隨著云計(jì)算業(yè)務(wù)的快速發(fā)展，國(guó)內(nèi)外云計(jì)算企業(yè)的專利之爭(zhēng)也愈發(fā)激烈。在云計(jì)算這樣的技術(shù)領(lǐng)域，專利儲(chǔ)備往往代表著企業(yè)的技術(shù)實(shí)力。華云數(shù)據(jù)本期"智匯華云"專欄將針對(duì)"如何構(gòu)建企業(yè)上云安全防護(hù)體系"，與大家共同分享云計(jì)算領(lǐng)域的發(fā)展趨勢(shì)。

[[258827]]

當(dāng)前，網(wǎng)絡(luò)數(shù)字化、智能化快速發(fā)展，網(wǎng)絡(luò)威脅加速滲透，網(wǎng)絡(luò)安全面臨重大風(fēng)險(xiǎn)和挑戰(zhàn)。大量分散數(shù)據(jù)集中到云內(nèi)，這些數(shù)據(jù)中包含的巨大信息和潛在價(jià)值吸引了更多的攻擊者，針對(duì)云上安全防護(hù)的需求也與日俱增。云安全的建設(shè)需要充分保證租戶業(yè)務(wù)安全與數(shù)據(jù)安全，要求云服務(wù)提供商能夠提供持續(xù)運(yùn)營(yíng)安全服務(wù)。

在數(shù)字化時(shí)代，由于云計(jì)算風(fēng)險(xiǎn)集中，導(dǎo)致大規(guī)模安全風(fēng)險(xiǎn)的出現(xiàn)，讓網(wǎng)絡(luò)安全形勢(shì)更加嚴(yán)峻。那么，企業(yè)上云安全該如何建設(shè)，如何才能擁有一套成熟的安全體系？華云數(shù)據(jù)作為中國(guó)云計(jì)算、大數(shù)據(jù)獨(dú)角獸企業(yè)，積極助力數(shù)字中國(guó)網(wǎng)絡(luò)安全體系建設(shè)，助推網(wǎng)絡(luò)安全生態(tài)健康發(fā)展。

2019年2月28日，華云數(shù)據(jù)集團(tuán)售前方案經(jīng)理屈崇凱分享了云上安全合規(guī)的解決方案及探索與實(shí)踐，助力企業(yè)開啟安全、可控的上云之路。

精彩言論

1、當(dāng)前，網(wǎng)絡(luò)數(shù)字化、智能化快速發(fā)展，網(wǎng)絡(luò)威脅加速滲透，網(wǎng)絡(luò)安全面臨重大風(fēng)險(xiǎn)和挑戰(zhàn)。嚴(yán)峻的行業(yè)背景下，網(wǎng)絡(luò)安全技術(shù)與實(shí)踐應(yīng)用、網(wǎng)絡(luò)安全體系及生態(tài)建設(shè)備受業(yè)界關(guān)注?；ヂ?lián)網(wǎng)是關(guān)系國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要基礎(chǔ)設(shè)施，深刻影響著全球經(jīng)濟(jì)格局、利益格局和安全格局?；诨ヂ?lián)網(wǎng)協(xié)議第四版（IPv4）的全球互聯(lián)網(wǎng)正面臨網(wǎng)絡(luò)地址消耗殆盡、服務(wù)質(zhì)量難以保證等問題。下一代的互聯(lián)網(wǎng)協(xié)議第六版（IPv6）應(yīng)運(yùn)而生。

2、2017年11月26日，《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動(dòng)計(jì)劃》（以下簡(jiǎn)稱《行動(dòng)計(jì)劃》）印發(fā)，對(duì)各行業(yè)IPv6遷移過渡提出明確安排和時(shí)間要求。作為國(guó)家經(jīng)濟(jì)運(yùn)行的重要支撐，金融行業(yè)應(yīng)積極開展IPv6技術(shù)的試點(diǎn)研究與探索，為其全面部署落實(shí)奠定基礎(chǔ)。2019年1月10日，《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》發(fā)布?！缎袆?dòng)計(jì)劃》要求在未來5~10年間實(shí)現(xiàn)下一代互聯(lián)網(wǎng)IPv6自助產(chǎn)業(yè)技術(shù)體系和產(chǎn)業(yè)生態(tài)，并在經(jīng)濟(jì)社會(huì)各領(lǐng)域深度融合應(yīng)用，金融機(jī)構(gòu)網(wǎng)絡(luò)將首先完成互聯(lián)網(wǎng)環(huán)境的IPv6規(guī)模部署。

