产业安全专家谈 | 企业如何进行高效合规的专有云安全管理？原创

其实一个专有云平台，对一个企业或者对于一个行业来说，它其实也是相当于它是一个公有云的平台，它其实就是以公有云的形式存在于这个企业，向他的子公司呃，提供这样一个云的一个服务，那接下来呢，就是说，那我们就可以来看说，类比于我们腾讯的公有云，我们需要做哪些安全的管理，首先它是受众于云平台这一块的管理，那云平台管理呢，那比如类似于腾讯，咱有腾讯安全有云顶实验室，是专门来负责这个云平台的安全的，在上层呢，是面对的是这个云租户，也就我们腾讯云的这些客户租户，那他呢，就对我们云平台来说，我们是有责任来去提供这些工具，安全的产品，安全的工具给到这些租户来使用的，那这里的话就是引出一个问题，就是说那这里的难点就大家就知道了，那我们的这些采用工专有云的这些客户，他是否有足够的这样一个安全团队来去同时COVER2大块，覆盖到两大包括云平台和云租户的安全，就这是一个很大的一个挑战和难点。第二个点。

那就是说我们在公有云上，我们跟租户是有一个在责任工单模型在这里面的，就说我是提供这个产品和工具去给到租户，租户你也是有责任和义务来一起做安全的一个运营的，那这样的话就是说我们在另外一个挑战点，就是在于说我们的这些采用专有云的客户，他是否能够跟他的租户，或者他下面的子公司或者子行业能够有这么一个责任的供单模型，大家的权责是否是统一的。所以总结下来就是两大挑战，一个就是平台侧的一个整体的，你是否有这个能力来去做这个整体的安全运营，其次就是你跟你的租户，你的这些子公司，那是否有这样一个权责分明的一个租户模式，呃，责任工单模型的一个模式的一个落地。

其实呃，在这个企业多数上云的过程当中呢，或者用这种构建专有云的过程中，很多企业就是用把防火墙，Idsips，或者是这些其他的传统的安全设备，安全产品，呃，甚至硬件化的方式部署在我们的云云上面去，那这种方式的话，它其实是跟我们云本身其实是不太契合的，我们知道云本身是一个很弹性的一个呃，很自动自动化的一个一一个模式，那这种用非云的方式来去做的话，比如类似于举个例子哈，就是说如果是这种容器，那容器里的安全到底怎么做，而且这里面还涉及到说这个容器到底归属于谁，那传统的用这种画DMJ区或者是分区分域的方法的，可能在云这个环节上其实是不是特别适合的。

我们建议就是说一定是要用云的方式来保护云，那这里呢，就体现了一个叫一定是弹性的一个能力，包括类似于我们提出来的在主机端，然后要用我们的一个端点的防护，就主机安全的防护，然后在我们的这个流量测的话，我们要去做流量的检测，那在这个基础上的话，我们用我们的这个安全管理平台，然后去做统一的安全运营工作，就是说我们用端管云三个结合在一起的话，就是做成了一个较为完善的一个云平台方面的一个解决方案，那有了这个方案的基础上的话，那我们也刚才提到的就是租户，那这一块到底应该怎么去做呢？就是租户的安全，他应该是说我们一定要去采用类似于呃，要让租户就或者是我们的这种各个子公司的业务方一定要能参与进来，到我们的这个云的整个运营管理的呃过程当中来，那我们在我们的安全呃管理中心，就是我们的S这个产品里面呢，其实是内置了这么一个叫MSS的模式，就是说我们。

