《云上安全白皮書2021》是由嘶吼安全產業研究院通過多方調研和專家訪談，歷時一個多月撰寫而成。本次云上安全白皮書首次引入了甲方視角，嘶吼產業研究院在會上解讀表示，2021年云上安全市場即將突破百億大關，盈利模式也從單純的賣產品和賣“人頭”開始向更多資本側、渠道側和經濟型盈利模式側傾斜，未來云上安全的高速發展趨勢勢不可擋。

　　提升資源利用率、降低成本是混合云大勢所趨背后的主要原因

　　云計算是我國新基建重要戰略之一，是5G、物聯網、工業互聯的新基座，也是數字化轉型的必然趨勢；云計算概念于2006年首次提出，經歷了形成、發展到廣泛應用階段。根據不同行業、不同應用需求形成公有云、私有云、專有云以及混合云，并在政務辦公、警務、醫療、教育等行業落地生根。

　　隨著用戶業務增多，單一私有云或公有云已經無法滿足用戶對業務的發展需求，比如，在業務訪問高峰期需要快速擴容來保障業務訪問的穩定性，而在業務低谷期又需要快速回收資源以節省開支，顯然，單一的私有云環境很難實現資源的快速擴容和回收，這時候將此類業務部署在公有云上無疑是最佳實踐，既能保障業務訪問的連續性、穩定性，又能實現資源快速回收，節省開支，在短時間內實現擴容；此外，面對數據具有強合規、為保障數據的安全性，可以將前后端分離，前端部署在公有云、后端核心數據部署在私有云，通過云網聯動實現數據的交互，既能保障業務訪問的連續性，又能保證數據的安全性，通過私有云、行業云、公有云等多云并來適應新的業務發展，找到部署應用程序的“最佳執行地點”，既能提供業務訪問最佳性能、業務部署靈活性，又能保障業務數據的安全性、可靠性以及對數據的強大控制力。

　　混合云面臨的威脅與挑戰

　　云計算作為數字經濟轉型的新底座，云計算安全是保障業務穩定、可靠運行的先決條件，混合云架構下安全有兩個方面的問題，1、業務從傳統物理機房遷移到云計算環境的共性問題，以及在混合云架構下引生出的安全一致性、統一管理的問題。

　　在傳統單體建設模式下從物理安全、網絡安全、主機安全、應用安全及數據安全的安全責任主體和安全使用主體都是同一主體；而在云計算模式下，按服務模式不同，責任主體邊界不同。另外，安全防護的思路上單體建設模式下可以通過在邊界部署安全設備來保障內網安全，基于流量對攻擊進行檢測，分區分域來實現不同等級之間的差異化防護，而業務上云之后，計算虛擬化、存儲虛擬化和網絡虛擬化、資源集中化引生出邊界不固定，無法按照物理區域劃分，導致了采用物理設備隔離和檢測的思想無法實現。

　　在混合云架構下，當業務工作負載從私有云遷移到公有云時，如何保障在不同云計算環境之間遷移時，安全防護策略的一致性，多云之間的業務數據流轉如何去保障安全性，以及多云之間的安全事件如何統一管理、統一運維以此來發現潛在的安全威脅。

　　混合云安全防護整體架構

　　混合云的安全建設首先要遵循國家標準規范，先明確安全責任主體和安全等級劃分，根據不同的責任主體和不同的業務構建安全體系，云安全防護體系分為五大部分：云平臺安全通信網絡、云平臺安全區域邊界、安全計算環境、安全管理中心、安全運維/服務體系。

　　此外，安全是一個體系化建設過程，應從安全管理、安全建設和安全運維等維度進行考量，在保障平臺通用安全、平臺虛擬化安全及租戶安全的同時，還應該提供持續的安全監控和運維保障，通過產品+服務方式構建安全閉環，實現云從建設到運營、從事前到事后構建全生命周期的安全防護體系。

　　天融信混合云安全防護架構助力云上安全

　　天融信針對公有云、私有云及專有云等混合云架構，提出了云計算環境4層縱深防御體系，將云計算環境劃分為物理邊界層，云虛擬邊界層、云虛擬化層和云主機層等4個層面，而面對公有云、私有云及專有云等不同的云計算應用場景，針對云平臺方和云租戶提供對應的安全能力；同時針對不同云計算場景下的安全能力通過云安全管理中心實現統一納管，統一運維，以此實現混合云架構下的安全策略一致性、安全統一管理。

