[[333521]]

本文轉(zhuǎn)載自微信公眾號(hào)「新鈦云服」，作者王愛(ài)華  。轉(zhuǎn)載本文請(qǐng)聯(lián)系新鈦云服公眾號(hào)。

01.混合云架構(gòu)下的安全風(fēng)險(xiǎn)分析

1. 混合云架構(gòu)下的安全風(fēng)險(xiǎn)分析

企業(yè)混合云環(huán)境，一般包括一個(gè)或多個(gè)公有云廠商以及自建的私有云平臺(tái)，從信息安全風(fēng)險(xiǎn)管理角度來(lái)看，實(shí)施混合云涉及到IT基礎(chǔ)架構(gòu)和應(yīng)用架構(gòu)的重大變更，因此需要重新進(jìn)行風(fēng)險(xiǎn)評(píng)估?；旌显骗h(huán)境下需要考慮到的安全風(fēng)險(xiǎn)包括：

• 公有云廠商及其安全服務(wù)的選擇
• 私有云安全防護(hù)能力建設(shè)
• 混合云環(huán)境下的服務(wù)器、容器、無(wú)服務(wù)器應(yīng)用安全
• 混合云環(huán)境下的數(shù)據(jù)安全
• 統(tǒng)一的混合云安全管理和運(yùn)營(yíng)平臺(tái)
• 統(tǒng)一的混合云運(yùn)維管理通道
• 混合云環(huán)境下的安全合規(guī)需求

云原生安全產(chǎn)品的選擇

1.1 公有云廠商及其安全服務(wù)的選擇

1) 公有云廠商是否具備合適的認(rèn)證資質(zhì)

認(rèn)證資質(zhì)體現(xiàn)了公有云服務(wù)商自身在信息安全管理、云平臺(tái)基礎(chǔ)架構(gòu)管理、安全運(yùn)維和運(yùn)營(yíng)、用戶個(gè)人信息保護(hù)、特定行業(yè)領(lǐng)域安全保障、災(zāi)難恢復(fù)和業(yè)務(wù)連續(xù)性管理及法律合規(guī)風(fēng)險(xiǎn)等方面的服務(wù)能力。

如果企業(yè)上云業(yè)務(wù)涉及到用戶信用卡支付，則需要提供基礎(chǔ)架構(gòu)服務(wù)的公有云廠商具備PCI DSS認(rèn)證資質(zhì);如果企業(yè)上云業(yè)務(wù)需要通過(guò)國(guó)家等級(jí)保護(hù)認(rèn)證，則需要需要提供基礎(chǔ)架構(gòu)服務(wù)的公有云廠商具備不低于企業(yè)應(yīng)用系統(tǒng)等保定級(jí)級(jí)別的網(wǎng)絡(luò)安全等級(jí)保護(hù)資質(zhì)。因此企業(yè)需根據(jù)自身單位性質(zhì)，行業(yè)要求，業(yè)務(wù)模式和具體安全需求選擇合適的公有云廠商。

公有云廠商申請(qǐng)的常見(jiàn)安全資質(zhì)包括：ISO 20000(IT服務(wù)管理體系)，ISO 27001認(rèn)證(信息安全管理體系)，ISO 22301(業(yè)務(wù)連續(xù)性管理)，ISO 27017(云計(jì)算信息安全)，ISO 27018(公有云個(gè)人身份信息安全防護(hù))，CSA STAR金牌認(rèn)證(BSI+CSA云安全認(rèn)證)，ITSS(工信部云計(jì)算服務(wù)能力評(píng)估)(1級(jí))網(wǎng)絡(luò)安全等級(jí)保護(hù)(3級(jí)，4級(jí))，可信云服務(wù)認(rèn)證資質(zhì)等。

一般來(lái)說(shuō)，公有云廠商擁有的資質(zhì)種類多少，某種程度上表明其對(duì)云平臺(tái)基礎(chǔ)建設(shè)和保障、用戶服務(wù)、信息安全和法律法規(guī)遵循性方面的重視，從而能夠?yàn)樵谱鈶籼峁└玫倪\(yùn)維和安全服務(wù)。

