【數(shù)世咨詢】云安全資源池 能力指南

1關(guān)鍵發(fā)現(xiàn) 3 5 5 7 9 3應(yīng)用指南 3.1安全責(zé)任邊界 3.3關(guān)于一體化 4云安全資源池應(yīng)用案例……………………25…………25…………29 5未來(lái)展望 1云環(huán)境的安全防護(hù)體系與傳統(tǒng)IT環(huán)境存在差異，如何構(gòu)建適應(yīng)云計(jì)算特點(diǎn)的中統(tǒng)一管理各類云安全資源，并以”即服務(wù)”●云安全資源池的整體架構(gòu)是什么？----能否兼容用戶現(xiàn)有的云計(jì)算環(huán)境●資源池針對(duì)多租戶的安全隔離方案如何實(shí)現(xiàn)？●對(duì)于多云環(huán)境能否實(shí)現(xiàn)一致性的安全策略？----這可以避免2資料收集、問(wèn)卷調(diào)研、企業(yè)訪談、市場(chǎng)數(shù)據(jù)分析等方法撰寫(xiě)《云安全資源池為了語(yǔ)言表述上的簡(jiǎn)潔性，以下所提到的”安全資源池”或”資源池”，均指”云安全資源池”3●隨著云安全成為數(shù)字安全市場(chǎng)中規(guī)模增長(zhǎng)最快的細(xì)分市場(chǎng)，云安全資●云安全資源池概念在國(guó)外鮮少提及，為國(guó)內(nèi)獨(dú)有特色，其主要原因一●云安全資源池是一種云計(jì)算與安全集成的解決方案，其能力和特性取●云安全資源池解決方案的打造，不僅需要安全廠商有深厚的安全技術(shù)●云安全資源池的市場(chǎng)需求排名靠前的行業(yè)為：運(yùn)營(yíng)商（27.3%）、政府），●目前等保合規(guī)仍然是云安全資源池的關(guān)鍵需求，幾乎所有廠商的產(chǎn)品4●隨著安全監(jiān)管和用戶需求的升級(jí)，云安全資源池未來(lái)發(fā)展趨勢(shì)，會(huì)向52008年5月趨勢(shì)科技創(chuàng)新性的發(fā)展了對(duì)虛擬主機(jī)的殺毒解決方案（DeepSecurity），云計(jì)算安全被提出并為行業(yè)所關(guān)注。大潮，云安全防護(hù)必然成為關(guān)鍵需求，期間國(guó)內(nèi)少67與調(diào)研的各安全廠商對(duì)2023年的市場(chǎng)預(yù)估，2能達(dá)到27億元，該復(fù)合增長(zhǎng)率來(lái)自于三年疫情期間的增長(zhǎng)統(tǒng)計(jì)，考慮到疫情89國(guó)內(nèi)的中大型企業(yè)偏愛(ài)建設(shè)私有云，根據(jù)資料顯示，2021年私有云市場(chǎng)內(nèi)的全集成云安全資源池解決方案。安恒信息在密碼資源池、SaaS化安全服云安全資源池提供廣泛的安全能力，包括但不限于防火墻、Web應(yīng)用防火墻（WAF）、應(yīng)用層防護(hù)、日志審計(jì)等安全能力，除了滿足等保合規(guī)需求外，還說(shuō)明：安全虛擬化演化過(guò)程中，有一類一體機(jī)形態(tài)的安全資源池，也可以實(shí)現(xiàn)虛擬化形態(tài)交付，能夠滿足無(wú)租戶的小型云平臺(tái)或者傳統(tǒng)數(shù)據(jù)中心的安全合規(guī)需求。此類產(chǎn)品方案通常用于小型的云計(jì)算環(huán)境或計(jì)算中心，主要提供以合規(guī)、基本網(wǎng)絡(luò)安全能力為目的的一體化交付，俗稱為”等保一體機(jī)”。由于此類產(chǎn)品只具備簡(jiǎn)單的管理功能和有限的彈性服務(wù)層優(yōu)點(diǎn)部署模式優(yōu)點(diǎn)部署模式1.傳統(tǒng)安全硬件虛擬化安全資源池傳統(tǒng)安全硬件虛擬主要應(yīng)用于南北向安全防護(hù)。與傳統(tǒng)安全產(chǎn)品部之處是通過(guò)控制器同時(shí)完成安全服務(wù)鏈編排。通過(guò)一個(gè)控制器進(jìn)較為簡(jiǎn)單。管理平臺(tái)的功能單署位置及整個(gè)物理性和擴(kuò)展性有限。資源池將硬件服務(wù)器和安化技術(shù)實(shí)現(xiàn)一體化交付。適合已有云環(huán)境的云安全后期建設(shè)。與云環(huán)境耦合度周期短。云內(nèi)流量需要向外引流到安全資源體化管理實(shí)現(xiàn)較為困難。3.軟件安全資源池安全鏡像直接在云環(huán)境虛機(jī)中部署和調(diào)度。緊耦合模式部署，云內(nèi)流量?jī)?nèi)部引需要與云平臺(tái)適適合與云環(huán)境共,4.云原生安全資源池將安全能力容器針對(duì)微服務(wù)架構(gòu)的化部署。容器化產(chǎn)品占用空更快、支持秒級(jí)部持更多復(fù)雜場(chǎng)景的安全能力。依賴云原生環(huán)境?！鞍踩捶?wù)”能力是云安全資源池的關(guān)鍵能力之一。即服務(wù)化能力是業(yè)務(wù)流量，需要經(jīng)過(guò)多個(gè)防護(hù)服務(wù)，比如防火墻、入侵檢測(cè)、WEB應(yīng)用防護(hù)等比較復(fù)雜，是云安全資源池早期實(shí)現(xiàn)所采用的方法。