綠盟科技云安全綱領(lǐng)

20232023綠盟科技云安全綱領(lǐng)綠盟科技集團股份有限公司(以下簡稱綠盟科技)，成立于2000綠盟科技集團股份有限公司(以下簡稱綠盟科技)，成立于2000為避免合作伙伴及客戶數(shù)據(jù)泄露,所有數(shù)據(jù)在進行分析前都已經(jīng)，S212345云化?險分析0011.1云計算通用的安全?險0021.2云計算應(yīng)用場景的安全?險004008科技戰(zhàn)略轉(zhuǎn)型0092.2綠盟科技云計算安全價值主張0100143.1合作伙伴0153.2合作模式0173.3服務(wù)及方案019計算安全技術(shù)體系全景圖0234.1云計算安全體系024026036界優(yōu)秀實踐041044NIST045CSA0490536云安全能?發(fā)展趨勢0596.1云上攻防0606.2云安全態(tài)勢與安全能?的評估061062API0637場景化的云安全建設(shè)065型公有云上的安全建設(shè)066行業(yè)云的安全建設(shè)066混合云的安全建設(shè)0677.4云化新型基礎(chǔ)設(shè)施(5G/邊緣計算)的安全建設(shè)068參考文獻069002險險平臺安全風(fēng)險云存儲云網(wǎng)絡(luò)云計算 數(shù)據(jù)與隱私泄露風(fēng)險 云應(yīng)用安全風(fēng)險 虛擬網(wǎng)絡(luò)風(fēng)險 虛擬主機風(fēng)險宿主機和物理網(wǎng)絡(luò)機房與環(huán)境云計算的發(fā)展給千行百業(yè)提供了數(shù)字化的技術(shù)支撐，也是我國加快數(shù)字經(jīng)濟發(fā)展的支撐力之一。在云計算帶來高效、彈性、便捷的同時，新的風(fēng)險也在增加，但原有的安全問題并就必須解決云計算本身面臨的各種安全問題。云計算的風(fēng)險包括通用風(fēng)險與具體場景的特1.1云計算通用的安全風(fēng)險無論是基礎(chǔ)設(shè)施即服務(wù)(InfrastructureasaService，IaaS)、平臺即服務(wù) 還是云原生、多云、混合云等新的云計算場景，都存在一些通用常見的安全風(fēng)險。通用的風(fēng)險如圖1.1所示。法法律與合規(guī)性風(fēng)險制度管理制度管理風(fēng)險圖1.1云計算通用的安全風(fēng)險1.1.1平臺安全風(fēng)險云計算最核心的問題就是服務(wù)可用性的問題，服務(wù)可用性所面臨的風(fēng)險主要分為內(nèi)部風(fēng)宕機、數(shù)據(jù)丟失等，它們都會造成云服務(wù)不可用；外部風(fēng)險主要有漏洞利用、流量攻擊、惡意掃描、密003云化風(fēng)險分析由于云計算規(guī)模大，并承載各類服務(wù)，平臺安全風(fēng)險被利用所造成的后果和破壞性遠超傳統(tǒng)應(yīng)用平臺，目前存在一些提高云計算安全性的解決方案，但只能解決特定的問題，還不1.1.2虛擬化安全風(fēng)險虛擬化技術(shù)是云平臺核心技術(shù)之一，虛擬化技術(shù)以客居方式運行操作系統(tǒng)帶來的安全問題是虛擬化所特有的安全風(fēng)險，其中包括虛擬化層引入的新安全風(fēng)險，以及新的虛擬化特有的安全風(fēng)險，前者如虛擬機間的攻擊與觀測盲點、虛擬機蔓延(VMSprawl)導(dǎo)致的攻擊面1.1.3云應(yīng)用安全風(fēng)險云計算的靈活性和開放性使得任何用戶都可以通過互聯(lián)網(wǎng)接入，因此對運行在云端的應(yīng)用程序安全防護是一個非常大的挑戰(zhàn)。云應(yīng)用的安全風(fēng)險一方面要分析云應(yīng)用自身的安全風(fēng)底層計算與網(wǎng)絡(luò)架構(gòu)。用戶將數(shù)據(jù)從本地網(wǎng)絡(luò)上傳到云端來提供服務(wù)，在這一過程中除了要1.1.4數(shù)據(jù)與隱私泄露風(fēng)險數(shù)據(jù)作為第五大生產(chǎn)要素，其重要程度顯而易見。考慮到各類數(shù)據(jù)上云趨勢明顯，云上的數(shù)據(jù)安全應(yīng)特別得到重視。云用戶將海量業(yè)務(wù)數(shù)據(jù)匯集到云數(shù)據(jù)中心，故應(yīng)在數(shù)據(jù)整個生命周期做好安全管理，在采集、傳輸、存儲、使用、共享、銷毀流程做到相應(yīng)的安全防護。特別地，云用戶的敏感信息不應(yīng)被泄露、破壞或損失。為此，存儲服務(wù)具備授予用戶訪問權(quán)限并且阻止非法訪問的機制，防止因非授權(quán)訪問和其他物理方法導(dǎo)致的數(shù)據(jù)泄露，此外還要保護高權(quán)限管理員的敏感信息。然而，我們觀察到的事實是，云計算相關(guān)安全事件相當(dāng)比例是云上數(shù)據(jù)泄露，原因是未對云上的服務(wù)、數(shù)據(jù)訪問進行認證授權(quán)，或訪問憑證暴露在代碼倉庫、鏡像或網(wǎng)站頁面中，導(dǎo)致攻擊者能夠非授權(quán)地通過憑證訪問云上數(shù)據(jù)。大量用戶數(shù)據(jù)被部署在同一個云平臺上，也降低了惡意攻擊者擊破數(shù)據(jù)保護堡壘的工作量和難度。如云平臺存在安全風(fēng)險，攻擊者則有可能利用其技術(shù)優(yōu)勢獲取云中用戶的數(shù)據(jù)信息。除了外部攻擊P景中，系統(tǒng)間數(shù)據(jù)傳輸流程也使得數(shù)據(jù)秘密性和完整性受到顯著威脅。因此，如何保證存放004綠盟科技云安全綱領(lǐng)1.1.5制度管理風(fēng)險制度管理風(fēng)險是指云服務(wù)商或用戶部署、使用、運營云服務(wù)的過程中的制度不完備所帶來的風(fēng)險。實際上，僅靠安全防護技術(shù)并不能完全保證云系統(tǒng)和應(yīng)用的安全，還需要制定并。攻擊者利用新漏洞或使用新的攻擊戰(zhàn)法可能會繞過云計算各類現(xiàn)有安全機制，但事前發(fā)現(xiàn)并避免組織在制度管理中的風(fēng)險，可以在很大程度上抵御各類威脅，更好地保證提供安全的云1.1.6法律與合規(guī)性風(fēng)險雖然云計算具有分布式、跨地理區(qū)域的特性，但云計算數(shù)據(jù)中心始終是部署在某個國家或行政區(qū)域，因此云計算物理設(shè)施、云平臺與部署應(yīng)用需要受當(dāng)?shù)胤傻募s束。法律風(fēng)險是SLA以及服務(wù)內(nèi)容在法律意義上存在的違反規(guī)定的風(fēng)險、網(wǎng)絡(luò)安全法022年的《數(shù)據(jù)出境安全評估辦法》對境內(nèi)數(shù)據(jù)出境1.2云計算應(yīng)用場景的安全風(fēng)險1.2.1公有云安全風(fēng)險即便成本再低廉，也幾乎沒有用戶愿意使用。因此，使用公有云需考慮的風(fēng)險包含云應(yīng)用的安全風(fēng)險與云服務(wù)商的安全風(fēng)險。公有云上應(yīng)用的主要安全風(fēng)險有兩種：漏洞利用和弱密碼爆破。攻擊者利用漏洞或弱密碼爆破入侵部分云主機后，一般利用多種黑客工具進行擴散傳播，最終攻擊手段為挖礦、勒索、竊密還是DDoS攻擊完全取決于攻擊者的喜好和目的。每年因錯誤配置、漏洞利用等問題而發(fā)生的惡意代碼執(zhí)行事件與日俱增，惡意樣本總數(shù)相比2020年同期數(shù)量上漲10%，因而云計算租戶需要特別注意這些安全風(fēng)險。雖然主流的公有云服務(wù)商的安全防護能力比較強，但仍需要考慮云服務(wù)商自身存在的安全風(fēng)險。首先，可能005云化風(fēng)險分析及免則聲明是否符合需求，例如服務(wù)可用性保障范圍及供給商是否擔(dān)負一定安全責(zé)任等；最后，云服務(wù)商內(nèi)部員工竊取客戶敏感數(shù)據(jù)、客戶不易對云服務(wù)供給商的安全控制措施和訪問1.2.2私有云/行業(yè)云安全風(fēng)險區(qū)域和行業(yè)的頭部企業(yè)或組織通過構(gòu)建私有云或行業(yè)云，為數(shù)字化建設(shè)提供基礎(chǔ)資源，奠定數(shù)字化轉(zhuǎn)型的基石。因各地市、各行業(yè)的云建設(shè)方式不同，其安全責(zé)任劃分不同，具體可參考前述責(zé)任共擔(dān)模型。私有云/行業(yè)云的安全主要集中在保障物理設(shè)施與硬件的穩(wěn)定安檢測監(jiān)測、審計溯源上，以確保訪問云計算系統(tǒng)和應(yīng)用的流量可信，出現(xiàn)安全事件可以快速相比公有云，私有云/行業(yè)云因其業(yè)務(wù)差異大而有較大的定制需求，在應(yīng)對用戶業(yè)務(wù)本身安全問題也是私有云安全重要的一部分。如金融行業(yè)云面臨欺詐風(fēng)險，攻擊者利用貓池、因而整個云平臺和應(yīng)用的風(fēng)險就涉及到拒絕服務(wù)、API漏洞利用、業(yè)務(wù)欺詐等，相關(guān)的防護。1.2.3多云/混合云安全風(fēng)險多云(multi-cloud)一般是由多個云提供商提供的多項公有云服務(wù)的組合，出于成本、可用性或避免廠商鎖定的原因，企業(yè)可同時訂購多個云服務(wù)商的產(chǎn)品服務(wù)，最大限度地發(fā)揮不同云服務(wù)商各自領(lǐng)域的優(yōu)勢，避免陷于單一云服務(wù)商的短板和綁定；混合云是指企業(yè)同時使用公有云和私有云(或傳統(tǒng)辦公環(huán)境)，形成既有公有云系統(tǒng)，又有私有云系統(tǒng)，甚至還有傳統(tǒng)網(wǎng)絡(luò)互聯(lián)的混合環(huán)境。