2) 公有云廠商是否能夠提供企業(yè)需要的安全服務(wù)項(xiàng)目

不同公有云廠商由于戰(zhàn)略目標(biāo)和業(yè)務(wù)發(fā)展規(guī)劃不同，在信息安全理念、安全團(tuán)隊(duì)、安全技術(shù)能力沉淀、安全軟硬件產(chǎn)品線等方面也存在差別，因此對(duì)外提供的安全產(chǎn)品和安全服務(wù)內(nèi)容也會(huì)不一樣。如阿里云的IDaaS可以為混合云應(yīng)用提供統(tǒng)一的身份認(rèn)證和授權(quán)管理，騰訊云防病毒引擎服務(wù)可以對(duì)用戶上傳文件進(jìn)行安全掃描等，但并非所有的公有云廠商均可提供類似的安全服務(wù)。

因此企業(yè)選擇公有云廠商之前，應(yīng)預(yù)先通過(guò)公有云廠商網(wǎng)站對(duì)其能夠提供的安全產(chǎn)品和安全服務(wù)進(jìn)行全面了解，并根據(jù)自身的業(yè)務(wù)安全風(fēng)險(xiǎn)、安全需求和安全技術(shù)經(jīng)驗(yàn)，初步規(guī)劃后續(xù)需要使用的安全產(chǎn)品和安全服務(wù)，對(duì)可能使用到的一些安全產(chǎn)品或安全服務(wù)內(nèi)容存在疑問(wèn)時(shí)，應(yīng)積極和公有云廠商或其服務(wù)代理商進(jìn)行深入溝通，比如支持的數(shù)據(jù)庫(kù)類型，是否提供網(wǎng)絡(luò)層的流量入侵檢測(cè)服務(wù)，是否提供虛擬化補(bǔ)丁服務(wù)，是否提供統(tǒng)一的安全管理平臺(tái)等，以便后續(xù)有需求時(shí)能夠確保選擇的公有云廠商可以提供需要的服務(wù)能力。

3) 公有云廠商安全服務(wù)協(xié)議和SLA是否滿足自身安全需求

上云企業(yè)應(yīng)仔細(xì)檢查公有云廠商提供的各類安全服務(wù)協(xié)議和SLA內(nèi)容，確認(rèn)是否滿足自身的安全基線、安全檢查、安全審計(jì)、安全合規(guī)、事件處理、災(zāi)難恢復(fù)時(shí)的服務(wù)要求。

1.2 私有云安全防護(hù)能力建設(shè)

1) 私有云產(chǎn)品選型

國(guó)內(nèi)私有云解決方案包括商業(yè)性質(zhì)的VMware vCloud Suite產(chǎn)品 ，以及基于開(kāi)源云計(jì)算管理平臺(tái)Openstack進(jìn)行二次開(kāi)發(fā)的多家私有云廠商產(chǎn)品，如EaskStck，青云等。與此同時(shí)，不少公有云廠商也推出了自己的混合云解決方案，包括華為云Stack、阿里云Apsara Stack、騰訊云TCE、AWS Outposts、Azure Stack等，以幫助企業(yè)用戶解決私有云產(chǎn)品選型，并可通過(guò)一致的產(chǎn)品和服務(wù)控制臺(tái)統(tǒng)一管理企業(yè)混合云，同時(shí)進(jìn)一步提升自己的公有云市場(chǎng)占比。

2) 如何構(gòu)建私有云安全能力

企業(yè)自建私有云時(shí)，應(yīng)同時(shí)考慮私有云平臺(tái)的自身安全性以及可以提供給云租戶的安全服務(wù)內(nèi)容，私有云安全能力和私有云產(chǎn)品的最終選型緊密相關(guān)。

私有云安全體系建設(shè)包括整體網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、安全硬件設(shè)備部署、服務(wù)器硬件安全加固(安全引導(dǎo)技術(shù)如TPM，UEFI等)、網(wǎng)絡(luò)設(shè)備安全、操作系統(tǒng)安全、通信安全、統(tǒng)一身份認(rèn)證和授權(quán)、應(yīng)用安全、中間件安全、存儲(chǔ)和數(shù)據(jù)安全、API安全等多方面內(nèi)容。如使用原生openstack自建私有云，可參考https://docs.openstack.org/security-guide/進(jìn)行安全檢查和安全加固，如使用第三方廠商的私有云解決方案，需要參考廠商提供的私有云平臺(tái)安全要求進(jìn)行檢查和加固。

