【51CTO.com原创稿件】近几年，越来越多的企业选择能够让自身业务更加聚焦的专有云。伴随专有云所承载的业务量及系统重要性的不断提升，专有云的安全防护也成为企业机构重点关注方向。那么，相较于公有云，专有云/私有云场景下安全管理有何特殊之处?难点在哪?企业应该如何做好专有云安全防护?可以采用哪些措施来提升专有云的这种安全管理运营能力……

近日，51CTO记者采访了腾讯安全运营中心SOC产品负责人洪春华。针对企业专有云安全管理问题，记者连发十问，看专家如何接招。

腾讯安全运营中心SOC产品负责人洪春华

Q1：您好！请问相较于公有云，专有云/私有云场景下安全管理有何特殊之处?难点在哪?

洪春华：云与业务相辅相成，业务依靠云平台快速发展，同时也推动云平台建设。很多机构或行业根据自身业务特点，需要选择专有云平台。其实专有云平台对他们来说，相当于是一个公有云平台，以公有云的方式向子公司提供云服务。类比腾讯的公有云，我们需要做哪些安全的管理?首先是云平台管理，腾讯安全中的云鼎实验室就是专门来负责云平台安全的，面对的是云租户，作为云平台提供方，腾讯云有责任提供安全的产品和工具给租户使用。这里的挑战在于，采用专有云的企业，是否有足够的安全团队去同时覆盖云平台和云租户的安全。

其次，在公有云上，基于腾讯云责任共担模型，腾讯提供产品和工具给租户，租户也有责任和义务一起实现安全运营。而此时就出现了另一个挑战点，采用专有云的企业是否能够与租户或着旗下子公司有这样一个责任共担模型，大家的权责是否统一。

综上所述，主要有两大挑战：一是，基于云平台侧整体，是否有能力实现整体安全运营。二是，你与你的租户/子公司，是否有权责分明的租户模式，落地了责任共担模式。

Q2：针对专有云安全的特殊性和防护难点，企业一般会如何应对，存在哪些问题，应该如何改进?

洪春华:多数企业在上云或者构建专有云过程中，选择防火墙、IDS、IPS等传统安全设备，甚至硬件化的方式部署在云中。这种方式与云的自身特性不是十分契合的，因此我们建议：一定是要用云的方式来保护云!

可采用安全运营平台形式统一管理，在保证弹性的同时实现安全。比如腾讯安全运营中心将端、管、云三点结合，形成一个较为完善的云平台解决方案。在租户安全的防护上，让租户或者是个子公司的业务方，一定要参与到云的整个运营管理过程当中。在腾讯安全运营中心(专有云SOC)中内置了多租户运营模式，每个租户只能看到和运营自己的数据。一方面实现了安全责任共担，另一方面也方便安全人员清晰了解每个租户的安全情况，了解对哪些租户投入的时间较多，同时也能得出在安全运营上的人效比。

Q3：目前选择专有云的企业主要来自于哪些行业?这些不同行业的企业，在专有云的安全防护上是否应有所不同?

洪春华：一般选择构建专有云的企业对安全性要求较高，也为了满足国家政策法规的要求。所以目前选择专有云的企业主要来自于政务行业、金融行业、传媒行业。以政务行业为例，其业务数据敏感度较高，采用专有云模式更安全。再比如传媒行业，由于其业务特点通常会涉及三种云，该行业需要在安全的环境下，实现对视频的录制、编辑以及存储。同时，为了保证视频能够安全地对外开放给用户观看，就选择了采用专有云形式对外提供服务。最终，传媒的内容要分发出去，就可能会采用公有云上的CDN模式，从而形成了一个非常复杂的混合云态势感知的场景。

Q4：作为企业安全管理人员，他们可以采用哪些措施来提升专有云的这种安全管理运营能力，能否从您的角度给他们一些安全建议?