是针对每个租户，他能各自看到自己的数据，能够各自运营自己的数据，那这样的一个方式就是说业务方他同时能够参与进来，那这个责任是大家是一起共担的，并且对安全人员来，他可以知道说哪个租户的安全情况，并且最后是在哪个租户在上面我们投入了是最大的时间，那这里的一个人效比是很能够去算出来的。一般用专有云的，呃，客户的话，他其实是一个对这种安全要求比较高，并且是可能是有一些他的政策法规上的一些要求比较多的，类似于说政务金融啊这些呢，还有媒体传媒，媒体这些行业呢，都是会更多的采用这种专有云，为什么呢？就是因为有类似于政务，我们可能是他对这种数据啊的敏感度，然后对这种业务的敏感度是比较高的，那他会采用这种专有云的模式，然后还有金融也是我们都知道的，这时候是民生的一些工程，举个例子，就是说我们做的一个case，就是传媒类的，因为我们的媒传媒一般这种它其实是会有三种，为什么呢？就是说它的业务特点是什么呢？就是一种就是说类似于说这种视频的一些生产，类似于说一些录制的过程，然后一些编辑的过程呢，它这里呢，是需要去做一个，就是说这种很安全性要求高的，因为这里面就涉及到他的视频的原材料的一些一一些存储之类的，那第二呢，它同时又要提供给普。

普通的消费者就是我们的视频观看者，然后去做这样一个对外的一个服务，那就是说他要去对外去，那他一般讲这种形式呢，他就采用这种专有云的形式，它对外，那同时第三个呢，就是说他因为他的内容是最终要分发出去，他可能就会采用公有云上的CDN的模式，所以他这这种模式串起来的话，它就是一个非常复杂的一个叫混合云的态势感知的这么一个场景。

整个安全运营的话，它其实是一个一定是一个体系化的，就是它不仅仅是包括这种呃产品或技术，还有包括人员，还有包括流程，是类似于说首先他必须要有一个呃专业的和专职的这样一个运营的团队，呃第二呢，就是说他要规范一些流程，包括我们刚才提到的就是说我们给到呃这样一个跟租户之间的一个这样一个呃工单流程也好，或者是事件处理的流程也好，那这里的流程一定也是要去规范的，然后最后的话就是选用一个比较好的这么一个产品，做到一个统一的这样一个呃安全的运营的一个过程，那呃有了这个这个几个点了以后呢，他就能够去呃解决大多数的他的一个这样的一个安全的问题，那接着呢，我再从技术角度去说的话，其实是涉及到这样一个，呃，通过一定要去采用一些呃，在主机端，然后有一些这样一个e drr的模模式，然后去做一个主机端的一个检测与响应，然后再。

从流量层面上，不仅仅是基于传统的规则，还有基于行为分析的这种全流量的一个检测，那这个人呢，就是说深入到技术细节里面去，也就我们一直在讲的就是说端管营的模式，在管道上我们要一定要去有流量的一个覆盖，在端点上要有一个终端安全的产品，然后在云端要有一个统一的协调的一个这样一个安全运营中心的产品，然后去构建这一套产品，那有了这套产品的基础上，这套体系的基础上的话，我们有这种人员的保障，流程的保障。那呃，整个AI在安全领域的应用的话，在安全运营当中的应用的话，它主要是两大块，呃一部分呢，就是用来做检测，就我们不管是在流量当中也好，在这种主机上也好，我们要用AI去做一些检测，就是去发现未知的东西，那有了这个检测这个环节了以后呢，大家一定会知道说，就是说我们现在告警已经很多了，那我们如何去处理，那这里就涉及到这样一个分析，就是安全事件的一个分析，那我们在安全事件的这个分析这一块的话，我们采用的一个方式呢，就是我们把它归纳成叫点线面，什么叫点线面呢？就是说在呃点上。

就是用关联规则，就是点对点之间的一个关联关系，然后我们去做一个关联规则的一些运营，然后线是什么意思呢？线就是说我们通过某一台主机上，或者是某一个资产上面，然后发生的这些安全事件，我会将它连成线，在这线里面我一个时序图，有了这套时序图了以后，我再用一个机器学习的一些算法，用异常检测的算法，将它线上面最异常的那些点找出来，那这样的话我就能够知道说这台机器它的一个异常的一个情况到底是怎样的，就类似于说我假呃同时运营的主机数可能是几千几万，那我可以在这里面去找出来top，排出来说哪十台机器可能是最需要我去优先关注的。