對(duì)于為租戶提供的安全服務(wù)，使用openstack構(gòu)建的私有云，可考慮集成一些安全開(kāi)源軟件(如pfsense，VeryNginx等)實(shí)現(xiàn)基本的防火墻和WAF安全服務(wù)。

傳統(tǒng)的國(guó)內(nèi)外硬件安全廠商(如綠盟，山石網(wǎng)科等)也開(kāi)始提供軟件化的安全產(chǎn)品和服務(wù)，通過(guò)軟件定義安全SDS架構(gòu)，可以提供相應(yīng)的API和openstack等私有云平臺(tái)進(jìn)行集成，實(shí)現(xiàn)防火墻、負(fù)載均衡、入侵檢測(cè)、入侵防御、WAF等安全功能集中管控的同時(shí)，也可為租戶提供所需的安全服務(wù)。也有一些硬件安全廠商(如深信服，天融信等)，通過(guò)超融合系統(tǒng)設(shè)備，直接在私有云環(huán)境中整合自身的各類安全產(chǎn)品，為租戶提供一體化安全服務(wù)。

相對(duì)而言更具競(jìng)爭(zhēng)力的是那些推出混合云解決方案的公有云廠商，基于其自身公有云安全建設(shè)和安全服務(wù)經(jīng)驗(yàn)，也許可以為私有云租戶提供更加合適、可靠的安全產(chǎn)品和安全服務(wù)能力。

因此對(duì)于混合云環(huán)境下的私有云安全能力建設(shè)，企業(yè)需要在傳統(tǒng)安全廠商和公有云廠商的安全產(chǎn)品解決方案中做出艱難抉擇。

1.3 混合云環(huán)境下的服務(wù)器、容器、無(wú)服務(wù)器應(yīng)用安全

混合云環(huán)境下,企業(yè)業(yè)務(wù)運(yùn)行的支撐環(huán)境包括服務(wù)器、容器或無(wú)服務(wù)器應(yīng)用(如AWS上基于事件驅(qū)動(dòng)的Lambda函數(shù))，這些業(yè)務(wù)運(yùn)行環(huán)境的安全是企業(yè)需要重點(diǎn)考慮的安全問(wèn)題。Gartner在 17 年提出了云工作負(fù)載安全平臺(tái)CWPP (Cloud Workload Protection Platforms)的概念，主要就是致力于解決云環(huán)境下業(yè)務(wù)運(yùn)行環(huán)境的安全性問(wèn)題。根據(jù)產(chǎn)品聚焦的不同安全內(nèi)容，CWPP產(chǎn)品又可細(xì)分為以下7類：

• 支持多種類型操作系統(tǒng)功能
• 漏洞掃描，配置和合規(guī)性功能
• 基于身份的細(xì)分，可見(jiàn)性和控制能力
• 應(yīng)用程序控制/所需的狀態(tài)執(zhí)行功能
• 服務(wù)器EDR，工作負(fù)載行為監(jiān)控和威脅檢測(cè)/響應(yīng)功能
• 容器和Kubernetes保護(hù)功能
• 無(wú)服務(wù)器保護(hù)功能

混合云環(huán)境下，企業(yè)應(yīng)根據(jù)自身業(yè)務(wù)系統(tǒng)實(shí)際運(yùn)行環(huán)境，如操作系統(tǒng)類型，是否使用容器，是否使用k8s，是否使用無(wú)服務(wù)器應(yīng)用，是否有合規(guī)需求等，選擇合適的CWPP產(chǎn)品。此類產(chǎn)品包括青藤云、安全狗、阿里云等多家獨(dú)立安全廠商或公有云廠商產(chǎn)品。需要特別注意的是，選擇的CWPP產(chǎn)品是否支持或如何支持混合云方式部署，以便后續(xù)的統(tǒng)一管理和維護(hù)。