洪春华：安全运营一定是体系化的，不仅仅包括产品、技术，还包括人员、流程等。首先，企业必须组建专业专职的运营团队。其次，规范流程。例如：与租户间的责任共担流程，事件处理流程等。第三，选用较好的安全运营产品，比如通过腾讯安全运营中心实现统一的安全运营。通过以上三点，即可解决大多数安全问题。

另外，从技术角度来说，采用“端、管、云”模式，在主机端，采用EDR模式对主机端进行检测与响应;在管道上，基于传统的规则和行为分析进行全流量检测;在云端，构建统一协调的安全运营中心，实现云租户和云平台双重保障。

Q5：上面也谈到了技术层面的问题，当前AI发展的势头正猛，所以想请您聊一下，现阶段在云安全的领域中有哪些已经落地的AI应用实例?未来对专有云的安全运营工作会带来哪些影响?

洪春华：其实，大家都十分看好AI，并做了很多尝试。AI在安全运营中的应用主要有两方面：

一方面，用于流量检测。通过AI检测发现未知的东西。我们知道，很多产品都是基于规则发现已知威胁，那么对于未知威胁，可以利用AI去检测发现，找出潜在高级威胁。

另一方面，用于安全事件分析。面对检测产生的大量告警，可通过AI进行安全事件分析。在这里腾讯采用了“点、线、面”的方式，所谓点，就是根据点对点见得关联关系，做关联规则的运营。所谓线，就是将某一台主机或者某一个资产上发生的安全事件连成线，得到一个时序图，采用机器学习的一些算法找出表现异常的那些点，得到最终的异常情况。所谓面，因为攻击往往都是横向的，将安全事件用知识图谱的方式表示出来，能够很清晰的看到假如设备A被攻陷后，黑客是否又横向攻击了B甚至是C设备。如果BC设备被攻陷，是否又对其他设备进行了横向渗透?这样整个链条就会非常清晰。最终，通过将“点、线、面”关联，给这台A设备打异常分。

总之，在安全运营中应用AI后，检测覆盖面更广，分析效率更高，为安全运营人员的工作效率带来了很大程度上的提升。此外，通过对安全运营专家在日常工作中的记录，采用AI技术的腾讯安全运营平台可自动学习，在处理已经出现过的类似安全事件的时候，可以给出相应的安全建议。相当于降低了安全人员的操作门槛，让高级安全运营人员的经验得以积累、传承、优化和迭代，甚至平台可以新入职的安全人员在遇到某个问题时该如何处理。

Q6：专有云环境下安全威胁多样，购买多种安全产品是否就可以完全防范外部攻击?另外，在重保时期，企业应如何有效协调这些安全产品，应对大流量下的集中攻击?

洪春华：企业购买多种安全产品是非常常见的现象，虽然看似多种多样的产品做到全方位的保障，实际并非如此。部署多种多样的安全产品后，随之而来的就是多样化的大量告警，给安全运营人员的分析带来了巨大挑战，毕竟人的精力和时间是有限的。往往，有效的攻击会被淹没在海量的告警中。此时，告警的处理，对检测效率和响应效率要求很高，所以我们推荐使用高效统一的安全运营平台来协调，由其充当“大脑”的作用，协调各个产品间的联动与响应，对所有告警进行高效分析，找到可疑攻击，评出威胁等级，给出响应措施，最终形成统一的、规范的指挥作战系统。

Q7：还有一种情况，有些企业购买了各个供应商的云环境来构建多云环境，在这种情况下如何做好多云环境的安全运维工作?不同供应商的云环境能否有效打通并进行统一管理?

