中企通信张肇轩：新基建浪潮下的云安全思考

前言

“安全”并不是指永远免受攻击和挑战。

相反，有效应对可能出现的新威胁，并掌控多种可能出现的状况，才称得上真正的”安全”。商业环境随着新兴技术的出现持续演变，如云计算、物联网（IoT） ，移动办公以及扩散式的应用系统及设备，使企业网络开放并连接至很多无法控制的接入点，致使企业网络更容易受到威胁或恶意攻击。

为帮助企业网络免受黑客攻击，中企通信TrustCSI信息安全管理服务是您保护关键系统及应用的理想方案。强大的信息安全管理服务，能提供多方位的预防、侦测和修正服务，应对多种威胁。

尽管网络黑客的入侵手法不断演进，但中企通信总有持续创新的方案进行拦截。TrustCSI信息安全管理服务不断优化，不断剖析新兴的网络威胁，应对潜在的攻击行为。中企通信的服务可以满足企业多重安全需求，针对企业的网络及应用程序作出早期侦测，多方位监测网络的安全状况，有效防止黑客利用安全漏洞，发动攻击。

中企通信创新及智能的信息安全平台，通过使用人工智能系统，有效检测、甚至预测异常的网络行为和威胁，阻止未经授权的连接和入侵行为。系统的自我学习机制，缜密分析每个用户、设备和控制器的行为，实时迅速侦测各种异常情况，包括经授权用户的恶意行为。7×24小时安全运营中心，拥有多名经验丰富的安全专家，随时跟进监察网络异常行为，快速确认及分析安全漏洞。

安全为首，就在你手——中企通信TrustCSI信息安全管理服务！

2020年5月13日，中企通信联合DoIT、Fortinet、Epicor举办主题为“云端安全赋能 重塑数字化管理”的在线研讨会，中企通信信息安全产品经理张肇轩、Fortinet系统工程师韩旸、恩柏科（Epicor）软件高级解决方案经理黄文川三位嘉宾分别就多云连接+网络安全解决方案、如何提升运营效率助力企业提升数字化运用价值、在错综复杂的环境中如何加速数字化转型升级等热点话题进行深入探讨。会后还就观众感兴趣的话题答疑。

以下内容根据中企通信信息安全产品经理张肇轩以“新基建浪潮下的云安全思考”的主题演讲速记整理：

张肇轩 ：

大家好，今天很高兴有机会跟大家一起探讨在新基建浪潮下关于云安全的问题。今天讨论的内容主要分为四个部分，首先是新基建所带给云平台的一些改变，然后是云安全环境中的零信任模型的问题，三是针对最近非常火热的大数据中心，大数据平台可能面临到的安全问题，最后介绍中企通信关于上述问题的针对性的解决方案。

新基建所带给云平台的改变

新基建是最近经常听到的一个名词。

基建就是人们理解的基础建设，如信息安全、网络为基础的建设，新基建是以技术创新为驱动的新的发展理念来带动这些信息安全基础的建设。最具有代表性的就是5G、物联网、大数据、人工智能，尤其是大数据这种分析的平台，这是以往传统的物理环境，无论是在扩展性还是资源的使用率方面都已经无法满足大数据平台的要求，所以很多大数据、人工智能的平台都逐渐往云端转变，最大的好处就是云资源可以随时、无限地扩展，对大数据技术来说是提供了非常好的支撑。5G带动上云、光纤网络带动上云，解决了偏远地区互联网不好、信号不好造成客户上云不好的体验问题。

但是，上云之后会面临很多安全方面的问题。

可以想象，以往物理环境，从底层物理层到最上层的数据层，企业管理员都是可以完全管控的，每一个层面做怎样的防护和控制，完全都是企业自己掌握。上了云之后，由于云平台底层的资源、CPU、内存都是共用的，从物理层面到网络层面，甚至是操作系统层面，客户所能控制到的只有应用层面和数据层面，应用层以下的可能都是由云供应商提供，对租户来说就是一个黑盒子，租户和用户之间如何做到隔离，有没有做好隔离，租户并不知道；也不知道服务上做得怎么样，在渠道数据层面，大家底层可能都是在同一个存储上，虽然可能在逻辑上做了一些封隔，但是这部分做的是否严密，也是服务商去管控的。