還有一種方案是通過(guò)SDN較靈活，但是它也有自身固有的缺點(diǎn)就是轉(zhuǎn)發(fā)設(shè)備的流表規(guī)格有上限，有時(shí)難以滿足大規(guī)模的云租戶的編排需求。第三種方案是使用基于SRv6（SegmentRoutingIPv6）的編排技術(shù)，SRv6具有網(wǎng)絡(luò)路徑、業(yè)務(wù)、轉(zhuǎn)發(fā)行為三層可編程空間，能支撐大規(guī)模租戶數(shù)量的編排場(chǎng)景，但僅有部分安全廠商支持使用編排技術(shù)使用方式優(yōu)勢(shì)不足描述編排技術(shù)使用方式優(yōu)勢(shì)不足描述1.路由/策略路由通過(guò)路由或者策略路由來(lái)控制業(yè)務(wù)流量。從公有云轉(zhuǎn)發(fā)設(shè)備引流，或者從傳統(tǒng)交換、路由設(shè)備引流。適用于幾乎所有路由轉(zhuǎn)發(fā)設(shè)備，實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單。需要仔細(xì)規(guī)劃業(yè)務(wù)流量轉(zhuǎn)發(fā)路徑。服務(wù)鏈基于SDN，流表轉(zhuǎn)發(fā)。通過(guò)給路由交換設(shè)備下發(fā)流表實(shí)現(xiàn)引流?？梢詫?shí)現(xiàn)流量的自動(dòng)化編排。轉(zhuǎn)發(fā)設(shè)備的流表規(guī)格有上限，有時(shí)難以滿足大規(guī)模的云租戶的流程編排需求。3.SRv6服務(wù)鏈基于SRv6的編排技術(shù)，IPV6轉(zhuǎn)發(fā)?；赟Rv6路由表的流量牽引?？梢詽M足大規(guī)模云租戶流量編排需需要路由交換設(shè)備支持SRv6。（部分廠商開(kāi)發(fā)基于SRv6的軟交換來(lái)實(shí)現(xiàn)，來(lái)解決這個(gè)問(wèn)題）(5)一體化管理和監(jiān)控 配置安全策略以及處理安全事件等等。當(dāng)然，在不同的云服務(wù)模式PaaS/SaaS/FaaS等）中，云服務(wù)商和用戶之間的責(zé)任分配不同，這就決定了網(wǎng)區(qū)域網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)，通過(guò)部署云計(jì)算資源池、云安全資源池，建設(shè)基于能力，提供更加完善和細(xì)化的建設(shè)方案，并且在方案中充分體現(xiàn)云平臺(tái)及云云安全威脅監(jiān)測(cè)與溯源需求云資產(chǎn)安全梳理需求云計(jì)算合規(guī)性需求財(cái)務(wù)系統(tǒng)作為銀行的關(guān)鍵業(yè)務(wù)系統(tǒng)，需要嚴(yán)格參照”等保2.0”的三級(jí)標(biāo)本項(xiàng)目解決方案主要包括基礎(chǔ)網(wǎng)絡(luò)、奇安信云安全資源池CSMP、云安全管“生”：奇安信云安全資源池CSMP通過(guò)將多種安全產(chǎn)品資源池化，生●產(chǎn)品支持多資源池彈性部署，滿足客戶快速構(gòu)建安全合規(guī)能力，和多●通過(guò)將安全能力整合在云安全管理平臺(tái)中，進(jìn)行統(tǒng)一運(yùn)維管理和數(shù)據(jù)●通過(guò)云內(nèi)部署虛擬化安全實(shí)現(xiàn)對(duì)云平臺(tái)內(nèi)的虛擬機(jī)之間進(jìn)行微隔離，●為用戶提供了資產(chǎn)、脆弱性評(píng)估、威脅發(fā)現(xiàn)等相關(guān)管理能力，實(shí)現(xiàn)對(duì)●顯著提高了對(duì)網(wǎng)絡(luò)安全事件的檢出率和檢測(cè)準(zhǔn)確率，實(shí)現(xiàn)了從”被動(dòng)●云安全管理平臺(tái)豐富的安全組件滿足了客戶業(yè)務(wù)上云后等保2.0的三●云安全運(yùn)營(yíng)中心大幅削減了誤報(bào)量，從客戶原來(lái)使用的SOC產(chǎn)品上幾投資業(yè)務(wù)等多元業(yè)務(wù)進(jìn)行戰(zhàn)略轉(zhuǎn)型，十分重視信息化建設(shè)和數(shù)字化轉(zhuǎn)型。以”滿足合規(guī)要求滿足各級(jí)單位的安全需求在用戶云數(shù)據(jù)中心中部署深信服云安全資源池CSSP和安全感知管理平臺(tái)南北向的安全檢測(cè)和防御體系，幫助集團(tuán)云補(bǔ)齊等保2.0：云計(jì)算安全擴(kuò)展要②基于云安全資源池多租戶管理架構(gòu)，讓集團(tuán)可以給每個(gè)下屬單位提供③基于云安全資源池按需分配的特性，為不同用戶提供個(gè)性化的安全能④基于安全感知管理平臺(tái)構(gòu)建云安全運(yùn)營(yíng)中心，整合云上安全事件，讓滿足等保合規(guī)要求有效實(shí)現(xiàn)權(quán)責(zé)分離安全資源按需分配至云平臺(tái)，云計(jì)算帶來(lái)新的IT使用模式，但安全仍采用傳統(tǒng)人工交付方綠盟科技云安全資池池