如今，云計算的發(fā)展已經(jīng)到了“落云為雨”的階段，隨著虛擬化和云計算技術(shù)的不斷完善，對于當下的企業(yè)而言，面臨的問題不再是“上不上云”，而是“上哪朵云”？而在此過程中，上云之后所面臨的新的安全問題，也成為制約云計算發(fā)展與企業(yè)用戶向云中遷移的首要問題。

在網(wǎng)絡(luò)安全領(lǐng)域，有這樣一家“老兵”級的安全廠商，自1996年成立以來，已在安全領(lǐng)域深耕二十余年。在云安全領(lǐng)域，東軟安全亦屬于起步較早的廠商之一。在企業(yè)上云成為不可阻擋的趨勢的當下，東軟NetEye也推出了面向云平臺的安全防護產(chǎn)品——東軟“云啟”NCSS(NetEye Cloud Sceurity System)。

綜觀當下的云安全現(xiàn)狀與防御態(tài)勢，并不樂觀。與根據(jù)來自思科的最新全球云智數(shù)報告顯示：數(shù)據(jù)中心的內(nèi)部流量，即東西向流量比重正在持續(xù)增加，到2020年將占比超過85%。同時，在云環(huán)境中，DDoS、基于漏洞的網(wǎng)絡(luò)攻擊等惡意攻擊行為依然頻繁發(fā)生。而傳統(tǒng)的云平臺邊界式安全解決方案防護模式，并沒有為云內(nèi)部東西向流量提供威脅檢測和隔離機制，讓云平臺內(nèi)部成為了安全盲點。今年在我國，隨著《網(wǎng)絡(luò)安全法》的頒布實施以及等保2.0中對云計算安全明確提出了“能監(jiān)控、識別虛擬機之間的流量”的安全要求，也讓企業(yè)對于云中的安全防護面臨著一系列新的挑戰(zhàn)。

在這樣的背景之下，東軟“云啟”又是如何應(yīng)對云安全下的一系列挑戰(zhàn)的？

[[216769]]

東軟集團網(wǎng)絡(luò)安全事業(yè)部云安全產(chǎn)品經(jīng)理崔進

在東軟NetEye“云啟”(NCSS)產(chǎn)品發(fā)布會上，東軟集團網(wǎng)絡(luò)安全事業(yè)部云安全產(chǎn)品經(jīng)理崔進向我們詳細介紹了東軟“云啟”的特色之處。

據(jù)了解，東軟“云啟”采用的是管理平面與業(yè)務(wù)平面相分離的模式，由vSMC和vSPM兩部分組成。vSMC虛擬安全管理模塊為管理平面，負責內(nèi)部可視化、安全配置管理，以及對業(yè)務(wù)平面的調(diào)度。vSPM虛擬安全防護模塊為業(yè)務(wù)平面，負責具體執(zhí)行安全功能，實現(xiàn)安全防護。東軟“云啟”通過引流、虛擬機圍隔離以及可視化等技術(shù)，為用戶提供全方位的云計算環(huán)境內(nèi)部安全解決方案。

基于微隔離的技術(shù)，東軟“云啟”為每個虛擬機提供了貼身防護，通過引流技術(shù)，東軟“云啟”也可以將每個虛擬機的流量牽引至虛擬安全防護模塊(vSPM)中進行威脅檢測，從而發(fā)現(xiàn)并阻斷東西向流量的安全威脅。對此崔進認為：“在未來的一段時間內(nèi)，微分段技術(shù)一定會成為云計算數(shù)據(jù)中心的標配?；谀壳霸瓢踩奶匦?，微分段是云安全的一個剛需，微分段實現(xiàn)微隔離，這是符合云計算安全要求的，微分段是一個云安全技術(shù)發(fā)展的必然成果和安全手段。”

“對于不可見的東西，人本會本能地恐懼。”崔進說道。由此，實現(xiàn)云平臺內(nèi)部的流量及應(yīng)用可視化，從而對虛擬機之間的檢測與隔離、網(wǎng)絡(luò)攻擊的審計與溯源等便顯得尤為重要。在東軟“云啟”中，虛擬安全管理模塊(vSMC)便是用來收集并分析虛擬機之間的數(shù)據(jù)通信，其中包括不同端口之間的流量。同時，東軟“云啟”還可以為用戶呈現(xiàn)云平臺中指定時間段內(nèi)的新增流量，幫助用戶掌握云內(nèi)部的細微變化。借助深度可視化技術(shù)，東軟“云啟”可識別出虛擬機流量中的具體應(yīng)用類型，并在此基礎(chǔ)上提供流量與應(yīng)用控制功能，可以虛擬機間的業(yè)務(wù)訪問進行細粒度的權(quán)限控制，以過濾非法訪問，保護業(yè)務(wù)安全。

