隔离的流量只能在主机上做，通过主机的防火墙来实现，这样做起来会比较复杂。架构了擎安池以后，首先我们会把SDN结合起来的策略发到软交换区，对虚拟机的流量进行导出。所有需要防护的流量可以从VM里面导出以后，经过导流引擎，送到安全防护资源池。通过安全清洗以后，再把安全流量返回到VM，这样可以实现比较灵活的部署方案。这也是用户比较关心的隔离东西向流量，可以实现虚拟机纵深防御的部署图。

（四）云安全服务链

不同的租户有不同的安全服务需求，我们的引擎控制器可以定义，A租户需要防火墙，导流引擎可以通过防火墙防护经过它的流量，再转发出去。B租户可能需要行为审计和防火墙，导流引擎可以把流量导到两个虚拟资源设备上。租户3和租户4都可以实现自定义的流量导入和安全防护，实现纵深的安全防护。

我们还可以做很多事情。可以根据业务进行导流。原来物理安全防护是通过IP和端口，可以区分流量，在同一个主机上的视频业务流量可以不通过安全设备的清洗，提高防护效率。

（五）云安全解决方案-公有云场景部署图

我们已经跟部分的公有云平台厂家实现了API的对接。

（六）云安全解决方案-擎安池特色及优势

1.统一安全管理。不同设备的单点登录、统一配置、统一导流、统一管理。

2.统一数据分析。对不同的安全日志统一进行基于大数据的态势感知。

3.服务按需交付。根据用户预定义的资源进行统一交付，而且可以是自动化的。

4.自动化安全部署。

5.安全合规。可以很好的满足等保2.0的等级保护要求，可以对技术平台进行防护，不同的租户可以实现不同的防护需求。

6.弹性扩容。支持横向、纵向的弹性扩容。导流引擎可以把流量分成多个流量，原IP不同、目的IP相同，可以导流到多个虚拟安全设备上，实现虚拟安全设备的负载均衡，整体实现横向的扩展。

7.租户隔离。实现东西向流量的保护。

8.安全可视化。在系统平台中可以看到整体的虚拟环境、物理环境的安全拓扑，风险威胁可视。

三、云安全成功案例

（一）满足云等保安全需求，落实纵深安全防护

等保2.0的云扩展要求首先对平台自身提出了安全要求，包括通信安全、边界安全、主机安全、内容安全。租户同样要实现等保，A租户实现二级，B租户实现三级，不同的业务需要不同的安全防护手段和防护设备来提供支持。每一个云防护之间都可以相互隔离，都有自己的管控界面。

（二）运营商：帮助运营商搭建安全服务平台，为用户的云提供安全服务

云提供商要满足安全合规、安全纵深防护的要求。原来的防火墙设备是用于保障云平台自身的安全防护需求。通过部署两套擎安池，实现租户自助的安全防护需求。对客户来说，满足了等保合规的要求、保障租户的云安全、安全责任更加清晰、降低运维成本，租户关心自己的业务安全、虚拟机的安全，云服务商满足云平台的安全，安全责任划分的比较清晰。运营商还可以通过对租户提供安全服务来增加收入。

（三）某信息中心-业务与安全解耦

原来在出口串了很多安全设备，最开始是防火墙、IPS、WAF，整个架构特别复杂，而且很容易出现安全问题、单点故障。通过跟用户交流，原来的安全设备挪到其他地方，整个出口和入口用两套擎安池代替。所有业务实现动态的弹性的纵深防护，让用户的运维变得非常简单。

（四）某单位信息安全实验室-动态敏捷

这个单位的内部需要不同的安全研究平台，需要有靶基和防护设备，不同的学生的资源要求也不一样，我们提供了擎安云、擎安池一整套平台。

  四、安数云发展之道

安数云成立于2008年，最近两年开始发力，推出了很多安全解决方案和安全产品。特别是这两年比较火的安全导流技术、SDN技术相对成熟以后推出了云平台防护系统擎安池。去年成立了物联网安全研究实验室。

公司产品核心是以基于SDS的云池为主的四个产品系列，我们称之为新、防、查、态。“新”主要是在新的主流大会上提出的新的安全解决方案，像RAS防火墙、基于零规则的防火墙、Web防火墙。防护方面我们有WAF。查的方面我们有综合安全评估检查系统，包括网站的、数据库的等等一系列产品。最后是大数据的态势感知。