1.4 混合云環(huán)境下的數(shù)據(jù)安全

其實(shí)不管是混合云環(huán)境，還是傳統(tǒng)IDC環(huán)境，數(shù)據(jù)安全都是信息安全的重中之重。

混合云環(huán)境下，企業(yè)數(shù)據(jù)會(huì)同時(shí)在公有云和私有云中傳輸和存儲(chǔ)，從而增加了數(shù)據(jù)被監(jiān)聽(tīng)竊取或被篡改的風(fēng)險(xiǎn)。因此公有云廠商一般都會(huì)提供數(shù)據(jù)加密、密鑰管理、敏感數(shù)據(jù)發(fā)現(xiàn)、敏感數(shù)據(jù)脫敏、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防火墻等安全技術(shù)和安全服務(wù)以保護(hù)云租戶的數(shù)據(jù)安全。

另一方面，由于公有云廠商自身也會(huì)出現(xiàn)如服務(wù)器宕機(jī)或服務(wù)中斷事件，從而導(dǎo)致云租戶數(shù)據(jù)丟失的事件也有發(fā)生，所以實(shí)際操作過(guò)程中，大多數(shù)企業(yè)仍然傾向于劃分公有云環(huán)境和私有云環(huán)境為不同安全等級(jí)(或信任級(jí)別)的區(qū)域，公有云環(huán)境更多用于部署業(yè)務(wù)前端應(yīng)用并按需擴(kuò)展，業(yè)務(wù)敏感數(shù)據(jù)仍然選擇在企業(yè)可控的私有云環(huán)境進(jìn)行存儲(chǔ)。

一些傳統(tǒng)數(shù)據(jù)安全廠商(如美創(chuàng)，昂凱科技等)也已推出自己的混合云數(shù)據(jù)安全解決方案，涉及數(shù)據(jù)庫(kù)運(yùn)維管理平臺(tái)，數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，數(shù)據(jù)庫(kù)脫敏系統(tǒng)，數(shù)據(jù)庫(kù)防火墻，數(shù)據(jù)庫(kù)加密系統(tǒng)等多種軟硬件產(chǎn)品。

對(duì)于企業(yè)信息安全或者是數(shù)據(jù)安全管理部門而言，混合云場(chǎng)景下的數(shù)據(jù)安全仍應(yīng)遵循數(shù)據(jù)全生命周期安全管理理念，需要對(duì)公司各類數(shù)據(jù)進(jìn)行梳理和分類分級(jí)，從數(shù)據(jù)生成和采集，數(shù)據(jù)傳輸，數(shù)據(jù)存儲(chǔ)，數(shù)據(jù)處理，數(shù)據(jù)交換，數(shù)據(jù)備份和恢復(fù)，數(shù)據(jù)銷毀整個(gè)生命周期進(jìn)行風(fēng)險(xiǎn)評(píng)估，選擇和實(shí)施適合混合云場(chǎng)景的數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全產(chǎn)品和安全管理措施，從而真正保障企業(yè)數(shù)據(jù)安全的同時(shí)，也可以滿足企業(yè)需要遵循的各類數(shù)據(jù)安全標(biāo)準(zhǔn)、法律法規(guī)和行業(yè)合規(guī)要求。

1.5 統(tǒng)一的混合云安全管理和運(yùn)營(yíng)平臺(tái)

混合云架構(gòu)下的信息安全運(yùn)維和運(yùn)營(yíng)管理涉及到公有云和私有云環(huán)境中的多種安全產(chǎn)品和安全實(shí)現(xiàn)技術(shù)，從信息安全管理部門的運(yùn)維和運(yùn)營(yíng)效率，以及安全管理的一致性體驗(yàn)角度考慮，需要可以通過(guò)一個(gè)統(tǒng)一的安全管理平臺(tái)實(shí)現(xiàn)集中化管理。

如果選擇公有云廠商提供的私有云安全解決方案，廠商通常會(huì)提供統(tǒng)一的安全管理平臺(tái)實(shí)現(xiàn)對(duì)公有云和私有云安全設(shè)備和安全服務(wù)的集中管理。

