自從Google在2006年公開提出云計算的概念以來，已經(jīng)過了13年的時間。隨著業(yè)務(wù)上云的熱潮席卷全球，越來越多的企業(yè)對云安全的認知，從最初的顧忌和恐慌，轉(zhuǎn)變?yōu)槊つ康男湃魏鸵蕾嚒?/p>

然而，云計算并非企業(yè)安全的革命，云實例與我們的臺式機或獨立服務(wù)器其實運行著相同的操作系統(tǒng)。因此，數(shù)據(jù)上云依舊面臨著來自硬件漏洞的威脅，服務(wù)商偷窺、工作人員不可控、安全布控成本增加等新問題也逐步體現(xiàn)。

隨著云計算技術(shù)廣泛普及，云安全問題日益受到重視，云安全市場持續(xù)快速增長。在這里，雷鋒網(wǎng)根據(jù)中國信息通信研究院印發(fā)的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》進行了詳細整理：

2019云安全“大閱兵”

根據(jù) Gartner 數(shù)據(jù)：2018 年全球云安全軟件市場規(guī)模達到58.09 億美元，相比 2017 年增長 18.4%80；Forrester81預(yù)測，2023 年云安全支出將增長至 126 億美元。國內(nèi)外安全廠商持續(xù)加大力度布局，2019 年 RSAC700 多家參展企業(yè)中，近 42%提供云安全產(chǎn)品和解決方案。

公有云方面：云安全技術(shù)創(chuàng)新活躍，風險監(jiān)測防御、應(yīng)對多云環(huán)境、敏感數(shù)據(jù)保護等仍然是云安全熱點領(lǐng)域。

云工作負載保護平臺（CWPP82）方面：

1、Symantec 的 CWPP 產(chǎn)品基于內(nèi)置云原生適配器適應(yīng) AWS83、Azure84和 Google85云等不同云計算環(huán)境，自動探測可用域、標簽、網(wǎng)絡(luò)等云計算環(huán)境信息作為策略和告警模塊的上下文信息補充，并通過安裝代理實現(xiàn)漏洞管理、實時惡意軟件保護等功能。

2、Radware86結(jié)合沙箱技術(shù)和加密挖礦控制套件，采用自動檢測和自動響應(yīng)來識別、警告和阻止公有云中的加密劫持挖礦活動。

3、青藤云基于自適應(yīng)安全架構(gòu)構(gòu)建云上防護平臺，為用戶提供持續(xù)監(jiān)控、分析及響應(yīng)；椒圖科技采用RASP87、ASVE88、沙盒等基于異常行為的檢測技術(shù)，檢測并防御未知威脅。

云訪問安全代理（CASB）方向：國外主流廠商均已推出 CASB 產(chǎn)品或解決方案，如微軟、Netskope89、Bitglass90、Skyhigh91等。

——國內(nèi) CASB 市場仍處于萌芽階段——

1、奇安信產(chǎn)品云守基于對特定云應(yīng)用的數(shù)據(jù)安全防護策略保障云端數(shù)據(jù)及網(wǎng)絡(luò)安全，對云端和傳輸中的數(shù)據(jù)通過認證、標記化和加密等方式進行保護，產(chǎn)品內(nèi)置 AES92算法、中國標準國密 SM 算法等數(shù)十種算法，保證結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)安全。

2、臻至科技通過使用深度學習技術(shù)按需監(jiān)控相關(guān)應(yīng)用及軟件實 現(xiàn) CASB 能力，提供 AES-GCM 256 位加密算法、針對 ARM93平臺的CHACHA20 算法以及流式加密等，并支持將所有密鑰部署在全球區(qū)塊鏈節(jié)點上。

容器安全方向：

1、Aqua94的 Cloud Native Security Platform產(chǎn)品提供了針對容器和無服務(wù)環(huán)境的綜合型安全管理平臺，包括基于CI/CD95環(huán)境掃描的漏洞管理功能、針對 PCI DSS96等標準和法案的合規(guī)審計服務(wù)以及其他相關(guān)安全能力；目前國內(nèi)在容器安全方向仍處于實驗研究階段。

數(shù)據(jù)防泄漏（DLP97）方向：

1、McAfee98的 MVSION Cloud 產(chǎn)品對云中數(shù)據(jù)實施防泄漏策略，自動對敏感信息進行分類，以便在云中進行刪除或隔離；思睿嘉得使用機器學習、自然語言處理、文本聚類分類等技術(shù)實現(xiàn)數(shù)據(jù)分類分級，使用 ORC99和圖片相似度實現(xiàn)圖像內(nèi)容識別，支持終端策略阻斷、互聯(lián)網(wǎng)外發(fā)阻斷、郵件審批等數(shù)據(jù)保護功能。

