基于云计算技术的云安全管理平台设计

01引言互联网数字化浪潮下，随着云计算、大数据等新兴技术的快速发展，数字化转型时代下，各行各业上云已是大势所趋。云平台往往涉及国计民生、企业运营等方面的数据和用户敏感的个人信息，这让云平台成为黑客攻击者攫取经济利益的首要目标。云安全管理平台通过不断地汇聚云安全能力，构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全资源池，可帮助用户实现云安全运营和云安全统一管理，快速应对云上安全问题，为用户提供一站式立体化的云安全综合解决方案，针对性解决用户业务上云后面临的难点与痛点。01云安全管理平台架构设计1.1

平台技术架构云安全管理平台整体架构从下往上分为硬件层、云安全资源层、云安全服务层和云安全管理层等四层，各层之间相互协同又相对隔离，彼此解耦，提供良好的稳定性和扩展性（如图1所示）。

图1云安全管理平台技术架构硬件层：基于业内主流的通用x86架构服务器组建分布式集群，为上层的安全服务能力提供运行环境和所需的CPU、内存、存储等硬件计算资源。云安全资源层：基于业界主流的云计算虚拟化技术，打造超融合系统，通过系统把硬件层提供的CPU、内存和硬盘存储等各类型资源进行虚拟化、抽象化和资源池化，为上层安全能力应用提供所需的虚拟化运行资源。把多样化的传统安全产品能力进行改造，让其适配云计算虚拟化这种特殊运行环境，合入业内主流的安全产品能力，构建一个统一管理、弹性扩容、按需分配、安全能力完善的云安全资源池。云安全服务层：对已构建好的云安全资源池进行服务化改造，实现云安全能力资源化，云安全资源服务化，云安全服务目录化，提供包含云监测、云防御、云审计等覆盖全生命周期的云安全产品能力，形成具有业务属性的IPDR综合安全服务体系，全方位构建涵盖事前监测、事中防护、事后审计的云安全闭环防护体系，全面满足云上用户多样化的云安全需求。云安全管理层：基于底层的各种安全资源和安全能力，为云上用户提供了一个统一的云安全管理平台，平台可提供超10种云安全能力服务，赋能于云，全面接管云上的安全资源和能力，对云内的整体安全态势统一分析和呈现。平台提供超级管理员和租户管理员两种视角，超级管理员进行全局的统一管理，实时监控和了解云内整体的安全态势及运维态势等；租户管理员则自主化管理和建设自己的云安全资源，按需申请和使用，掌握自身业务的安全动态。1.2

平台部署方式平台采用旁路部署的方式，通过在通用x86服务器上安装部署云安全资源池相关软件的方式，部署到云平台机房，旁挂在云平台核心交换机上。再通过网络引流的技术将云平台南北向的业务系统流量牵引至云安全资源池内进行清洗，如云防火墙、云WAF、云DDoS等安全服务，流量清洗完成后再将正常流量原路回注回去，最终到达云平台内的业务云主机上，从而实现云上业务安全防护的目的；还有部分安全产品则不需要网络引流来实现，只需把安全资源池与云内业务虚拟机之间网络打通即可，如云堡垒机、云日志审计、综合扫描等安全服务，从而实现子云平台上云业务安全监测和审计的目的。总之，云安全管理平台的整个部署及实现过程对用户现有网络无任何影响，如图2所示。图2云安全管理平台部署逻辑1.3

平台功能架构云安全管理平台汇聚了十余种主流的安全能力，解决了传统安全建设方式中设备零散、使用不便、维护困难和安全能力固化等问题，为云上用户提供了一种云安全的最佳落地实践模式，解决用户安全资源管理困难和维护成本过高的难题。云安全管理平台功能架构大致可归纳总结为四点，分别为一个平台、两种视角、三方接口、四大模块，具体如图3所示。图3云安全管理平台功能架构一个平台：为云上用户提供了一个统一的云安全管理平台，提供10

