云安全从CloudSOC开始——启明星辰开启云安全战略

　　传统的安全防护思维是隔离。在云计算时代，边界被打破，以隔离为主要方式的防护体系难以为继。

　　在云计算时代，应该如何重构安全防护体系，是业界很多人在思考的问题。近日，启明星辰发布了基于云计算环境的安全管理平台(CloudSOC)，开启了启明星辰全新的云安全战略布局。启明星辰副总裁张颖认为，由于云计算环境与传统IT环境存在很大差别，传统的安全防护体系失效，在云计算环境中，安全管理平台(SOC)将承担起更加重要的职责，在云安全领域中起到提纲挈领的作用。

　　安全难题

　　在云计算引入虚拟化技术后，物理资产变成了虚拟机，传统网络环境中用来进行安全隔离的物理资源边界、网络边界都不再存在，基于物理安全设备的传统安全解决方案变得难以部署和实施。在这种情况下，大多数企业都只能在整个云环境的物理边界部署一些传统的如防火墙、入侵检测等的安全设备，而这就使得安全运维管理人员面对整个云环境时犹如面对一个黑盒，完全无法查看和管控云环境内的安全情况。黑盒状态的云环境使得其中的安全问题往往难以发现、难以定位、难以防护、难以运维和管理。发生安全问题的实体通常是虚拟化形态的资产，如虚拟机。当虚拟机被云管理平台动态调度配置时，若安全设备不能够被集中管理和按需分配，那么这种虚拟化资产的弹性调整会使得原本部署在固定位置上的安全设备失去防护的目标。因此，为了使得云环境的黑盒变得透明，为了让安全防护能够跟随被防护目标按需弹性调整，在云计算环境中，我们不仅需要用云管理来管理和调度业务资源，也需要有云安全管理来基于业务资源的弹性变化按需的配置和部署相应的安全防护功能。

　　此外，启明星辰泰合产品本部产品总监叶蓬认为，政务云在建设和应用过程中，存在更多、更突出的安全问题。他指出，政务云在建设时不仅要考虑企业私有云中存在的由技术变革带来的安全问题，还需要考虑政务云运营方式所带来的安全挑战。

　　政务云安全不仅体现在稳定可靠的政务服务上，它同时关系到国家安全。政务云无论体系架构还是安全性都有着更高的要求。与企业私有云不同，政务云不仅需要利用云服务提供商所提供的基础设施来运行各种业务系统和服务平台为政府部门日常办公和公众提供服务，更需要借助云服务提供商的专业运维管理能力来提高电子政务的IT服务运维管理水平，并降低成本。因此政务云通常都采取租用第三方云服务的方式来提供服务，这种模式使得云服务提供商对政务云中的资产和数据具有很高的访问和控制权限。在此运营服务模式下，安全管理的独立性就显得尤为重要，若不能将政务安全管理从云运营服务方的云基建设施管理中独立出来，将不能客观地评价政务云环境中的安全状况，容易在安全建设的过程中产生缺陷和盲点。在安全管理和运维过程中，云管理平台作为整个云计算环境的管理中心，不应该成为安全管理中心，云管理平台自身的安全运行需要被保证，云管理过程的操作更需要被审计，因此独立的云安全管理平台将作为整个云管理的监护者，时刻保障政务云环境的安全，保证云环境中业务运行的安全。

　　多种安全功能协同

　　叶蓬表示，虽然市场上的一些云管理平台也可以提供部分安全功能，如部署虚拟防火墙、配置ACL策略等，然而，系统化的安全防护体系需要由分析、审计、监测、防护、运维等多种专业安全功能协同完成，这些往往是云管理平台所无法提供的。云安全管理平台的设计初衷即为了解决云计算环境中的安全防护体系的构建问题，并通过其专业的安全管理和部署能力，实现按需的对安全资源的管理调度，以适应业务资源弹性动态变化的特性。

　　“将安全管理独立于云管理也更利于整个云环境中安全系统的不断自我完善和扩展，而不易受到云管理系统的制约和影响。而从管理权限和安全级别上来看，安全管理也应该高于云管理，这样在安全管理过程中才能够对云管理过程实施全面的监控和运维保障。”叶蓬说。

　　显然，云安全管理平台应该能够提供更加专业和完整的安全解决方案，而并不是仅仅提供部分安全功能。特别是在云计算环境中，原有的安全体系被打破，云安全更加需要协同和配合，相对于集成部分安全功能的云管理平台，专业的云安全管理平台将能够更加有效地协同各类安全产品形成一个完整的安全防护体系。叶蓬认为，在企业云和政务云的安全解决方案中，云安全管理平台应该成为云监测、云审计、云防护和云运维的中心。这是因为在所有安全产品中，云安全管理平台具备其他类安全设备所不具有的全景安全感知和分析能力，包括从云基建设施到虚拟机的深度视角，以及遍及整个网络环境中所有资产和业务应用的广度视角。

　　“云计算打破原来IT体系的物理边界，这给安全防护带来了极大的挑战。但是，我们可以换一个思路，从业务的逻辑边界出发进行防护。这是因为，物理边界再变化，业务的逻辑边界不会变，所以，通过云安全管理平台对虚拟机、虚拟网络的全方位探测和感知，可发现任何的资产和网络变化，从而按需地调整安全设备的部署，保证安全防护的完整性和有效性。”叶蓬说。另外，云安全管理平台将负责整个云计算环境中安全资源的运维和生命周期的管理。这种安全运维和管理不应该由云管理方发起，而应该由云安全管理平台通过对云环境资产、网络等各种信息的独立的采集、汇总、分析、审计后，从安全的专业视角来进行管控。

　　迈出第一步

　　众所周知，启明星辰集团在安全管理平台领域具有十几年的积累。此次在传统安全管理平台所提供的安全管理和日志审计的基础上推出云安全管理平台，正是启明星辰集团看到了云计算环境下，安全管理平台的重要作用。推出云安全管理平台也标志着启明星辰集团向全方位云安全解决方案的交付迈出了第一步。

　　据了解，启明星辰的云安全管理平台可整合各类传统和虚拟化安全产品，独立构建完整的云安全解决方案。它拥有云安全监测、云安全审计、云安全防护、云安全运维等功能，能够很好地契合政务云的安全需求，构建立体化、多维度、敏捷快速的安全防护体系。

　　叶蓬表示，启明星辰云安全管理平台利用分布式高性能的虚拟化数据采集技术，主动感知并跟踪云计算环境中各种资产、资源的变化，通过各种可视化的展现方式来提供全方位的实时云监测能力。该平台通过自身提供的包括网络行为审计、大数据多维深度分析、业务应用监控等方面的安全分析、审计能力让安全“由虚转实”，不再不可见，用户可以真正看见云环境中的安全情报、态势，并能够基于各种分析、审计结果进行相应的安全响应和处理。

　　在安全防护体系的构建和整合方面，启明星辰云安全管理平台以软件定义的方式提供对网络安全边界的管理，通过流量重编排技术，让传统网络安全设备不需要关注云环境中的资产和网络的变化情况也能够获取其需要分析和监测的网络流量。基于此技术，该平台能够有效整合和兼容市场上大多数品牌和型号的传统物理安全产品。

　　在云安全运维管理方面，启明星辰将通过其各行业的安全管理专家和专业的安全运维团队，借助安全管理平台所提供的云安全运维管理功能和工具为用户提供更及时、专业的云安全管理运维服务。“总之，结合云安全管理平台提供的安全管理能力，启明星辰能够为企业私有云和政务云构建可靠、可见、可信、可控的完善的云安全管理体系。”叶蓬说。

　　本报记者 程彦博