私有云方面：

除云工作負載保護平臺、數(shù)據(jù)防泄漏等公私有云均適用的產(chǎn)品外，國內(nèi)廠商聚焦于以云安全資源池為核心的云安全綜合解決方案。云安全資源池提供虛擬化的安全能力，如防火墻、WAF、IDS、IPS、堡壘機、數(shù)據(jù)庫審計等，并通過統(tǒng)一安全管理平臺對各類安全能力進行組織和編排，形成整體安全方案。

1、安恒信息通過為用戶提供包含云監(jiān)測、云防御、云審計等覆蓋全生命周期的云安全產(chǎn)品服務(wù)提供一站式云安全解決方案；啟明星辰則運用虛擬化、軟件定義安全等技術(shù)提升安全資源的利用效率并形成各項安全能力的動態(tài)編排以及實現(xiàn)云上引流。

國內(nèi)部分云安全廠商能力介紹如表所示：

廠商們的十八般武藝

（一）三六零：360 云安全大腦實踐

1. SaaS 云安全能力

三六零云探系統(tǒng)是一款基于 SaaS 的安全服務(wù)產(chǎn)品。依靠 360 安全大腦強大的云端資源，以及 360 在搜索、終端安全、Web 安全、云安全等方面積累的數(shù)億用戶群和海量數(shù)據(jù)，為用戶提供網(wǎng)站漏洞掃描、網(wǎng)頁篡改監(jiān)測、網(wǎng)頁掛馬監(jiān)測、黑詞/暗鏈監(jiān)測、可用性監(jiān)測、仿冒/釣魚網(wǎng)站監(jiān)測、未知資產(chǎn)監(jiān)測、DDoS 攻擊監(jiān)測等安全監(jiān)測服務(wù)。三六零云探系統(tǒng)旨在通過云端大數(shù)據(jù)能力，發(fā)現(xiàn)企業(yè)網(wǎng)站的安全問題。三六零云探架構(gòu)如下圖所示。 

三六零云探架構(gòu)

產(chǎn)品設(shè)計目標：

（1）解決網(wǎng)站未知資產(chǎn)監(jiān)控問題；

（2）解決網(wǎng)站問題發(fā)現(xiàn)不全問題；

（3）解決網(wǎng)站 0Day 漏洞發(fā)現(xiàn)問題；

（4）解決網(wǎng)站漏洞修復(fù)閉環(huán)問題；

（5）解決全國可用性監(jiān)控問題。

產(chǎn)品組成與架構(gòu)：

爬蟲引擎是監(jiān)測平臺重要的基礎(chǔ)組件，完成對監(jiān)測域名的內(nèi)容爬取，以供各類分析引擎使用。

大數(shù)據(jù)平臺存儲爬取的頁面數(shù)據(jù)，檢測的數(shù)據(jù)等，可用于后續(xù)做大數(shù)據(jù)分析和數(shù)據(jù)挖掘。

內(nèi)容監(jiān)測 API 和運維平臺主要針對已有數(shù)據(jù)進行分析,為平臺提供監(jiān)測結(jié)果。

監(jiān)測平臺 API 和運維平臺主要是將群監(jiān)測的功能界面化,方便用戶的日常監(jiān)控及運維管理。

三六零云探可以為用戶提供快速定位問題資產(chǎn)，提供實時托管式的安全監(jiān)控服務(wù)，支持本地化和云端的 SaaS 化部署模式，滿足各種用戶部署要求。

除了三六零云探系統(tǒng)，360 還提供三六零磐云 Web 應(yīng)用安全防護系統(tǒng)，為用戶提供一套基于云+端的，完整的“事前預(yù)警+事中防護+事后服務(wù)”Web 安全云解決方案。

2. 云安全集中管理平臺能力

通過 NFV（網(wǎng)絡(luò)功能虛擬化）技術(shù)把傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備進行虛擬化以適應(yīng)虛擬化云計算環(huán)境，打造可以為云上用戶動態(tài)獲取到云安全資源，從而使云上用戶可以按需獲取相應(yīng)的安全能力，滿足自身業(yè)務(wù)安全防護、等保合規(guī)和安全運營的需求。

云安全集中管理平臺集成有豐富的安全服務(wù)組件能力，包含網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全以及安全運維審計等安全能力，可以對異構(gòu)多云平臺統(tǒng)一安全管理，安全服務(wù)編排、自助安全運營等。

（二）山石網(wǎng)科：基于 NFV 框架的云計算租戶級硬件防火墻防護方案

為滿足業(yè)務(wù)遷移上云的安全性，山石網(wǎng)科與某國內(nèi)知名電信廠商配合，基于OpenStack 標準框架，實現(xiàn)分行測試云的建設(shè)。為實現(xiàn)租戶級的安全防護，和租戶的自服務(wù)。租戶之間的安全防護，首先利用 SDN 實現(xiàn)二層網(wǎng)絡(luò)隔離。

