风险与挑战

解决思路

落实平台自身安全合规

　　云平台自身安全应遵照等保2.0要求，基于云平台业务特性，从云平台边界安全防护、宿主机及虚拟化安全和云管理平台安全出发，在满足合规的基础上，对云平台提供持续保护。

为用户/业务提供安全能力

　　为打消用户上云对安全风险的顾虑，云平台应能够为云用户业务系统提供池化的安全资源服务，可基于软件定义的安全资源池、OpenAD等高性能的安全硬件设备和云眼/云盾等安全云服务，供用户自行选用和配置安全策略。除此以外，针对PaaS/SaaS等云服务模式，云平台应基于池化安全资源服务和应用自身的访问控制策略和安全加固措施，共同保障业务安全。

统一管理，实现安全全局监测

　　通过在安全运营中心构建网络安全感知平台，可帮助云平台运营者实现对云内所有安全事件的全局监测和统一管理。在各业务区部署流量检测探针，实现对云内资产日志及网络流量的统一采集与分析。当资产的脆弱性风险和网络攻击等安全威胁出现时，可在第一时间发现问题，并于全网海量资产中实现威胁的精确定位。通过平台的大数据分析能力，还原攻击链，对事件进行溯源分析，以便进一步的电子取证, 节约企事业单位对通信链路的投资成本。

构建安全事件快速响应能力

　　基于网络安全感知平台，通过边界、端口安全设备与平台的联动工作机制，以及平台安全服务专家的联动机制。可实现针对安全事件的快速响应，包括边界安全网关对可疑IP的一键封锁，终端安全软件对可疑文件的一键隔离/查杀，以及基于安全服务专家对安全事件进一步的分析定位，快速找出威胁根源，及时处置，并针对事件溯源分析，提供修复和加固建议。

云安全方案框架图

方案实现

　　基于核心交换设备、虚拟防火墙、EDR和下一代防火墙构建云管理平面与业务平面、虚拟机与宿主机、不同安全级别的等保业务区、不同用户的虚拟网络VPC以及虚拟机微隔离五个层面的网络隔离。基于下一代防火墙、应用交付、上网行为管理等构建边界立体防御体系，VPN网关构建安全接入平台，堡垒机、日志审计保障云管理平台运维安全。云平台基于上述安全设备形成满足等保2.0技术要求的安全合规体系。

　　基于云安全资源池、OpenAD和云眼/云盾，构建池化的安全资源服务，供用户使用，包括负载均衡、下一代防火墙、堡垒机、日志审计等组件，用户可根据业务需求进行安全自管理。基于安全感知平台和流量探针，构建安全监测预警体系，实现云安全全局监测和统一管控。另外，依托高级威胁分析与处置服务，安全服务专家可联动安全感知平台的现有分析结果，协助安全运维人员实现对安全事件的及时处置。

方案优势

成功案例