聊聊各厂商的企业云安全技术实践

云安全技术实践

近日信通院发布了《中国网络安全产业白皮书》。关于云安全，云计算技术是未来信息技术发展与服务模式发展的基础，目前来看云安全增长保持持续向好的状态，云安全分为两部分，公有云安全与私有云安全。公有云安全主要还是集中在风险监测与防御、面对多云环境安全以及敏感数据防护。目前在公有云领域Symantec 的CWPP、Radware 的沙盒技术，以及国内的CASB 等。在私有云方面，国内厂商还是聚焦在云安全资源池为核心的云安全解决方案上，这一点比较有代表性 的是安恒信息，提供包含云监测、云防御、云审计等覆盖全生命周期的云安全产品服务。政策红利与技术革新驱动这云安全技术高质量发展，随着云计算不断地渗透，CWPP、微隔离、终端防御等东西向防护技术与产品需求日益增加，随着云计算技术的迅猛发展，容器，微服务，云原生，DevOps等发展随着而来的安全问题成为研究的安全热点。

聊聊各厂商的企业云安全

厂商： 中国网安  基于第三方的政务云安全监管实践

中国网安隶属于中国电子科技集团公司，由于其央企背景，其云安全解决方案关注混合云场景下的统一监管，强调监管的功能。在整体的架构设计之中，支持汇聚异构云服务商以及支持汇聚下级云监管平台是其优势。另外对于中国网安的云政务云监管平台还具有政务云平台各类安全设备接入准入审批功能，这与中国网安军工背景以及在硬件办公环境安全积累有关，整体来看中国网安的政务云安全实践是强安全监管的。

厂商：亚信安全   服务器深度防护系统

亚信的辉煌历程见证着中国通信行业的信息化发展进程。其在服务器安全防护层面有着深厚的积累，针对云化环境下主机与虚拟主机之间的安全，亚信针对性提出解决方案防护安全程序带来的资源消耗问题，通过使用虚拟化层先关的API 实现全面的病毒防护。亚信安全另一个优势是在虚拟补丁防护上，通过亚信安全的虚拟补丁技术可以解决由于打补丁造成的安全问题，在操作系统没有进行打补丁之前，提供针对漏洞攻击的拦截，虚拟补丁功能不需要停机，也不需要应用程序测试，目前来看是业界优秀的虚拟补丁实践。

厂商：天融信  云安全解决方案实践

天融信的云安全解决方案实践基本上还是遵循传统的安全纵深防御的思想，与市面上大多数安全厂商安全资源池解决方案类似，采用安全服务编排，适应云上不同的业务需求

来进行南北向的安全防护。比较有特色的是，基于天融信在硬件防火墙上技术积累，在运化环境之中使用虚拟化分布式防火墙，使用零信任与微分段模型，实现以虚拟机为单位的东西向的安全防护。

厂商： 山石网科   基于NFV 框架的云计算租户级别硬件防火墙防护方案

山石网科顺利登陆科创版，山石在云安全领域实践很特别，仍然使用的是硬件防火墙。整个山石的防火墙解决方案是基于OpenStack标准框架，同时需要结合云计算厂商的SDN 技术。对于租户之间的网络隔离，首先利用SDN技术实现二层网络隔离，租户之间和租户与外部的网络访问的控制采用OpenStack 的标准FWaaS实现。其中下一代防火墙使用vSYS功能（一虚多），为每个租户创建虚拟防火墙，山石云集在方案之中扮演VNFW和EMS的角色。并且在整个方案之中使用了标准化的RestAPI 接口，可以实现多个厂商的云管平台，SDN 对接。

厂商：三六零  360 安全大脑实践

什么是云安全，可以有两种理解一种是利用云技术做安全，另外一种解释就是为云计算提供安全。三六零作为一家最早做安全的互联网公司，其安全实践也包括两方面。1.SaaS云安全能力，是基于三六零长时间在终端安全、WEB 安全以及积累的数亿的用户数以及海量数据，为用户提供网站漏洞检测、网页篡改检测以及网站挂马检测。基于其互联网基因，提供检测平台API接口。2.除此之外三六零还有云安全集中管理平台，与多数安全公司方案类似，使用虚拟化方式将安全组件进行虚拟化，使用安全服务编排，自助安全运营。

