【51CTO.com原創稿件】近幾年，越來越多的企業選擇能夠讓自身業務更加聚焦的專有云。伴隨專有云所承載的業務量及系統重要性的不斷提升，專有云的安全防護也成為企業機構重點關注方向。那么，相較于公有云，專有云/私有云場景下安全管理有何特殊之處?難點在哪?企業應該如何做好專有云安全防護?可以采用哪些措施來提升專有云的這種安全管理運營能力……

近日，51CTO記者采訪了騰訊安全運營中心SOC產品負責人洪春華。針對企業專有云安全管理問題，記者連發十問，看專家如何接招。

[[322555]]

騰訊安全運營中心SOC產品負責人洪春華

Q1：您好！請問相較于公有云，專有云/私有云場景下安全管理有何特殊之處?難點在哪?

洪春華：云與業務相輔相成，業務依靠云平臺快速發展，同時也推動云平臺建設。很多機構或行業根據自身業務特點，需要選擇專有云平臺。其實專有云平臺對他們來說，相當于是一個公有云平臺，以公有云的方式向子公司提供云服務。類比騰訊的公有云，我們需要做哪些安全的管理?首先是云平臺管理，騰訊安全中的云鼎實驗室就是專門來負責云平臺安全的，面對的是云租戶，作為云平臺提供方，騰訊云有責任提供安全的產品和工具給租戶使用。這里的挑戰在于，采用專有云的企業，是否有足夠的安全團隊去同時覆蓋云平臺和云租戶的安全。

其次，在公有云上，基于騰訊云責任共擔模型，騰訊提供產品和工具給租戶，租戶也有責任和義務一起實現安全運營。而此時就出現了另一個挑戰點，采用專有云的企業是否能夠與租戶或著旗下子公司有這樣一個責任共擔模型，大家的權責是否統一。

綜上所述，主要有兩大挑戰：一是，基于云平臺側整體，是否有能力實現整體安全運營。二是，你與你的租戶/子公司，是否有權責分明的租戶模式，落地了責任共擔模式。

Q2：針對專有云安全的特殊性和防護難點，企業一般會如何應對，存在哪些問題，應該如何改進?

洪春華:多數企業在上云或者構建專有云過程中，選擇防火墻、IDS、IPS等傳統安全設備，甚至硬件化的方式部署在云中。這種方式與云的自身特性不是十分契合的，因此我們建議：一定是要用云的方式來保護云!

可采用安全運營平臺形式統一管理，在保證彈性的同時實現安全。比如騰訊安全運營中心將端、管、云三點結合，形成一個較為完善的云平臺解決方案。在租戶安全的防護上，讓租戶或者是個子公司的業務方，一定要參與到云的整個運營管理過程當中。在騰訊安全運營中心(專有云SOC)中內置了多租戶運營模式，每個租戶只能看到和運營自己的數據。一方面實現了安全責任共擔，另一方面也方便安全人員清晰了解每個租戶的安全情況，了解對哪些租戶投入的時間較多，同時也能得出在安全運營上的人效比。

Q3：目前選擇專有云的企業主要來自于哪些行業?這些不同行業的企業，在專有云的安全防護上是否應有所不同?

洪春華：一般選擇構建專有云的企業對安全性要求較高，也為了滿足國家政策法規的要求。所以目前選擇專有云的企業主要來自于政務行業、金融行業、傳媒行業。以政務行業為例，其業務數據敏感度較高，采用專有云模式更安全。再比如傳媒行業，由于其業務特點通常會涉及三種云，該行業需要在安全的環境下，實現對視頻的錄制、編輯以及存儲。同時，為了保證視頻能夠安全地對外開放給用戶觀看，就選擇了采用專有云形式對外提供服務。最終，傳媒的內容要分發出去，就可能會采用公有云上的CDN模式，從而形成了一個非常復雜的混合云態勢感知的場景。

Q4：作為企業安全管理人員，他們可以采用哪些措施來提升專有云的這種安全管理運營能力，能否從您的角度給他們一些安全建議?