3、對(duì)于企業(yè)而言，云安全建設(shè)需求主要有三點(diǎn)，其一是業(yè)務(wù)牽引，包括業(yè)務(wù)安全的積極預(yù)防，云及混合云環(huán)境是否能夠防患于未然，提前感知威脅；業(yè)務(wù)自身及環(huán)境安全，業(yè)務(wù)上云，如何保障云平臺(tái)安全、數(shù)據(jù)安全、應(yīng)用安全；業(yè)務(wù)安全的持續(xù)監(jiān)測(cè)，如何檢測(cè)云上業(yè)務(wù)系統(tǒng)面臨的各類安全威脅；業(yè)務(wù)安全的處置手段，云環(huán)境中，出問題后如何快速定位，止損溯源。其二是技術(shù)牽引，建設(shè)云安全體系。在云環(huán)境下，原有的隔離原則將會(huì)失效，原有可信的邊界日益模糊，攻擊平面增多。軟件定義安全成為趨勢(shì)，越來越多的安全軟件化、虛擬化，并支持可編程式的控制。用云方式解決安全問題會(huì)越來越普及。其三是合規(guī)快速響應(yīng)，能否一站式解決新技術(shù)和新合規(guī)要求。

4、  虛擬化會(huì)帶來一些安全風(fēng)險(xiǎn)，比如虛擬機(jī)逃逸，正常情況下，同一虛擬化平臺(tái)下的客戶虛擬機(jī)之間不能互相監(jiān)視、影響其他虛擬機(jī)及其進(jìn)程，但虛擬化漏洞的存在或隔離方式的不正確可能會(huì)導(dǎo)致隔離失效，使得非特權(quán)虛擬機(jī)獲得 Hypervisor 的訪問權(quán)限。對(duì)于虛擬化平臺(tái)而言，也存在一些安全風(fēng)險(xiǎn)。虛擬機(jī)遷移時(shí)，需要先遷移虛擬機(jī)的內(nèi)存等狀態(tài)信息，并傳輸虛擬機(jī)副本到新的物理機(jī)上恢復(fù)運(yùn)行，黑客有較多的時(shí)間截取敏感信息。虛擬機(jī)鏡像、快照恢復(fù)的時(shí)候，由于缺乏及時(shí)的系統(tǒng)補(bǔ)丁，造成新創(chuàng)建的虛擬機(jī)極易遭受威脅。

5、  云資源可以靈活調(diào)配，擊破傳統(tǒng)安全域的便捷。同一物理機(jī)上虛擬機(jī)（業(yè)務(wù)系統(tǒng)）間的網(wǎng)絡(luò)流量無法使用傳統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行檢測(cè)。內(nèi)部病毒爆發(fā)引起的互相感染攻擊無法通過邊界安全設(shè)備控制。傳統(tǒng)安全策略無法感知、跟隨虛擬機(jī)的遷移。虛擬機(jī)之間的隔離主要通過虛擬化層軟件實(shí)現(xiàn)，無法控制同一宿主機(jī)中的其它租戶安全防護(hù)能力如果黑客利用一臺(tái)虛擬機(jī)獲得宿主機(jī)的所有資源，導(dǎo)致其他虛擬機(jī)沒有資源可用，將造成虛擬化環(huán)境下的拒絕服務(wù)攻擊，"鄰居"失火殃及"自己"。

6、  虛擬網(wǎng)絡(luò)存在風(fēng)險(xiǎn)，一方面?zhèn)鹘y(tǒng)的安全域被打破，東西向流量不可見，同一宿主機(jī)中不同業(yè)務(wù)系統(tǒng)間的通信（東西流向），傳統(tǒng)（南北流向）物理安全設(shè)備無法檢測(cè)，另一方面，在超大的二層虛擬網(wǎng)絡(luò)中，被黑客攻破的通道很多，攻擊危害性都遠(yuǎn)遠(yuǎn)超過了它們?cè)趥鹘y(tǒng)網(wǎng)絡(luò)中的影響。因此，也帶來了安全管理方面的風(fēng)險(xiǎn)。運(yùn)維人員通常使用遠(yuǎn)程管理平臺(tái)對(duì)虛擬機(jī)進(jìn)行管理，如VMware的vCenter、Citrix的XenCenter。集中管理降低了管理復(fù)雜度，但可能帶來如SQL注入等危險(xiǎn)。

7、云計(jì)算有安全強(qiáng)制規(guī)范，公安部發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》，對(duì)于大型云計(jì)算平臺(tái)，應(yīng)將云計(jì)算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級(jí)對(duì)象。傳統(tǒng)安全手段無法滿足云等保合規(guī)的要求。在云環(huán)境下，云安全責(zé)任模型需要建設(shè)端到端整體安全體系，治理層次清、權(quán)責(zé)界限清，核心理念是智慧云安全，以等保合規(guī)為基礎(chǔ)，安全組件齊全，安全資源池滿足快速交付，日志集中審計(jì)和存放，三權(quán)分立。以軟件定義安全為架構(gòu)，開放的整體架構(gòu)，南向支持第三方安全組件集成，東西向，支持不同的云平臺(tái)對(duì)接，北向開放接口支持被集成。以安全運(yùn)營(yíng)為核心，資產(chǎn)同步、租戶同步，服務(wù)編排，事件監(jiān)測(cè)、報(bào)警和處置，計(jì)量計(jì)費(fèi)，安全服務(wù)。