【数世咨询】云安全资源池 能力指南

1关键发现 3 5 5 7 9 3应用指南 3.1安全责任边界 3.3关于一体化 4云安全资源池应用案例……………………25…………25…………29 5未来展望 1云环境的安全防护体系与传统IT环境存在差异，如何构建适应云计算特点的中统一管理各类云安全资源，并以”即服务”●云安全资源池的整体架构是什么？----能否兼容用户现有的云计算环境●资源池针对多租户的安全隔离方案如何实现？●对于多云环境能否实现一致性的安全策略？----这可以避免2资料收集、问卷调研、企业访谈、市场数据分析等方法撰写《云安全资源池为了语言表述上的简洁性，以下所提到的”安全资源池”或”资源池”，均指”云安全资源池”3●随着云安全成为数字安全市场中规模增长最快的细分市场，云安全资●云安全资源池概念在国外鲜少提及，为国内独有特色，其主要原因一●云安全资源池是一种云计算与安全集成的解决方案，其能力和特性取●云安全资源池解决方案的打造，不仅需要安全厂商有深厚的安全技术●云安全资源池的市场需求排名靠前的行业为：运营商（27.3%）、政府），●目前等保合规仍然是云安全资源池的关键需求，几乎所有厂商的产品4●随着安全监管和用户需求的升级，云安全资源池未来发展趋势，会向52008年5月趋势科技创新性的发展了对虚拟主机的杀毒解决方案（DeepSecurity），云计算安全被提出并为行业所关注。大潮，云安全防护必然成为关键需求，期间国内少67与调研的各安全厂商对2023年的市场预估，2能达到27亿元，该复合增长率来自于三年疫情期间的增长统计，考虑到疫情89国内的中大型企业偏爱建设私有云，根据资料显示，2021年私有云市场内的全集成云安全资源池解决方案。安恒信息在密码资源池、SaaS化安全服云安全资源池提供广泛的安全能力，包括但不限于防火墙、Web应用防火墙（WAF）、应用层防护、日志审计等安全能力，除了满足等保合规需求外，还说明：安全虚拟化演化过程中，有一类一体机形态的安全资源池，也可以实现虚拟化形态交付，能够满足无租户的小型云平台或者传统数据中心的安全合规需求。此类产品方案通常用于小型的云计算环境或计算中心，主要提供以合规、基本网络安全能力为目的的一体化交付，俗称为”等保一体机”。由于此类产品只具备简单的管理功能和有限的弹性服务层优点部署模式优点部署模式1.传统安全硬件虚拟化安全资源池传统安全硬件虚拟主要应用于南北向安全防护。与传统安全产品部之处是通过控制器同时完成安全服务链编排。通过一个控制器进较为简单。管理平台的功能单署位置及整个物理性和扩展性有限。资源池将硬件服务器和安化技术实现一体化交付。适合已有云环境的云安全后期建设。与云环境耦合度周期短。云内流量需要向外引流到安全资源体化管理实现较为困难。3.软件安全资源池安全镜像直接在云环境虚机中部署和调度。紧耦合模式部署，云内流量内部引需要与云平台适适合与云环境共,4.云原生安全资源池将安全能力容器针对微服务架构的化部署。容器化产品占用空更快、支持秒级部持更多复杂场景的安全能力。依赖云原生环境。“安全即服务”能力是云安全资源池的关键能力之一。即服务化能力是业务流量，需要经过多个防护服务，比如防火墙、入侵检测、WEB应用防护等比较复杂，是云安全资源池早期实现所采用的方法。还有一种方案是通过SDN较灵活，但是它也有自身固有的缺点就是转发设备的流表规格有上限，有时难以满足大规模的云租户的编排需求。第三种方案是使用基于SRv6（SegmentRoutingIPv6）的编排技术，SRv6具有网络路径、业务、转发行为三层可编程空间，能支撑大规模租户数量的编排场景，但仅有部分安全厂商支持使用编排技术使用方式优势不足描述编排技术使用方式优势不足描述1.路由/策略路由通过路由或者策略路由来控制业务流量。从公有云转发设备引流，或者从传统交换、路由设备引流。适用于几乎所有路由转发设备，实现起来比较简单。需要仔细规划业务流量转发路径。服务链基于SDN，流表转发。通过给路由交换设备下发流表实现引流。可以实现流量的自动化编排。转发设备的流表规格有上限，有时难以满足大规模的云租户的流程编排需求。3.SRv6服务链基于SRv6的编排技术，IPV6转发。基于SRv6路由表的流量牵引。可以满足大规模云租户流量编排需需要路由交换设备支持SRv6。（部分厂商开发基于SRv6的软交换来实现，来解决这个问题）(5)一体化管理和监控 配置安全策略以及处理安全事件等等。当然，在不同的云服务模式PaaS/SaaS/FaaS等）中，云服务商和用户之间的责任分配不同，这就决定了网区域网络架构为基础，通过部署云计算资源池、云安全资源池，建设基于能力，提供更加完善和细化的建设方案，并且在方案中充分体现云平台及云云安全威胁监测与溯源需求云资产安全梳理需求云计算合规性需求财务系统作为银行的关键业务系统，需要严格参照”等保2.0”的三级标本项目解决方案主要包括基础网络、奇安信云安全资源池CSMP、云安全管“生”：奇安信云安全资源池CSMP通过将多种安全产品资源池化，生●产品支持多资源池弹性部署，满足客户快速构建安全合规能力，和多●通过将安全能力整合在云安全管理平台中，进行统一运维管理和数据●通过云内部署虚拟化安全实现对云平台内的虚拟机之间进行微隔离，●为用户提供了资产、脆弱性评估、威胁发现等相关管理能力，实现对●显著提高了对网络安全事件的检出率和检测准确率，实现了从”被动●云安全管理平台丰富的安全组件满足了客户业务上云后等保2.0的三●云安全运营中心大幅削减了误报量，从客户原来使用的SOC产品上几投资业务等多元业务进行战略转型，十分重视信息化建设和数字化转型。以”满足合规要求满足各级单位的安全需求在用户云数据中心中部署深信服云安全资源池CSSP和安全感知管理平台南北向的安全检测和防御体系，帮助集团云补齐等保2.0：云计算安全扩展要②基于云安全资源池多租户管理架构，让集团可以给每个下属单位提供③基于云安全资源池按需分配的特性，为不同用户提供个性化的安全能④基于安全感知管理平台构建云安全运营中心，整合云上安全事件，让满足等保合规要求有效实现权责分离安全资源按需分配至云平台，云计算带来新的IT使用模式，但安全仍采用传统人工交付方绿盟科技云安全资池池