企业动态

    “上云是常态，不上云是例外。”当前，以云计算为代表的数字技术与各行业的深度结合，引领着新一轮数字化浪潮。与此同时，云平台上承载了大量关系国计民生的业务系统和数据，其安全性、稳定性关系到国家安全、社会生产生活的有序开展，作为关键信息基础设施的金融行业更是如此。

    某金融央企在日益复杂和严峻的网络安全形势之下，通过和国内领先的网络安全公司奇安信合作，探索出了一条兼顾合规保障和运营提效的云安全建设之路。

    一、云建设提速，云平台安全防护成为重中之重

    随着金融科技的不断发展，云计算技术已经逐渐成为金融行业的重要支撑。云计算技术通过其高度可扩展性和灵活性，可以为金融机构提供更高效、更安全的服务。客户很早就意识到云计算的技术潮流成为大势所趋，并开启了云计算建设的进程。

    据相关负责人介绍，为了实现财务信息化建设目标，客户计划以现有行业数据中心互联网区域网络架构为基础， 通过部署云计算资源池、云安全资源池，建设基于 IaaS 架构的互联网云平台，以满足财务系统 PaaS 平台等对计算资源、存储资源、网络及安全的需求。

    在兼容性方面，平台系统的设计和建设实施应立足于行业信息中心现有整体架构和规范体系，充分考虑各产品和平台间的协议、接口兼容性，切实保障新建平台对当前主流软、硬件厂商产品的兼容性。

    在安全层面，客户对于云平台的安全防护给予了高度重视。据介绍，金融行业由于涉及大量敏感数据和资金交易，一直是黑客攻击的重点目标之一。相较其他行业，金融行业在云上遭受的攻击次数不仅频繁，攻击手段也更加高级和隐蔽。尤其是在国内某发达地市曾发生了一起云上数据大规模泄露的重大信息安全事件，造成非常恶劣的影响，侧面体现了云计算所面临的严峻的安全现状。

    对于客户而言，对于云安全的需求，主要集中在以下三个层面：

    首先是云安全威胁监测与溯源需求。当前金融行业普遍针对于数据中心边界的安全防护建设较为齐备，但数据中心内部租户的安全建设覆盖不全，无法形成云上纵深防御体系。因此迫切需要满足云平台内虚拟机之间、租户之间的东西向流量威胁监测能力，对云内流量、资产及安全组件产生的日志开展安全告警分析、关联分析与攻击溯源。

    其次是云资产的安全梳理需求。客户的云上虚拟机、容器资产数量很多，给管理带来极大难度，容易成为网络攻击的突破口。因此需要建立云资产信息库，便于开展信息梳理、暴露面分析、资产风险关联分析等等。

    第三是云计算的合规性需求。金融行业是产生和积累数据量最大、数据类型最丰富的领域之一，安全合规是金融行业的底线也是生命线。财务系统作为银行的关键业务系统，需要严格参照“等保2.0”的三级标准来建设，云平台自身及云上租户均需要依照次标准来建设，同时需要满足该标准中的云计算扩展要求。

    总体来看，客户行业数据中心外网硬件资源基础上建设云平台，提供统一的基础设施、支撑软件、应用功能、信息资源、网络安全、应用部署迁移、运行维护保障等云计算服务。通过云管理系统实现对虚拟资源统一调度、管理和运营，实现资源按需分配、动态扩展、智能管理，实现资源的集中与整合。云环境的安全防护是本项目的重中之重。

    二、遵循“三同步”，践行“软件定义安全”理念

    “云平台安全防护是整体项目的重要组成部分，云安全和云计算建设不能割裂来看。”相关负责人表示，客户在云平台安全防护方面，遵循了“同步规划、同步建设、同步运营”原则和“软件定义安全”理念构建云安全资源池。并采用先进技术SDS、NFV的方式构建云安全保障体系，有效防护业务发展安全需求，提供弹性、自助、可视、可管、可控的安全保障能力，为云平台安全保驾护航。

    在具体建设内容方面，主要包括了基础网络、安全资源池、云安全运营中心、云平台、云管平台、数字证书及认证系统、异地备份建设6部分，完全参照《网络安全等级保护基本要求》中等保三级保护要求为控制要求，构建安全技术体系框架，实现行业财务集中管理平台的基础环境安全、云平台与租户安全。

