风口浪尖上的云计算，亟需一个安全智慧大脑

最近，我搜了一下“ 云计算 “这个关键词，搜索结果和一个我关心的明星搜索数据在一个量级上，再搜一下“云计算安全”，结果数是“云计算”的25%，这某种成都上印证了云计算安全的热度，因为在其他信息化项目中，安全的投入还不到10%。

相关报告显示，71%的用户有计划在一年之内上云，而51%用户认为阻碍上云最大的考虑因素是云上的安全。

云安全 受关注的两大原因

为什么云安全让大家这么关注，这么担心？

最根本的原因是边界发生了变化，云里面有很多的新的技术，有SDN、UTC、弹性扩展的动态迁移等等，这些新技术打破了原有的网络架构，除了私有云，还有企业上到公有云，甚至还有混合云。

云的边界模糊了，其中的安全被打破了，大家都在想怎么应对这样的场景。我们首先要做的事情，是建立一个动态的虚拟的边界，去重建云上的安全边界，来防护目前遇到的这些新的安全问题。

第二个原因是云有一个迁移的变化，我们的数据资产全部集中了，对于黑客来说，当然更愿意攻击这种富矿，这里面的经济资产非常庞大、非常昂贵。

这两个原因促使现在云安全成为大家非常关注的一点。

云安全的四大挑战和三大关注

相对于传统IT安全，云计算有四大安全挑战：

1、边界模糊：云计算化的管理，导致网络边界模糊，甚至整个云就是业务的边界；

2、弹性缺失：物理设备聚焦在网络层面，应对云计算环境不够弹性；

3、能力分散：设备过于零散（安全能力分散），与云计算大集成系统的匹配度不高；

4、手段滞后：传统以攻防为基础的安全手段滞后，需要引入新的安全思路。

而对于所有云平台的安全，用户最关心的有三个方面：

第一关注就是合规，已经实施的《网络安全法》和即将推出的等保2.0，都对云安全提出了明确的要求；

第二关注是云安全的可视化，即可见性；

第三关注是防护级别一致，第三就是防护级别一致，不低于本地局域网的防护能力。

还有一些像租户隔离、云资源管理，都是电子政务云需要的关注的。

政务云安全建设的两大原则和三大维度

360 企业安全 集团这两年参与了多个电子政务云项目的建设，为这些项目提供了云安全系统建设和安全运营。总结我们的电子政务安全云建设思路，有很重要的两点：第一技术与管理病重，第二建设与运营并举。

这两天也充分体现了今年中国互联网安全大会(ISC2017)提出的“人是安全的尺度”的主题，对于安全来说，无论攻防演进多好，技术多么自动化，人始终是其中最重要的因素，具体到电子政务云安全，必须是技术与管理并重，安全不是一次性建设，而要考虑到长期运营。

因此云安全建设中，要把我们的规划思路、设计原则、角色定义、支撑体系建设等围绕两大原则进行有机组织和落地。

在规划思路上 ，要以全面保护和有效解决现实问题为目标；

采取安全产品与“人的智力”相结合的安全保障手段；

实现“合规”与“及时减损”相结合的整合型安全效果；

逐步实现从被动安全响应向主动安全管控的转变。

在设计思路上，遵循合规性、适用性、完整性、最小影响和保密五项原则。

在建设维度上 ，要按照国家信息中心《电子政务外网——政务云安全要求》提出的三个维度：

第一个维度是对云基础设施云安全等保要求，政务云计算基础设施应按信息系统等级保护国家标准中的第三级等级保护要求建设和保护；

第二个维度是对租户系统通过云安全等保要求，访问控制、攻击防范、网络审计、安全检测等要求按等级保护第三级要求中的网络与通信部分的要求执行；政务云所有宿主机和虚拟机采用的操作系统均应满足国家标准《信息安全技术 信息安全等级保护基本要求》（GB/T22239）的相关安全要求；

第三个维度是监管要求，为安全审计数据的汇集提供接口，并可供第三方审计。

政务云管理的角色定义和安全运营

在管理方面，一定要去明晰角色定义和安全的界面。电子政务云出现以后，在政务IT的运维和管理有了新的变化，其中的角色要重新做一些定义划分，安全界面要做重新的分工，实现责任共建，责任共担。

一个完整的体系，应该有云运维、云管理、云使用、云承建、云服务五个角色。云安全和云建设需要分开的，双方可以相互监督，相互制衡，这对于业主单位是有利的。

常态化的运营是政务云安全的重要保证。信息系统的安全运维一直是等级保护管理过程中重要的工作，如何能够持续、安全、统一、智能的安全管理是运维阶段的重要环节，因此通过威胁发现、持续性内外部态势感知、分析溯源、联动处置和安全运维是提升管理能力的有效方法，部署内部的安全管理中心：

• 能够对资产进行自动关联并管理，对网络结构实时监控，发生变更及时告警；对系统的权限、配置、日志能够有效管理；同时能够集中管理安全策略；

• 能够基于威胁情报及时发现高级持续性威胁，对规则与数据流能够自动关联分析，以发现安全风险；

• 持续监控内部的动态安全风险，关联服务、漏洞、威胁、资产的状态；对外部开放的服务能够持续的感知漏洞与攻击；

• 提供可视化的分析界面，能够基于搜索技术进行关联分析，以最快速的发现问题；

• 联动边界网关、终端进行智能的拦截并处置；自动优化安全策略并给出安全建议。

技术实现：云安全的智慧大脑

云是一个集大成者，它里面有数据、应用、管理、安全，有配制、网络计算等等，把所有的东西都集成在一起。

云有两层核心的技术：第一层是虚拟化，第二层是管理标准。虚拟化把计算、网络、存储资源都做了虚拟化，我们把虚拟化各个层面的技术、安全的点都覆盖了，还要有一个云安全的智慧大脑，这个大脑叫云安全管理平台，它对应的是云管平台，它不仅把授权、管理、操作等做了初步的统一，也把对安全各方面的要求，比如采集标准、扩展、各个安全组件、各个认证的东西收在一起，利用这个智慧大脑去形成各种研判的结果，来支撑在云安全上的常态化、智能化的安全运营、安全管理。

云安全管理平台安全能力整合到一起，除了简单的统一管理、日志等管理之外，把各种安全能力综合在一起去做协同，然后形成更好的研判结果，提供给电子政务云和其他行业的云用户，去满足他们安全运维的需求。通过这样的系统，来支撑云中做纵深防御的理念。

第一：事前的预警，贯穿数据驱动安全的理念，利用360在云端的 大数据 ，结合客户本地化数据，形成一个事前，我能够站在外面来看里面的预警。

第二：事中的防护处置，云安全管理平台起到很大的作用，事中的处置是协同性的，云安全问题不是一个点的问题，也不是一个点上的安全可以解决的问题，需要协同各方面。

第三：事后的追溯，我们对安全事件进行溯源分析，通过云安全管理平台这个智慧大脑，协同各个安全组件的安全能力，最终形成贯穿事前、事中、事后的全过程纵深防御，来支撑政务云、 行业云 ，支撑云用户，形成更强大的安全防护、安全检测和安全运维的能力。