云安全的那些坑，堆了再多设备也填不平！

    

这么多年来

搞信息安全建设的

都离不开“堆设备”

↓

说白了是因为两点
第一

安全不是单点问题

的确需要“多维度、立体化”防御

第二

满足合规建设的需求

该有的一个都不能少

然而，这种堆产品的方式

在云时代，有点力不从心

堆了再多的安全设备

也填不平「云安全」的坑

↓

这其中，比较突出的“坑”

主要是三个

↓

① 防护能力扩容与升级之“坑”

云环境下

工作负载的数量和类型大幅增加

（物理机、虚拟机、容器、Serverless）

流量的规模和维度大幅增加

（南北流量+东西流量）

用户的属性和体量大幅增加

（外部海量客户+内部多个租户）

单个安全设备再能扛

面对云的压力，体力也会透支

所以，在很多云安全方案中

都会用堆设备，搞安全资源池的玩法

“池化”不是什么新玩法

毕竟工作负载都池化了

防护资源池化是必然的

但是池化却带来了新问题

↓

资源池该如何弹性扩缩

各种防护资源该如何搭配

不同方向的流量该如何引流

② 多种安全能力整合联动之“坑”

池子挖好，设备也堆了很多

（FW/IPDS/LB/AV/抗D/沙盒/漏扫…）

却往往是各自为战、一盘散沙

联网却不联动，立体却不合体

↓

③ 多产品多租户运维管理之“坑”

堆的产品设备多了

管起来自然麻烦

乌央乌央的日志

更是让管理员一脸懵逼，无从下手

云环境下还有个特别的管理需求

安全产品要提供多租户自主服务

每个“租户”都需要个性化的策略和配置

要有明确的管理责任平面划分

既要让租户觉得好用

又要避免租户滥用

.

.

.

上面这些问题

如果放到纯公有云环境下

由于云服务商的强主导能力

再加上相对固定场景下的长期持续定制

比较容易内建出一套靠谱的云安全体系

↓

so，我们看那些公有云大厂

无论平台级的安全还是租户级的安全

无论云产品安全还是云安全产品

靠谱程度都肉眼可见

可是，如果是私有云/专有云场景

每个场景都极具个性化

公有云那种逐步内建的玩法，完全没法套用

于是，问题又回到了起点

↓

不止这些坑，还要考虑合规性的问题

等保2.0对云安全提出了全新要求

无论旧网改造还是新建项目

都要做不少新功课

那么

私有云/专有云安全的这些坑儿

到底应该怎么填？

↓

其实要解决这些问题

需要“云+网+安”的合力

only安全产品，不行！

only云产品，不行！

only网络产品，不行！

放眼国内，三条产品线都不偏科

做成云网安一体化大安全的

首选新华三

↓

近20年的研发积累

无数大项目的历练

让新华三具备了强大的原生安全实力

接下来，我们来深扒下

新华三云安全方案是怎么做的

↓

第一步：修个“NB”的大池子

云的安全必须用云的方法去解决

堆设备、做防护资源池

这个大方向没毛病

但新华三建的云安全资源池

却跟别人都不一样

↓

1、硬件独立资源池：以防火墙、应用交付为代表，硬件设备本身具备虚拟化能力，虚拟化实例完全独立，资源颗粒度大，池化后，比较适合云中南北方向的防护。
2、软件独立资源池：纯软件NFV模式，资源颗粒度小，适合租户间甚至租户内部的隔离和防护。3、硬件共享资源池：单体硬件的安全防护能力SaaS化，提供给不同的租户按需调用，典型的是抗D、漏扫等产品。

3种资源池，可以灵活混搭

形成更大的软硬混搭资源池

功能互补、资源弹性

不管云中需要哪种安全能力

“池子”里都应有尽有

（防护、加密、检测、杀毒、鉴权、审计）

能建成这样“海纳百安”的池子

是因为新华三自身拥有强大的安全产品线

↓

---

第二步：把“池子”盘活

牛掰的池子建好了

只代表具备了这些安全能力资源

把资源用起来，把池子盘活才是关键

这时，新华三的网络底蕴就体现出来

用SDN来实现流量调度和资源编排

↓

不管流量要流到哪里去

不管中间要加载哪些安全服务

不管是平台管理员还是租户用户

都可以基于服务链的模式

进行任意的编排和定义

南来的，北往的，东去的，西行的

全部都安排的明明白白

这叫：全向纵深防御

流量太大怎么办？

应用负载激增怎么办？

没关系，咱有池子

NFV资源可以迅速拉起、按需扩展

兵来将挡水来土掩

↓

一顿操作猛如虎，看起来轻松自如

这背后凝聚的是

新华三近二十年的云网功底

---

第三步：把“池子”管好

池化实现资源的弹性和服务多样性

SDN/NFV解决资源的调度和服务编排

接下来，要解决的是

如何让各种安全产品形成合力

一方面是彼此协同

另一方面是好管理、易运维

这时候，云安全管理中心，就登场了

↓

云安全运营+云安全运维

这里像一个指挥部

对所有安全产品、服务、策略、事件

实现全视角集中管理

被业内妖魔化很多年的SoC

终于有内味儿了

一起落地的

还有云态势感知平台

从威胁发现、流量分析、态势预测

再到风险评估、策略响应、***溯源

态势感知不再是“卖大屏”

而是成为了“主动安全”的中枢

把多种安全能力串联起来

---

第四步：一键搞定等保合规

其实，建设到了这一步

“等保2.0”已经是水到渠成了

在满足业务价值的同时

顺手就能把合规的事儿搞定

↓

按照新华三这套云安全方案建设

【安全管理中心+安全计算环境+安全区域边界+安全通信网络】

面面俱到，上线即合规

---

这就完了吗？并没有

新一代的云安全

是“云+网+安”的协同与融合

三科都是学霸的新华三

在这方面做到了极致

而在实际落地的时候

新华三又变身工程化实践大师

↓

来看个某省级政务云的实战拓扑

感受一下那种酸爽

↓

新华三全线“云网安”产品融合组网

一朵政务云，妥妥搞定

当然，作为工程化落地的大师

新华三充分考虑了项目具体场景

他们既提供融合版大安全方案

在新华三云平台中内置安全资源池

提供“大一统”的方案

↓

又提供解耦版的独立资源池方案

与第三方云平台完美集成和联动

让客户无需担心“产品锁定”

↓

在云安全的实战落地中

新华三承建了大量政企专有云项目

这其中既有一体化融合方案

也有独立资源池方案

↓

↓

在公有云领域

新华三为紫光云设计并构建安全能力

提供原生的安全保护和服务

达到公有云4级等保标准

↓

当然，对于新华三来说

云安全还有更广阔的星辰大海

结合“云网安”融合优势，贯穿

云端威胁情报→云管安管平台→智能控制器→网元设备

最终形成云网边端的安全大融合

标签：租户,安全,池子,池化,不平,新华,资源,设备
来源： https://blog.51cto.com/u_15127635/2767483