因此，無論是客戶需求使然，還是云計算演進過程，都會使得多云/混合云在各行業(yè)出現(xiàn)它們的身影，很多企業(yè)正在轉(zhuǎn)向多云或混合云部署，應(yīng)用程序是僅部署在單個云計算提供商或本地部署的云平臺上，還會在多個云計算提供商的云平臺進行混合型部署。多云與混合云模型通過增加更異構(gòu)的計算基礎(chǔ)設(shè)施來降低威脅可用性的風(fēng)險，企業(yè)的數(shù)字化業(yè)務(wù)通常部署在多云多地多系統(tǒng)，由于各云平臺架構(gòu)異構(gòu)，不同云資源管理難度大且運維復(fù)雜，難以實現(xiàn)統(tǒng)一高效管理、控制或分析，導(dǎo)致多云/混合云場景下運維不敏捷，管理成本高，而安全運維也同樣存在這些問題。企業(yè)將業(yè)務(wù)部署在公有云上，其安全能力建設(shè)重度依賴云服務(wù)商，而各云廠商安全能力差異性較大且水平參差不齊，無法直接006綠盟科技云安全綱領(lǐng)用戶在云上的錯誤配置，在多云或混合云的場景下，用戶無法保證在所有環(huán)境中保持統(tǒng)一、1.2.4云原生安全風(fēng)險云原生可稱為云計算的下半場，近年興起的容器和編排技術(shù)憑借其彈性敏捷的特性和活躍強大的社區(qū)支持，成為云原生生態(tài)的重要支撐技術(shù)。容器化部署形態(tài)也在改變云端應(yīng)用的容器和容器編排系統(tǒng)的安全風(fēng)險將直接影響整個云原生系統(tǒng)的安全性。從IT基礎(chǔ)設(shè)施的視角來看，云原生系統(tǒng)底層是容器，其基于操作系統(tǒng)虛擬化技術(shù)，跟其他的虛擬化云計算平臺一樣，存在逃逸和云內(nèi)橫向移動的風(fēng)險；上層是以微服務(wù)為中心的容器編排、服務(wù)網(wǎng)格、無服務(wù)器計算(ServerlessComputing)等系統(tǒng)，其API、業(yè)務(wù)存在被攻擊的風(fēng)險。此外，從DevOps的視角來看，云原生系統(tǒng)所包含的軟件供應(yīng)鏈(如第三方軟件庫、容器鏡像等，第三方廠商非授權(quán)發(fā)布軟件倉庫等)也存在被投毒或惡意攻擊的風(fēng)險；整個開發(fā)5G/MEC安全風(fēng)險多接入邊緣計算(Multi-accessEdgeComputing，MEC)是在靠近物或數(shù)據(jù)源頭的網(wǎng)絡(luò)邊緣側(cè)，融合網(wǎng)絡(luò)、計算、存儲、應(yīng)用核心能力的分布式開放平臺，就近提供邊緣智能服務(wù)，滿足行業(yè)數(shù)字化在敏捷連接、實時業(yè)務(wù)、數(shù)據(jù)優(yōu)化、應(yīng)用智能、安全與隱私保護等方面的關(guān)鍵需求。預(yù)計到2022年，超過50%的企業(yè)生成數(shù)據(jù)將在數(shù)據(jù)中心或云之外的邊緣進行創(chuàng)建和處理。5G為邊緣計算產(chǎn)業(yè)的落地和發(fā)展提供了良好的網(wǎng)絡(luò)基礎(chǔ)，主要體現(xiàn)在三大場景 (eMBB，uRLLC和mMTC)的支持、核心網(wǎng)用戶面功能的靈活部署以及5G網(wǎng)絡(luò)能力開放5G/MEC是網(wǎng)絡(luò)邊緣更好使能各行各業(yè)的關(guān)鍵，它們大多位于企業(yè)園區(qū)機房里面，一般代維。企業(yè)借助5G/MEC系統(tǒng)進行生產(chǎn)控制、遠程監(jiān)控、物流管理和智慧安防等生產(chǎn)活動。5G/MEC也是賦能工業(yè)生產(chǎn)的重要通信和計算基礎(chǔ)設(shè)施，它們的底層均以云5G/MEC系統(tǒng)對時延、可靠性和安全性有很高的要求。很多生產(chǎn)業(yè)務(wù)對延遲有嚴格要求，如遠程塔吊控制信息流的端到端延遲要小于18ms，即生產(chǎn)設(shè)備(塔吊等)通過無線007云化風(fēng)險分析基站、IPRAN網(wǎng)絡(luò)、5G/MEC系統(tǒng)到企業(yè)應(yīng)用系統(tǒng)(遠程控制)的端到端通信要保證低延G網(wǎng)元UPF會隨MEC下移，帶動UPF相關(guān)業(yè)務(wù)端口下移到(如N4，N6，GMECUPF問題等。一方面，5G網(wǎng)元和MEC系統(tǒng)都是基于云計算技術(shù)構(gòu)建的，其存在云計算本身的風(fēng)險；云安全價值主張009立足綠盟科技“智慧安全”的公司戰(zhàn)略，本章對綠盟科技視角下的云安全價值主張進行2.1云化趨勢下的綠盟科技戰(zhàn)略轉(zhuǎn)型這三個特征與云計算天然地匹配，構(gòu)建了綠盟云安全服務(wù)。結(jié)合人工智能技術(shù)，綠盟云通過多源數(shù)據(jù)融合，構(gòu)建知識圖譜，進行關(guān)聯(lián)、抽取與學(xué)習(xí)，形成了云端威脅情報，準確、及時綠盟科技于2021年發(fā)布了“智慧安全3.0”戰(zhàn)略，在“智慧安全2.0”的基礎(chǔ)上，針對近年來安全攻防和產(chǎn)業(yè)發(fā)展的新趨勢，確定了“全場景、可信任、實戰(zhàn)化”三個原則。這三首先，全場景是指綠盟科技的安全能力可應(yīng)用于云計算、工業(yè)互聯(lián)網(wǎng)、5G/邊緣計算等各類環(huán)境。事實上，云計算已經(jīng)成為一種使能技術(shù)，通過構(gòu)建各種云化基礎(chǔ)設(shè)施，進而支撐各類新型信息基礎(chǔ)設(shè)施；此外，混合云、多云場景下的統(tǒng)一化、可編排的安全需求也給下一其次，可信任是指安全能力可被服務(wù)提供商和用戶所信任。綠盟科技通過梳理和監(jiān)控資產(chǎn)、流量和工作負載，提供可視化的主客體行為剖面；通過全面的監(jiān)控日志、告警和事件，還原安全事件的完整過程和處置情況；通過云端的海量數(shù)據(jù)分析，提供可信任的人工智能引擎，提升檢測響應(yīng)的效率和準確率。通過全程、深度的觀測能力，為客戶安全保最后，云計算已經(jīng)開始從滿足合規(guī)性轉(zhuǎn)向?qū)崙?zhàn)化攻防。各種針對云平臺、云應(yīng)用和云租戶的攻擊層出不窮。綠盟科技以攻防起家，始終貫徹以攻促防的安全能力建設(shè)思路，通過云2022年，綠盟科技正式推出了名為T-ONE(inTelligentFirstSecurity，智慧安全優(yōu)先)的云化戰(zhàn)略，包含了云化交付的安全服務(wù)體系、安全運營中心，以及各類相關(guān)的安全解決方案和安全產(chǎn)品。一方面，T-ONE架構(gòu)中，云化基礎(chǔ)設(shè)施成為重要的支撐體系，絕大多數(shù)的安全010開放融合軟件定義微服務(wù)化智能大腦應(yīng)對復(fù)雜場景自動敏捷與云融合智能高效綠盟產(chǎn)品綠盟科技云安全綱領(lǐng)開放融合軟件定義微服務(wù)化智能大腦應(yīng)對復(fù)雜場景自動敏捷與云融合智能高效綠盟產(chǎn)品可見，綠盟科技近年所做的戰(zhàn)略方向投入，一方面順應(yīng)了整個行業(yè)云化的發(fā)展趨勢，另2.2綠盟科技云計算安全價值主張綠盟科技已在云計算安全領(lǐng)域持續(xù)投入十年，在云安全聯(lián)盟云安全服務(wù)工作組和云原生安全工作組的聯(lián)席主席，主導(dǎo)和參與編寫多項國際國內(nèi)標準、白皮書；與云服務(wù)商、各行業(yè)客戶對接、打磨各類云安全產(chǎn)品、解決方案與服務(wù)，因而對云計算安全在各行業(yè)如何發(fā)展和綠綠盟科技云計算安全價值主張原原生安全普普適統(tǒng)一第第三方產(chǎn)品圖2.1綠盟科技云計算安全的價值主張2.2.1開放融合網(wǎng)絡(luò)安全是一個高度碎片化的市場，云計算安全也是如此。無論是云安全資源池，或是安全即服務(wù)，還是云原生安全，都需要多廠商多種安全能力融合，通過一致的形態(tài)為客戶提011云安全價值主張綠盟科技的云安全體系通過定義云環(huán)境下所需的各種原子化安全能力(詳見后續(xù)發(fā)布的消減了廠商鎖定(Vendorlock-in)的風(fēng)險。進而，通過網(wǎng)絡(luò)安全網(wǎng)格(CyberSecurityMesh)，根據(jù)客戶場景和具體需求，按需組合各類安全能力，構(gòu)建理論上無上限的復(fù)合安全能力(詳見后續(xù)發(fā)布的綠盟科技云安全綱領(lǐng)―中)，以應(yīng)對復(fù)雜場景和各類新威脅。2.2.2軟件定義離，可構(gòu)造軟件定義的安全架構(gòu)。在資源層面，可將硬件、虛擬化、容器化形態(tài)的安全設(shè)備抽象為具有各類安全能力的安全資源池，可提供彈性的安全能力；在控制層面，可通過安全云計算安全體系自然地繼承了該特征。軟件定義的安全體系與云計算平臺融合，共同提供按.2.3微服務(wù)化軟件定義強調(diào)了控制與數(shù)據(jù)的分離，雖然定義了服務(wù)(應(yīng)用)、控制和資源三層，但重點在于后兩者。至于服務(wù)層，只是提供安全即服務(wù)(SECaaS)，并沒有過多著筆。從近年的由于容器有很好的可移植性和虛擬化性能，安全廠商開始將各類安全應(yīng)用以容器的方式打包、發(fā)布和交付，并且使用編排系統(tǒng)，對云應(yīng)用進行分布式部署、版本更新、彈性擴容。