公司

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

云安全解決方案百花齊放，私有云構(gòu)建安全能力體系真這么難？

閱讀量：次 文章來源：安恒信息

云安全

在中國云計(jì)算發(fā)展的當(dāng)前階段，安全已經(jīng)是云資源池建設(shè)、使用、運(yùn)營、運(yùn)維全生命周期中不可忽略的重要組成部分。

當(dāng)前業(yè)內(nèi)的云上安全解決方案種類繁多，公有云市場上，頭部的公有云廠商往往擁有專門的安全產(chǎn)品研發(fā)團(tuán)隊(duì)，在提供服務(wù)和解決方案時(shí)，會(huì)較好地考慮安全產(chǎn)品的功能、易用性和兼容性。除自研安全產(chǎn)品外，還可通過開放云市場優(yōu)勢，集成接入其他安全廠商產(chǎn)品，供云上客戶選擇和使用。

而私有云市場，廠商往往在安全部分的產(chǎn)品能力、產(chǎn)品類型、安全服務(wù)經(jīng)驗(yàn)較為缺乏，部分私有云廠商僅能提供基礎(chǔ)安全能力，無法滿足用戶對(duì)于安全的中高階需求。這種情況下，私有云建設(shè)方在方案規(guī)劃階段就需要考慮如何快速構(gòu)建完善的安全能力體系，滿足云上用戶及中國行業(yè)監(jiān)管的必要安全需求。

︾

本文以私有云市場安全能力建設(shè)的現(xiàn)狀為出發(fā)點(diǎn)，基于多年在云安全資源池場景中與眾多云廠家的合作落地經(jīng)驗(yàn)，淺析可滿足不同用戶需求的差異化、可落地的解決思路和方案。?

看清需求

選擇最宜建設(shè)思路

主流的建設(shè)思路有兩種。

1.使用全套私有云廠商的安全產(chǎn)品，部分缺少的安全能力，通過采集第三方安全產(chǎn)品硬件或軟件方式進(jìn)行交付。

這種建設(shè)思路適用于采購頭部私有云廠家的私有云產(chǎn)品，這些廠商在安全領(lǐng)域投入較大的研發(fā)資源，配套的安全產(chǎn)品種類較多，基本能滿足用戶基礎(chǔ)安全和等級(jí)保護(hù)的需求。私有云廠商自有的安全產(chǎn)品在使用體驗(yàn)上，基本能夠與其他云上業(yè)務(wù)保持一致，如統(tǒng)一的UI設(shè)計(jì)、租戶自服務(wù)能力、一致的計(jì)費(fèi)計(jì)量、統(tǒng)一的操作入口、操作簡單等等，正如私有云廠商宣稱的，“云網(wǎng)安”融合。

但不是所有私有云廠商都是頭部，他們所能提供的安全產(chǎn)品種類、能力，甚至后續(xù)安全運(yùn)營服務(wù)能力是不同的，且在項(xiàng)目交付過程中，絕大部分私有云廠商需要集成第三方安全產(chǎn)品，才能達(dá)到項(xiàng)目招標(biāo)的要求。在交付過程中集成的安全產(chǎn)品，僅能在業(yè)務(wù)功能層面滿足客戶的需求。該模式下安全能力是簡單的交付集成，最大的需求變成了網(wǎng)絡(luò)部署上的互聯(lián)互通、相互兼容，所以在整體的使用體驗(yàn)上，遠(yuǎn)低于其他云上產(chǎn)品。例如產(chǎn)品許可授權(quán)不一致、產(chǎn)品入口不統(tǒng)一、無法做到租戶自服務(wù)等等。在未來云業(yè)務(wù)長期發(fā)展的情況下，云上擴(kuò)展新的安全能力難度也較大。

2.私有云廠商與安全廠商合作，基于安全廠商提供的專門面向云場景的安全資源池解決方案構(gòu)建云上安全能力體系。

這種思路非常適合安全能力較弱的私有云廠家，可以快速集成完整的安全解決方案并實(shí)現(xiàn)交付。對(duì)于云用戶而言，客戶還可以享受安全行業(yè)頭部廠商提供的產(chǎn)品和服務(wù)。主要應(yīng)用場景是政務(wù)云、行業(yè)云。

接下來從第二種思路出發(fā)，介紹滿足不同用戶需求的落地建議方案。

云安全資源池搭建

關(guān)鍵要看這幾點(diǎn)

產(chǎn)品形態(tài)

當(dāng)前主流安全廠商提供的面向云環(huán)境的安全資源池方案中，安全產(chǎn)品基本都是采用軟件交付和集成，并且配套統(tǒng)一的安全管理平臺(tái)對(duì)不同種類的安全能力進(jìn)行統(tǒng)一授權(quán)，統(tǒng)一開通部署、統(tǒng)一運(yùn)維配置等，可按照單租戶需求進(jìn)行獨(dú)享一套安全產(chǎn)品或多租戶共享安全產(chǎn)品進(jìn)行劃分。