雷鋒網(wǎng)了解到，租戶之間和租戶與外部的網(wǎng)絡(luò)訪問控制采用 OpenStack 的標準 FWaaS 實現(xiàn)，由山石網(wǎng)科的硬件下一代防火墻和云集配合 SDN 和云平臺完成。山石網(wǎng)科硬件下一代防火墻通過 vSYS 功能（一虛多），為每個云租戶創(chuàng)建一個虛擬防火墻，防火墻提供訪問控制、NAT 等相關(guān)功能。租戶的自服務(wù)，租戶通過在云管平臺進行配置、創(chuàng)建防火墻。

山石云·集提供了標準的FWaaS 的輕量級插件，用于從云管平臺獲取配置信息。根據(jù) FWaaS 上生成的創(chuàng)建防火墻、配置防火墻的信息，由山石云·集對硬件防火墻（或虛擬防火墻）進行生命周期的管理，創(chuàng)建防火墻，配置的注入。

同時山石云·集也提供了對 SDN的接口，利用 SDN 接口，對 SDN 進行配置，以確保和 SDN 配置和生命周期的同步。

山石云·集會保持所有對防火墻或虛擬防火墻配置的狀態(tài)信息，以及自身運行狀態(tài)的信息，一方面方便用戶在出現(xiàn)故障時能夠及時參與故障排查和恢復(fù)，山石云·集設(shè)計時完全參照了 NFV 框架，扮演 NFVM 和 EMS 的角色，并提供標準化 RestAPI 接口。

當環(huán)境中有 MANO 時，可以配合 MANO、VIM 完成自動化編排部署工作。它向 MANO 提供相關(guān)設(shè)備信息，便于 MANO 進行編排管理，在 MANO 完成 SDN 配置調(diào)整同時，完成防火墻的創(chuàng)建和配置管理。

山石云·集可以自動完成網(wǎng)元管理，包括根據(jù)網(wǎng)元運行負載進行擴縮。方案的特點是：

1、標準化方案，基于事實標準 OpenStack 框架或 NFV 標準框架，可實現(xiàn)多個廠家云管平臺、2、SDN 的對接，山石網(wǎng)科已與多個國內(nèi)廠家完成對接。

3、自動化部署，租戶自服務(wù)、云、網(wǎng)、安全自動開通。

4、故障可定位、可排障。

5、平滑向全虛擬化方案過渡，方案未來具備向虛擬網(wǎng)元方向發(fā)展。

山石云·集 云安全建設(shè)方案如圖所示。

山石云·集 云安全建設(shè)方案

（三）中國網(wǎng)安：基于第三方的政務(wù)云安全監(jiān)管實踐

項目基于第三方監(jiān)管的理念，針對多級云平臺、多種云服務(wù)商、多種云平臺技術(shù)路線的混合云場景，通過統(tǒng)一平臺實現(xiàn)資源管理、安全管理與云平臺的解耦，為政務(wù)云、大型企業(yè)等云用戶提供對云服務(wù)的統(tǒng)一資源監(jiān)管、統(tǒng)一安全監(jiān)管、統(tǒng)一運營管理功能，幫助云用戶解決混合云場景下的統(tǒng)一監(jiān)管體系，符合等保 2.0集中管控、持續(xù)監(jiān)管的思想，是行業(yè)內(nèi)云安全綜合管理、Cloud SIEM、混合云管理等的云安全熱點問題的落地方案。

1. 基于第三方的多云監(jiān)管體系

在整體架構(gòu)中，云監(jiān)管平臺底層通過云資源適配層（接口適配）的標準數(shù)據(jù)接口接入不同技術(shù)路線的多個云服務(wù)商平臺資源數(shù)據(jù)、安全數(shù)據(jù)等，支持異構(gòu)云服務(wù)商，也支持匯聚下級云監(jiān)管平臺采集的數(shù)據(jù)和分析結(jié)果。

上述數(shù)據(jù)匯聚到云監(jiān)管平臺后，通過平臺整理、關(guān)聯(lián)、分析、挖掘，對上提供對多個異構(gòu)云服務(wù)商平臺的統(tǒng)一資源監(jiān)管、運營監(jiān)管、安全運維、云服務(wù)商能力考評等功能。上述功能，通過統(tǒng)一門戶提供給云租戶和云監(jiān)管人員使用?；诘谌降亩嘣票O(jiān)管架構(gòu)如圖所示。

第三方多云監(jiān)管架構(gòu)

2. 云監(jiān)管能力

云監(jiān)管平臺為云用戶提供的主要云監(jiān)管能力包括資源監(jiān)管、運營管理、云服務(wù)商能力考評和云安全運維。

資源監(jiān)管主要提供資源運行狀態(tài)監(jiān)管、資源變更情況監(jiān)管、資源配置情況監(jiān)管、資源故障告警情況監(jiān)管、資源統(tǒng)計分析報表及租戶自身資源操作功能模塊，支持全局視角、云服務(wù)商視角、租戶視角、業(yè)務(wù)視角及單個資源視角等維度的監(jiān)管。