云平台自身的安全也是一个大问题，没有哪个平台可以保证百分之百不出事、永远不出事。那出了事，云平台供应商的响应能力、解决问题的能力是否达标，也是不可控的。一旦上了云之后，以往可控的环境都变成了黑盒子，尤其是非常重要的网络环境，租户之间的隔离，云平台自身的稳定性，都变得不可控了。

为什么会出现这样的情况呢？其实就是从底层架构这一块开始都是供应商去做的，具体来说呢，以往数据访问的策略，可以从网络层、从操作系统应用层甚至数据层，都可以进行很好的管控。上了云之后，是云服务商在管理网络，网络的隔离，操作系统的访问也都是服务商来做，以前想要下发的策略，基本上都已经发不下去，要靠服务商来做；身份识别、系统监控、分析等部分都不可控了，因为云供应商不可能把底层网络设备的日志发给租户，不可能把操作系统的日志发给租户；看不到这些信息，租户自然就没有办法去检测或者分析存在的这些威胁。这都对租户从以往传统环境转到云上面所面临到的很大的问题。

我们常说的木桶效应，一个木桶能装多少水，不是由最高的那块木板决定，而是由最短的那块决定。企业做信息安全防护也是一样，安全做得有多好，是由最薄弱的那部分来决定，因为黑客永远只会攻击最薄弱的那一部分，只要攻击成功，整个内网就被攻破，其他的点、其他的部分做的再好都没有用。

所以，从最底层的物理环境做到最顶层的应用环境都要面面俱到的防护，才能保证安全的保证。

中企通信在这部分提供了丰富的解决思路。

中企通信云安全环境中零信任模型

中企通信云安全环境有三个模块。

一是网络加密层。一些客户的管控，与安全策略，可能不是做到特别的好，存在较大的风险。上了云之后，中企通信可以提供优先的服务，在网络连接方面采取ipsec-VPN加密的方式或者轻量级的加密协议，客户可以通过双因子认证保证登陆的安全性，内网通信可以做到反病毒反入侵过滤，实现基本的功能。

二是数据层面，在通信过程中对数据进行加密，数据每天做一个本地备份和异地的备份，各个安全网关可以有自己监控的系统去收集不同网关的日志，了解发生的安全事件，进行应急告警的响应处理，提交后续的安全报告。

从网络层、数据层面进行综合防护，帮客户堵住最常见的一些漏洞。

三是安全网关。中企通信提出云安全网关理念，即云安全中台，它包括API网关，可进行多设备的策略对接，态势感知的探针，本地预处理，SIEM监控信息汇集，预处理，执行安全策略。

大数据中心安全问题

对企业来说，重中之重就是数据，黑客从网络层面攻击，从物理层面、应用层面攻击，最终的目的就是窃取数据。数据是企业最有价值、最核心的资产，最容易受到黑客关注。现在，大数据应用越来越广泛，通过对历史事件、历史数据中的分析，可了解自己和对手的商业方向，判断未来的发展趋势。国家对数据的使用也有很多安全的法律法规，从2017年6月网络安全法推出之后，关于数据安全防护的法规越来越多，比如个人信息的安全评估，等保体系对数据层面的严格要求，之后还可能会陆续推出更多的防护与指南。

数据归集和治理会投入大量运维人员。对数据进行处理和应用时，一般来说，企业要经历这样的三个过程，无论是自己做，还是依托于云供应商服务商。

首先是要有分析的平台，常见的可能有Hadoop、Spark、Flink等，以及Hbase等存储平台，这一部分基础设施建设其实并不太难，因为这些软硬件产品市面上都有，有钱就可以买回来建起来。

第二阶段，将现有的数据进行归集。因为数据十分零散，有来自服务器，来自终端，有来自个人的设备，又有数据库，安全设备、网络设备上面也都有很多数据，要把这些数据全部归集到统一平台上再去进行分析，其实是很有难度的。不同的数据存在于不同的部门，要去协同沟通，说服他们把数据发过来，然后还要很有策略地存储和归集起来，这是一方面，归集好之后还要进行治理，做分类、建索引，哪一方面哪天的数据，都要能在最短的时间内快速得到。这部分其实存在非常多的一些“坑”，要投入很多的人力、时间、沟通的成本。

这一部分完成之后，就是数据的应用，将这些数据采用科学计算的方式与规则进行关联、分析，演变出一些报表。这个其实也是比较容易的，算得上是一个中等难度的任务。

最难的其实是在数据处理阶段。一旦没有处理好这部分的数据，比如几个月之前有运维人员离职的时候把公司数据库删掉，如果没有备份的话，这就是一个非常危险的动作和造成严重的后果，这其实也就是对运维人员权限的管控提出高要求。

