公司

首頁 > 關于我們 > 安恒動態 > 2022 > 正文

云安全解決方案百花齊放，私有云構建安全能力體系真這么難？

閱讀量：次 文章來源：安恒信息

云安全

在中國云計算發展的當前階段，安全已經是云資源池建設、使用、運營、運維全生命周期中不可忽略的重要組成部分。

當前業內的云上安全解決方案種類繁多，公有云市場上，頭部的公有云廠商往往擁有專門的安全產品研發團隊，在提供服務和解決方案時，會較好地考慮安全產品的功能、易用性和兼容性。除自研安全產品外，還可通過開放云市場優勢，集成接入其他安全廠商產品，供云上客戶選擇和使用。

而私有云市場，廠商往往在安全部分的產品能力、產品類型、安全服務經驗較為缺乏，部分私有云廠商僅能提供基礎安全能力，無法滿足用戶對于安全的中高階需求。這種情況下，私有云建設方在方案規劃階段就需要考慮如何快速構建完善的安全能力體系，滿足云上用戶及中國行業監管的必要安全需求。

︾

本文以私有云市場安全能力建設的現狀為出發點，基于多年在云安全資源池場景中與眾多云廠家的合作落地經驗，淺析可滿足不同用戶需求的差異化、可落地的解決思路和方案。?

看清需求

選擇最宜建設思路

主流的建設思路有兩種。

1.使用全套私有云廠商的安全產品，部分缺少的安全能力，通過采集第三方安全產品硬件或軟件方式進行交付。

這種建設思路適用于采購頭部私有云廠家的私有云產品，這些廠商在安全領域投入較大的研發資源，配套的安全產品種類較多，基本能滿足用戶基礎安全和等級保護的需求。私有云廠商自有的安全產品在使用體驗上，基本能夠與其他云上業務保持一致，如統一的UI設計、租戶自服務能力、一致的計費計量、統一的操作入口、操作簡單等等，正如私有云廠商宣稱的，“云網安”融合。

但不是所有私有云廠商都是頭部，他們所能提供的安全產品種類、能力，甚至后續安全運營服務能力是不同的，且在項目交付過程中，絕大部分私有云廠商需要集成第三方安全產品，才能達到項目招標的要求。在交付過程中集成的安全產品，僅能在業務功能層面滿足客戶的需求。該模式下安全能力是簡單的交付集成，最大的需求變成了網絡部署上的互聯互通、相互兼容，所以在整體的使用體驗上，遠低于其他云上產品。例如產品許可授權不一致、產品入口不統一、無法做到租戶自服務等等。在未來云業務長期發展的情況下，云上擴展新的安全能力難度也較大。

2.私有云廠商與安全廠商合作，基于安全廠商提供的專門面向云場景的安全資源池解決方案構建云上安全能力體系。

這種思路非常適合安全能力較弱的私有云廠家，可以快速集成完整的安全解決方案并實現交付。對于云用戶而言，客戶還可以享受安全行業頭部廠商提供的產品和服務。主要應用場景是政務云、行業云。

接下來從第二種思路出發，介紹滿足不同用戶需求的落地建議方案。

云安全資源池搭建

關鍵要看這幾點

產品形態

當前主流安全廠商提供的面向云環境的安全資源池方案中，安全產品基本都是采用軟件交付和集成，并且配套統一的安全管理平臺對不同種類的安全能力進行統一授權，統一開通部署、統一運維配置等，可按照單租戶需求進行獨享一套安全產品或多租戶共享安全產品進行劃分。

單租戶獨享：每個租戶都需要部署一套安全產品虛擬機，包含安全服務。該獨享模式適用于云上租戶規模較小的場景，一個虛擬機承載一種安全業務，部署和管理簡單，無需考慮復雜的網絡場景，部署在租戶辦公網絡內即可使用。

多租戶共享：在云平臺搭建階段，統一集中部署安全資源池，后續多租戶共享基礎安全底層，但業務層互相隔離。該模式適用于云租戶規模較大、且對安全產品可靠性要求高的場景。支持該模式的安全產品需考慮可靠性、擴展性，對初期部署的資源要求較多。

網絡規劃

安全產品以及云安全資源池管理平臺的管理網和業務網絡需要結合私有云的網絡模型進行細化設計，在私有云建設階段做整體的規劃。

在安全產品的業務網絡部分，除了考慮能否滿足互通性要求外，也許要考慮網絡的安全性、配置的便捷性。網絡配置的最優方式通過云平臺上的網絡功能即可實現，無需通過某些僅管理員或者網絡工程師可登錄的后臺進行網絡的配置維護。

集成方式

?方式一：松耦合?

平臺增加單點登錄，云資源和安全資源的管理入口統一。此模式下，安全產品的部署、管理仍需要通過兩個平臺共同完成，由云平臺操作安全虛擬機和網絡的配置部署，安全管理平臺實現安全產品的納管和安全業務的配置管理。

此模式相對簡單，上線周期短，適合云上租戶數較少，且云上的運維工作由私有云平臺建設方承接，所以對于“拎包入住”的業務方而言，省卻了很多感知體驗。

?方式二：半耦合?

平臺增加單點登錄，且安全管理平臺可對接云管理平臺的接口實現安全產品的部署、使用、運維配置，沒有操作的割裂性。

此模式開發投入較大，需要安全廠商投入較大研發資源，適用于單個項目中租戶規模大，且安全業務需求較多的場景。

?方式三：緊耦合?

私有云平臺上開發所有安全產品的介紹、下單、開通、部署頁面，僅在安全產品使用時，通過單點登錄能登錄到產品的使用頁面。此模式僅適用私有云廠商擁有富裕的研發資源，項目數多，單項目擁有大規模租戶，客戶側或者私有云廠家對品牌一致性、統一的計量計費、操作體驗較高要求的場景。

此模式開發投入大，安全產品或私有云平臺往往為分支/定制版本，迭代頻次低。

基于私有云市場的云解決方案現狀，通過集成第三方安全廠商成熟的云安全資源池解決方案是一條快速構建完善的云安全能力體系的路徑。每個項目中集成方案的目標與落地可行性，需要結合實際的業務規模、用戶場景、項目上線時期要求、投入成本等進行綜合考量，并制定切實可行的目標和計劃。

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網絡空間靶場>

工業互聯網安全>