運營管理將底層資源包裝成標準的可度量的標準化服務(wù)對外供應(yīng)。實現(xiàn)服務(wù)目錄管理、訂單全生命周期管理、用戶資源占用的計量和計費、運營情況的報表統(tǒng)計分析等。

云服務(wù)商能力考評幫助云監(jiān)管平臺監(jiān)管人員對云服務(wù)商所提供云服務(wù)的綜合監(jiān)管，由云服務(wù)性價比考評、云服務(wù)商運維水平考核及云服務(wù)商安全審查功能模塊組成。

云安全運維包括態(tài)勢感知、安全預(yù)警、綜合運維、應(yīng)急響應(yīng)、硬件準入管理、安全審計功能和安全服務(wù)支撐模塊，對整個政務(wù)云平臺安全設(shè)備進行統(tǒng)一管理，對接入政務(wù)云平臺的各種硬件設(shè)備做準入審批，對政務(wù)云平臺進行集中安全監(jiān)管。

（四）天融信：云安全解決方案實踐

天融信云安全解決方案，是天融信云安全縱深防御思想的完美體現(xiàn)，采用安全資源池實現(xiàn)租戶邊界防御，融合基于無代理技術(shù)的虛擬化分布式防火墻進行東西向防護，結(jié)合 EDR 進行云主機內(nèi)安全防護，通過云安全管理平臺進行統(tǒng)一管理和云安全態(tài)勢呈現(xiàn)，構(gòu)成了從外到內(nèi)多層縱深主動防御體系，全面保障政務(wù)云安全。云安全防護產(chǎn)品示意圖如圖所示。

云安全防護產(chǎn)品示意圖

統(tǒng)一管控

采用統(tǒng)一云安全管理平臺對安全網(wǎng)元集中管控，實現(xiàn)安全服務(wù)一鍵部署、自動激活。用戶通過安全管理平臺對安全網(wǎng)元進行集中化運維，避免大量安全設(shè)備帶來的賬號管理困難、運維操作復(fù)雜等難題。

動態(tài)可視

通過運維監(jiān)控大屏頁面，對安全資源使用情況、業(yè)務(wù)系統(tǒng)安全風險進行統(tǒng)一展示，方便運維人員及時發(fā)現(xiàn)性能告警、安全威脅。

按需購買

安全資源池為租戶提供豐富的安全網(wǎng)元，允許租戶根據(jù)業(yè)務(wù)發(fā)展的安全需求按需購買，滿足個性化防護需求，提供差異化安全防護能力。

深度融合

資源池與上層云平臺深度集成，通過云平臺賬戶直接開通、配置資源池中的安全網(wǎng)元，增加使用便捷性。分布式防火墻與云平臺深度融合，采用零信任、微分段模型，實現(xiàn)以虛機為單位的東西向安全防護。

（五）綠盟：基于安全資源池的云安全服務(wù)平臺實踐

1. 總體技術(shù)實現(xiàn)架構(gòu)

充分考慮云計算的特點和優(yōu)勢，以及最新安全防護技術(shù)發(fā)展情況，提供資源彈性、按需分配的安全能力。

云平臺安全技術(shù)實現(xiàn)架構(gòu)

展示層：提供安全服務(wù)用戶開通、使用、配置各種安全服務(wù)的門戶，提供安全運維人員對云平臺進行統(tǒng)一管理、監(jiān)控的門戶。

服務(wù)層：是安全運營服務(wù)平臺的核心，其負責安全設(shè)備管理、安全資源池的管理以及提供用戶開通安全防護時所需的流量調(diào)度功能。在安全防護設(shè)備/服務(wù)啟用后，還提供服務(wù)管理、配置管理、告警管理能力。同時，提供各種安全資源/設(shè)備的日志、事件、運維、性能、監(jiān)控和告警管理。另外，還提供了用戶賬戶、權(quán)限等系統(tǒng)管理功能。

資源層：包括了各類安全資源，如傳統(tǒng)安全設(shè)備、虛擬化安全設(shè)備、大網(wǎng)安全防護服務(wù)以及專用安全資源池等。這些安全資源接收上層安全管理平臺的管理，對外提供安全保障能力。

通過此技術(shù)實現(xiàn)架構(gòu)，可以實現(xiàn)安全服務(wù)/能力的按需分配和彈性調(diào)度。當然，在進行安全防護措施具體部署時，仍可以采用傳統(tǒng)的安全域劃分方法，明確安全措施的部署位置、安全策略和要求，做到有效的安全管控。

2. 平臺功能框架

安全運營服務(wù)平臺功能框架如圖所示。

安全運營服務(wù)平臺功能框架

安全服務(wù)平臺

平臺用于云環(huán)境下的安全服務(wù)，可以統(tǒng)一管理云平臺中的各種資源。平臺基于安全資源池提供的安全能力以服務(wù)化的方式提供給管理員，提供管理、控制、分析、呈現(xiàn)功能的組件。