　　在傳統的物理邊界層，采用傳統的安全設備，解決邊界訪問控制、入侵攻擊、漏洞攻擊、流量攻擊等安全問題，有效實現物理邊界安全防護；針對云上多租戶之間的安全隔離以及租戶云內差異化安全建設需求，提供云安全資源池及公有云原生安全能力，進行縱向防護、橫向隔離，靈活解決不同租戶之間的安全隔離和差異化防護需求；針對云內虛擬機之間的流量隔離和流量可視化，采用無代理微隔離防火墻打造基于虛擬化層的隔離，有效預防安全威脅在虛擬機之間橫向傳播；針對云主機的惡意代碼攻擊、漏洞利用攻擊，采用輕代理的EDR、自適應主機安全產品，能夠更精準、更準確的實現全生命周期防護，那么通過分層設計、分層防護的思想，構建縱深防御體系，能夠抵御來自各個層面的攻擊。

　　公有云原生安全。公有云方面，天融信針對公有云上云租戶提供安全賦能，通過安全生態的建設，比如將安全能力融入到阿里公有云上，為租戶提供安全服務。天融信作為國最早做網絡安全的廠商之一，產品體系相對完善，可以提供從網絡、主機、應用、數據等維度提供安全保障，實現公有云上租戶業務的全生命周期防護。

　　私有云平臺內部東西向防護設計—微隔離。針對私有云/專有云，云平臺內東西向的安全防護，天融信采用的是虛擬化分布式防火墻進行實現，目前這款產品是國內首家獲得VMware Ready認證的產品，也是國內首個適配并應用信創云環境的產品。通過與各大云平臺緊耦合對接，可根據租戶網絡、業務應用、使用環境及應用端口等不同屬性、不同等級進行個性化安全策略制定、動態調整，讓安全更貼近業務，將業務流量按不同層級實現可視化梳理，有效保障云平臺虛擬網絡安全。

　　私有云虛擬化邊界南北向防護設計——安全資源池。天融信安全資源池產品內置十多種安全能力，租戶可根據安全防護需求進行按需購買，實現差異化防護，租戶可按等級保護合規需求，從安全通信網絡、安全區域邊界、安全技術環境等幾個維度通過可視化流量編排技術，實現訪問控制、通信傳輸、邊界防護、入侵防范、安全審計等安全防護措施，完美滿足等保合規管理條例。目前這款產品是國內首家應用信創政務云，同時支持IPv6的數據存放的產品。

　　混合云API網關。混合云構架下如何實現多云數據安全？API網關能夠幫助用戶解決應用API接口對外提供服務過程中惡意訪問、SQL注入、DDOS攻擊等安全問題。同時，API網關作為零信任架構體系中重要一環，對訪問者身份認證進行控制。

　　容器云安全是天融信未來發展的方向。容器安全防護系統是天融信基于容器全生命周期防護理念推出的一款容器防護產品。產品以容器環境安全、容器鏡像安全、容器網絡安全、工作負載安全四個維度為切入點，通過建立從主機層到容器應用層的縱深防御體系，確保容器環境中業務系統安全可靠運行。

　　多云混合云架構下提的比較多的是云主機工作負載安全。天融信構建以云工作負載保護平臺為核心，集預測、防御、檢測和響應一體的自適應安全防護體系，通過加強監測和響應能力以及持續的監控和分析，及時應對新威脅、調整安全策略、將安全能力賦能到云主機。相對于防御和應急響應的安全防御體系，自適應安全防護理念面對云主機安全貫穿從信息收集、網絡入侵、提升權限、內網滲透、安裝后門及清除痕跡等整個攻擊過程，有效應對復雜的高級持續威脅。

　　混合云安全管理。天融信可以做到通過混合云安全管理中心實現用戶安全購買，通過租戶管理模式開通線上申請。

　　按需購買。針對不同的應用場景，天融信提供通用的應用場景解決方案，如基礎安全、安全運維、網絡安全、等級保護等。用戶側可以通過按需購買方式一鍵開通安全服務，快速保證自身業務安全。

　　混合云安全中臺—云網安全態勢。安全作為保障業務安全的前提，云計算安全應為云服務方和云服務客戶提供安全可視化能力。天融信面對云服務商及云服務客戶提供安全事件態勢、安全運營態勢、安全組件態勢，全面感知云內安全風險，保障安全可用性、安全可靠性和完整性。

　　混合云安全方案總結

　　天融信整體云安全解決方案分為四個部分：縱深防御，全面覆蓋，解決云平臺各層防護需求；面向云平臺安全建設，防止風險進入云平臺；在云平臺內部采用微隔離、微分段技術實現云平臺內安全防護；集中安全管理，實現多云混合云架構下統一管理、統一運維、安全態勢集中展示。

　　通過產品和服務方式構建安全能力閉環，提供持續的安全監控和運維保障，實現混合云從設計、建設到運營生命周期內的全覆蓋，為云上業務保駕護航，為企業的數字化轉型提動態防御、彈性擴展、集中監測的新動能。