通過虛擬安全管理模塊(vSMC)，東軟“云啟”實現(xiàn)了集中管理，使得用戶通過單一管理界面即可實現(xiàn)整個云平臺的統(tǒng)一安全部署和管理，實現(xiàn)了一點觸發(fā)、多點生效。

除了可視化之外，對DoS/DDoS攻擊的防御、以及先進的入侵防御技術(shù)也是東軟“云啟”的主要功能特色。據(jù)了解，東軟“云啟”能夠精確識別和準確防范眾多的DoS/DDoS攻擊，并進行有效檢測和防御，實現(xiàn)攻擊的智能防范，最大限度地保障用戶的網(wǎng)絡(luò)層及應(yīng)用層網(wǎng)絡(luò)安全。入侵防御模塊(IPS)則是基于具有自主知識產(chǎn)權(quán)及國際專利技術(shù)的東軟事件描述語言(NEL)引擎，以及超過3000種攻擊防御簽名，支持對已知和未知網(wǎng)絡(luò)及應(yīng)用層攻擊的檢測及防御。

在部署方面，東軟“云啟”為純軟件產(chǎn)品，無任何硬件支持要求，部署過程中也無需虛擬機系統(tǒng)上部署任何代理插件或客戶端;并支持虛擬機遷移、支持基于虛擬機的訪問策略、支持動態(tài)策略自動遷移、支持彈性擴縮等，具備自動化適應(yīng)的特色。并支持VMware?vSphere5.1/5.5/6.0等虛擬化平臺。

基于東軟NetEye 20多年的安全能力和歷史，安全技術(shù)和行業(yè)經(jīng)驗的積累對于云安全產(chǎn)品的性能和功能研發(fā)都起到了巨大的支持作用。在談及東軟“云啟”的特色時，崔進向記者說道：“我們對產(chǎn)品的要求就是符合客戶使用場景，靈活安全。東軟“云啟”是基于微分段的云安全系統(tǒng)，是基于用戶使用場景的一款安全系統(tǒng)，但我們?nèi)诤狭撕芏嗥渌募夹g(shù)特色，并且接受客戶云環(huán)境的獨特定制。依托東軟安全較雄厚的技術(shù)積累和行業(yè)經(jīng)驗，我們在云安全的解決方案的研發(fā)中，也會少走很多彎路，會有更多的技術(shù)質(zhì)量保障。”

在此，更加值得一提的是，東軟安全的每次產(chǎn)品發(fā)布，與其他廠商也略有不同。正如在發(fā)布會的當天，東軟網(wǎng)絡(luò)安全事業(yè)部副總經(jīng)理路娜所說的那樣：“東軟安全的產(chǎn)品是有實踐才會有發(fā)布，這是東軟安全歷來的風(fēng)格。”

作為一家低調(diào)務(wù)實的安全廠商，此次東軟“云啟”亦是在大量技術(shù)積淀及優(yōu)秀的實踐案例后正式發(fā)布的。據(jù)悉，東軟“云啟”在2016年下半年便開始投放市場，至今已在多個行業(yè)應(yīng)用并獲得肯定。“東軟‘云啟’在投放期間也經(jīng)過了很多的功能新增、性能加強等。到了今年上半年，各個用戶運行的“云啟”系統(tǒng)已經(jīng)相對平穩(wěn)，反饋也不錯。相信隨著我們產(chǎn)品的不斷進步，將能幫助更多行業(yè)的云計算系統(tǒng)保駕護航。”崔進說道。

可以預(yù)見的是，未來的云安全將是一片很大的市場，而在這個市場中的博弈需要的是真正符合用戶需求、滿足云安全防護的產(chǎn)品和技術(shù)實力。隨著國家對云安全的愈發(fā)重視，企業(yè)對云安全的需求也將進入一個新的階段。但對于安全廠商而言，腳步還將不僅止步于此。

因此，在當天發(fā)布會采訪的最后，在談及對未來云安全市場的看法時，崔進也進一步說道：“對企業(yè)而言，法規(guī)層面所規(guī)定的如果都做到了，會做到相對的安全，但市場上實際需求層面需求會比法規(guī)要求更多，安全廠商不能僅僅幫助用戶做到合規(guī)，更要幫助用戶做到符合實際的使用需求。未來，我們的安全產(chǎn)品和安全服務(wù)會以實際需求為目標，以國家標準為基礎(chǔ)去進行產(chǎn)品的更新升級策略。”