洪春華：安全運營一定是體系化的，不僅僅包括產品、技術，還包括人員、流程等。首先，企業必須組建專業專職的運營團隊。其次，規范流程。例如：與租戶間的責任共擔流程，事件處理流程等。第三，選用較好的安全運營產品，比如通過騰訊安全運營中心實現統一的安全運營。通過以上三點，即可解決大多數安全問題。

另外，從技術角度來說，采用“端、管、云”模式，在主機端，采用EDR模式對主機端進行檢測與響應;在管道上，基于傳統的規則和行為分析進行全流量檢測;在云端，構建統一協調的安全運營中心，實現云租戶和云平臺雙重保障。

Q5：上面也談到了技術層面的問題，當前AI發展的勢頭正猛，所以想請您聊一下，現階段在云安全的領域中有哪些已經落地的AI應用實例?未來對專有云的安全運營工作會帶來哪些影響?

洪春華：其實，大家都十分看好AI，并做了很多嘗試。AI在安全運營中的應用主要有兩方面：

一方面，用于流量檢測。通過AI檢測發現未知的東西。我們知道，很多產品都是基于規則發現已知威脅，那么對于未知威脅，可以利用AI去檢測發現，找出潛在高級威脅。

另一方面，用于安全事件分析。面對檢測產生的大量告警，可通過AI進行安全事件分析。在這里騰訊采用了“點、線、面”的方式，所謂點，就是根據點對點見得關聯關系，做關聯規則的運營。所謂線，就是將某一臺主機或者某一個資產上發生的安全事件連成線，得到一個時序圖，采用機器學習的一些算法找出表現異常的那些點，得到最終的異常情況。所謂面，因為攻擊往往都是橫向的，將安全事件用知識圖譜的方式表示出來，能夠很清晰的看到假如設備A被攻陷后，黑客是否又橫向攻擊了B甚至是C設備。如果BC設備被攻陷，是否又對其他設備進行了橫向滲透?這樣整個鏈條就會非常清晰。最終，通過將“點、線、面”關聯，給這臺A設備打異常分。

總之，在安全運營中應用AI后，檢測覆蓋面更廣，分析效率更高，為安全運營人員的工作效率帶來了很大程度上的提升。此外，通過對安全運營專家在日常工作中的記錄，采用AI技術的騰訊安全運營平臺可自動學習，在處理已經出現過的類似安全事件的時候，可以給出相應的安全建議。相當于降低了安全人員的操作門檻，讓高級安全運營人員的經驗得以積累、傳承、優化和迭代，甚至平臺可以新入職的安全人員在遇到某個問題時該如何處理。

Q6：專有云環境下安全威脅多樣，購買多種安全產品是否就可以完全防范外部攻擊?另外，在重保時期，企業應如何有效協調這些安全產品，應對大流量下的集中攻擊?

洪春華：企業購買多種安全產品是非常常見的現象，雖然看似多種多樣的產品做到全方位的保障，實際并非如此。部署多種多樣的安全產品后，隨之而來的就是多樣化的大量告警，給安全運營人員的分析帶來了巨大挑戰，畢竟人的精力和時間是有限的。往往，有效的攻擊會被淹沒在海量的告警中。此時，告警的處理，對檢測效率和響應效率要求很高，所以我們推薦使用高效統一的安全運營平臺來協調，由其充當“大腦”的作用，協調各個產品間的聯動與響應，對所有告警進行高效分析，找到可疑攻擊，評出威脅等級，給出響應措施，最終形成統一的、規范的指揮作戰系統。

Q7：還有一種情況，有些企業購買了各個供應商的云環境來構建多云環境，在這種情況下如何做好多云環境的安全運維工作?不同供應商的云環境能否有效打通并進行統一管理?