對(duì)于一些安全產(chǎn)品線較為完善的硬件安全廠家(如綠盟，深信服等)，也會(huì)推出基于自有安全設(shè)備的混合云安全解決方案。通過(guò)在公有云環(huán)境開(kāi)辟一個(gè)單獨(dú)的安全管理區(qū)域，部署自有各類軟硬件安全產(chǎn)品來(lái)替換公有云廠商提供的防火墻、WAF、DDOS、堡壘機(jī)、入侵檢測(cè)設(shè)備、漏洞掃描系統(tǒng)、日志審計(jì)等安全服務(wù)，同時(shí)在私有云環(huán)境同樣部署一套類似環(huán)境，實(shí)現(xiàn)對(duì)自有安全產(chǎn)品的統(tǒng)一管理。此類解決方案通常實(shí)施成本較高，存在重復(fù)部署問(wèn)題，同時(shí)安全防護(hù)能力依賴于廠商現(xiàn)有的安全軟硬件產(chǎn)品體系完善程度，不一定能夠真正滿足企業(yè)的實(shí)際安全需求。

如果選擇原生Openstack或基于openstack二次開(kāi)發(fā)的私有云平臺(tái)，如需實(shí)現(xiàn)統(tǒng)一的混合云安全管理平臺(tái)，就會(huì)涉及公有云廠商安全服務(wù)API接入開(kāi)發(fā)，所選硬件安全廠商提供的安全API接入開(kāi)發(fā)，甚至需要硬件安全廠商的二次支持開(kāi)發(fā)，目前來(lái)看，開(kāi)發(fā)工作量和實(shí)現(xiàn)難度很大。

1.6 統(tǒng)一的混合云運(yùn)維管理通道

對(duì)運(yùn)維人員來(lái)說(shuō)，混合云架構(gòu)意味著需要在一個(gè)或多個(gè)公有云環(huán)境和私有云環(huán)境分別進(jìn)行系統(tǒng)安裝、服務(wù)部署、應(yīng)用發(fā)布及日常的更新維護(hù)工作。針對(duì)私有云環(huán)境進(jìn)行運(yùn)維時(shí)，需要登錄公司內(nèi)部堡壘機(jī)進(jìn)行操作，針對(duì)公有云環(huán)境進(jìn)行運(yùn)維時(shí)，需要登錄公有云廠商提供的管理平臺(tái)進(jìn)行操作。同時(shí)對(duì)于公司安全管理部門來(lái)說(shuō)，也需要在多點(diǎn)部署安全設(shè)備或安全工具，實(shí)現(xiàn)運(yùn)維賬號(hào)和運(yùn)維權(quán)限管理，用戶登錄和操作日志審計(jì)等方面的安全管理工作。

混合云環(huán)境下，運(yùn)維或安全管理部門，可選擇一款多云管理平臺(tái)(如新鈦云服提供的TiOps多云管理平臺(tái)等)，運(yùn)維人員可以通過(guò)統(tǒng)一的平臺(tái)入口，實(shí)現(xiàn)多云資源(包括公有云、私有云、物理機(jī)和容器)管理、自動(dòng)化運(yùn)維、k8s管理、公有云成本管理、CMDB、監(jiān)控告警等運(yùn)維工作，同時(shí)實(shí)現(xiàn)用戶角色和權(quán)限管理、用戶登錄和操作審計(jì)及回放等安全功能。

1.7 混合云環(huán)境下的安全合規(guī)需求

不同類型的信息安全法律法規(guī)條款或安全合規(guī)認(rèn)證內(nèi)容，都是基于其關(guān)心的安全目標(biāo)和定義的安全檢查對(duì)象，通過(guò)具有不同安全側(cè)重點(diǎn)和不同安全要求的多個(gè)檢查項(xiàng)，對(duì)信息系統(tǒng)及其支撐、運(yùn)行環(huán)境進(jìn)行安全檢查、測(cè)試和審計(jì)，以確認(rèn)信息系統(tǒng)及其支撐運(yùn)行環(huán)境中，采取的各類安全措施是否符合需要的安全要求?；旌显骗h(huán)境的合規(guī)檢查對(duì)象，一般都會(huì)涉及公有云廠商基礎(chǔ)架構(gòu)、公有云業(yè)務(wù)、私有云平臺(tái)和私有云業(yè)務(wù)。

