云安全的那些坑，堆了再多设备也填不平！

这么多年来

搞信息安全建设的

都离不开“堆设备”

说白了是因为两点第一

安全不是单点问题

的确需要“多维度、立体化”防御

第二

满足合规建设的需求

该有的一个都不能少

然而，这种堆产品的方式

在云时代，有点力不从心

堆了再多的安全设备

也填不平「云安全」的坑

这其中，比较突出的“坑”

主要是三个

① 防护能力扩容与升级之“坑”

云环境下

工作负载的数量和类型大幅增加

（物理机、虚拟机、容器、Serverless）

流量的规模和维度大幅增加

（南北流量+东西流量）

用户的属性和体量大幅增加

（外部海量客户+内部多个租户）

单个安全设备再能扛

面对云的压力，体力也会透支

所以，在很多云安全方案中

都会用堆设备，搞安全资源池的玩法

“池化”不是什么新玩法

毕竟工作负载都池化了

防护资源池化是必然的

但是池化却带来了新问题

资源池该如何弹性扩缩

各种防护资源该如何搭配

不同方向的流量该如何引流

② 多种安全能力整合联动之“坑”

池子挖好，设备也堆了很多

（FW/IPDS/LB/AV/抗D/沙盒/漏扫…）

却往往是各自为战、一盘散沙

联网却不联动，立体却不合体

③ 多产品多租户运维管理之“坑”

堆的产品设备多了

管起来自然麻烦

乌央乌央的日志

更是让管理员一脸懵逼，无从下手

云环境下还有个特别的管理需求

安全产品要提供多租户自主服务

每个“租户”都需要个性化的策略和配置

要有明确的管理责任平面划分

既要让租户觉得好用

又要避免租户滥用

上面这些问题

如果放到纯公有云环境下

由于云服务商的强主导能力

再加上相对固定场景下的长期持续定制

比较容易内建出一套靠谱的云安全体系

so，我们看那些公有云大厂

无论平台级的安全还是租户级的安全

无论云产品安全还是云安全产品

靠谱程度都肉眼可见

可是，如果是私有云/专有云场景

每个场景都极具个性化

公有云那种逐步内建的玩法，完全没法套用

于是，问题又回到了起点

不止这些坑，还要考虑合规性的问题

等保2.0对云安全提出了全新要求

无论旧网改造还是新建项目

都要做不少新功课

那么

私有云/专有云安全的这些坑儿

到底应该怎么填？

其实要解决这些问题

需要“云+网+安”的合力

only安全产品，不行！

only云产品，不行！

only网络产品，不行！

放眼国内，三条产品线都不偏科

做成云网安一体化大安全的

首选新华三

近20年的研发积累

无数大项目的历练

让新华三具备了强大的原生安全实力

接下来，我们来深扒下

新华三云安全方案是怎么做的

第一步：修个“NB”的大池子

云的安全必须用云的方法去解决

堆设备、做防护资源池

这个大方向没毛病

但新华三建的云安全资源池

却跟别人都不一样

3种资源池，可以灵活混搭

形成更大的软硬混搭资源池

功能互补、资源弹性

不管云中需要哪种安全能力

“池子”里都应有尽有

（防护、加密、检测、杀毒、鉴权、审计）

能建成这样“海纳百安”的池子

是因为新华三自身拥有强大的安全产品线

第二步：把“池子”盘活

牛掰的池子建好了

只代表具备了这些安全能力资源

把资源用起来，把池子盘活才是关键

这时，新华三的网络底蕴就体现出来

用SDN来实现流量调度和资源编排

不管流量要流到哪里去

不管中间要加载哪些安全服务

不管是平台管理员还是租户用户

都可以基于服务链的模式

进行任意的编排和定义

南来的，北往的，东去的，西行的

全部都安排的明明白白

这叫：全向纵深防御

流量太大怎么办？

应用负载激增怎么办？

没关系，咱有池子

NFV资源可以迅速拉起、按需扩展

兵来将挡水来土掩

一顿操作猛如虎，看起来轻松自如

这背后凝聚的是

新华三近二十年的云网功底

第三步：把“池子”管好

池化实现资源的弹性和服务多样性

SDN/NFV解决资源的调度和服务编排

接下来，要解决的是

如何让各种安全产品形成合力

一方面是彼此协同

另一方面是好管理、易运维

这时候，云安全管理中心，就登场了

云安全运营+云安全运维

这里像一个指挥部

对所有安全产品、服务、策略、事件

实现全视角集中管理

被业内妖魔化很多年的SoC

终于有内味儿了

一起落地的

还有云态势感知平台

从威胁发现、流量分析、态势预测

再到风险评估、策略响应、攻击溯源

态势感知不再是“卖大屏”

而是成为了“主动安全”的中枢

把多种安全能力串联起来

第四步：一键搞定等保合规

其实，建设到了这一步

“等保2.0”已经是水到渠成了

在满足业务价值的同时

顺手就能把合规的事儿搞定

按照新华三这套云安全方案建设

【安全管理中心+安全计算环境+安全区域边界+安全通信网络】

面面俱到，上线即合规

这就完了吗？并没有

新一代的云安全

是“云+网+安”的协同与融合

三科都是学霸的新华三

在这方面做到了极致

而在实际落地的时候

新华三又变身工程化实践大师

来看个某省级政务云的实战拓扑

感受一下那种酸爽

当然，作为工程化落地的大师

新华三充分考虑了项目具体场景

他们既提供融合版大安全方案

在新华三云平台中内置安全资源池

提供“大一统”的方案

又提供解耦版的独立资源池方案

与第三方云平台完美集成和联动

让客户无需担心“产品锁定”

在云安全的实战落地中

新华三承建了大量政企专有云项目

这其中既有一体化融合方案

也有独立资源池方案

在公有云领域

新华三为紫光云设计并构建安全能力

提供原生的安全保护和服务

达到公有云4级等保标准

当然，对于新华三来说

云安全还有更广阔的星辰大海

结合“云网安”融合优势，贯穿

云端威胁情报→云管安管平台→智能控制器→网元设备

最终形成云网边端的安全大融合