2018年3月21-22日，由中國信息通信研究院主辦、中國通信標(biāo)準(zhǔn)化協(xié)會(huì)支持的"OSCAR云計(jì)算開源產(chǎn)業(yè)大會(huì)"在國家會(huì)議中心舉行。

隨著云計(jì)算技術(shù)的日益發(fā)展，并開始進(jìn)入“深水區(qū)”，開源技術(shù)與云計(jì)算融合的程度進(jìn)一步加深，并開始成為產(chǎn)業(yè)發(fā)展的重要支撐。"OSCAR云計(jì)算開源產(chǎn)業(yè)大會(huì)"將邀請行業(yè)內(nèi)多位大咖與權(quán)重人物共同探討、交流云計(jì)算開源技術(shù)、研發(fā)、治理、產(chǎn)業(yè)化方面的經(jīng)驗(yàn)，探索開源與云計(jì)算的創(chuàng)新發(fā)展新路徑。

以下為360企業(yè)安全、云安全事業(yè)部總監(jiān)王亮《私有云場景云安全運(yùn)營實(shí)踐》演講全文：很高興今天有這個(gè)機(jī)會(huì)能讓我把360在私有云場景當(dāng)中，我們自己在用私有云以及我們在為客戶建私有云過程當(dāng)中碰到的一些問題，跟大家分享一下。

王亮

我會(huì)從三個(gè)角度去談私有云場景的安全問題，第一，我們會(huì)先看一下在這個(gè)場景當(dāng)中的需求是什么，然后我們再來看一下私有云場景里面云安全能力的定義，第三點(diǎn)我想看一下360自己在做內(nèi)部私有云的時(shí)候是怎么來處理問題的。

首先來看一下在一個(gè)云的場景當(dāng)中，我們可以把它分成幾個(gè)不同的參與者，有云的建設(shè)方、運(yùn)營方、監(jiān)管云和租戶方，最終是云的使用者。從不同的視角來看，大家對云安全的認(rèn)識，以及對云上安全的需求是不一樣的。這里面有一些共性的需求，比如說這四方在建設(shè)、運(yùn)行以及監(jiān)管、使用的過程中都會(huì)合規(guī)，對安全的運(yùn)營管理，其實(shí)這是一些共性的需求。今天我們有針對云上安全的運(yùn)營展開一些比較深入討論。

我們談到運(yùn)營，最根本的就是這三點(diǎn)，我們把它總結(jié)為PPT，People 、Proccess、Technology.今天主要講第三點(diǎn)，第一它要對安全事件可見、可管、可分析、和可處置。我們基本上把整個(gè)云分為兩大部分，在業(yè)務(wù)層面，Biz—SecOps.第二部分在云的開發(fā)過程當(dāng)中，可能大家比較熟悉就是Dev—SecOps，今天也有一個(gè)單獨(dú)的論壇談這個(gè)話題。

首先看第一點(diǎn)，我們在做整個(gè)云上業(yè)務(wù)時(shí)，怎么樣保證云端業(yè)務(wù)的安全。這是一張?jiān)粕系陌踩芾硗暾疽鈭D，剛才各位專家包括各位領(lǐng)導(dǎo)談到了很多云上的安全，一大特點(diǎn)就是它的防護(hù)角度、風(fēng)險(xiǎn)是呈現(xiàn)變化分布的。我們從CIC的安全域上可以看到，如果從國家的整網(wǎng)規(guī)范來看，大概200多個(gè)貢獻(xiàn)點(diǎn)。如果做到云上安全和云上合規(guī)的話你要考慮的因素非常多，你要實(shí)施的手段也特別多。因此，在云上我們要做到完整合規(guī)，能夠去防止數(shù)據(jù)的泄露，防止黑客的攻擊，做到可運(yùn)營的狀態(tài)，就需要有這樣一個(gè)非常完整的安全管理平臺，能夠把所有的安全資源和數(shù)據(jù)管理起來。通過這個(gè)平臺，我們可以去做到租戶的集中管理，訂單的審核以及日志的審計(jì)等等，這些東西都可以通過一個(gè)界面有一個(gè)完整的管理系統(tǒng)。我們的這些安全資源把它虛擬化之后，變成一個(gè)安全的資源池，通過上面的API對資源池自己調(diào)度，這樣的話，能對我的業(yè)務(wù)系統(tǒng)提供一個(gè)完整的防護(hù)。實(shí)際上就構(gòu)成了一個(gè)非常完整的云安全的管理示意圖。

這張圖我們目前也希望能夠把它做成一個(gè)標(biāo)準(zhǔn)化的云安全架構(gòu)，目前我們也在找一些兄弟單位，包括像阿里云、華為等等，他們也在積極參與當(dāng)中。我們希望能夠用兩年的時(shí)間把它作為一個(gè)云安全的完整架構(gòu)把它推出來，將來大家再碰到這樣的云安全問題時(shí)，起碼能夠做到有一個(gè)可參考的能力模型。

如果在云安全中真正使用安全能力的使用者，其實(shí)就是租戶，因此在一個(gè)正常的云的場景中，我們一定要讓它作為一個(gè)租戶的業(yè)務(wù)形態(tài)采購。因此我們內(nèi)部的私有云，其實(shí)我們的整個(gè)云的業(yè)務(wù)也是把它做成一個(gè)訂單式的，在私有云上各個(gè)部門可以在上面訂購他認(rèn)為對他有意義的安全能力，比如說我們做了云上的一些虛擬機(jī)的防護(hù)，做了云上的危機(jī)警報(bào)、web防護(hù)等等。各個(gè)部門因?yàn)闃I(yè)務(wù)形態(tài)不一樣，有一些業(yè)務(wù)部門可能有一些對外的窗口，比如說也有一些云上的游戲等等，可能它會(huì)比較偏重對web的防護(hù)。我們也有一些對內(nèi)的部門，比如像財(cái)務(wù)部門、內(nèi)部的Ops部門可能注重的是一些內(nèi)部的數(shù)據(jù)防泄露，因此大家在云上可以根據(jù)自己不同的業(yè)務(wù)系統(tǒng)去上面采購能夠?qū)ψ约簶I(yè)務(wù)強(qiáng)相關(guān)的安全服務(wù)。

剛才給大家展現(xiàn)的整個(gè)云安全管理平臺能夠做的事就是把整個(gè)云上的安全事件收集起來，把它做一個(gè)集中的展示，通過這個(gè)展示我們就能看到在云上到底發(fā)生了什么事情，到底有那些人試圖竊取我的數(shù)據(jù)，試圖入侵我的系統(tǒng)。其實(shí)這個(gè)主要也是從運(yùn)營者的角度去看整個(gè)云安全的能力。

 1/3    1 2 3 下一頁 尾頁