企业云安全实践论坛：企业云安全 携手并行

在9月30日上午的“企业云安全实践论坛”分论坛环节，山石网科副总裁兼首席技术专家杨庆华、浪潮信息安全事业部副总经理蔡一兵、网宿科技的首席安全官欧怀谷、IXIA应用和安全业务发展总监孙震、国家互联网信息办公室网络安全协调局张恒共五位云安全实践专家，就云技术安全、可信计算、解决海量 DDoS 攻击、通过网络靶场对企业云安全进行保障、政府部门云计算服务网络安全管理的探索六个话题进行了现场解析。

山石网科副总裁兼首席技术专家杨庆华介绍了山石网科在云技术安全上的一些经验和体会。他认为安全可控是云持续发展的力量，怎样用技术手段保障云上是安全的，这是我们面临的很大问题。他在演讲中提到云租户边界的安全需求包括：虚拟化环境部署、多租户独立管理、租户远程安全访问和租户私有虚拟网络安全防护。他认为云内安全挑战包括：传统云边界防护看不见云内部的流量及威胁；一旦进入云数据中心内部攻击可以任意蔓延；安全需要可以任意扩展、动态部署和迁移。

山石网科在整个云计算里面提供了三套解决方案，称为虚拟化的解决方案。有传统基于硬件的，也有传统的下一代防火墙——T系列的智能防火墙和X系列的数据中心的硬件防火墙，同时提供一些WAF，包括安全等等。

最后，他介绍了虚拟化的云解决方案中的两个产品：云·界，其实叫云计算中心边界防护；云·格，云计算中心虚拟内部的隔离。云·界部署在VPC出口运行安全防护，每一个租户需要通过这个配置他的设备，比如配置它的功能，配置它所有的规则。租户间、租户到数据中心之间提供VPN的通道，提供管理和数据之间的通道，还可以提供防火墙、IPS、WAF、防病毒等功能。云·格，可以叫虚拟机的贴身报表、底层控制引擎，在这个引擎上我们可以部署所有的规则和防火墙的功能、IPS的功能。云·格里面，虚拟机和虚拟机之间不会提VPN的功能、负载均衡的功能等等，做到虚拟机的贴身报表之后，可以做到云内部100%的流量可以做到检测，再做智能的分析，然后就可以得到整个云计算中心内部所有的威胁分析。之后，我们可以对内部的威胁做实时的隔离和阻断。

浪潮信息安全事业部副总经理蔡一兵就云数据中心基础架构安全挑战、可信计算技术及产业现状、可信计算池技术及典型应用以及浪潮可信计算池工程实践四个方面进行了讲解。

他提到在网络空间里面，云数据中心已经成为了最重要的战略攻防的目标，面临外部攻击和内部攻击，还包括一些DDoS攻击和APT攻击。他认为云安全面临的技术挑战是：传统安全威胁日益严重，底层硬件APT网络武器威胁以及计算资源虚拟化后带来的新型威胁更加难以应对。

他重点介绍了可信计算。可信计算技术价值在于构建基于计算环境完整性保护的计算免疫能力。计算信任体系包括信任链构建、信任度验证和信任根设置。中国可信计算创新点包括网络层面的三元三层对等架构、软件层面的双系统体系结构、主板层面的计算和可信双节点融合、芯片层面的主动控制、可信计算自主密码方案。可信计算池系统由可信服务器集群、虚拟化软件和计算池可信管控软件组成，池化管理服务器集群的CPU、内存、硬盘等计算资源，对外按租户要求提供具有可信免疫能力的虚拟可信服务器。通过构建可信计算池可以帮助化解云安全挑战。构建可信计算池的关键技术是信任链和vTPM，其中信任链包括可信服务器硬件平台信任链、虚拟化层信任链、GusetOS信任链。