安全資源池

支持物理安全設(shè)備和虛擬安全設(shè)備等類型的安全資源，接受資源池控制器的管理，對外提供相應(yīng)的安全能力。目前，安全資源池中包含了系統(tǒng)掃描器、Web應(yīng)用防火墻、入侵檢測系統(tǒng)等安全組件。

資源池控制器

控制硬件和虛擬化的安全設(shè)備，提供安全策略管理、配置管理、安全能力管理等與特定安全密切相關(guān)的功能。根據(jù)應(yīng)用場景的不同，可靈活配置和擴展。

日志分析系統(tǒng)

日志分析系統(tǒng)可以收集設(shè)備日志，實現(xiàn)日志的統(tǒng)一管理，將設(shè)備用戶行為記錄下來，便于 IT 運維人員進行快速分析和查詢。

（六）亞信安全：服務(wù)器深度防護實踐

亞信安全針對云化環(huán)境提供的信息安全防護方案——DeepSecurity，通過病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁、主機完整性監(jiān)控、日志審計等功能實現(xiàn)虛擬主機和虛擬系統(tǒng)的全面防護，并滿足信息系統(tǒng)合規(guī)性審計要求。

亞信安全針對虛擬化環(huán)境提供創(chuàng)新的方法解決安全防護程序帶來的資源消耗問題，通過使用虛擬化層相關(guān)的 API 接口實現(xiàn)全面的病毒防護。DeepSecurity 部署如圖所示。

DeepSecurity 部署圖

亞信安全針對虛擬系統(tǒng)中通過接口實現(xiàn)針對虛擬系統(tǒng)和虛擬主機之間的全面防護，無需在虛擬主機的操作系統(tǒng)中安裝 Agent 程序，即虛擬主機系統(tǒng)無代理方式實現(xiàn)實時的防護，這樣無需消耗分配給虛擬主機的計算資源和更多的網(wǎng)絡(luò)資源消耗，最大化利用計算資源的同時提供全面病毒的實時防護。

訪問控制

亞信安全 DeepSecurity 防火墻提供全面基于狀態(tài)檢測細粒度的訪問控制功能，可以實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。DeepSecurity 的防火墻同時支持各種泛洪攻擊的識別和攔截。

惡意代碼防范

亞信安全 DeepSecurity 提供全的主機惡意代碼防護功能，可以防護傳統(tǒng)惡意代碼和新型的安全威脅（例如：勒索軟件、挖礦病毒等）。并提供機器學習功能，對于同一惡意軟件家族的變種。

入侵檢測/防護

DeepSecurity 除了提供傳統(tǒng) IDS/IPS 系統(tǒng)功能外，還提供虛擬環(huán)境中基于政策（policy-based）監(jiān)控和分析工具，使 DeepSecurity 更精確的流量監(jiān)控、分析和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。

虛擬補丁防護

亞信安全 DeepSecurity 通過虛擬補丁技術(shù)完全可以解決由于補丁導(dǎo)致的問題，通過在虛擬系統(tǒng)的接口對虛擬主機系統(tǒng)進行評估，并可以自動對每個虛擬主機提供全面的漏洞修補功能，在操作系統(tǒng)在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。

亞信安全 DeepSecurity 的虛擬補丁功能既不需要停機安裝，也不需要進行廣泛的應(yīng)用程序測試。雖然此集成包可以為 IT 人員節(jié)省大量時間。虛擬補丁防護如圖所示。

虛擬補丁防護

完整性審計

亞信安全 DeepSecurity 產(chǎn)品可以針對系統(tǒng)支持依據(jù)基線的文件、目錄、注冊表等關(guān)鍵文件監(jiān)控和審計功能，當這些關(guān)鍵位置為惡意篡改或攻擊時，可以提供為管理員提供告警和記錄功能，從而提供系統(tǒng)的安全性。

日志審計和報表功能

亞信安全 DeepSecurity 提供全面的系統(tǒng)日志和詳盡的報告功能，除了記錄自身的各功能日志外，還可以將虛擬主機操作系統(tǒng)日志結(jié)合 DeepSecurity 自身日志進行統(tǒng)一的統(tǒng)計和分析，日志系統(tǒng)還可以生成符合國際相關(guān)安全規(guī)范的報表。

DeepSecurity 通過對日志進行分析可以讓管理員跟蹤 IT 基礎(chǔ)設(shè)施的活動，評估服務(wù)器數(shù)據(jù)泄密事件是否發(fā)生、如何發(fā)生、何時發(fā)生、在何處發(fā)生的有效方法。