比如混合云環(huán)境下的等保2.0合規(guī)認(rèn)證，需要分別考慮公有云環(huán)境和私有云環(huán)境下的等保合規(guī)問(wèn)題。對(duì)于公有云業(yè)務(wù)，首先要求作為提供基礎(chǔ)設(shè)施服務(wù)(云計(jì)算平臺(tái))的公有云廠商，必須具備不低于應(yīng)用系統(tǒng)等保定級(jí)級(jí)別的網(wǎng)絡(luò)安全等級(jí)保護(hù)資質(zhì)，然后再對(duì)企業(yè)的公有云業(yè)務(wù)(云租戶信息系統(tǒng))進(jìn)行等保測(cè)評(píng)工作。對(duì)于自建私有云業(yè)務(wù)，也是首先需要對(duì)云計(jì)算平臺(tái)進(jìn)行定級(jí)和測(cè)評(píng)，然后再對(duì)私有云用戶業(yè)務(wù)系統(tǒng)(云租戶信息系統(tǒng))進(jìn)行定級(jí)測(cè)評(píng)，同樣需要私有云平臺(tái)的安全保護(hù)等級(jí)不低于其所支撐的業(yè)務(wù)系統(tǒng)的最高等級(jí)。

類似地，混合云環(huán)境下的應(yīng)用系統(tǒng)如果計(jì)劃申請(qǐng)PIC-DSS認(rèn)證、需要滿足歐盟GDPR數(shù)據(jù)保護(hù)條例等合規(guī)或法律要求時(shí)，也是需要提供基礎(chǔ)架構(gòu)服務(wù)的公有云廠商具備相應(yīng)的PCI-DSS認(rèn)證資質(zhì)、符合GDRP合規(guī)要求，同時(shí)對(duì)私有云基礎(chǔ)架構(gòu)(云計(jì)算平臺(tái))和用戶業(yè)務(wù)系統(tǒng)(包括公有云和私有云上的云租戶信息系統(tǒng))進(jìn)行對(duì)應(yīng)的合規(guī)性檢測(cè)。

因此混合云環(huán)境下，企業(yè)需要根據(jù)自身合規(guī)需要，選擇具有對(duì)應(yīng)資質(zhì)的公有云廠商，同時(shí)根據(jù)不同合規(guī)檢查項(xiàng)，對(duì)自建私有云平臺(tái)進(jìn)行安全自查、安全加固或安全整改，以確保私有云平臺(tái)和運(yùn)行的用戶業(yè)務(wù)系統(tǒng)符合合規(guī)要求。

1.8 云安全產(chǎn)品的選擇

混合云環(huán)境下，許多傳統(tǒng)的安全理念、安全產(chǎn)品和安全解決方案已經(jīng)不再適合，或者說(shuō)是不能有效解決混合云環(huán)境下產(chǎn)生的各類安全風(fēng)險(xiǎn)問(wèn)題。與此同時(shí)，業(yè)界對(duì)云安全的研究，也促進(jìn)了不少新的，更加適合云環(huán)境的安全理念、安全模型、云原生安全產(chǎn)品和針對(duì)性的混合云安全解決方案，比如gartner推薦的多種安全技術(shù)，包括多云管理平臺(tái)，云工作保護(hù)平臺(tái)(CWPP)，云訪問(wèn)安全代理(CASB)，云安全配置管理(CSPM)，零信任安全解決方案(SDP)等等。

對(duì)于計(jì)劃或已經(jīng)采用混合云架構(gòu)的企業(yè)安全管理、安全技術(shù)人員，特別是安全架構(gòu)師而言，需要不斷跟進(jìn)最前沿的云安全技術(shù)，熟悉不同的云安全產(chǎn)品功能和特性，以及水平參差不齊的混合云安全解決方案，同時(shí)結(jié)合企業(yè)自身的業(yè)務(wù)特性、安全目標(biāo)和實(shí)際風(fēng)險(xiǎn)情況，進(jìn)行測(cè)試并謹(jǐn)慎選擇合適的云安全服務(wù)、云安全產(chǎn)品或混合云安全解決方案，這同樣是一件具有很大挑戰(zhàn)性和很高風(fēng)險(xiǎn)的任務(wù)。