多种云安全能力，赋能于云，对云内的整体安全态势统一分析和呈现。两种视角：提供超级管理员和租户管理员两种视角，进行全局的统一管理，实时监控和了解云内整体的安全态势及运维态势等，掌握自身业务的安全动态。三方能力：云安全管理平台把底层云安全资源池中各种安全产品组件进行归一化和标准化，实现云安全能力的资源化、服务化和目录化，最终以云安全服务的方式赋能给云平台，帮助云上业务快速安全合规。四大模块：云安全管理平台可提供包含云监测、云防御、云审计等覆盖全生命周期的云安全产品能力，辅以云安全专家服务，满足用户多样化的云安全需求，全方位构建立体化的综合云安全纵深防护体系。0２平台关键技术2.1

安全能力服务化，即开即用云安全管理平台通过主流云计算虚拟化技术的加持，把传统安全产品的能力进行抽象化，将传统安全硬件设备的能力进行软硬件解耦，打包软件核心能力并使其适配云计算虚拟化环境，最终尽数汇聚到一个统一的弹性安全资源池中，以便用户按需获取所需的安全资源及能力。云安全管理平台把安全能力解耦并进行服务化改造，其具备包含云监测、云防御、云审计等覆盖全生命周期的云安全能力服务，云安全管理平台提供了非常友好的可视化拓扑交互图，用户可根据自己业务的安全需求，按需点击开通安全产品即可快速配置和使用对应安全服务。云安全管理平台中所有的安全子产品均可通过通用许可的软授权方式进行激活，通用许可本身并不限制安全子产品的能力，开通不同的安全子产品时，会按需消耗不同数量的通用许可授权，并且，已开通的安全子产品回收后，其占用的通用许可会自动释放回收，可进行再利用，真正实现安全服务的即开即用。2.2

云安全能力统管，可视可控云安全管理平台为云上用户提供了便捷统一的安全管理入口，通过平台，可实现对所有安全产品能力的自助开通、统一管理、智能编排、策略管理、运维监控和安全分析等。平台提供可视化的大屏呈现，为用户实时展示云平台及云上业务系统的安全态势和运维态势，方便用户进行统一把控。对于平台管理员来说，其拥有属于自己的业务界面和功能目录，可以整体掌控和了解云内的安全攻击风险态势和租户安全建设情况等；租户管理员则可以通过自身的业务界面自行管理和建设属于自己业务需求的云安全能力资源，掌握自身业务的整体安全动态。2.3

大数据智能安全分析云安全管理平台借助大数据安全分析手段，深入挖掘云内各资产的流量、日志等数据信息，结合AI算法、深度学习模型和实时分析模块进行多维关联分析，对多维度的信息和多源数据进行整合、关联、分析和研判，及时发现潜在的未知安全威胁和高隐蔽性攻击，把最关键的信息和最重要的威胁展现给用户，同时，预测即将发生的安全事件并与安全防护能力形成联动，一键封堵处置，为用户呈现全网可视化的安全风险态势。0３平台核心优势（1）方案灵活解决私有云、公有云和混合云等不同云计算服务模式下云上用户的安全建设需求，满足政务云、金融云、教育云、企业云等不同行业领域的云上不同业务的复杂性需求，能够针对不同行业的不同云场景形成针对性的特色云安全解决方案，帮助用户以最科学合理的方式完成云安全建设。（2）快速合规平台特为云上用户提供专属的等级保护二级、三级合规推荐套餐，套餐包含等级保护合规建设所需的安全能力及安全服务，能够全方位满足用户不同业务需求场景下的等保合规安全要求，帮助用户快速完成安全合规建设，助力云上业务稳定高效发展。（3）立体防护平台内融合了各种基于云虚拟化设备的安全防护手段，由业务安全监测体系、业务安全防御体系与业务安全审计体系共同组成，为用户提供包含虚拟网络安全、虚拟主机安全、业务应用安全、数据安全等各维度和各层面的安全防护手段，彼此之间相互协同工作，也彼此解耦，安全能力可基于云上业务的属性和特点灵活调整。如针对云上的Web业务应用，只需采用虚拟防火墙、虚拟Web应用防火墙和网页防篡改等安全模块，可针对性解决业务安全需求。（4）产品成熟经过多年的云计算技术深入研究和风险分析，结合众多的项目实践和安全领域的经验积淀，云安全管理平台已经为超过数十个行业的客户提供完善的一站式云安全综合解决方案，具备无缝快速对接国内外主流的10

多种云平台的能力，并且，为许多重大会议活动提供全面的云安全监测、防护和审计能力。0４结语云安全管理平台聚焦云平台应用场景，具备全方位多维一体化