（七）阿里云：基于全球防御體系的大流量 DDoS 防護實踐

DDoS 高防 IP 服務(wù)是阿里云自主研發(fā)、通過專用高防機房提供 DDoS 攻擊防護的云安全服務(wù)。

服務(wù)針對互聯(lián)網(wǎng)服務(wù)器（包括非阿里云主機）在遭受大流量DDoS 攻擊后導(dǎo)致服務(wù)不可用的情況時，將攻擊流量引流到阿里云高防 IP 機房，經(jīng)過對攻擊流量的清洗后將正常業(yè)務(wù)流量轉(zhuǎn)發(fā)至源站服務(wù)器，從而確保源站服務(wù)器的穩(wěn)定可用。

1. 超大規(guī)模分布式全球 DDoS 防御體系

阿里云在全球范圍內(nèi)升級云盾高防網(wǎng)絡(luò)，以提高響應(yīng)速度和穩(wěn)定性，防御能力近 10Tbps。DDoS 高防 IP 服務(wù)突破了現(xiàn)有 BGP 高防防護帶寬小、購買成本昂貴等不足，相比傳統(tǒng)靜態(tài)大帶寬攻擊防御系統(tǒng)的優(yōu)勢體現(xiàn)在靈活的彈性可擴展能力，更好的網(wǎng)絡(luò)穩(wěn)定性和交付體驗上。

在分布式能力上，DDoS 高防 IP 服務(wù)全面升級 BGP Anycast 網(wǎng)絡(luò)，充分利用阿里云全球清洗中心能力，采用智能調(diào)度技術(shù)將大規(guī)模 DDoS 攻擊流量自動牽引至距離攻擊源最近的清洗中心，同時具備多機房自動容災(zāi)的能力。高防 IP 服務(wù)也可以為非阿里云內(nèi)用戶提供同等能力的 DDoS攻擊防御。阿里云內(nèi)用戶防御架構(gòu)如圖所示。

阿里云內(nèi)用戶防御架構(gòu)

2. 精細化和智能化的防御機制

阿里云基于自主研發(fā)的云盾產(chǎn)品，為用戶提供全面的 DDoS 防護服務(wù)，可以防護 SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC 攻擊等三到七層 DDoS 攻擊。

除了對傳統(tǒng)業(yè)務(wù)提供有效的防御之外，阿里云 DDoS 高防 IP 服務(wù)層支持對包括社交類 APP、交易、視頻直播和智能物聯(lián)網(wǎng)等低延遲，高實時性新業(yè)務(wù)應(yīng)用的大規(guī)模 DDoS 攻擊防御。

在傳統(tǒng)的代理、探測、反彈、認證、黑白名單、報文合規(guī)等標準技術(shù)的基礎(chǔ)上，結(jié)合 Web 安全過濾、信譽、七層應(yīng)用分析、用戶行為分析、特征學習、防護對抗、威脅情報等多種技術(shù)，對 DDoS 攻擊進行阻斷過濾：

精細化。通過對 in/out 雙向流量信息的分析，提供精細化、域名級別、session 級別的應(yīng)用級 DDoS 防護；

智能化。擺脫傳統(tǒng)基于統(tǒng)計的分析算法，引入了行為識別、機器學習算法和實踐，使得防御更加高效和精準；

全網(wǎng)威脅情報。基于阿里云安全大數(shù)據(jù)和全網(wǎng)威脅情報能力，針對全網(wǎng)的惡意 IP 進行持續(xù)跟蹤，在去除掉偽造 IP 后，系統(tǒng)能根據(jù) IP 信譽庫自動過濾掉經(jīng)常發(fā)起攻擊的惡意 IP。

3. 防御過程和效果可視化

安全可視化是云安全服務(wù)的關(guān)鍵能力，特別是在大流量 DDoS 攻擊場景下，對攻擊的實時監(jiān)控顯得尤為重要。

阿里云 DDoS 高防 IP 服務(wù)不斷升級可視化能力，實現(xiàn)攻防的數(shù)據(jù)化、可視化和透明化。

阿里云 DDoS 高防 IP 服務(wù)提供對攻擊完整和詳細的記錄，一方面可以進行快速有效的實時分析，進一步改進防護效果；另一方面也便于后續(xù)取證和溯源，變被動防守為主動對抗。

（八）杭州迪普：基于硬件設(shè)備的云數(shù)據(jù)中心安全防護解決方案

迪普科技提出了以“云安全、硬實力”云數(shù)據(jù)中心安全解決方案，通過獨立的硬件安全設(shè)備來解決云網(wǎng)絡(luò)的安全問題，幫助用戶構(gòu)建自動化部署的安全資源池，為云網(wǎng)絡(luò)提供全面、彈性、可編排的安全防護能力，如圖所示。

方案部署圖

無縫對接云網(wǎng)絡(luò)

由于在云環(huán)境下，同一物理服務(wù)器下的多租戶互訪默認通過虛擬交換機就能轉(zhuǎn)發(fā)，并不通過物理網(wǎng)絡(luò)設(shè)備和安全設(shè)備。