那这个叫做我将这个呃事件发生的这种线连接起来，然后面是什么意思呢？就是因为攻击往往都是有横向的，有从这台机器A到A机器到B机器这样一个过程，那A机器B机器可能有C机器的参与，那我再将这些安全事件呢，再用知识图谱的方式，将这些攻击的事件用图谱化表示出来，那图谱化表示出来了以后呢，他就能够很清晰的去看到有类似于说我A机器被攻献以后，他是否有去攻献B和C，那如果BC没有有攻线的话，那他BC它是否又对其他的机器进行了一个横向渗透的一个过程，那整个这个一个链条的话，就会非常的清晰，那所以我就刚才说的，就点线面通过关联，然后通过这种单机器维度的一个事件，然后去给这台机器打异常的分，然后再通过面，就是说支持图谱的方式，把整个图谱给给给串串起来。

这个这个是有的，比如类似于说我们现在在AI里面，我们会去做一个什么事情呢？就刚才图谱，那我可能是，呃，我今天去处理了一个事件，那他的图谱的长人就是说这种A的这个样子的，那通过这个我去提取的这个特征了以后，我能自动的在我每天的事件里面去找到跟我这个图谱结构一样的画像出来，那我这样的话，这些事件呢，我就可以统一一次性进行处理了。其实这个是一个非常常见的一个现象，就是大家会购买，类似于说ids会购买多套，然后WF可能也会购买，购买多套，然后通过这个多套呢，然后再去做这样一个，呃，安全的一个管理和运营，那这里其实是引入了一个，呃就说他一个挑战点是什么呢？就是说它相当于他产生的告警是多样的，然后信息会更加的繁杂，那因为安全运营人员他毕竟人数是有限的，而这个团队他的精力，他的时间也是有限，那他是否能够处理的过来这么多的事情，其实这是一个非常大的一个挑战，那如果你处理在这个过程当中，呃，就是最后可能最后都变成了一个呃垃圾的告警了而已，呃我们能够拿到的真实的有效的攻击，往往被淹没在这种呃海量的告警当中去了，那在这种重保过程当中，他其实呢，对这种。

效率的要求是非常高的，一方面就是检测效率，第二方面就是响应的效率，就是说在能够快速的检测出来说发现有人在攻击，然后有人在渗透，那第二这检测出来了以后，你要立马就知道说我该如何去响应，我是否应该要呃将这个连接给断掉，我是否要将将这台主机给关闭等等这些操作，那这些操作呢，他肯定是需要有一个统一的一个运营平台来去做这件事情的，统一的去协调，所以我们比较推荐的一种方式依然是端管云的这种模式，就是说你在核心的点上一定要有核心的产品，包括我们的流量分析，就是在流量当中去检测问题，然后在主机端去去发现更多的这种落落到本地的一个问题，那其实它本身是一个众生的一个防御，那再结合我们的这个安全运营中心去做一个整个大脑的作用，就是说我能够去知道说去做一个快速的一个分析，然后去协调每个产品之间的一。

一个联动与响应分析的效率是一个非常关键的，你是一个指挥官的角色，你能拿到下面上报上来的所有的这些告警，然后告诉你说我现在发现一个可疑攻击，刚才提到的我们的AI也好，我们的规则关联引擎也好，那通过这些东西结合在一起，能够快速知道说我这个攻击是一个，呃，严重等级是如何的，那我的对应的措施是怎样的，我就去联动我们对应的这些，呃，旁路主单的设备也好，或者是我们的防火墙设备也好，最终形成这样一个统一的正规的一个类似于指挥作战司令部的这种感觉。

