C编程语言的主要应用到哪些方面？

传统的国内外硬件安全厂商(如绿盟，山石网科等)也开始提供软件化的安全产品和服务，通过软件定义安全SDS架构，可以提供相应的API和openstack等私有云平台进行集成，实现防火墙、负载均衡、入侵检测、入侵防御、WAF等安全功能集中管控的同时，也可为租户提供所需的安全服务。也有一些硬件安全厂商(如深信服，天融信等)，通过超融合系统设备，直接在私有云环境中整合自身的各类安全产品，为租户提供一体化安全服务。

相对而言更具竞争力的是那些推出混合云解决方案的公有云厂商，基于其自身公有云安全建设和安全服务经验，也许可以为私有云租户提供更加合适、可靠的安全产品和安全服务能力。

因此对于混合云环境下的私有云安全能力建设，企业需要在传统安全厂商和公有云厂商的安全产品解决方案中做出艰难抉择。

1.3 混合云环境下的服务器、容器、无服务器应用安全

混合云环境下,企业业务运行的支撑环境包括服务器、容器或无服务器应用(如AWS上基于事件驱动的Lambda函数)，这些业务运行环境的安全是企业需要重点考虑的安全问题。Gartner在 17 年提出了云工作负载安全平台CWPP (Cloud Workload Protection Platforms)的概念，主要就是致力于解决云环境下业务运行环境的安全性问题。根据产品聚焦的不同安全内容，CWPP产品又可细分为以下7类：

• 支持多种类型操作系统功能
• 漏洞扫描，配置和合规性功能
• 基于身份的细分，可见性和控制能力
• 应用程序控制/所需的状态执行功能
• 服务器EDR，工作负载行为监控和威胁检测/响应功能
• 容器和Kubernetes保护功能
• 无服务器保护功能

混合云环境下，企业应根据自身业务系统实际运行环境，如操作系统类型，是否使用容器，是否使用k8s，是否使用无服务器应用，是否有合规需求等，选择合适的CWPP产品。此类产品包括青藤云、安全狗、阿里云等多家独立安全厂商或公有云厂商产品。需要特别注意的是，选择的CWPP产品是否支持或如何支持混合云方式部署，以便后续的统一管理和维护。

1.4 混合云环境下的数据安全

其实不管是混合云环境，还是传统IDC环境，数据安全都是信息安全的重中之重。

混合云环境下，企业数据会同时在公有云和私有云中传输和存储，从而增加了数据被监听窃取或被篡改的风险。因此公有云厂商一般都会提供数据加密、密钥管理、敏感数据发现、敏感数据脱敏、数据库审计、数据库防火墙等安全技术和安全服务以保护云租户的数据安全。

另一方面，由于公有云厂商自身也会出现如服务器宕机或服务中断事件，从而导致云租户数据丢失的事件也有发生，所以实际操作过程中，大多数企业仍然倾向于划分公有云环境和私有云环境为不同安全等级(或信任级别)的区域，公有云环境更多用于部署业务前端应用并按需扩展，业务敏感数据仍然选择在企业可控的私有云环境进行存储。

一些传统数据安全厂商(如美创，昂凯科技等)也已推出自己的混合云数据安全解决方案，涉及数据库运维管理平台，数据库审计系统，数据库脱敏系统，数据库防火墙，数据库加密系统等多种软硬件产品。

对于企业信息安全或者是数据安全管理部门而言，混合云场景下的数据安全仍应遵循数据全生命周期安全管理理念，需要对公司各类数据进行梳理和分类分级，从数据生成和采集，数据传输，数据存储，数据处理，数据交换，数据备份和恢复，数据销毁整个生命周期进行风险评估，选择和实施适合混合云场景的数据安全技术、数据安全产品和安全管理措施，从而真正保障企业数据安全的同时，也可以满足企业需要遵循的各类数据安全标准、法律法规和行业合规要求。

1.5 统一的混合云安全管理和运营平台

混合云架构下的信息安全运维和运营管理涉及到公有云和私有云环境中的多种安全产品和安全实现技术，从信息安全管理部门的运维和运营效率，以及安全管理的一致性体验角度考虑，需要可以通过一个统一的安全管理平台实现集中化管理。

如果选择公有云厂商提供的私有云安全解决方案，厂商通常会提供统一的安全管理平台实现对公有云和私有云安全设备和安全服务的集中管理。

对于一些安全产品线较为完善的硬件安全厂家(如绿盟，深信服等)，也会推出基于自有安全设备的混合云安全解决方案。通过在公有云环境开辟一个单独的安全管理区域，部署自有各类软硬件安全产品来替换公有云厂商提供的防火墙、WAF、DDOS、堡垒机、入侵检测设备、漏洞扫描系统、日志审计等安全服务，同时在私有云环境同样部署一套类似环境，实现对自有安全产品的统一管理。此类解决方案通常实施成本较高，存在重复部署问题，同时安全防护能力依赖于厂商现有的安全软硬件产品体系完善程度，不一定能够真正满足企业的实际安全需求。

如果选择原生Openstack或基于openstack二次开发的私有云平台，如需实现统一的混合云安全管理平台，就会涉及公有云厂商安全服务API接入开发，所选硬件安全厂商提供的安全API接入开发，甚至需要硬件安全厂商的二次支持开发，目前来看，开发工作量和实现难度很大。

1.6 统一的混合云运维管理通道

对运维人员来说，混合云架构意味着需要在一个或多个公有云环境和私有云环境分别进行系统安装、服务部署、应用发布及日常的更新维护工作。针对私有云环境进行运维时，需要登录公司内部堡垒机进行操作，针对公有云环境进行运维时，需要登录公有云厂商提供的管理平台进行操作。同时对于公司安全管理部门来说，也需要在多点部署安全设备或安全工具，实现运维账号和运维权限管理，用户登录和操作日志审计等方面的安全管理工作。

混合云环境下，运维或安全管理部门，可选择一款多云管理平台(如新钛云服提供的TiOps多云管理平台等)，运维人员可以通过统一的平台入口，实现多云资源(包括公有云、私有云、物理机和容器)管理、自动化运维、k8s管理、公有云成本管理、CMDB、监控告警等运维工作，同时实现用户角色和权限管理、用户登录和操作审计及回放等安全功能。

1.7 混合云环境下的安全合规需求

不同类型的信息安全法律法规条款或安全合规认证内容，都是基于其关心的安全目标和定义的安全检查对象，通过具有不同安全侧重点和不同安全要求的多个检查项，对信息系统及其支撑、运行环境进行安全检查、测试和审计，以确认信息系统及其支撑运行环境中，采取的各类安全措施是否符合需要的安全要求。混合云环境的合规检查对象，一般都会涉及公有云厂商基础架构、公有云业务、私有云平台和私有云业务。

比如混合云环境下的等保2.0合规认证，需要分别考虑公有云环境和私有云环境下的等保合规问题。对于公有云业务，首先要求作为提供基础设施服务(云计算平台)的公有云厂商，必须具备不低于应用系统等保定级级别的网络安全等级保护资质，然后再对企业的公有云业务(云租户信息系统)进行等保测评工作。对于自建私有云业务，也是首先需要对云计算平台进行定级和测评，然后再对私有云用户业务系统(云租户信息系统)进行定级测评，同样需要私有云平台的安全保护等级不低于其所支撑的业务系统的最高等级。



 

（编辑：保山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!