隨著云基礎(chǔ)設(shè)施云原生化，業(yè)務(wù)系統(tǒng)微服務(wù)化已經(jīng)成為軟件架構(gòu)當(dāng)前發(fā)展的新趨勢。即將一個大型的單體系統(tǒng)拆解成多個輕量級的工作負載，并以容器打包、服務(wù)封裝，通過微服以往一個大型安全平臺或安全服務(wù)，現(xiàn)在通過一個基礎(chǔ)設(shè)施即代碼(InfrastructureasCode，IaC)的配置文件交付，背后是一個微服務(wù)的有機集合。安全廠商或客戶可以基于這012綠盟科技云安全綱領(lǐng)可以說，軟件定義安全提供了敏捷的安全能力，為應(yīng)用層提供了開放的北向接口；而微API度體現(xiàn)；此外，微服務(wù)也提供了不同顆粒度的API更新、2.2.4智能大腦云化的必然趨勢是攻防上云和數(shù)據(jù)集中，這兩種趨勢都對構(gòu)建智慧的云端大腦提出了切實的要求。首先，上云已經(jīng)不是新鮮詞了，而是企業(yè)提升業(yè)務(wù)效率、克服疫情所帶來影響的必然選擇。然而，攻擊者也關(guān)注到企業(yè)的各類云上業(yè)務(wù)，各類云上的數(shù)據(jù)泄露、服務(wù)拒絕服務(wù)屢見不鮮，云安全已經(jīng)不僅僅是合規(guī)驅(qū)動，真實的攻防已經(jīng)圍繞云上業(yè)務(wù)快速開展起來。此外，隨著云計算建設(shè)的推動，無論是在客戶側(cè)還是在安全廠商側(cè)，都會匯聚大量數(shù)據(jù)，例如資產(chǎn)、日志、告警或事件，這些數(shù)據(jù)一旦到了一定數(shù)量級，就會呈現(xiàn)出某些攻防特征。如果安全廠商需要快速發(fā)現(xiàn)攻擊者的行為，就應(yīng)構(gòu)建一個云端大腦，收集、處理、融合、分析多源異構(gòu)數(shù)據(jù)，對當(dāng)前的態(tài)勢進行研判，及時發(fā)現(xiàn)風(fēng)險與威脅，并快速做出決策。在設(shè)計云端大腦的同時，構(gòu)建各項運營的指標體系，閉環(huán)、迭代地提升安全運營的效率與效果。與此同時，需要注意的是，數(shù)據(jù)上云需要滿足國家的各項法律法規(guī)的要求，特別是具有個人標識超越合規(guī)：數(shù)據(jù)安全前沿技術(shù)研究報告》[1]，其中去標識化與脫敏評估、隱私增強計算等技2.2.5原生安全云計算安全首先是要保障云計算系統(tǒng)的自身安全，綠盟科技通過云安全資源池和云原生應(yīng)用防護系統(tǒng)(CNAPP)為各層級的云計算平臺提供了全方位的安全防護。賦能現(xiàn)有的云安全系統(tǒng)。例如，前述的軟件定義、微服務(wù)化都是安全能力云化或云原生化后當(dāng)我們的云安全系統(tǒng)具有了云原生的特性，這些優(yōu)點就成為內(nèi)生的。即便脫離了云原生的環(huán)境(如在傳統(tǒng)IT系統(tǒng)，甚至在5G核心網(wǎng)等系統(tǒng))，還是會具有這些優(yōu)點。我們不會討論這些系統(tǒng)只為云計算所服務(wù)，或這些系統(tǒng)具有“云”的特性。我們只會說，這些特性就是013云安全價值主張更通俗地說，綠盟科技的云安全方案，不僅適用于公有云、私有云或多云，也適用于混原生安全是云化趨勢下安全廠商的必然趨勢，只有用統(tǒng)一的技術(shù)棧和技術(shù)架構(gòu)，才能用015云安全合作體系全景圖綠盟科技云安全方向的合作秉承開放融合的價值主張，與不同類型的合作伙伴展開了多3.1合作伙伴為了更好地服務(wù)客戶，綠盟科技秉承開放的態(tài)度，通過多種合作模式，與云服務(wù)商、安全廠商、電信運營商、獨立IDC服務(wù)商共同打造更加具有競爭力，更加貼近客戶業(yè)務(wù)的聯(lián)合考表3.1。綠盟科技合作模式&合作伙伴矩陣圖合作模式/伙伴商●●●●●●●●●●●●●●●●●●3.1.1云服務(wù)商云服務(wù)商是指提供基于云計算的平臺、基礎(chǔ)結(jié)構(gòu)、應(yīng)用程序或存儲服務(wù)的第三方公司。經(jīng)過前期云服務(wù)商云平臺與綠盟科技安全產(chǎn)品的深度適配與聯(lián)合開發(fā)，綠盟科技的安全產(chǎn)品具備云上快速部署，策略統(tǒng)一升級維護等能力，并在云服務(wù)商的云市場上線。租戶可以綠盟科技與云服務(wù)商實現(xiàn)云安全產(chǎn)品與租戶云資產(chǎn)解耦合的交付方案，綠盟科技的安全產(chǎn)品上架云市場后，租戶可通過云市場直接下單，也可以走線下流程進行采購，購買方式較016綠盟科技云安全綱領(lǐng)綠盟科技利用自有云安全產(chǎn)品與云服務(wù)商合作打造“云+安全”一體化解決方案，優(yōu)勢3.1.2安全廠商安全廠商主要是指能夠獨立設(shè)計、研發(fā)、生產(chǎn)、銷售信息安全產(chǎn)品的企業(yè)。綠盟科技聯(lián)將第三方優(yōu)勢安全產(chǎn)品納入綠盟科技的安全資源池內(nèi)做統(tǒng)一管理，實現(xiàn)安全能力快速3.1.3運營商中國廣電，綠盟科技聯(lián)合運營商集團、運營商研究院等單位，合作開發(fā)增值性解決方案，實結(jié)合綠盟科技與運營商研究院的技術(shù)優(yōu)勢，共同開發(fā)針對客戶場景的安全解決方案，如綠盟科技與運營商雙方共建數(shù)據(jù)中心，運營商為客戶提供計算、存儲、網(wǎng)絡(luò)等資源，綠盟科技為客戶提供安全能力與安全運營服務(wù)，構(gòu)建能力共建、責(zé)任共擔(dān)、收益共贏的合作運制化解決方案綠盟科技提供安全能力及安全服務(wù)的定制化功能實現(xiàn)，定制產(chǎn)品獨立演進、獨立升級，017云安全合作體系全景圖區(qū)域IDC服務(wù)公司，定位為省級/市級基礎(chǔ)設(shè)施服務(wù)提供商。綠盟科技與IDC服務(wù)公司UD合本地IDC運營公司的計算、存儲、網(wǎng)絡(luò)等資源，為客戶打造業(yè)務(wù)承載、網(wǎng)絡(luò)安全、態(tài)勢感3.2合作模式IT基礎(chǔ)設(shè)施合作增值運營、解決方案打造、優(yōu)勢產(chǎn)品構(gòu)建等多種合作模式，同時針對不同的合作模式也提供了多層次、多團隊、多維度的支持，為雙方順利合作保駕護航。了解不同合合作模式&合作伙伴權(quán)益矩陣圖合作模式/伙伴●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●3.2.1公司級戰(zhàn)略合作綠盟科技與具備產(chǎn)品研發(fā)、解決方案、市場運營能力的大型合作伙伴(如云服務(wù)商、安全廠商)進行公司級戰(zhàn)略合作，雙方將在產(chǎn)品研發(fā)、關(guān)鍵技術(shù)突破、行業(yè)標準制定、市場營銷等方面展開深入合作，實現(xiàn)優(yōu)勢資源的有效整合，共同為客戶提供優(yōu)質(zhì)、高價值的產(chǎn)品、綠盟科技云安全綱領(lǐng)0183.2.2安全運營中心合作增值運營綠盟科技攜手重慶、長沙、沈陽、天津、上海、武漢等十幾個城市構(gòu)建城市級的云計算安全運營中心。綠盟科技提供安全產(chǎn)品、技術(shù)及運營能力，合作伙伴(如大型IDC運營方)提供本地化資源與硬件設(shè)備，雙方共建SaaS化的安全運營中心，共同建設(shè)、責(zé)任共擔(dān)、收3.2.3IT基礎(chǔ)設(shè)施合作增值運營綠盟科技與具有本地化計算、存儲、網(wǎng)絡(luò)資源的中大型IDC運營方合作，雙方共建數(shù)據(jù)中心，合作伙伴為客戶提供基礎(chǔ)設(shè)施相關(guān)服務(wù)，綠盟為客戶提供安全能力與安全運營服務(wù)，。3.2.4解決方案打造景結(jié)合綠盟科技與合作伙伴(如云服務(wù)商、運營商)雙方的技術(shù)優(yōu)勢，共同開發(fā)針對客戶綠盟科技積極參與國內(nèi)主流的國產(chǎn)化體系的硬件適配計劃，快速滿足客戶國產(chǎn)化云平臺3.2.5優(yōu)勢產(chǎn)品構(gòu)建云計算系統(tǒng)是多種能力的融合，綠盟科技的安全能力一方面可以與云計算系統(tǒng)集成，另將綠盟科技的安全原子能力嵌入云計算廠商的安全能力池內(nèi)，或者云平臺虛擬化業(yè)務(wù)云安全合作體系全景圖019將綠盟科技的安全原子能力與“國產(chǎn)硬件+國產(chǎn)操作”系統(tǒng)相適配，滿足國產(chǎn)化云平臺3.3服務(wù)及方案綠盟科技依托于星云實驗室多年來在云安全領(lǐng)域的研究，同時借助于綠盟科技在Web安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等領(lǐng)域的深厚積累，推出了多種適合于不同行業(yè)、不同場景、不同綠盟網(wǎng)站安全監(jiān)測服務(wù)按照SLA約定的頻率對用戶站點進行掃描和網(wǎng)站內(nèi)容監(jiān)測，由綠盟科技安全專家團隊提供的運營服務(wù)在安全增值運營平臺上運營，確保客戶網(wǎng)站安全。