因此在云環(huán)境中東西向安全是一個比較大的難題。迪普科技通過將安全網(wǎng)關(guān)與 VXLAN 技術(shù)的結(jié)合解決了這一問題。

迪普科技 VXLAN 安全網(wǎng)關(guān)可以作為 VTEP（VXLAN Tunnel End Point）,即三層網(wǎng)關(guān)，用于對 VXLAN 報文進行封裝、解封裝，并進行跨 VXLAN 的三層報文轉(zhuǎn)發(fā)。

在虛擬機和安全網(wǎng)關(guān)中，形成一個完整的 VXLAN 網(wǎng)絡(luò)，處于不同VXLAN 的虛擬機之間互訪必須經(jīng)過迪普科技安全網(wǎng)關(guān)進行轉(zhuǎn)發(fā)和控制，從而實現(xiàn)了對于多租戶之間的安全隔離。三層網(wǎng)關(guān)（L3 Gateway）工作原理圖如圖所示。

三層網(wǎng)關(guān)（L3 Gateway）工作原理圖

適應(yīng)多租戶的安全虛擬化

迪普科技使用 N:M 虛擬化技術(shù)，將 N 臺設(shè)備虛擬成一個資源池，再將資源池按需分成 M 臺邏輯設(shè)備，從而實現(xiàn)針對不同的租戶劃分出不同的 VSA（虛擬安全設(shè)備），可以從 CPU、內(nèi)存、吞吐量、并發(fā)連接數(shù)、新建連接數(shù)、路由協(xié)議等維度進行劃分，從而實現(xiàn) 1 個租戶、1 個 VSA、1 個配置界面的目標。

自動化編排能力

迪普科技的云安全網(wǎng)關(guān)全面支持基于 OpenStack 的云管理，用戶可以像管理計算、存儲、網(wǎng)絡(luò)資源一樣管理迪普的安全設(shè)備，實現(xiàn)真正意義上的資源自動配置管理。

（九）奇安信：基于協(xié)同聯(lián)動的云安全實踐

奇安信云安全管理平臺創(chuàng)新性的融合多種安全技術(shù)與云計算技術(shù)，可面向云上租戶和業(yè)務(wù)提供全面、定制化的安全服務(wù)。該解決方案整體設(shè)計以“防范”為中心，基于傳統(tǒng)的邊界防御技術(shù)，提升為由“預(yù)防—防御—監(jiān)測—響應(yīng)”等技術(shù)形成的立體安全防護架構(gòu)，深入云內(nèi)，覆蓋了云環(huán)境中的網(wǎng)絡(luò)層、宿主機層、虛擬化層、云主機層、應(yīng)用層、數(shù)據(jù)層等多層防護。

云安全管理平臺架構(gòu)圖

云安全管理平臺主要有以下特點：

立體聯(lián)動防御體系

方案遵循“發(fā)現(xiàn)”-“阻斷”-“取證”-“研判”-“溯源”的防護體系，通過云安全威脅感知系統(tǒng)將原本碎片化的威脅告警、防護狀態(tài)、云內(nèi)資產(chǎn)等信息數(shù)據(jù)結(jié)構(gòu)化并統(tǒng)一整合，并結(jié)合威脅情報進行安全預(yù)判溯源，通過實時交互可視化技術(shù)，將原來未知安全威脅變得可視可管，使安全態(tài)勢一目了然，最終實現(xiàn)“云端、邊界、端點”+“安全可視與感知”的立體聯(lián)動防御體系。

東西向流量的微隔離：

以虛擬主機安全防護為核心，采用軟件定義的安全資源池，通過配置 AV、HFW 和 HIPS，實現(xiàn)東西向流量之間的微隔離，構(gòu)建主機安全防護，重點解決虛擬網(wǎng)絡(luò)層面的邊界防護、虛擬網(wǎng)絡(luò)可視化等問題，同時實現(xiàn)虛擬機遷移過程的安全策略跟隨。

安全服務(wù)鏈編排

用戶可根據(jù)不同業(yè)務(wù)需求部署不同的安全組件（如 vFW、入侵檢測、vWAF等），按需編排服務(wù)節(jié)點形成安全服務(wù)鏈，在全生命周期內(nèi)為應(yīng)用提供安全服務(wù)。

（十）深信服：云安全技術(shù)實踐

云安全服務(wù)鏈技術(shù)是深信服在軟件定義安全領(lǐng)域的創(chuàng)新實踐之一。

云安全服務(wù)鏈是云計算環(huán)境下，安全產(chǎn)品服務(wù)化、自動化交付的核心技術(shù)，能夠?qū)崿F(xiàn)基于用戶身份、業(yè)務(wù)應(yīng)用類型對網(wǎng)絡(luò)流量進行按需防護，支持根據(jù)不同業(yè)務(wù)需求將不同的安全硬件或 NFV 節(jié)點（如 vFW、入侵檢測、vLB 等）按需編排形成安全服務(wù)鏈，在應(yīng)用生命周期內(nèi)為應(yīng)用提供安全服務(wù)。技術(shù)原理和框架如圖所示： 