网宿科技的首席安全官  欧怀谷

网宿科技的首席安全官欧怀谷分享了解决海量 DDoS 攻击问题的一些观点。

从攻击的频率、攻击的规模以及攻击的类型来看，DDoS呈现出一个愈演愈烈的趋势。整个行业的现状，大概分三个方面：用户、防护方，、攻击方。受攻击的用户基本上是一些经济收益比较高的，或者易受到政治攻击的群体。传统硬件抗 D 产品攻防积累深厚、产品成熟度高、市场接受度好、CPE端占有率高。但是它的缺点是成本高、升级扩张性差、运维管理复杂、无法应对突发大规模攻击。因此，出现了一系列的所谓的云DDoS的清洗。其特点是按需付费、无限扩展、免费升级、零运维、零改造、大数据分析。

云清洗方案，当前在业界主要有两种，第一种方案就是采用BGP Anycast。其要点包括：Asymmetric routing；Source IP可见；BGP依赖；国外广泛使用，国内尚无商用；针对各类应用均可防护。另外一个解决方案就是CDN的方式。其要点包括：DNS调度；不受带宽资源、ISP限制；CDN加速；源IP不可见；可适用于中国的网络环境；仅针对WEB应用有效；疏堵结合，分而治之。

网宿抗D的产品包括WSS和DMS，技术包括DNS调度、DDoS清洗和应用层防护。

IXIA应用和安全业务发展总监  孙震

IXIA应用和安全业务发展总监孙震分享关于通过网络靶场对企业云安全进行保障的议题。

网络靶场是一个实验的环境，不是一个现网，不是生产网。它的目标是仿真真实网络的各种行为、仿真出配置当中的复杂情况。仿真的目的是根据实战来进行设计和后续培训。过去的靶场存在的问题包括太复杂、可扩展性不够、可操作性不好、价格昂贵。

怎么为企业建立一个网络靶场？怎么帮助企业通过网络靶场打造一个比较安全的企业云环境？首先肯定我们有大量的环境。环境主要分三部分：第一部分就是最下面的流量发生器，它主要仿真出业务的发送和接收；中间叫网络可视化设备，用于建拓扑，实现流量进行颈项或者引流；第三个是服务器，要搭建一些常用的、开源的。在靶场的建设过程当中，人员的培训是它最重要的一方面。

关于IXIA网络靶场，他提到其关键因素是用户仿真、流量仿真、目标仿真。流量客户端仿真应根据靶场的目标和需要来进行用户归类和划分。仿真企业网上的各种流量和行为包括：各种业务流量、应用协议和场景的仿真；各种攻击、病毒、DDOS、BOTNET等的仿真；各种黑客的行为仿真。

国家互联网信息办公室网络安全协调局  张恒

国家互联网信息办公室网络安全协调局张恒分享了政府部门云计算服务网络安全管理的探索。他主要从政府部门云计算服务的发展与挑战、云计算服务网络安全管理政策标准、党政部门云计算服务网络安全审查三个方面进行了分享。

云计算上升为建设网络强国的重要支撑：政府部门要加大采购云计算服务的力度，探索基于云计算的政务信息化建设运行新机制；加强事中事后监管，为云计算创造更大市场空间，带动云计算产业快速发展；加强云计算服务网络安全防护管理，加大云计算服务安全评估力度，建立完善党政机关云计算服务安全管理制度。云计算成为构建服务型政府的创新举措。政府使用云计算服务的困境是安全挑战和管理挑战。

云计算服务网络安全管理政策标准要求从政策、标准到实施，统筹加强政府云服务网络安全管理。

统一组织党政部门云计算服务网络安全审查。中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查。重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。核心目的：通过审查，降低云计算服务的安全风险，增强政府部门采购使用云计算服务的信心，促进我国云计算产业健康发展。审查的机构包括协调组、专家组、审查办、第三方机构。

编辑：李子健

本文为ImapBox原创文章，未经允许不得转载，如需转载请联系market#csdn.net(#换成@)