當(dāng)監(jiān)測到用戶網(wǎng)站遇到風(fēng)險狀況后，安全專家團隊會在第一時間通知用戶，并提供專業(yè)的解決方綠盟網(wǎng)站云防護服務(wù)，通過云服務(wù)(SaaS)的方式將傳統(tǒng)WAF設(shè)備的功能遠程提供給餐服務(wù)綠盟科技依托于SaaS化安全能力，結(jié)合自身安全服務(wù)優(yōu)勢，聯(lián)合等保測評機構(gòu)，為用NSFOCUSSecurityAccessServicesEdgeNSFOCUSSASE)在綠盟云上集成SD-WAN和多種安全能力(如零信任訪問控制、上網(wǎng)行為控制等)，綠盟科技云安全綱領(lǐng)020對外提供網(wǎng)絡(luò)和安全一體化的SaaS服務(wù)。綠盟SASE旨在通過一朵邊緣云，作為中繼來處理用戶到應(yīng)用、設(shè)備到應(yīng)用等多種連接，提供接入控制、安全防護、網(wǎng)絡(luò)加速等安全和網(wǎng)3.3.2云安全運營服務(wù)綠盟科技為客戶提供完整的安全運營服務(wù)，主要包含：互聯(lián)網(wǎng)資產(chǎn)核查服務(wù)、安全設(shè)備托管服務(wù)、輕量化安全測試服務(wù)、漏洞修復(fù)優(yōu)先級分析、基于情報的風(fēng)險管理服務(wù)、互聯(lián)網(wǎng)綠盟科技為客戶提供豐富的專項安全服務(wù)，主要包含：等保合規(guī)建設(shè)服務(wù)、勒索病毒防3.3.3云安全管理平臺方案集中管理方案綠盟云安全集中管理系統(tǒng)是為了解決私有云和行業(yè)云安全問題以及解決安全增值場景實現(xiàn)而提供的一整套平臺級產(chǎn)品。采用“軟件定義安全SDS”架構(gòu)，將虛擬化安全設(shè)備和傳統(tǒng)硬件安全設(shè)備進行資源池化的整合。通過該平臺實現(xiàn)安全設(shè)備服務(wù)化和管理的集中化，以及理方案綠盟科技提供多云管理中心，基于多云場景下的資源申請和編排管理為客戶提供一站式云上資源統(tǒng)一的管理能力，支持主流的公有云及私有云平臺平滑接入，運維人員只需要提供全管理方案綠盟科技在多云管理方案的基礎(chǔ)上，提供多云安全中心，為不同云平臺的資產(chǎn)提供風(fēng)險閉環(huán)管理，可靈活選擇安全產(chǎn)品的類型、規(guī)格等，提交訂單后安全產(chǎn)品將會自動化部署、秒級開通、快速激活。通過安全探針采集云資產(chǎn)數(shù)據(jù)統(tǒng)一進行態(tài)勢分析，呈現(xiàn)多云安全風(fēng)險，并進行多云安全策略配置。綠盟云原生容器安全方案綠盟云原生容器安全方案(CNSP)定021信息推送租戶門戶運營門戶能力推送、運營上行通道一用戶視圖面安全可視上行通道XaaS運營安全服務(wù)邊緣安全運營服務(wù)安全產(chǎn)品服務(wù)安全運營中心 云安全合作體系全景圖信息推送租戶門戶運營門戶能力推送、運營上行通道一用戶視圖面安全可視上行通道XaaS運營安全服務(wù)邊緣安全運營服務(wù)安全產(chǎn)品服務(wù)安全運營中心 彈性匹配客戶側(cè)的云原生環(huán)境，借助容器編排技術(shù)將安全能力部署于客戶的業(yè)務(wù)節(jié)點中，為容器編排環(huán)境、容器及鏡像提供持續(xù)安全分析，實現(xiàn)容器環(huán)境的資源可視化管理并提供鏡像安全、基礎(chǔ)設(shè)施安全、運行時安全、合規(guī)安全等能力，保障容器在構(gòu)建、部署和運行全生命實現(xiàn)全天候全方位態(tài)勢感知、實時安全檢測、攻擊溯源、資產(chǎn)風(fēng)險評估及智能響應(yīng)的安全運營閉環(huán)。方案涉及眾多組件和服務(wù)，在包含了以上三類服務(wù)/方案內(nèi)容的基礎(chǔ)上，增加了對魔力防火墻(NF-SSE)的支持，以保障地端客戶的邊界安全，同時通過運營端與租戶端的移APP件快速處：IDC/數(shù)據(jù)中心私有云/專有云/ISP企業(yè)網(wǎng)公有云手機APP手機APP安全設(shè)備安全設(shè)備 “設(shè)備+”服務(wù)訂閱“設(shè)備+”服務(wù)訂閱作伙伴安全資源安全資源池彈性按需訂閱SSE彈性按需訂閱SASE安全訪問服務(wù)訂閱云內(nèi)安全資源云內(nèi)安全資源多云安全管理服務(wù)訂閱多云安全管理服務(wù)訂閱系云化交付的安全服務(wù)體系包括可訂閱的產(chǎn)品服務(wù)、實現(xiàn)閉環(huán)保障的運營服務(wù)，以及等保合規(guī)建設(shè)、挖礦主機治理、勒索病毒防治、緊急漏洞應(yīng)急響應(yīng)等專項服務(wù)。這次服務(wù)體系的一大創(chuàng)新是強調(diào)場景化的服務(wù)交付。從服務(wù)規(guī)格的設(shè)計到服務(wù)價值在客戶視圖的體現(xiàn)，都強綠盟科技云安全綱領(lǐng)022安全運營中心(SOC)安全運營中心(SOC)實現(xiàn)統(tǒng)一用戶視圖和全面安全可視，提供安全產(chǎn)品和服務(wù)的訂閱與管理能力。向下對接各類安全資源和能力，向上對接專家服務(wù)。綠盟科技的研究成果和情魔力防火墻(NF-SSE)魔力防火墻(NF-SSE)是基于彈性架構(gòu)的新一代防火墻，其出廠即可作為防火墻使用，托管服務(wù)，在SOC上面按需訂閱自己所需的產(chǎn)品服務(wù)和運營服務(wù)。SOC上訂閱的安全能力NFSSENFSSE側(cè)，承載多種安全能力的運行，如Web應(yīng)用NF-SSE能夠?qū)崿F(xiàn)對企業(yè)網(wǎng)絡(luò)的縱深防御，使安全效能最大化，并且在這種架構(gòu)下，流量應(yīng)用APP包括租戶門戶和運營門戶。最終用戶可以通過租戶門戶，隨時隨處監(jiān)測安全風(fēng)險，可實時感知和交互安全服務(wù)。合作伙伴可以利用為運營人員提供的運營門戶APP，實戰(zhàn)能力為T-ONE賦能。綠盟科技擁有專業(yè)的安全慧大腦，形成對T-ONECLOUD體系的實力支撐。這個云端智慧大腦以數(shù)據(jù)湖作為基礎(chǔ)，了全新的合作運營模式，攜手合作伙伴，共建T-ONECLOUD安全運營中心。綠盟科技為合作伙伴提供全套的建設(shè)合作運營中心所需的安全能力和系統(tǒng)軟件，同時提供品牌支持、安全專家支持及技術(shù)指導(dǎo)培訓(xùn)，幫助合作伙伴快速了解安全市場，掌握安全服務(wù)技能，通過一024技術(shù)體系人復(fù)合云安全能力(產(chǎn)品級解決方案)產(chǎn)品化封裝綠盟科技云安全綱領(lǐng)技術(shù)體系人復(fù)合云安全能力(產(chǎn)品級解決方案)產(chǎn)品化封裝本部分給出了云計算安全的架構(gòu)體系全景圖及責(zé)任模型，并將技術(shù)體系中的安全能力分4.1云計算安全體系4.1.1云計算安全體系全景圖云計算整體安全體系包括技術(shù)架構(gòu)、安全流程和人員。從技術(shù)架構(gòu)角度，進而可細分為領(lǐng)域/行業(yè)級安全解決方案領(lǐng)域/行業(yè)級安全解決方案云安全框架\方法論\架構(gòu) 基礎(chǔ)云安全能力圖4.1云計算安全架構(gòu)體系全景●復(fù)合云安全能力：即產(chǎn)品級解決方案，為多種基礎(chǔ)安全能力的聚合，并且基于業(yè)務(wù)WPP●云安全框架/方法論/架構(gòu)：基于業(yè)務(wù)系統(tǒng)的風(fēng)險分析和一定方法論，指導(dǎo)如何利用025云計算安全技術(shù)體系全景圖●領(lǐng)域/行業(yè)級安全解決方案：應(yīng)對某領(lǐng)域或行業(yè)場景集的整體安全解決方案，如：政云基礎(chǔ)能力或場景化復(fù)合云安全能力進行有機的結(jié)合。詳細內(nèi)容在4.1.2云安全責(zé)任模型云計算安全的責(zé)任共擔(dān)已經(jīng)成為行業(yè)共識，無論是云等保標準還是主流公有云服務(wù)商都對各方的責(zé)任做了明確的劃分[2]。云安全責(zé)任主體方包含云計算服務(wù)商與云服務(wù)用戶，雙方的責(zé)任分擔(dān)原則：各主體應(yīng)根據(jù)管理權(quán)限的范圍劃分安全責(zé)任邊界，責(zé)任邊界之下的屬于云云服務(wù)客戶責(zé)任安全安全安全責(zé)任共擔(dān)云服務(wù)商責(zé)任擬化安全擬化安全擬化安全絡(luò)安全絡(luò)安全絡(luò)安全全全全圖4.2云計算安全責(zé)任模型安全廠商雖然沒有直接體現(xiàn)在云安全責(zé)任模型上，但責(zé)任主體會購買或租用安全廠商的產(chǎn)品、平臺或服務(wù)，以承擔(dān)起所需的責(zé)任時，該責(zé)任也全部或部分地轉(zhuǎn)移到了安全廠商處。026綠盟科技云安全綱領(lǐng)在不同場景下，安全廠商的角色是有所不同的。例如，安全廠商提供的是3.3服務(wù)及方案中廠商提供的是3.3服務(wù)及方案中安全平臺或安全產(chǎn)品，那么安全廠商承擔(dān)其產(chǎn)品對應(yīng)的安全4.2基礎(chǔ)云安全能力Gartner在2022年提出了網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)(CyberSecurityMeshArchitecture，CSMA)，這是一種應(yīng)對高級威脅和復(fù)雜場景非常有效的安全架構(gòu)，其將安全功能拆分成了諸多原子化的安全能力，進而通過控制層編排組合成各種安全產(chǎn)品和方案。無疑云計算的敏CSMA計算環(huán)境中的原子化的安全能力，我們稱之為基礎(chǔ)云安全能力，它們是云安全的基石。