linda

随着云计算的兴起，云安全成了大家不得不关注的话题，各大安全厂商纷纷推出了自己的云安全产品和方案。汉柏公司云安全事业部总经理王智民，将与大家一同分享一下他对云安全的理解以及汉柏的云安全发展之道。
　　云的本质是“按需”提供信息技术服务
云计算时代的到来，对于“云”的本质真是众说纷纭。有人说“云”就是“虚拟化”，有人说“云”就是“软件定义”……这些认识似乎都不准确。笔者认为，“云”的本质，应该是“按需”提供信息技术服务。那么何为“按需”呢?就是要弹性、可编程、自动化。
云计算模式的发展，给我们带来了很多的变化，最明显的一点就是我们可以随时随地的按需享受云服务。为了实现按需提供IT服务的特征，目前云技术主要分为两大技术阵营：虚拟化与非虚拟化。将对外或对内能够按需提供服务的企业进行了分类，可以看到做SaaS和内容服务的提供商，一般租户不超过4000个，比如Google、Facebook并未采用虚拟化技术，但是同样可以提供按需服务的云服务，而在企业服务、租户大于4000的提供商多半采用了虚拟化技术。私有云或公有云出现后，传统应用面临云化的趋势，如何做应用云化，并非将传统应用简单的运行在虚机或容器中就算云应用了，必须能够符合云特征“按需提供应用服务”才能算云应用。
随“云”而来的安全焦虑
云应用虽然方便快捷，但随“云”而来的安全隐患却成为云用户最关心的问题。是否能够随时随地都获得相应质量的云服务?数据资产是否受到法律保护，是否会被非法泄露或使用?这些问题无疑给云用户造成了诸多的困扰。
从云服务环境结构角度分析，云服务环境主要由终端、管道和数据中心构成。终端安全隐患主要是指非法或者具有安全风险的终端及用户接入云。数据中心安全隐患从防护的角度来看主要有：物理安全、虚拟化安全、网络安全、应用安全、数据安全、运维安全等。除此之外，跨云的安全管理与监控，云内部的安全风险识别、防范、安全事件的及时响应以及国家范围内的网络安全统一监控、控制、应急系统，也是云数据中心需要重点关注和解决的。管道安全隐患则是指数据在传输过程的泄漏、篡改以及网络带宽与质量保障等。
从云服务环境虚拟化角度分析，在计算环境、网络环境和存储环境三方面也都存在着安全隐患。
　　汉柏云安全防护解决方案
汉柏为解决云环境下的纷繁复杂的安全隐患，整合多种安全产品，借鉴SDN的理念，推出汉柏云安全产品OPC-Sec，以提供全面的云安全防护解决方案。


▲图 汉柏安全云系统结构
汉柏云安全产品OPC-Sec以网络节点、网络边界、网络边界与网络节点联动三个方面为出发点，在云的基础设施、虚拟化、网络、应用、数据、内容、移动及管理等多个方面提供全面的防护解决方案。


▲图 汉柏云安全系统提供全方位的安全防护解决方案
云的核心安全问题涵盖物理安全、基础设施安全、虚拟化安全、网络安全、应用安全、数据安全、内容安全、移动安全、运维管理安全等，汉柏云安全产品OPC-Sec在各个方面都有专门的解决方案。
在云主机病毒方面，汉柏云安全产品OPC-Sec使用的是无代理病毒防护解决方案。其优势包括：
提升物理服务器的效率，相同硬件配置提高搭载虚机数量和提升虚机性能。
基于物理节点，简化管理，基于主机安装，一次安装。虚机无需安装代理。
自动继承的防护，虚机镜像即装即防。
在网络安全防护方面，汉柏云安全产品OPC-Sec可以提供的解决方案主要有：
针对云数据中心运维提供安全防护，比如云平台管理中心、应用集群管理中心、安全防护控制中心等
针对云内租户网络提供安全防护和安全服务，比如针对租户提供VPN，从而使得租户方便构建混合云;针对租户提供虚拟防火墙;针对租户提供IPS、抗DDoS、WAF等安全防护服务
在云环境下的应用安全防护方面，汉柏云安全产品OPC-Sec可以提供的解决方案主要有：
在数据中心的网关处部署“流量型”、“应用型”、“资源耗尽型”的抗DDoS攻击系统
在数据中心的网关处部署针对WEB服务系统的防护系统(WAF)
在数据中心的网关处部署针对VDI server的安全防护系统比如防火墙
在数据中心网关处部署针对虚拟化系统的管理节点比如vCenter、OpenStack的安全防护系统
定期、自动的对数据中心的应用进行“渗透测试”，发现漏洞和威胁，综合分析并及时纠正


▲图 云应用防护
除此之外，汉柏云安全产品OPC-Sec还在数据安全、运维安全以及移动访问安全等方面提供一系列的解决方案。
汉柏云安全服务，为云提供安全防护
一般企业局域网都存在安全防护的需求，传统企业一般都会采用自购安全设备，自己管理和运维安全服务，这种方式缺点很明显，资金投入大、维护成本高。安全云服务模式出现后，企业如果通过公有云购买安全云服务，则资金投入较小、无需自己维护、部署时间基本在几分钟之内。
汉柏安全云服务是通过虚拟化技术实现的，可以帮助用户搭建提供各种安全云服务的环境，比如内网隐藏服务、带宽保障服务、入侵防护服务、病毒检测服务、流量清洗服务、Web防护服务等。


▲图 汉柏云服务系统体系结构
汉柏云安全系统作为安全云服务平台，支持多种租户识别与隔离机制，支持虚机形态的独立安全系统服务和逻辑隔离的安全特性服务。汉柏云安全服务既为云提供安全防护，又可以作为安全服务提供的云平台。该服务系统具备以下特点：
以网络安全资源的集群和池化为基础，将安全资源集中起来为多个用户共享服务，并根据客户的需求动态分配或再分配不同的物理或虚拟的资源。
以互联网络为基础的业务提供途径，用户可以随时随地通过网络使用安全云服务提供的各种安全能力。
系统具备为用户提供灵活的功能模块选择的能力，而且安全云服务提供容量上的可伸缩的业务提供能力，用户可以按需自助服务。
汉柏云安全系统让服务更加透明化，用户可以在不必了解内部部署方式的前提下享受相应的安全防护能力，而且实现客户在业务使用中的零维护、零管理。并通过安全云服务自服务系统的开发实现客户自助服务和客户与业务提供商的最小化交互。
用户可不必投资、拥有和维护在安全云中所能提供相应能力的安全设备，而直接购买安全云提供的各种业务。