洪春华：前面我提到了传媒行业的多云，这里我们还是以传媒行业为例。比如，某媒体的内容分发放在腾讯公有云上，内容的生产放在自家私有云上，一些业务逻辑服务放到专有云平台，那么这就是一个典型的混合云模式。这种情况下，就要将三朵云拉通做统一运营。利用腾讯的公有云安全运营中心，实现公有云上数据的采集和资产汇聚，然后将信息汇集到专有云。再讲私有云的数据统一汇聚，统一管理。此时，运营人员即可在这样一个一站式的平台上高效工作，实现多云环境跨平台的安全防护。

但是当机构采用了多个云品牌时，安全防御又面临更大的挑战。比如，腾讯云提供了安全运营中心(专有云SOC)，能够自动盘点CDM、CLB(负载均衡Cloud Load Balancer)、数据库等所有资产。那么在支持其他云平台时，则需要与供应商协同，而多供应商之间的协同也是颇具挑战性的工作。

Q8：在全国连锁的大型企业中，各个分公司可能会根据自身和当地的实际情况来设置不同的云环境。针对这种情况，总部要如何打通区隔，在安全层面上进行统一管理?

洪春华：其实，这是一个大型企业必然会遇到的问题。要想实现安全上的统一管理，建议采用多级架构。为什么?对于分公司和总部来说，他们想要看到的内容是不同的。分部想要看到整体的安全情况，每个细节的安全运营情况。而总部可能只是履行监管类职责，希望看到的是分部的大概情况，并不承担整体的安全运营状态。因此，分部只需将最终的一些安全状态同步上报总部即可，通过安全管理平台，总部就能掌握每个分部的安全情况。当发现问题时，总部可以采用简单的工单模式，下发到分公司中，以便IT团队响应。

此外，也可采用总部统管模式，分部的模式是采用分级架构，将安全信息全量同步至总部，由总部安全运营人员掌控整体安全情况，将得到的结论反馈给分公司安全运维人员落地执行，从而实现统一管理。

Q9：智慧城市建设中，安全也是重要的一部分，针对整个城市范围内多个部门、机构的复杂状况，比单个企业复杂太多，目前城市安全管理一般如何开展，后续如何优化?

洪春华：Wecity智慧城市是腾讯云的重要业务之一，在智慧城市的建设过程中，关于政务云的建设必不可少，因为各种涉及民生的智慧业务需要基于政务云落地实现。城市安全运营中心需要从两个层面考虑：

一是，针对政务云自身的安全，及该云平台上的业务安全。腾讯Wecity包括应用中台、数据中台和AI中台，在上层中台层面还有安全中台，安全中台是腾讯安全运营中心的一个整体集合，也就是基于政务云本身的安全运营。城市安全运营涉及云平台和安全中台的能力。二是，满足政府的各个委办局的独特需求。比如卫健委需要对下属医院进行监管，履行安全保障的职责，需要做统一的安全运营管理。举一个新冠疫情期间的案例，此次疫情催生了很多疫情小程序，比如：健康码业务就部署在专有云平台，也有可能是部署在腾讯云上。这些云平台都是用腾讯安全运营中心的能力实现的安全运营。

Q10：最后，我想问下关于等保的问题。等保2.0的全面实施后，上云企业的合规需求更加强烈。那么，等保2.0对专有云安全管理如何规定，要达到合规企业要怎么做?

洪春华：我们知道，安全运营中心是等保的必须品。等保2.0提出了“一个中心，三重防护”，其中“一个中心”指的便是安全管理中心，即针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的信息安全整体保障体系。

在此背景下，腾讯安全运营中心(专有云SOC)贴合等保相关要求，并辅助企业制定等保方案，首先是通过安全运营中心解决这样一个安全管理，一个中心有与无的问题。第二，我们在这个产品里面其实内置了很多关于等保的持续性评估的一个手段建议的方法，这样客户就能够依托于我们这个产品去满足自身的查缺补漏。

目前腾讯安全运营中心(专有云SOC)已在国家人社部、医保局等专有云建设项目中落地应用，通过对安全事件、漏洞、资产等安全要素的全方位运营，在政府、金融、能源、医疗等多个行业助力政企客户满足等保合规中对安全管理中心的相关要求。

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】