本節(jié)將介紹基礎(chǔ)云安全能力分類，以及給出能力列表與4.2.1概述下面通過領(lǐng)域分類的方式來歸類不同的云涉及的基礎(chǔ)安全能力，并將安全能力與一些標準安全框架中的安全能力做對應(yīng)。下述基礎(chǔ)云安全能力?；A(chǔ)云安全能力詳細信息以及典型表4.1云計算安全基礎(chǔ)能力目錄與安全框架映射 PR.AC(身份管理和訪問控制)ticationAMAPR.AC(身份管理和訪問控制)APR.AC(身份管理和訪問控制)PR.AC(身份管理和訪問控制)PR.AC(身份管理和訪問控制)PR.AC(身份管理和訪問控制)027云計算安全技術(shù)體系全景圖PR.IP(信息保護流程與程序)DE.DP(檢測流程)PR.IP(信息保護流程與程序)DE.DP(檢測流程)PR.IP(伯息保護流程與程序)DE.DP(檢測流程)PR.IP(信息保護流程與程序)RS.Ml(響應(yīng).緩解)PR.IP(信息保護流程與程序)DE.CM(安全持續(xù)監(jiān)控)D10(應(yīng)用安全)D13(安全即服務(wù))PR.IP(信息保護流程與程序)PR.PT(保護性技術(shù))PR.IP(信息保護流程與程序)DE.CM(安全持續(xù)監(jiān)控)D10(應(yīng)用安全)D13(安全即服務(wù))PR.IP(信息保護流程與程序)DE.CM(安全持續(xù)監(jiān)控)數(shù)據(jù)脫敏(DataMasking)028綠盟科技云安全綱領(lǐng)為溯源t主機(工作負載)安全應(yīng)用資產(chǎn)清點(主機、服務(wù)器、容器化)D7(基礎(chǔ)設(shè)施安全)主機配置合規(guī)(主機、服務(wù)器、容器化)D7(基礎(chǔ)設(shè)施安全)防病毒(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)入侵檢測(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)D13(安全即服務(wù))入侵防護(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)D13(安全即服務(wù))主機漏洞補丁(主機)D7(基礎(chǔ)設(shè)施安全)文件防篡改(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)主機資源監(jiān)控(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)主機安全審計(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)主機風(fēng)險行為監(jiān)控(主機、服務(wù)器)D7(基礎(chǔ)設(shè)施安全)主機環(huán)境感知(主機)PR.AC(身份管理和訪問控制)D7(基礎(chǔ)設(shè)施安全)D7(基礎(chǔ)設(shè)施安全)029云計算安全技術(shù)體系全景圖發(fā)現(xiàn)/管理D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))訪問控制(堡壘機)PR.AC(身份管理和訪問控制)DE.CM(安全持續(xù)監(jiān)控)D13(安全即服務(wù))D13(安全即服務(wù))入侵檢測/防護D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))PR.AC(身份管理和訪問控制)DE.CM(安全持續(xù)監(jiān)控)D13(安全即服務(wù))D13(安全即服務(wù))PR.AC(身份管理和訪問控制)PR.PT(保護性技術(shù))D7(基礎(chǔ)設(shè)施安全)PR.AC(身份管理和訪問控制)DE.CM(安全持續(xù)監(jiān)控)D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))D13(安全即服務(wù))PR.AC(身份管理和訪問控制)D13(安全即服務(wù))030綠盟科技云安全綱領(lǐng)云網(wǎng)絡(luò)安全(Underlay)全――――――――――――――――――D13(安全即服務(wù))D13(安全即服務(wù))soar/―鍵封堵D13(安全即服務(wù))PR.IP(信息保護流程與程序)D13(安全即服務(wù))PR.IP(信息保護流程與程序)DE.AE(異常和事件)D13(安全即服務(wù))PR.IP(信息保護流程與程序)DE.AE(異常和事件)D13(安全即服務(wù))D13(安全即服務(wù))PR.IP(信息保護流程與程序)DE.AE(異常和事件)D13(安全即服務(wù))監(jiān)測―D13(安全即服務(wù))查―D13(安全即服務(wù))―D13(安全即服務(wù))―D13(安全即服務(wù))―D13(安全即服務(wù))―D13(安全即服務(wù))――D13(安全即服務(wù))―D13(安全即服務(wù))031云計算安全技術(shù)體系全景圖表4.2復(fù)合能力與基礎(chǔ)能力的映射 ●●●cationAMA●●●●●●●●●●●●●●●●●●●●●●●●●關(guān)聯(lián)●脅●●●●●●●●●●●●●●●●●●032綠盟科技云安全綱領(lǐng)●●●●●●●●●●●●●別●●●●●●●●●●●●●●●全●●●主機(工作應(yīng)用資產(chǎn)清點(主機、服務(wù)器、容器化)●●主機配置合規(guī)(主機、服務(wù)器、容器化)●●防病毒(主機、服務(wù)●●入侵檢測(主機、服●● ●●033云計算安全技術(shù)體系全景圖 ●● ●● ●● ●● ●● ●● ●●網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)/管理●●●●●入侵檢測/防護●●●●c●●●●●●●●●●●●034綠盟科技云安全綱領(lǐng)●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●soar/一鍵封堵●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●監(jiān)測査●●●●●●●●●●●●●●●●●●●●●●●●●●●●云計算安全技術(shù)體系全景圖0354.2.2基礎(chǔ)云安全能力分類所示：圖4.3基礎(chǔ)云安全能力分類a)身份與訪問層安全云計算環(huán)境的用戶與程序都有各自的身份，通過認證后的憑證訪問應(yīng)用或服務(wù)。身份與訪問層安全覆蓋云計算用戶身份管理及云服務(wù)訪問管理領(lǐng)域所需的基礎(chǔ)安全能力，包括身份b)服務(wù)層安全服務(wù)層安全覆蓋云上對外提供業(yè)務(wù)的服務(wù)所需的基礎(chǔ)安全能力，包含：開發(fā)安全、應(yīng)用c)資源層安全綠盟科技云安全綱領(lǐng)036●虛擬化層安全，包括防止虛擬機/容器逃逸等。d)安全管理e)安全服務(wù)覆蓋安全服務(wù)中所需的基礎(chǔ)能力，包括合規(guī)、漏洞應(yīng)急響應(yīng)、安全事件檢測與響應(yīng)、設(shè)備托管、滲透測試、代碼泄露監(jiān)測、互聯(lián)網(wǎng)資產(chǎn)暴露面核查、暗網(wǎng)核查、網(wǎng)站安全云防護、4.2.3能力目錄與安全框架映射4.3復(fù)合云安全能力云計算的場景較為復(fù)雜，如有私有云、公有云、多云/混合云、云原生和SDWAN等。在各場景下適用的安全產(chǎn)品和安全方案，體現(xiàn)出了多種基礎(chǔ)云安全能力的組合。本節(jié)將介紹4.3.1概述云計算技術(shù)的重要特點是彈性、按需和接口化，所以綠盟科技的基礎(chǔ)云安全能力也體現(xiàn)出這些特點。借助這些基礎(chǔ)云安全能力，我們就能構(gòu)建出多種復(fù)雜的安全能力組合，即網(wǎng)絡(luò)安全服務(wù)網(wǎng)格架構(gòu)，進而為用戶提供可編排的多種安全能力組合，我們稱之為復(fù)合云安037云計算安全技術(shù)體系全景圖旨在應(yīng)對某一場景下的多種安全風(fēng)險。下述復(fù)合云安全能力全面描述以及典型廠商安全產(chǎn)nerGartner圖4.4復(fù)合云安全能力全景4.3.2常見的復(fù)合云安全能力a)云訪問安全代理(CASB)云訪問安全代理(CloudAccessSecurityBroker，CASB)最早是2012年由Gartner提BCASB的出現(xiàn)最早是為解決從底層硬件資源到上層軟件資源，最終用戶都無法實施控制，因為企業(yè)用戶使用了哪些云服務(wù)和用什么設(shè)備訪問這服務(wù)都不受企業(yè)管控，從而引發(fā)數(shù)據(jù)泄露等安全問題，而CASB能很b)云工作負載保護平臺(CWPP)安全保護解決方案，包括物理服務(wù)器、虛擬機(VM)、容器和無服務(wù)器工作負載。CWPP為跨企業(yè)內(nèi)部和云環(huán)境的可視性和保護提供了一個單一的可觀察的窗●加固、安全配置與漏洞管理●網(wǎng)絡(luò)防火墻、可視化以及微隔離●系統(tǒng)信任保證038綠盟科技云安全綱領(lǐng)●應(yīng)用控制/白名單●漏洞利用預(yù)防/內(nèi)存保護●服務(wù)器工作負載EDR、行為檢測、威脅檢測/響應(yīng)●具有漏洞屏蔽功能的HIPS●反惡意軟件掃描c)云安全態(tài)勢管理(CSPM)些安全配置包括賬號特權(quán)、網(wǎng)絡(luò)和存儲配置，以及安全配置(如加密設(shè)置)。