伴隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等新計算等崛起，萬物互聯(lián)的數(shù)字經(jīng)濟(jì)時代已經(jīng)到來，各行各業(yè)開始數(shù)字化智能化轉(zhuǎn)型。業(yè)務(wù)上云、數(shù)據(jù)互聯(lián)互通，給企業(yè)帶來深刻革命的同時，也讓企業(yè)IT架構(gòu)發(fā)生了翻天覆地的變化，一場關(guān)于網(wǎng)絡(luò)安全架構(gòu)的技術(shù)革命正在進(jìn)行。
企業(yè)上云的安全要求
IaaS的網(wǎng)絡(luò)訪問存在一個重大的安全挑戰(zhàn)，作為云安全責(zé)任共享模型的一部分，網(wǎng)絡(luò)安全直接依賴于企業(yè)。僅依賴于身份驗證就將私有云資源公開到公共互聯(lián)網(wǎng)，顯然不符合安全和合規(guī)要求。因此，企業(yè)需要在網(wǎng)絡(luò)層彌補(bǔ)這一差距。在企業(yè)上云的過程中存在兩個需要解決的根本問題：
1、安全地遠(yuǎn)程訪問：
所有的云用戶都是遠(yuǎn)程的，這意味著無論網(wǎng)絡(luò)連接是公共互聯(lián)網(wǎng)還是專用的直接連接，與云的通信都是在網(wǎng)絡(luò)連接上發(fā)生。
企業(yè)通常通過使用VPN解決這一問題，通過建立點(diǎn)到點(diǎn)的VPN，或者從用戶的設(shè)備通過VPN集中器直接連到云?；蛘撸Y(jié)合上述兩個方案，將用戶從其設(shè)備通過VPN連接到企業(yè)網(wǎng)絡(luò)，再通過點(diǎn)到點(diǎn)的VPN進(jìn)入云端。
使用VPN在技術(shù)上解決了安全的遠(yuǎn)程訪問難題，它為用戶設(shè)備到云網(wǎng)絡(luò)的網(wǎng)絡(luò)通信提供了安全、加密的隧道。但這同樣存在一些缺點(diǎn)，特別是如果所有的用戶流量都需要先到公司網(wǎng)絡(luò)，然后再去訪問云，這將帶來額外的延遲，造成單點(diǎn)故障，并可能會增加帶寬成本和VPN授權(quán)的購買成本。通過VPN直接從每一個用戶的設(shè)備連接到云有助于解決一些難題，但可能會與用VPN同時進(jìn)入企業(yè)網(wǎng)絡(luò)的需求發(fā)生沖突。
2、用戶訪問的可見性和可控性：
不管用戶如何進(jìn)入IaaS環(huán)境，安全團(tuán)隊仍然需要控制在IaaS環(huán)境中哪些用戶可以訪問哪些資源。
IaaS平臺提供了內(nèi)置的工具來管理這一點(diǎn)，例如AWS中的安全組和Azure中的網(wǎng)絡(luò)安全組，基于IP地址控制對服務(wù)器的訪問。
企業(yè)需要解決用戶訪問問題是安全訪問面臨的最基礎(chǔ)的挑戰(zhàn)，但只被賦予了基于IP地址的訪問控制工具，這對迎接這一挑戰(zhàn)來說是遠(yuǎn)遠(yuǎn)不夠的。
在IaaS環(huán)境下，安全遠(yuǎn)程訪問控制已經(jīng)不再是一個特殊場景。所有用戶都是“遠(yuǎn)程的”，因此，網(wǎng)絡(luò)安全團(tuán)隊需要關(guān)心所有用戶是如何訪問資源的，而不僅僅是用戶的一個子集。也就是說，安全的遠(yuǎn)程訪問控制必須成為一個核心關(guān)注點(diǎn)，并且是采用IaaS的任何企業(yè)的整體策略的一部分。
“云安全”和“安全云”的區(qū)別
此外，“云”和“安全”這兩個詞雖然只是前后顛倒了順序，但卻代表了兩種不同的產(chǎn)品方向，面向的客戶群體也有所不同。
1、云安全
云安全主要指保障云自身及云上各種應(yīng)用的安全，包括云計算平臺系統(tǒng)安全、用戶數(shù)據(jù)安全存儲與隔離、用戶接入認(rèn)證、信息傳輸安全、網(wǎng)絡(luò)攻擊防護(hù)、合規(guī)審計等。伴隨著業(yè)務(wù)的不斷增長，云廠商安全問題日漸凸顯，自身系統(tǒng)被入侵者攻破，用戶數(shù)據(jù)被盜時有發(fā)生。當(dāng)用戶在使用云服務(wù)時，首先考慮的就是數(shù)據(jù)安全問題，這也是很多信息敏感部門不愿使用云服務(wù)的原因之一。
因此，無論是私有云還是公有云，在為應(yīng)用系統(tǒng)帶來可擴(kuò)展、高可用、訪問便利等諸多好處的同時，數(shù)據(jù)受控訪問、云上業(yè)務(wù)防攻擊、云上系統(tǒng)防入侵等都是迫在眉睫的安全剛需。
云廠商的主要優(yōu)勢在于對高并發(fā)、分布式、大數(shù)據(jù)處理等方面積累了大量的經(jīng)驗，有足夠的能力應(yīng)對DDoS等流量類入侵。但對于風(fēng)險分析、執(zhí)行策略、系統(tǒng)實施、漏洞檢測、實時響應(yīng)等綜合安全能力有較高要求的場景來說，從技術(shù)積累、專業(yè)人才儲備、經(jīng)驗積累等角度綜合考量，專業(yè)的安全廠商都處于更優(yōu)勢的地位。
2、安全云
顧名思義，安全云是提供安全防護(hù)服務(wù)的云，將安全基礎(chǔ)設(shè)施云化后，向客戶提供整體的安全服務(wù)。在技術(shù)路線大體上為，創(chuàng)建獨(dú)立資源池，通過軟件定義網(wǎng)絡(luò)技術(shù)，經(jīng)過二層、三層或七層引流，將用戶業(yè)務(wù)流量引入安全組件資源池中，流量經(jīng)過安全云的檢測、分析、清洗，再回注到用戶業(yè)務(wù)側(cè)。
安全云采用云計算技術(shù)，通過新建和整合安全基礎(chǔ)設(shè)施資源，優(yōu)化安全防護(hù)機(jī)制，來保護(hù)企業(yè)信息化系統(tǒng)，不僅能夠符合國家安全等級保護(hù)要求，也避免了過多的資源浪費(fèi)，達(dá)到了安全防護(hù)能力按需定制化的目的。
安全是云計算的基石，針對云安全的防御之戰(zhàn)，將是一場持續(xù)、持久的戰(zhàn)爭。企業(yè)上云是企業(yè)數(shù)字化轉(zhuǎn)型的重要途徑，切實從企業(yè)角度思考打消決策者對于上云的安全顧慮，幫助企業(yè)梳理業(yè)務(wù)系統(tǒng)重構(gòu)問題，以及降低可能會面臨的云服務(wù)系統(tǒng)風(fēng)險，才能跨越企業(yè)上云的重重難關(guān)：http://www.xinnet.com/cs/product.html