云安全服務(wù)鏈技術(shù)架構(gòu)

CSSP 將用戶輸入的訂閱信息（如用戶購買的安全組件及定義的組件順序）和標識信息（用戶五元組和 VLAN 信息），通過北向接口下發(fā)給 SDN控制器；

SDN 控制器根據(jù)用戶的訂閱信息、標識信息和服務(wù)節(jié)點的網(wǎng)絡(luò)配置（如網(wǎng)絡(luò)設(shè)備的接口、VLAN）計算出流表（基于 OpenFlow 協(xié)議）下發(fā)給SDN 交換機；

當來自外網(wǎng)的數(shù)據(jù)流第一次經(jīng)過 SDN 交換機時，SDN 交換機按照定義的流分類規(guī)則匹配數(shù)據(jù)報文，并將其轉(zhuǎn)發(fā)到相應(yīng)的服務(wù)鏈，進入第一個服務(wù)節(jié)點；

從第一個服務(wù)節(jié)點返回到 SDN 交換機的數(shù)據(jù)流，SDN 交換機基于入端口、五元組信息或 VLAN 查詢流表（基于 OpenFlow 協(xié)議），匹配相應(yīng)的出端口，轉(zhuǎn)發(fā)到下一個服務(wù)節(jié)點；

數(shù)據(jù)流按照服務(wù)鏈定義的順序在服務(wù)節(jié)點之間按順序轉(zhuǎn)發(fā)；

最后一個服務(wù)節(jié)點返回到 SDN 交換機的數(shù)據(jù)流，SDN 交換機基于入端口、五元組信息或 VLAN 查詢流表（基于 OpenFlow 協(xié)議），匹配服務(wù)鏈出端口，轉(zhuǎn)發(fā)到內(nèi)網(wǎng)；

當服務(wù)節(jié)點狀態(tài)發(fā)生變化時，如服務(wù)節(jié)點故障停止工作，CSSP 將檢測到該變化，并通知 SDN 控制器重新計算流表，下發(fā)給 SDN 交換機完成服務(wù)鏈動態(tài)更新；

當用戶訂閱信息發(fā)生變化時，如服務(wù)節(jié)點授權(quán)到期，CSSP 將檢測到該變化，并通知 SDN 控制器重新計算流表，下發(fā)給 SDN 交換機完成服務(wù)鏈動態(tài)更新。

未來展望

首先，政策方面：

2019 年 5 月，國家標準《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（“等保 2.0”）正式發(fā)布并將于年底實施，標準新增“云計算安全擴展要求”，進一步提出不同等級云計算平臺的安全擴展要求；

7 月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部共同發(fā)布《云計算服務(wù)安全評估辦法》，以提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平。

云安全政策標準的進一步細化完善，將進一步提高云租戶等對云安全的重視程度，有效帶動云安全市場需求。

其次，支持多云的安全解決方案、云內(nèi)東西向安全或?qū)⒊蔀榘l(fā)展重點。

多云模式可以提供針對不同業(yè)務(wù)場景和安全需求的解決方案，降低企業(yè)上云成本，提高云計算環(huán)境的數(shù)據(jù)業(yè)務(wù)安全性以及抗災(zāi)能力。

多云的部署發(fā)展，將驅(qū)動適配多云模式的安全解決方案需求增長。隨著云計算規(guī)模擴大和云中節(jié)點數(shù)增加，云內(nèi)滲透威脅亦逐漸加劇，CWPP、微隔離、終端防護等東西向防護技術(shù)和產(chǎn)品需求日益迫切。三是云計算技術(shù)的發(fā)展將進一步推動云安全技術(shù)創(chuàng)新。

雷鋒網(wǎng)看來，近年來，云計算技術(shù)發(fā)展迅速，容器、微服務(wù)、云原生、DevOps100等新興技術(shù)已逐漸成為云計算技術(shù)的新方向，100 DevOps：Development 和 Operations 的組合詞，是一組過程、方法與系統(tǒng)的統(tǒng)稱，用于促進開發(fā)（應(yīng)用程序/軟件工程）、技術(shù)運營和質(zhì)量保障（QA）部門之間的溝通、協(xié)作與整合相關(guān)安全挑戰(zhàn)也隨之產(chǎn)生，容器安全、DevSecOps101等技術(shù)成為云安全領(lǐng)域的研究熱點。

此外，隨著 5G、物聯(lián)網(wǎng)、區(qū)塊鏈等新技術(shù)的發(fā)展，云計算環(huán)境將面臨新的安全挑戰(zhàn)，從而催生新的云安全需求。

注：文章內(nèi)容摘自中國信息通信研究院印發(fā)的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書》。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。