去年在做这样一个大型的这样一个国有银行的一个案例，最后他是一个呃临时分的这样一个非常好的一个成绩，在呃事前的话去做这样一个资产的一个梳理，就是说我们用我们的安全运营中心，然后去做整体的资产盘点，我们能够知道说哦他在哪一个地方，可能是有什么呃组建哪些可能是老旧的服务，它其实是呃遗漏的服务，需要把这个服务给呃给整改，或者是重新上线等等，那这个呢，就是事前的一个整体的一个呃盘点的过程，那这个盘点过程是非常重要的，就类似于包括他可能不小心对外开放的一个，他以为是内部的这样一个业务或者是服务，那呃之前有了这套了以后，那就可以把这个攻击面，就是说收敛到最小，那在事中的话，我们配合正如刚才提到的，就是他采购了不少的这种安全产品，那我们依然是推荐说我们在我们的这些流量层面，要我们的最核心的产品还是在主机。

方面要去采用呃呃主机安全的这样一个防护，那有了这个两个最核心的以后，我们再配合着他的第三方的这些安全产品，再将这些安全的这些信息发现的告警呢，输送到我们的一个呃大脑安全运营中心里面去，在这大脑里面呢，我们是有一个呃专业的安全运营的团队，那将这些信息进行一个就是说自动化的，然后去处理，然后有一些涉及到可能是需要这种呃专家研判的过程，最终它是一个非常快的一个响应，然后将调度，类似于说我现在发现了一个攻击，我立马就可以将其阻断。然后我发现了一个可能是疑似的，那我这些专家团队也能够快速的去响应，然后最后达到一个比较好的一个这样一个效果。

刚才说到传媒的一个例子啊，它是一个典型的一个多云，那他的多云呢，是体现在说他的这种内容分发呢，是放在腾讯公有云上的，然后他的这些内容的一个生产的话，是放在他自身的一个私有云环境，然后他的一些业务逻辑服务呢，是放在他的专有云平台里面去，那它是一个典型的就是混合云的一个模式，那这种情况下的话，一定是要去把这个三朵云给拉通来，去做统一的运营，就包括我们在公有云上的话，我们是有呃，我们的公有云的安全运营中心，这样它是能够去做一个这样一个整体的公有云上的一个数据的采集和资产的一个汇聚，然后呢，在跟我们的呃汇聚到那这个时候，其实就是要选择一个，我们当前选择的是说在公将公有云的这些信息呢，是汇聚到专有云，为什么会选择这种模式呢？就是说因为它其实是重专有云和私有云这个环境的公有云上的这些信息，它相对来说是一个比较轻的一个模式。那汇聚到。

到这个专有云了以后呢，再将他的私有云的数据也统一来汇聚，来统一做这样一个统一管理的一个过程，有了这一整套了以后，那他就基本上可以知道说呃，他的一个就是说日常工作在一个一站式的这样一个一个一个平台上进行工作，那有了这个一站式的平台了以后，他又能够切换到说呃专有云的环境，私有云的环境，然后还有这个公有云上它的一个安全状态，这是一个又可以去切换的一个过程，那这里面有又涉及到一个点是什么呢？就是说这种呃，这种多赢或者是多品牌这种云的一个问题，那多供应商之间协调的话，这也是一个比较大的一些挑战的工作。那这里面的话，就是我们推荐的是这种多级的架构，因为他其实对于分公司和总部来说，他想要看到的内容是不一样的，对于分部来说，他是想要看到他的整体的安全情况，就是每个细节点他的安全运营的一些情况，那对于总部有一种可能性呢，就是说他对总部他只是一个监管类的职责，他总部只是想看到下面分部的大概的一个情况，他并不承担整体的安全运营状态，那这样的话，分部就是需要只需要将最终的一些安全状态同部上报给总部这样一个云平，这样一个安全管理平台上面去，那总部就能够看到每个呃子公司他的安全情况，那一个呃，这样的话他就能够去，如果他只是说。