單租戶獨(dú)享：每個(gè)租戶都需要部署一套安全產(chǎn)品虛擬機(jī)，包含安全服務(wù)。該獨(dú)享模式適用于云上租戶規(guī)模較小的場景，一個(gè)虛擬機(jī)承載一種安全業(yè)務(wù)，部署和管理簡單，無需考慮復(fù)雜的網(wǎng)絡(luò)場景，部署在租戶辦公網(wǎng)絡(luò)內(nèi)即可使用。

多租戶共享：在云平臺(tái)搭建階段，統(tǒng)一集中部署安全資源池，后續(xù)多租戶共享基礎(chǔ)安全底層，但業(yè)務(wù)層互相隔離。該模式適用于云租戶規(guī)模較大、且對(duì)安全產(chǎn)品可靠性要求高的場景。支持該模式的安全產(chǎn)品需考慮可靠性、擴(kuò)展性，對(duì)初期部署的資源要求較多。

網(wǎng)絡(luò)規(guī)劃

安全產(chǎn)品以及云安全資源池管理平臺(tái)的管理網(wǎng)和業(yè)務(wù)網(wǎng)絡(luò)需要結(jié)合私有云的網(wǎng)絡(luò)模型進(jìn)行細(xì)化設(shè)計(jì)，在私有云建設(shè)階段做整體的規(guī)劃。

在安全產(chǎn)品的業(yè)務(wù)網(wǎng)絡(luò)部分，除了考慮能否滿足互通性要求外，也許要考慮網(wǎng)絡(luò)的安全性、配置的便捷性。網(wǎng)絡(luò)配置的最優(yōu)方式通過云平臺(tái)上的網(wǎng)絡(luò)功能即可實(shí)現(xiàn)，無需通過某些僅管理員或者網(wǎng)絡(luò)工程師可登錄的后臺(tái)進(jìn)行網(wǎng)絡(luò)的配置維護(hù)。

集成方式

?方式一：松耦合?

平臺(tái)增加單點(diǎn)登錄，云資源和安全資源的管理入口統(tǒng)一。此模式下，安全產(chǎn)品的部署、管理仍需要通過兩個(gè)平臺(tái)共同完成，由云平臺(tái)操作安全虛擬機(jī)和網(wǎng)絡(luò)的配置部署，安全管理平臺(tái)實(shí)現(xiàn)安全產(chǎn)品的納管和安全業(yè)務(wù)的配置管理。

此模式相對(duì)簡單，上線周期短，適合云上租戶數(shù)較少，且云上的運(yùn)維工作由私有云平臺(tái)建設(shè)方承接，所以對(duì)于“拎包入住”的業(yè)務(wù)方而言，省卻了很多感知體驗(yàn)。

?方式二：半耦合?

平臺(tái)增加單點(diǎn)登錄，且安全管理平臺(tái)可對(duì)接云管理平臺(tái)的接口實(shí)現(xiàn)安全產(chǎn)品的部署、使用、運(yùn)維配置，沒有操作的割裂性。

此模式開發(fā)投入較大，需要安全廠商投入較大研發(fā)資源，適用于單個(gè)項(xiàng)目中租戶規(guī)模大，且安全業(yè)務(wù)需求較多的場景。

?方式三：緊耦合?

私有云平臺(tái)上開發(fā)所有安全產(chǎn)品的介紹、下單、開通、部署頁面，僅在安全產(chǎn)品使用時(shí)，通過單點(diǎn)登錄能登錄到產(chǎn)品的使用頁面。此模式僅適用私有云廠商擁有富裕的研發(fā)資源，項(xiàng)目數(shù)多，單項(xiàng)目擁有大規(guī)模租戶，客戶側(cè)或者私有云廠家對(duì)品牌一致性、統(tǒng)一的計(jì)量計(jì)費(fèi)、操作體驗(yàn)較高要求的場景。

此模式開發(fā)投入大，安全產(chǎn)品或私有云平臺(tái)往往為分支/定制版本，迭代頻次低。

基于私有云市場的云解決方案現(xiàn)狀，通過集成第三方安全廠商成熟的云安全資源池解決方案是一條快速構(gòu)建完善的云安全能力體系的路徑。每個(gè)項(xiàng)目中集成方案的目標(biāo)與落地可行性，需要結(jié)合實(shí)際的業(yè)務(wù)規(guī)模、用戶場景、項(xiàng)目上線時(shí)期要求、投入成本等進(jìn)行綜合考量，并制定切實(shí)可行的目標(biāo)和計(jì)劃。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>