02.混合云安全解決方案建議

考慮到混合云環(huán)境下安全服務(wù)、安全技術(shù)、安全產(chǎn)品、安全平臺(tái)、安全合規(guī)等安全風(fēng)險(xiǎn)的復(fù)雜性，建議企業(yè)在規(guī)劃、構(gòu)建和實(shí)施混合云架構(gòu)時(shí)，可以使用第三方云服務(wù)商的安全咨詢服務(wù)(如新鈦云服等)，從專業(yè)角度幫助企業(yè)了解不同公有云廠商、公有云產(chǎn)品和服務(wù)、私有云平臺(tái)選型、私有云安全能力建設(shè)以及不同混合云安全解決方案的優(yōu)缺點(diǎn)、適用場(chǎng)景、實(shí)施成本等，以減少混合云選型、落地實(shí)施及后續(xù)運(yùn)維運(yùn)營(yíng)管理等多方面的安全問(wèn)題。

合理的混合云安全解決方案，仍然應(yīng)該遵循最基本的安全建設(shè)理念，即合理的安全規(guī)劃，分階段進(jìn)行實(shí)施，關(guān)注和防范重點(diǎn)風(fēng)險(xiǎn)。從實(shí)際項(xiàng)目經(jīng)驗(yàn)來(lái)看，我們建議混合云安全解決方案大體可以分四個(gè)階段進(jìn)行實(shí)施：

第一階段：混合云安全架構(gòu)調(diào)研、測(cè)試、規(guī)劃和實(shí)施。包括公有云服務(wù)商及公有云安全服務(wù)的測(cè)試和選型，私有云平臺(tái)選型、私有云安全解決方案的測(cè)試和選型，統(tǒng)一的混合云安全管理平臺(tái)等;

第二階段： 混合云架構(gòu)下的基礎(chǔ)安全防范和服務(wù)能力建設(shè)。一般需要包括FW、WAF、CWPP、數(shù)據(jù)庫(kù)審計(jì)服務(wù)或產(chǎn)品、多云管理平臺(tái)等，以至少覆蓋網(wǎng)絡(luò)層安全、主機(jī)/容器安全、應(yīng)用層安全、數(shù)據(jù)安全和運(yùn)維通道的安全管理，從而構(gòu)建基本的縱深安全防范體系;

圖一：混合云基礎(chǔ)安全/加強(qiáng)安全防范和服務(wù)能力

第三階段：根據(jù)企業(yè)自身業(yè)務(wù)特性，加強(qiáng)重點(diǎn)風(fēng)險(xiǎn)防范能力。如針對(duì)游戲業(yè)務(wù)的抗DDOS服務(wù)、基于SDK的安全解決方案，針對(duì)電商行業(yè)的風(fēng)控平臺(tái)和數(shù)據(jù)安全解決方案等，需要重點(diǎn)考慮。

第四階段：適合企業(yè)混合云具體應(yīng)用特性的安全強(qiáng)化,日常安全運(yùn)維運(yùn)營(yíng)及安全合規(guī)工作。如針對(duì)SaaS業(yè)務(wù)的CASB產(chǎn)品，對(duì)高安全要求應(yīng)用考慮實(shí)施SDP解決方案，敏感數(shù)據(jù)自動(dòng)發(fā)現(xiàn)和動(dòng)態(tài)脫敏，統(tǒng)一的安全中心和合規(guī)工作等。

信息安全本身就是一個(gè)不斷進(jìn)化的動(dòng)態(tài)過(guò)程，不可能一蹴而就，也不存在百分百的安全保障。如何科學(xué)的構(gòu)建和管理混合云安全，需要更多的風(fēng)險(xiǎn)評(píng)估、安全管理、安全研究、安全運(yùn)營(yíng)、安全開(kāi)發(fā)等多方經(jīng)驗(yàn)的總結(jié)和交流，也非常歡迎各位就混合云安全涉及到的方方面面多多交流!