厂商：安恒 电子政务云平台实践

安恒的电子政务云解决方案，是市面上使用最多的安全资源池方案，本身不具备太多的特色。因为是传统的安全厂商，并且在部分传统硬件安全产品具备一定的优势，例如其WEB 应用防火墙与堡垒机。安恒的云安全方案有两个阶段，第一个阶段是硬件产品的上云，即使用虚拟化技术将硬件产品进行虚拟化，底层搭建在自己的X86服务器架构上，与绝大数安全厂商的解决方案类似。目前安恒提供了针对阿里云环境的新解决方案，使用阿里云自身的分布式飞天架构底座，利用阿里云的OSS 以及RDS 架构优势大大提升了安全资源池的性能与稳定可靠性。

厂商：奇安信  基于协同联动的云安全实践

奇安信云安全解决方案主要集中在提供联动的立体安全防护架构，由传统的防御为中心的安全构建演进为“预防—防御—监测—响应”等立体防护框架。方案遵循“发现—阻断—取证—溯源”的防护体系，将云安全之中的碎片化的安全威胁进行统一整合，并且结合安全威胁情报进行预判与溯源，整体来看其方案强调安全预判与溯源能力。

厂商：启明星辰  政务云实践

启明星辰的政务云实践区别于其他厂商的特点是，对云上租户业务进行安全防护，根据各类的安全网元分工原理，划分为防护资源池、检测资源池、管理资源池部署不同的安全能力。底层架构与大部分厂商一样使用X86 技术架构搭建虚拟化的安全资源池，配合使用通用的交换机与SDS服务器实现流量的引流以及编排。

厂商：腾讯云  互娱海量服务器集群身份和访问管理安全运维解决方案

一切的安全问题都是从身份认证开始的，这一点也是最近热火的“零信任”大家在研究的对象。腾讯的云安全解决方案的亮点是基于零信任安全理念，提供一整套身份和访问安全管理解决方案，可以实现对公有云，私有云，传统IDC 的做到单点登录以及多种权限的管理模型。并且整个过程不适用Agent,无需额外系统以来，可靠性高。

厂商：迪普科技 云安全技术实践

迪普科技提出来“云安全 硬实力”云数据中心安全解决方案，使用硬件设备与VxLan技术，在网络之中部署3层网关，处于不同的VXLAN 之间的虚拟机之间的互访的流量必须经过迪普科技的安全网关进行转发与控制，从而实现对多租户之间的隔离。其中方案之中使用了N:M 的虚拟化技术，将N台设备虚拟成一个资源池，在资源池之中虚拟成M 台逻辑主机，从而划分出不同的VSA（虚拟网络设备）

厂商：深信服科技 云安全技术实践

深信服在云安全实践之中使用软件定义安全创新型安全服务链技术，基于其在云计算市场技术积累。安全服务链技术是云计算环境下，安全产品服务化，自动化交付的核心技术，可以基于用户身份，业务应用类型对网络之中的流量进行按需防护，支持根据不同的业务需求将不同的安全硬件或者NFV 节点按需编排形成服务链。简单来说就是可以根据用户的订阅信息，以及服务节点的授权信息，通知SDN控制器重新计算流表，完成服务链动态更新。

厂商：阿里云 基于全球防御体系的大流量DDOS防护实践

因为阿里是国内最早提供云计算的厂商，同时自己的业务需求，阿里在云抗DDOS 建设完成了专用云防护服务。在用户遭受DDOS攻击时候，通过将流量引流到阿里云的高防IP机房，经过对攻击流量进行清洗后将正常流量业务转发到源站服务器，确保源站服务器的稳定性。初次之外，阿里云的高防IP 提供对防护过程的完整的记录，一方面可以快速有效地进行实时分析，也可以进行后续的取证与溯源，变被动防守为主动对抗。

厂商：绿盟 基于安全资源池的云安全服务平台实践

绿盟的云安全解决方案同样是使用安全资源池，将整个解决方案架构分为安全服务平台、安全资源池、资源池控制器和日志分析系统。

---

更多安全问题，请咨询 麓谷男孩 微信：894510791