如果發(fā)現(xiàn)配置d)云原生應(yīng)用防護平臺(CNAPP)云原生應(yīng)用防護平臺(Cloud-NativeApplicationProtectionPlatform，CNAPP)結(jié)合了e)SaaS管理平臺(SMP)SaaS管理平臺(SaaSManagementPlatform，SMP)使安全管理人員能夠在數(shù)字化辦f)安全服務(wù)邊緣(SSE)WebSSE據(jù)安全和安全監(jiān)控。SSE可對如下功能進行了融合，并將其整合到單一供應(yīng)商、以云為中心的融●零信任網(wǎng)絡(luò)訪問(ZTNA)云計算安全技術(shù)體系全景圖039下：g)網(wǎng)絡(luò)檢測與響應(yīng)(NDR)R安全解決方案留下的安全盲點，黑客利用這些盲點在目標網(wǎng)絡(luò)中立足。檢測響應(yīng)是基于入侵檢測系統(tǒng)(IDS)開發(fā)的。IDS解決方案安裝在網(wǎng)絡(luò)外圍并監(jiān)控網(wǎng)絡(luò)流量是否存在可疑活動。出網(wǎng)絡(luò)的所有網(wǎng)絡(luò)流量，并創(chuàng)建正常網(wǎng)絡(luò)活動的基線?；€稍后用于將當(dāng)前流量與常規(guī)網(wǎng)絡(luò)NDR解決方案利用先進技術(shù)來檢測新興和未知威脅，如機器學(xué)習(xí)和人工智能(AI)。使用這些技術(shù)允許NDR系統(tǒng)將從網(wǎng)絡(luò)流量收集的信息轉(zhuǎn)換為可操作的情報，用于檢測和阻止未NDR做出響應(yīng)。NDR還可以與現(xiàn)有的安全解決方案(如SIEM和SOAR)集成，以增強檢測和響應(yīng)。h)拓展的檢測與響應(yīng)(XDR)將多源安全遙測數(shù)據(jù)進行聚合，把原先分散的單點安全能力以原生化方式進行有機融合，以i)云基礎(chǔ)設(shè)施權(quán)限管理(CIEM)CloudInfrastructureEntitlementsManagement，CIEM)方案越來越多地被應(yīng)用，其旨在打通多云間的認證授權(quán)管理，保障用戶使用云基礎(chǔ)設(shè)施和服務(wù)時的最j)網(wǎng)站云防護SaaSWeb云安全云防護 (WCP)包含的安全防護能力(見表4.3)。040綠盟科技云安全綱領(lǐng)表4.3網(wǎng)站安全云防護安全能力、數(shù)據(jù)防泄露k)網(wǎng)站安全監(jiān)測aSWeb●資產(chǎn)核查服務(wù)，主要幫助用戶識別違規(guī)上線的應(yīng)用，讓用戶對于外網(wǎng)暴露IP、端口性監(jiān)測服務(wù)，能夠幫助用戶了解其站點此時的通斷狀況、延遲狀況；●認證監(jiān)測服務(wù)，主要能夠為用戶提供釣魚網(wǎng)站監(jiān)測的功能；4.3.3復(fù)合云安全能力與基礎(chǔ)云安全能力的映射射詳見表4.2。041云計算安全技術(shù)體系全景圖4.4業(yè)界優(yōu)秀實踐作為行業(yè)最有影響力的公有云服務(wù)商之一，Amazon在云計算方面投入時間最久，其公AmazonAWS踐。和客戶分別承擔(dān)的責(zé)任，得到了行業(yè)的認可。其通用模型如圖4.5所示，也可認為是經(jīng)典的在此模型中，AWS負責(zé)“云本身的安全”，即保護運行所有AWS云服務(wù)的基礎(chǔ)設(shè)施?？蛻糌撠?zé)“云內(nèi)部的安全”，即由客戶所選的AWS云服務(wù)確定。這決定了客戶在履行作。例如，AmazonElasticComputeCloud(AmazonEC2)等服務(wù)被歸類為基礎(chǔ)設(shè)施即服務(wù)，因此要求客戶負責(zé)所有必要的安全配置和管理任務(wù)。部署AmazonEC2實例的客戶需要負責(zé)來賓操作系統(tǒng)(包括更新和安全補丁)的管理、客戶在實操作系統(tǒng)和平臺，而客戶通過訪問終端節(jié)點存儲和檢索數(shù)據(jù)?？蛻糌撠?zé)管理其數(shù)據(jù)(包括加密選項)，對其資產(chǎn)進行分類，以及使用IAM工具分配適當(dāng)?shù)臋?quán)限。OCATIONSS042綠盟科技云安全綱領(lǐng)S●身份與訪問管理：AWSIdentity服務(wù)支持用戶安全地批量管理身份、資源和權(quán)限。借助AWS，用戶可以為員工和面向客戶的應(yīng)用程序提供身份服務(wù)，以快速入門并管理●網(wǎng)絡(luò)和應(yīng)用程序保護：網(wǎng)絡(luò)和應(yīng)用程序保護服務(wù)使用戶能夠在組織中的網(wǎng)絡(luò)控制點強制執(zhí)行精細的安全策略。AWS服務(wù)可幫助用戶檢查和過濾流量，以防止主機、網(wǎng)絡(luò)●數(shù)據(jù)保護：AWS提供的服務(wù)幫助用戶保護數(shù)據(jù)、賬戶和工作負載免受未經(jīng)授權(quán)的●事故響應(yīng)：分析、調(diào)查和快速確定潛在安全問題或可疑活動的根本原因，自動從●合規(guī)性：AWS讓用戶可以全面了解合規(guī)狀況，并使用自動合規(guī)性檢查(基于用戶的組織遵守的AWS最佳實踐和行業(yè)標準)，持續(xù)監(jiān)控用戶的環(huán)境。全能力分類訪問理tiveDirectory043云計算安全技術(shù)體系全景圖全能力分類or墻規(guī)則您的敏感數(shù)據(jù)性的基于硬件的密鑰索密鑰題高效、可擴展的方式合規(guī)性的方式045RESPONDDETECTRCOVERYIDPROTECTE適用范圍幫助組織理解進而管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和能力的網(wǎng)絡(luò)安全相關(guān)風(fēng)險。識別(Identity)[風(fēng)險識別能力]保護(RESPONDDETECTRCOVERYIDPROTECTE適用范圍幫助組織理解進而管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和能力的網(wǎng)絡(luò)安全相關(guān)風(fēng)險。識別(Identity)[風(fēng)險識別能力]保護(Protect)[安全防御能力]檢測(Detect)[安全檢測能力]響應(yīng)(Respond)[安全響應(yīng)能力]恢復(fù)(Recover)[安全恢復(fù)能力]NISTCSF適用于所有依賴技術(shù)的組織，無論其網(wǎng)絡(luò)安全關(guān)注點是信息技術(shù)(IT)、工業(yè)控制系統(tǒng)(ICS)、網(wǎng)絡(luò)物理系統(tǒng)(CPS)、物聯(lián)網(wǎng)(IoT)還是更普遍的連接設(shè)備。發(fā)布機構(gòu)ENTIFNISTCSF由美國國家標準與技術(shù)研究所(NIST)于20132018年4月發(fā)布版本1.1。為了增強美國關(guān)鍵基礎(chǔ)設(shè)施的韌性以應(yīng)對網(wǎng)絡(luò)安全風(fēng)險，2014年《網(wǎng)絡(luò)安全加強法案》 (CEA)更新了國家標準與技術(shù)研究院(NationalInstituteofStandardsandTechnology，簡稱NIST)的職責(zé)，包括制定和開發(fā)網(wǎng)絡(luò)安全風(fēng)險框架，供關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商自愿使用。這項法案將NIST之前在13636號行政命令(ExecutiveOrder13636)“改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全”(2013年2月)下開發(fā)網(wǎng)絡(luò)安全框架(CybersecurityFramework，CSF)的方式處理和管理網(wǎng)絡(luò)安全風(fēng)險，而無需對業(yè)務(wù)提出額外的監(jiān)管要求。至此，該框架適用于所有依賴技術(shù)的組織，無論其網(wǎng)絡(luò)安全關(guān)注點是信息技術(shù)(IT)、工業(yè)控制系統(tǒng)(ICS)、網(wǎng)絡(luò)物理系統(tǒng)(CPS)、物聯(lián)網(wǎng)(IoT)，或是更普遍的連接設(shè)備。即風(fēng)險識別能力(Identify)、安全防御能力(Protect)、安全檢測能力(Detect)、安全響應(yīng)能力(Respond)和安全恢復(fù)能力(Recover)，如圖5.1所示。這個能力框架實現(xiàn)了網(wǎng)絡(luò)。NISTCSF框架核心的5個功能要素IPDRR制訂并實施適當(dāng)?shù)谋Ｕ洗胧┲朴啿嵤┻m當(dāng)?shù)谋Ｕ洗胧_保關(guān)鍵基礎(chǔ)服務(wù)的交付?！氨Ｗo”功能對于限制或遏制潛在網(wǎng)絡(luò)安全事件的影響起到支持作用。制制訂并采取適當(dāng)措施識別網(wǎng)絡(luò)安全事件的發(fā)生，“檢測”功能能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。制訂并實施適當(dāng)?shù)幕顒又朴啿嵤┻m當(dāng)?shù)幕顒?，以對檢測的網(wǎng)絡(luò)安全事件采取行動。