中企通信采用堡垒机配合SOC的服务对数据进行管控。针对运维，中企通信有一个比较细致的管控，包括对数据的任何一个操作都有迹可循、有记录。

中企通信采用堡垒机配合SOC的服务对数据进行管控。

针对运维，中企通信有一个比较细致的管控，包括对数据的任何一个操作都有迹可循、有记录。

信息安全服务化解决方案

中企通信提供的是一种MSSP的方式即完全管理的服务模式提供给客户。其特点体现在四个方面：

一是身份的不同。跟以往所理解到的代理商、集成商的不同之处，在于中企通信并不是以售卖硬件为主，而是以服务来提供到给客户；所有提供的设备都是跟SOC的服务去绑定，来帮客户进行运维。

二是以运营为理念而并非是以设备为理念。中企通信更关注的是安全事件，安全设备只是用来处理安全事件、检测响应安全事件的工具而已，企业最终所需要的是在安全事件发生时有人快速的去检测响应处理，而中企通信恰恰是为客户解决了这一方面的需求。因此，不管安全设备来自何方，中企通信都会帮客户去运维，发生事故，发现告警，就利用安全方面丰富的经验帮助去分析去处理。

三是以联动分析为核心价值。中企通信不会关注单一安全设备上的独立告警，而是汇集所有安全设备的日志，包括网络设备，终端、服务器的，利用分析平台来进行联动分析，减少误报，提升整体的安全防护能力。

第四，也是最关键的，是让企业管理层看到在安全方面的投入所获的回报。很多时候，客户觉得安全是在买保险，不出事就看不到安全的价值。中企通信通过提供大量定制化的报告，或者一些在线的平台让企业的管理层可以看到在过去一段时间，公司内部发生的很多安全事件，安全设备帮助挡住了这些事件的发生，因此有必要进行持续的投入。如果没有这种可视化的报告，即使做了很多工作，管理层看不到体会不到，来年很可能就会削减这部分投入了。这种定制化的报告和平台让企业的管理层可以实时注意到安全方面的投入带来的价值。

在管理模式方面，可以单独完全管理或者与客户共同管理。完全管理，意味着客户有任何需求都可以直接进行联系，共管，就是说客户可以做些基本的配置，出了大事再寻求帮助。

一个最简单的例子。针对某一台安全设备，找集成商管理和找中企通信来管理都是可行的，最大的区别就是前者提供设备，只能保证设备正常运作，但是设备检测到了安全事件进行告警，集成商不一定具备处理能力，后者可以帮客户去处理安全的事件，并且告诉客户哪个黑客想攻击哪里，利用的是哪些漏洞，应该如何去弥补，从而防止再发生这种事。

中企通信不仅提供设备基础服务，更多的是提供SOC这种高端的服务，真正解决企业最想解决的但是又没有能力去解决的事情，企业要保留SOC团队，成本很高。而第三方SOC团队是所有客户共用，可以降低企业在这部分的成本，我们也有一个在线的平台，可以随时让客户看到设备的安全状态。

云端安全解决方案

中企通信提供丰富的云端的安全解决方案。

在应用方面，中企通信提供有WAF、DDOS、NGFW一类的防护；在网络安全方面，有邮件网关、数据库防护、混合云防护、边界防护；安全审计层面，提供像数据库审计，日志审计；综合平台的管理事先高科用、安全运维，各方面的产品和解决方案都是比较全的。

基于SD-WAN架构的多云平台安全方案方面，中企通信安全管理中心(SOCs)是时下常见的方案，但是很多客户可能会忽略安全方面的问题，毕竟以往跑专线，现在在互联网上，虽说效率增加速度变快，但是安全性可能会减弱，毕竟数据都是运行在公网上。中企通信在提供MPLS架构的同时也提供安全的防护方案。基于Fortinet的解决方案，包括接口SOC的运维。

此外，访问如Azure，Salesforce等一些平台，通常都会很慢。通过对客户的流量进行优化，可提升访问的速度，提供更好的用户体验。

因为时间有限，今天分享的内容主要是这些。如果大家对某个产品或者某个解决方案想有更深刻的了解，可以联络我们再安排更详细的讲解。

谢谢大家！

未经允许不得转载：DOIT » 中企通信张肇轩：新基建浪潮下的云安全思考