发现一些问题，他可能简单的是一些以呃这样一个工单的模式，下发到我们的分公司，子公司里面去，让子公司的这样一个团队去做一个对应的一个响应，那当然还有一种可能一种模式呢，就是说是这种总部统管的模式，那分布级架构，我们需要说将这些。安全的信息都要全量的同步到总部去，那总部能够去看到这样一个整体的安全情况，最后安全运营人员也是多数都在总部去做这个工作的，那将最后得到的结论，再由分部的分公司的人去做一个安全运，叫做安全运维的人员去做一个具体的执行工作。

那我们的呃城市安全运营中心这个概念呢，是存在两种，一种呢，就是说我们对政务云本身的一个安全的情况，这里面就涉及到云平台的一个统一关联及我们因为我们整个VC体是包括了这个叫应用中台，数据中台和AI中台，那我们在这个呃上层中台层面上的话，我们会有个叫做安全中台的这样一个一个概念，那在安全中台上面是我们的安全运营中心这个一个一个整体的一个集合，也就是说我们为政务云本身的一个安全运营的话，就城市这个安全运营的话，它是涉及到这样云平台和这个呃安全中台的一些能力，包括他在上面跑的业务，这是一大块的一个工作，另外一大块工作就是我们，呃，我们知道我们的智慧城市最终其实是给政府的各个委办局去做的，那各个委办局他有各各个委办局他自身的一些需求，比如类似于说我们的卫建委，那对下属的这些医院，他其实也是有一一定的监管和这种。

安全保障的一些职责，举个例子，我们是会在一些城市里面，一些城市里面是会配合卫健委去做一个统一的安全运营管理，是怎样呢？就是说我们在每个医院的出口，就是互联网出口处去部署我们的一个流量，流量分析的一个探征，那因为通过流量分析的话，我们就能够知道这个医院它的一些安全的状态，然后再将这些流量分析的信息汇聚到我们的卫建委的一个统一的一个监管平台上，配合我们的一个大屏的一个模式，能够全呃就更加的可视出来，然后知道说这个安全的状况，所以总结下来就是我们整个城市安全中心其实是两大块的，一个就是说本身呃，在建智慧城市过程当中，对政务云，然后及其上面的业务的一些安全，其次的话就是满足各个呃委办局他的一些需求，然后去做的行业性质的一个态势感知的一些需求。

有的有的，因为在这疫情当中的话，就是说有非常多的这种疫情，小程序，包括健康码的一些业务，还有部署在他们自身的一个专有云，也有可能是部署在我们的腾讯公有云上面，这些云平台的话，都是有用我们的安全运营中心这个里面的一些能力去做统一的一个安全运维，有类似于说它里面的一个开放端口的一些情况啊，这种攻击面的情况啊，或者是它的一个，呃，整个配置的情况啊，他是否有这种，呃，对对这种对象存储的一些错配漏配的一些情况的一些反馈，其实都是在我们这个安全运营中心里面，对我们的资产盘点里面都是一目了然的。安全呃运营中心这这种产品的话，它是一个等保的一个必需品，就里面介绍的一个中心三重防护，其中这个一个中心呢，就是指的是安全管理运营中心，那在这基础上的，那我们在安全运营中心里面也会去提供这样一个等保的一个持续性的一个呃合规的一些监测，那也就是说我们能够在我们的安全运营中心里面去看到说我们离等保到底还缺少什么样的一个产品，怎样一个能力，怎样一个呃就是说这种流程，那通过这些就说我能够持续的去，呃辅助我们的企业去做一个等保的一个方案，所以就是呃首先是解决通过安全运营中心解决这样一个呃安全管理一个中心有与无的问题，然后第二的话就是说，我们在这个产品里面其实内置了很多关于等保的一个持续性评估的一个手段的一个建议的方法，那这样的话，客户就能够依托于我们这个产品去满足自身的查缺补漏吧。