制制訂并實施適當(dāng)?shù)幕顒右员３钟媱澋膹椥?，并恢?fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。F綠盟科技云安全綱領(lǐng)046識別(Identity)：幫助組織理解進而管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和能力的網(wǎng)絡(luò)安全相關(guān)風(fēng)險。“識別”功能中的活動是有效使用框架的基礎(chǔ)。只有在理解組織業(yè)務(wù)、支持關(guān)鍵業(yè)務(wù)的資源以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險時，才能使組織根據(jù)其風(fēng)險管理策略和業(yè)務(wù)需求將資源集保護(Protect)：制訂計劃并實施適當(dāng)?shù)谋Ｕ洗胧?，確保關(guān)鍵基礎(chǔ)服務(wù)的交付?！氨Ｗo”功能對于限制或遏制潛在網(wǎng)絡(luò)安全事件的影響起到支持作用。此功能中的類別有“訪問控制”“意識和培訓(xùn)”“數(shù)據(jù)安全”“信息保護流程和程序”“維護”和“保護性技術(shù)”。檢測(Detect)：制訂計劃并采取適當(dāng)措施識別網(wǎng)絡(luò)安全事件的發(fā)生。“檢測”功能能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件。此功能中的類別有“異常和事件”“安全持續(xù)監(jiān)控”以及“檢測恢復(fù)(Recover)：制訂計劃并實施適當(dāng)?shù)幕顒右员３钟媱澋膹椥?，并恢?fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。“恢復(fù)”功能可支持及時恢復(fù)至正常運行狀態(tài)，以減輕網(wǎng)絡(luò)安全TSPSP定云計算定義模型定義了云計算的3種基本服務(wù)模式(PaaS、SaaS、IaaS)，4種部署模式(私有云、社區(qū)云、公有云和混合云)，以及5個基本特征(按需自服務(wù)、廣泛的網(wǎng)絡(luò)接入、資源池化、快速伸縮、服務(wù)可度量)。云安全參考體系047NISTSP500-299NIST云計算安全參考框架(NCC-SRA)》，指綠盟科技云安全綱領(lǐng)048CSF綠盟云打造集識別、保護、檢測、響應(yīng)和恢復(fù)為一體的云安全保障體系，動態(tài)協(xié)同多種安全防御措施，實現(xiàn)了網(wǎng)絡(luò)安全“事前、事中、事后”的全過程覆蓋，幫助企業(yè)主動識別、。云安全體系，綠盟科技也在積極應(yīng)答由全球公認的權(quán)威標準組織英國標準協(xié)會(BSI)組織的應(yīng)、恢復(fù)等方面的能力成熟度。另外，綠盟云提供的產(chǎn)品和服務(wù)可以針對NISTCSF框架核心中五項功能中的部分類別提供幫助，協(xié)助解決客戶管理網(wǎng)絡(luò)安全風(fēng)險時遇到的問題。綠盟049云安全參考體系云安全聯(lián)盟(CloudSecurityAliance，CSA)于2008年12月在美國發(fā)起，是中立的非Compliance(GRC)Stack。其目的在于幫助云服務(wù)客戶(CloudServiceCustomer，CSC)2013年，英國標準協(xié)會(BSI)和云安全聯(lián)盟聯(lián)合推出的國際范圍內(nèi)的針對云安全水平的權(quán)威認證(Security，Trust&AssuranceRegistryProgram，STAR)，這是一個可公開訪云控制矩陣(CloudControlsMatrix，CCM)：其中列出了云計算的安全控制，并將它共識評估倡議調(diào)查表(CAIQ)：一份根據(jù)CCM制定的調(diào)查表，其中有客戶或云審計師可能想要要求CSP根據(jù)CSA最佳做法對其合規(guī)性進行評估的一百多個問題。為云服務(wù)商提。。全聯(lián)盟的云控制矩陣》《身份管理和訪問控制指南》等報告。其中，《云計算關(guān)鍵領(lǐng)域安全指南》是云安全領(lǐng)域奠基性的研究成果，得到全球普遍認可，具有廣泛的影響力，被翻譯成這些域分成了兩大類：治理(governance)和運行(operations)。其中治理域范疇很廣，解決云計算環(huán)境的戰(zhàn)略和策略問題，在治理域中，要求對云平臺進行合規(guī)化和審計管理；而050綠盟科技云安全綱領(lǐng)治治理域合理性和審計管理治理和企業(yè)風(fēng)險管理法律問題信息治理運運行域基礎(chǔ)設(shè)施安全安全即服務(wù)相關(guān)技術(shù) (大數(shù)據(jù)、物聯(lián)網(wǎng)IoT和邊緣計算等)管理平面和業(yè)務(wù)連續(xù)性虛擬化和容器技術(shù)事件響應(yīng)、通告和補救數(shù)據(jù)安全和加密身份、授權(quán)和訪問管理應(yīng)用安全在過去的十幾年中發(fā)布的云安全定義、架構(gòu)、標準、指南中，CSA云控制矩陣(CCM)CCM估工具，也。MvCCMv容大幅更新，確保覆蓋來自云計算新技術(shù)、新控制、安全責(zé)任矩陣的要求，改善控制項的問確保覆蓋來自新云技術(shù)的需求(例如，微服務(wù)、容器)和新的法律和監(jiān)管要求，特別是051云安全參考體系對應(yīng)的架構(gòu)內(nèi)容、公司治理的相關(guān)性、涉及的云服務(wù)類型、與云服務(wù)供應(yīng)商和客戶的相關(guān)性CCM構(gòu)建了統(tǒng)一的控制框架，通過減少云中的安全威脅和弱點加強現(xiàn)有的信息安全控制環(huán)境，提供標準化的安全和運營風(fēng)險管理，并尋求將t全tion綠盟科技云安全綱領(lǐng)052MCSASTAR以ISO/IEC27001認證為基礎(chǔ)，結(jié)合云端安全控制矩陣CCM的要求，運用BSI提供的成熟度模型和評估方法，綜合評估組織云端安全管理和技術(shù)能力。CCM與行業(yè)綠盟科技參考CSA云安全控制矩陣中17個控制域中的控制目標構(gòu)建云安全體系框架，在審計與保障方面，綠盟建立了一個正式、定期的審計計劃，包括持續(xù)的、獨立的內(nèi)部和外部評估，內(nèi)部評估持續(xù)追蹤安全控制措施的有效性，外部評估以獨立審核員身份進行審在應(yīng)用程序和接口安全方面，綠盟科技的云計算相關(guān)產(chǎn)品與服務(wù)在發(fā)布前均需完成靜態(tài)代碼掃描，掃描出的漏洞告警清零才可進行發(fā)布，有效降低應(yīng)用程序存在編碼相關(guān)的安全問題的可能性。綠盟科技對引入的開源及第三方軟件制定了明確的安全要求和完善的流程控制在供應(yīng)鏈管理，透明度和問責(zé)制方面，綠盟科技制定了供應(yīng)商安全管理要求，定期對供應(yīng)商進行審查，驗證其是否符合綠盟安全和隱私標準。綠盟科技建立了應(yīng)對網(wǎng)絡(luò)安全事件的響應(yīng)流程，并針對關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)絡(luò)進行監(jiān)控，可及時監(jiān)測可能的網(wǎng)絡(luò)攻擊，避免數(shù)據(jù)泄此外，綠盟科技在安全服務(wù)上，全面布局，在網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等領(lǐng)域，推出了多款安全服務(wù)，并利用自身安全領(lǐng)域的優(yōu)勢，在全球構(gòu)建安全生態(tài)，攜手云安全參考體系0535.3與等級保護6.0的關(guān)系5.3.1概述標志著網(wǎng)絡(luò)安全保護進入有法可依的等級保護2.0(以下簡稱等保2.0)時代。網(wǎng)絡(luò)安全等級保護對象由信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)、信息系統(tǒng)(含采用移動互聯(lián)技術(shù)的系統(tǒng))、云計算平臺/系統(tǒng)、物聯(lián)網(wǎng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等。自2019年本要求”)等系列標準正式實施，落實網(wǎng)絡(luò)安全等級保護制度是每個企業(yè)和單位的基本義務(wù)5.3.2安全合規(guī)責(zé)任從傳統(tǒng)數(shù)據(jù)中心的視角，云安全是指保護云服務(wù)本身在基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺aaSSaaS高效、安全、穩(wěn)定地運行。云服務(wù)與傳統(tǒng)數(shù)據(jù)中心存在明顯差異，前者對云安全整體設(shè)計和實踐更側(cè)重于為云服務(wù)客戶提供完善、多維度、按需定制、組合的各種安全和隱私保護功能和配置，涵蓋基礎(chǔ)設(shè)施、平臺、應(yīng)用及數(shù)據(jù)安全等各個層面。同時，不同的云安全服務(wù)又進一步為云服務(wù)客戶提供了各類可自主配置的高級安全選項。