    首先是通过云安全资源池，将安全产品资源池化，支持多资源池弹性部署，从而解决客户快速构建安全合规能力，和多云多区域接入的需求，实现快速交付。

    通过和奇安信的紧密合作，将安全能力整合在云安全管理平台，进行统一运维管理和数据展现，从而解决客户统一运维管理和日志收集报表展现需求，实现统一安全管理；通过云内部署虚拟化安全实现对云平台内的虚拟机之间进行微隔离，同时可防止恶意软件或脚本在虚拟化网络中横向攻击，保障云工作负载虚拟网络正常使用，通过在平台整合安全组件的网络能力，支持如防火墙、WAF的路由编排和策略下发，从而解决客户的安全联动需求，实现安全能力联动。

    在物理部署方面，云安全资源池采用松耦合部署模式，由4台物理服务器组成，每台服务器通过万兆光纤双上联安全管理区万兆交换机，在核心交换机上配置策略引流。

    奇安信云安全专家表示，云安全资源池是中国云安全发展当前阶段，符合国情及市场需求的必然产物。

    这一产品形态的价值也开始被全球咨询机构重视。Gartner在其首个《中国云安全资源池创新洞察》报告中提出，随着数字化和上云用云进程的不断深入，政企寻求以更灵活、敏捷的方式在云上部署安全能力。无论是私有云还是公有云，云服务商往往不会提供企业所需的全部安全能力。云安全资源池支持多云的统一管理、监测和自动化编排，可较好满足“等保”等合规性要求。这一集成型产品可较好的帮助广大客户，缓解其责任之内的云上安全风险。

    其次是通过云安全运营中心建设，第一时间发现威胁，实现从“被动防御”向“积极防御”的进阶。

    云安全运营中心旨在发现云数据中心内部的安全风险和高级威胁入侵行为，提升安全运营效率。通过事前的资产梳理、资产风险识别，事中的高级威胁检测，事后的追踪溯源，形成安全运营的闭环。解决云上资产信息滞后、云内威胁不可见、安全事件响应不及时的问题。

    底层采用的是大数据平台，将数据信息（资产、指纹、漏洞、日志等）范式化，结合奇安信业界领先的关联分析引擎威胁建模、行为基线建模能力，实时发现高级威胁及异常行为。为用户提供了资产、脆弱性评估、威胁发现等相关管理能力，实现对威胁的事前预警、事中发现和事后回溯，对威胁进行整体生命周期管理。进一步提高对网络安全事件的检出率和检测准确率，实现从“被动防御”向“积极防御”的进阶，为安全管理者提供风险评估和应急响应的决策支撑，为安全运营人员提供威胁发现、调查分析及响应处置的安全运营工具。

    三、合规保障、运营提效兼得，云安全能力大幅提升

    该项目的效果显而易见。

    在合规层面，通过云安全管理平台丰富的安全组件，满足客户业务上云后等保2.0的三级合规要求。

    在运营层面，通过云安全运营中心帮助，客户梳理云上安全资产信息，建立云安全资产库，发现安全威胁并精准告警，满足云上业务及租户的流量进行统一安全监测与防护需求。目前，云安全运营中心通过产品不仅帮助客户发现了云上存在未装USS、未管理起来的资产，还对高危资产、中危资产做安全修复，拉高资产的安全分数；同时，云安全运营中心大幅削减了误报量，从客户原来使用的SOC产品上几万条的大量误报告警，到现在仅几十条真实告警，通过告警归并、告警降噪等措施，将安全问题真实展现，并显著降低安全运营工作量。

    “隐患险于明火，防范胜于救灾。”值得一提的是，奇安信云安全工程师依托云安全运营中心，为客户进行了一次全面的安全分析，发现存在着外联资产、僵尸资产、没修补的漏洞、C2恶意域名、Redis未授权等诸多问题。最终，双方通过沟通排查，对问题进行分析定位，进而及时采取相关防护措施，将风险扼杀于摇篮之中。

    当前国际形势复杂，国家级的安全对抗如火如荼。作为关键信息基础设施的金融行业云数据中心，关乎着国计民生和社会稳定，已经成为境外国家背景的APT组织重点目标。客户通过与奇安信合作，建设云安全运营中心，并部署云安全资源池，实现了合规保障、威胁预警、运营提效的三者兼得，为金融行业“业务上云”趋势下的安全建设树立了新的标杆。