Tech Talk · 云技术有话聊 | 如何构建云安全中心？

6月24日，信服云云内建安全技术负责人Carlos在信服云《Tech Talk · 云技术有话聊》系列直播课上分享了《云安全中心背后的技术原理》，详细介绍了云安全中心现状及趋势解析、云安全中心的技术框架、如何实现上线即安全、安全事件的全生命周期管理等内容。以下是他分享的内容摘要，想要了解更多可以关注“深信服 科技 ”公众号观看直播回放。

一、云安全现状

1.负载应用不断增加

随着云平台在企业工作负载中的应用不断增加，云工作负载配置的复杂性也随之增强。多个单独运行的安全解决方案并不能提高安全防护能力，企业仍然面临安全隐患。云上的安全方案通常是各自为“战”，缺乏统一整合，对于安全威胁缺乏一个整体的管理和控制视图。

2.新旧工具随意叠加

“新”工具堆叠在“旧”工具上的方法，只能获得有限的安全防护能力，各类安全威胁依然存在可乘之机，越来越多的企业正在倾向于优化和整合以往众多的安全解决方案。

3.外挂式解决方案存在诸多不足

外挂式解决方案无法适配云上可变的应用程序架构、服务和临时工作负载。存在性能下降、代理冲突、代理更新、版本控制、部署等问题，无法满足动态的云环境的安全需求。

4.云原生应用带来更多的攻击面暴露

云原生的出现使云计算不断与具体业务场景整合，其中，容器技术依赖大量的基础组件，而这些基础组件引入的同时也会引入大量新漏洞。微服务架构的出现、应用的拆分，导致应用数量增加。应用之间通过网络进行访问，导致系统的暴露面剧增，传统安全组件已无法很好解决以上安全风险。

5.上云后访问需求复杂多样

身份认证是跨越网络封锁的一种关键横向移动技术。越多越多企业开始采用多重身份验证，但是它并不能彻底解决企业面临的网络威胁问题。企业需要正确配置、维护和监控身份基础设施，不断提高对其重视程度，云上身份安全认证管理变得愈加重要。

云原生应用逐步普及，云内建安全逐步成为云基础安全的重点。

二、信服云云安全理念

1.安全内建于云上、内置于云上

信服云的安全能力开启简单，只需页面一键点击操作，即可开启云安全中心功能。另外，安全防护组件不再需要管理员手动去部署、去设置相关的安全策略。当云主机创建时会随VMTools自动部署。

用户建设安全能力，不再需要关注网络部署，云上所有虚拟机都是通过G2H通信来保证云主机安全组件与云安全中心的通信。

云防火墙按云主机机粒度开启、关闭IPS和WAF功能、实现按模块开启，跟随业务的扩展而自动弹性扩展，无需担心性能瓶颈和网络配置和规划等问题。

2.可信赖、可依靠的安全事件处置能力

信服云会不断完善和补充检测能力，结合云平台的能力提供丰富的安全事件闭环方案，实现更可靠的威胁处置，有效缓解用户的处置焦虑。 

3.业务上线即安全

云上安全保护云上资产从上线开始的全生命周期安全。云上安全能够自适应云上资产的业务特点，自动适配对应的安全防护策略。如开启IPS、开启waf、开启勒索数据保护、开启webshell防护等，实时获取资产变更和威胁情报信息，主动评估云上资产的安全风险。

4.云上安全能力持续进化

云上安全能够实现按需开启对应的云安全能力。未来，云上安全是全栈式的，会涉及到身份与访问安全、应用与业务安全、数据安全、网络安全和工作负载安全等方向。

三、云安全框架

云内建安全的特点包括：资产精准识别、威胁实时检测、安全事件及时预警、具备丰富的安全事件处置能力、定时数据保护策略。

 

通过安全组件免安装、应用和中间件精确识别、防勒索、防病毒、漏洞修复、安全事件处置演练、数据资产绝对保护等安全能力，帮助用户实现安全事件检测、预警、处置、预防、溯源的全生命周期的安全事件闭环，保护云上资产安全。针对被勒索的虚拟机，提供应急恢复向导，帮助阻断传播、保留数据和快速恢复。

自动处置

内建安全不需要配置，业务上线根据应用自动开启功能和规则推荐。内建安全会对事件进行自动处置，同时调用云平台的能力进行兜底。从隔离、克隆验证、快照兜底、处置、安全扫描加固一系列自动化操作来完整处置。

基于文件实时防护、勒索诱饵防护、暴力破解防护三大功能，主动防御勒索病毒加密虚拟机，自动处置高威胁安全事件，并通过快照保留现场。

漏洞管理

支持对主流漏洞类型进行检测，并提供windows系统漏洞一键修复功能。查看虚拟机当前存在的漏洞风险，手动执行一键扫描，更全面地了解资产中的漏洞和风险情况，实时防护资产安全。

数据保护

针对重要云主机加入安全快照策略，可循环创建最新快照。检测到异常后立即自动快照，保留最全数据。处置之前创建快照，避免误操作导致的数据损失。

四、上线即安全

内建安全主要特性之一是在虚拟机与EDR-MGR网络没有打通的情况下（甚至虚拟机都不需要网卡），仍旧可以给虚拟机安装EDR-Agent，并正常防护。

当云主机创建时，一般会自带虚拟机性能优化工具vmtools。如果没有安装性能优化工具，可以通过控制台安装vmtools。安装了vmtools的云主机，支持自动安装Agent安全插件和secplugin安全监控工具，同时也支持批量安装Agent安全插件。

五、安全事件闭环

信服云在安全事件闭环的设计思路是用自动替代手动、用向导固化最佳实践、用平台能力进行兜底、用推荐免去配置。

 

处置兜底：处置病毒事件前和发现可疑勒索或防护组件异常时，平台均会自动触发快照。

联动处置：融合云平台侧、网络侧、端点侧多维度的能力进行关联分析，将多个安全告警聚合到一个安全事件，并在处置事件时实现一键联动处置。

以管理员主动进行安全事件闭环场景为例，当运维人员希望盘点云上的所有资产，了解云上所有资产的安全风险，可以在信服云安全中心发起全网漏洞扫描，根据设置的扫描策略，平台巡检完成后，会将报告发给运维人员。如果多个虚拟机发现新的漏洞，运维人员可以及时完成修复。

以上是关于信服云如何构建云内建安全中心的介绍，想要了解更多可以关注“深信服科技”公众号观看直播回放。