這些云安全服務(wù)需要通過深度嵌入各層云服務(wù)的安全特性、安全配置和安全管控來實現(xiàn)，并通過可整合多點匯總分析的、日在云計算環(huán)境中，任何云服務(wù)客戶業(yè)務(wù)應(yīng)用系統(tǒng)安全性由云服務(wù)商和云服務(wù)客戶共同保詳細的差異如《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中所描述。按設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全。在網(wǎng)絡(luò)和通信安全方面要求安全審計。云服務(wù)方和云租戶分別收集各自的審計數(shù)據(jù)，并根據(jù)職責(zé)劃分提供審計接口，實現(xiàn)集中審計。在設(shè)備和計算安全方面，云服務(wù)方負責(zé)基礎(chǔ)設(shè)置的安全審計，云租戶提供計算服務(wù)中的安全審計，審計要綠盟科技云安全綱領(lǐng)054求提供數(shù)據(jù)接口實現(xiàn)集中審計。在應(yīng)用和數(shù)據(jù)安全方面，要求根據(jù)職責(zé)劃分，提供各自的審5.3.3基于等保2.0構(gòu)建綠盟云安全體系分別對通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境進行管理，實施多層隔離和保護措施，構(gòu)建網(wǎng)絡(luò)安全圖5.5等級保護安全技術(shù)設(shè)計框架(第二級)圖5.6等級保護安全技術(shù)設(shè)計框架(第三級)055云安全參考體系安全區(qū)域邊界：對定級系統(tǒng)的安全計算環(huán)境邊界，一級安全計算環(huán)境與安全通信網(wǎng)絡(luò)之。安全管理中心：對定級系統(tǒng)的安全策略及安全計算環(huán)境、安全區(qū)域邊界和安全通信網(wǎng)絡(luò)綠盟科技的總體安全體系架構(gòu)設(shè)計如圖5.7所示，其中，等級保護三級的系統(tǒng)總體安全體系架構(gòu)包括總體安全策略、網(wǎng)絡(luò)安全等級保護制度、安全技術(shù)體系、安全管理體系和安全總總體安全策略網(wǎng)絡(luò)安全等級保護定級定級備案安全安全建設(shè)等級等級測評安全整改監(jiān)監(jiān)督檢查安全技術(shù)體系安全服務(wù)體系安全物物物理位置選擇物物理訪問控制防盜竊和防盜竊和防破壞防防雷擊理環(huán)境防防水和防潮防防靜電溫溫濕度控制電力供電力供應(yīng)電磁防電磁防護安全通信網(wǎng)網(wǎng)路網(wǎng)路架構(gòu)通信傳輸通信傳輸可信驗可信驗證絡(luò)安全區(qū)域邊界護制范計證身份訪問安全入侵安全計算環(huán)境證整性密性恢復(fù)保護安全系統(tǒng)計安全系統(tǒng)計集中管理管控管理管理管控管理管理風(fēng)險評估服務(wù)安全加固服務(wù)滲透測試服務(wù)應(yīng)急響應(yīng)服務(wù)應(yīng)急演練服務(wù)重保安全服務(wù)安全培訓(xùn)服務(wù)個個人信息保護系安全管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理盟科技等保2.0總體安全體系架構(gòu)單位整體安全策略是立足本單位現(xiàn)狀和將來一段時間內(nèi)，以保護單位整體信息安全而制定的安全方針，需要單位全體人員遵守并執(zhí)行?？傮w安全方針、策略具有戰(zhàn)略高度，并且根056綠盟科技云安全綱領(lǐng)在安全建設(shè)中，需要落實國家網(wǎng)絡(luò)安全等級保護制度，安全保障建設(shè)首先需要對單位系統(tǒng)進行科學(xué)定級、備案，落實安全整改建設(shè)，通過等級測評對單位安全防護能力進行有效檢測，在安全運營中持續(xù)進行安全監(jiān)測和響應(yīng)，同時需要配合上級單位和監(jiān)管單位的安安全計算環(huán)境主要是對單位定級系統(tǒng)的信息進行存儲處理，并且實施安全策略保障信息在存、標記和強制訪問控制、系統(tǒng)安全審計、用戶數(shù)據(jù)完整性保護、用戶數(shù)據(jù)保密性保護、客體安通信網(wǎng)絡(luò)安全主要實現(xiàn)在網(wǎng)絡(luò)通信過程中的機密性、完整性防護，重點對定級系統(tǒng)安全安全區(qū)域邊界主要實現(xiàn)在互聯(lián)網(wǎng)邊界以及安全計算環(huán)境與安全通信網(wǎng)絡(luò)之間的雙向網(wǎng)絡(luò)過濾、區(qū)域從安全策略、管理制度、管理機構(gòu)、人員管理、安全建設(shè)管理和安全運維管理等方面分理制度、操作規(guī)程、記錄表單等內(nèi)容的安全管理制度體系的補充和完善，安全相關(guān)人員的錄用、培訓(xùn)、授權(quán)和離崗管理，圍從信息系統(tǒng)安全角度出發(fā)，通過網(wǎng)絡(luò)安全風(fēng)險評估、安全加固、滲透測試、應(yīng)急響應(yīng)、安全重保、應(yīng)急演練、安全培訓(xùn)等服務(wù)，和安全技術(shù)體系、安全管理體系相輔相成保障信息057安全管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理資產(chǎn)梳理分析安全風(fēng)險研判安全漏洞加固安全處置響應(yīng)安全運營管理安全運營體系安全管理體系安全技術(shù)體系安全服務(wù)擴展技術(shù)體系安全管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理資產(chǎn)梳理分析安全風(fēng)險研判安全漏洞加固安全處置響應(yīng)安全運營管理安全運營體系安全管理體系安全技術(shù)體系安全服務(wù)擴展技術(shù)體系通用技術(shù)體系o物理環(huán)境-@通信網(wǎng)絡(luò)-區(qū)域邊界- 計算環(huán)境-管理中心-基本要求和云計算相關(guān)標準要求，充分分析云計算安全需求，以“縱深防御，持續(xù)監(jiān)控”為指導(dǎo)思想，逐步建立自適應(yīng)安全防護體系，形成包含預(yù)警、防護、檢測和響應(yīng)等能力的安全閉環(huán)，分別從云平臺和云上客戶兩個層面進行防護，并為云上客戶提供專業(yè)和可配置的安全服務(wù)，全面控制云平臺自身和云上客戶的安全風(fēng)險，不止?jié)M足云平臺等保三級和云上客戶等。綠盟等保綠盟等保2.0安全保障體系全景充分發(fā)揮技術(shù)優(yōu)勢，保障客戶的核心IT資產(chǎn)與數(shù)據(jù)資產(chǎn)事前事中事后持續(xù)安全管理中心ESP-HNSFOCUS智能運營安全平臺ISOP威脅情報中心NTI安全咨詢安全咨詢綠盟等保2.0安全保障體系全景圖持續(xù)持續(xù)監(jiān)測等保合規(guī)理念專業(yè)安全服務(wù)安全運營體系安全管理體系安全管理制度安全管理機構(gòu)安全管理人員安全建設(shè)管理安全運維管理信息資產(chǎn)管理威脅與事管理脆弱性管理應(yīng)急響應(yīng)安全值守云服務(wù)商云平臺和云服務(wù)安全安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全計算環(huán)境云服務(wù)客戶云上安全安全技術(shù)體系智能安全分析安全管理中心全面安全能力縱深防御態(tài)勢感知圖5.9云等保解決方案整體架構(gòu)058 系統(tǒng)漏洞掃描 Web漏洞掃描配置核查堡壘機數(shù)據(jù)庫審計 防病毒管理端平臺安全管理區(qū)網(wǎng)頁防篡改平臺門戶區(qū)Web應(yīng)用防火墻智能安全運營平臺業(yè)務(wù)服務(wù)區(qū)防病毒AgentEDRAgentv數(shù)據(jù)庫審計平臺管理區(qū)防病毒Agentv堡壘機綠盟科技云安全綱領(lǐng) 系統(tǒng)漏洞掃描 Web漏洞掃描配置核查堡壘機數(shù)據(jù)庫審計 防病毒管理端平臺安全管理區(qū)網(wǎng)頁防篡改平臺門戶區(qū)Web應(yīng)用防火墻智能安全運營平臺業(yè)務(wù)服務(wù)區(qū)防病毒AgentEDRAgentv數(shù)據(jù)庫審計平臺管理區(qū)防病毒Agentv堡壘機基于等保2.0，綠盟科技的云安全產(chǎn)品部署如圖5.10所示(其中以v為前綴的產(chǎn)品為虛擬化版本)：流量分析互聯(lián)網(wǎng)流量分析互聯(lián)網(wǎng)接入?yún)^(qū)入侵防御流量清洗防火防火墻核心交換區(qū)網(wǎng)絡(luò)審網(wǎng)絡(luò)審計全流量分全流量分析入入侵檢測威威脅分析安全即服務(wù)安全即服務(wù)區(qū)EDR管理端 防病毒管理端防篡改云安全集中管理系統(tǒng)v數(shù)據(jù)庫審計vWeb漏掃v安全審計v日志審計v入侵檢測v系統(tǒng)漏掃v入侵防御v防火墻vWAF圖5.10綠盟云安全產(chǎn)品示意圖060綠盟科技云安全綱領(lǐng)云計算技術(shù)始終在快速發(fā)展中，很難給出云安全能力發(fā)展的全景圖，然而可以根據(jù)產(chǎn)業(yè)和安全技術(shù)的發(fā)展，預(yù)測云安全能力的發(fā)展趨勢。按照“使用一代、建設(shè)一代、預(yù)研一代”的原則，綠盟科技不斷迭代研究新的云計算安全前沿技術(shù)，積累云計算新的安全能力，研制6.1云上攻防除了合規(guī)驅(qū)動外，越來越多的云安全事件也在促進云安全防護能力的提升。攻擊者是逐利的，