洪春華：前面我提到了傳媒行業的多云，這里我們還是以傳媒行業為例。比如，某媒體的內容分發放在騰訊公有云上，內容的生產放在自家私有云上，一些業務邏輯服務放到專有云平臺，那么這就是一個典型的混合云模式。這種情況下，就要將三朵云拉通做統一運營。利用騰訊的公有云安全運營中心，實現公有云上數據的采集和資產匯聚，然后將信息匯集到專有云。再講私有云的數據統一匯聚，統一管理。此時，運營人員即可在這樣一個一站式的平臺上高效工作，實現多云環境跨平臺的安全防護。

但是當機構采用了多個云品牌時，安全防御又面臨更大的挑戰。比如，騰訊云提供了安全運營中心(專有云SOC)，能夠自動盤點CDM、CLB(負載均衡Cloud Load Balancer)、數據庫等所有資產。那么在支持其他云平臺時，則需要與供應商協同，而多供應商之間的協同也是頗具挑戰性的工作。

Q8：在全國連鎖的大型企業中，各個分公司可能會根據自身和當地的實際情況來設置不同的云環境。針對這種情況，總部要如何打通區隔，在安全層面上進行統一管理?

洪春華：其實，這是一個大型企業必然會遇到的問題。要想實現安全上的統一管理，建議采用多級架構。為什么?對于分公司和總部來說，他們想要看到的內容是不同的。分部想要看到整體的安全情況，每個細節的安全運營情況。而總部可能只是履行監管類職責，希望看到的是分部的大概情況，并不承擔整體的安全運營狀態。因此，分部只需將最終的一些安全狀態同步上報總部即可，通過安全管理平臺，總部就能掌握每個分部的安全情況。當發現問題時，總部可以采用簡單的工單模式，下發到分公司中，以便IT團隊響應。

此外，也可采用總部統管模式，分部的模式是采用分級架構，將安全信息全量同步至總部，由總部安全運營人員掌控整體安全情況，將得到的結論反饋給分公司安全運維人員落地執行，從而實現統一管理。

Q9：智慧城市建設中，安全也是重要的一部分，針對整個城市范圍內多個部門、機構的復雜狀況，比單個企業復雜太多，目前城市安全管理一般如何開展，后續如何優化?

洪春華：Wecity智慧城市是騰訊云的重要業務之一，在智慧城市的建設過程中，關于政務云的建設必不可少，因為各種涉及民生的智慧業務需要基于政務云落地實現。城市安全運營中心需要從兩個層面考慮：

一是，針對政務云自身的安全，及該云平臺上的業務安全。騰訊Wecity包括應用中臺、數據中臺和AI中臺，在上層中臺層面還有安全中臺，安全中臺是騰訊安全運營中心的一個整體集合，也就是基于政務云本身的安全運營。城市安全運營涉及云平臺和安全中臺的能力。二是，滿足政府的各個委辦局的獨特需求。比如衛健委需要對下屬醫院進行監管，履行安全保障的職責，需要做統一的安全運營管理。舉一個新冠疫情期間的案例，此次疫情催生了很多疫情小程序，比如：健康碼業務就部署在專有云平臺，也有可能是部署在騰訊云上。這些云平臺都是用騰訊安全運營中心的能力實現的安全運營。

Q10：最后，我想問下關于等保的問題。等保2.0的全面實施后，上云企業的合規需求更加強烈。那么，等保2.0對專有云安全管理如何規定，要達到合規企業要怎么做?

洪春華：我們知道，安全運營中心是等保的必須品。等保2.0提出了“一個中心，三重防護”，其中“一個中心”指的便是安全管理中心，即針對安全管理中心和計算環境安全、區域邊界安全、通信網絡安全的安全合規進行方案設計，建立以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心的信息安全整體保障體系。

在此背景下，騰訊安全運營中心(專有云SOC)貼合等保相關要求，并輔助企業制定等保方案，首先是通過安全運營中心解決這樣一個安全管理，一個中心有與無的問題。第二，我們在這個產品里面其實內置了很多關于等保的持續性評估的一個手段建議的方法，這樣客戶就能夠依托于我們這個產品去滿足自身的查缺補漏。

目前騰訊安全運營中心(專有云SOC)已在國家人社部、醫保局等專有云建設項目中落地應用，通過對安全事件、漏洞、資產等安全要素的全方位運營，在政府、金融、能源、醫療等多個行業助力政企客戶滿足等保合規中對安全管理中心的相關要求。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】