2018年3月21-22日,由中国信息通信研究院主办、中国通信标准化协会支持的"OSCAR云计算开源产业大会"在国家会议中心举行。
随着云计算技术的日益发展,并开始进入“深水区”,开源技术与云计算融合的程度进一步加深,并开始成为产业发展的重要支撑。"OSCAR云计算开源产业大会"将邀请行业内多位大咖与权重人物共同探讨、交流云计算开源技术、研发、治理、产业化方面的经验,探索开源与云计算的创新发展新路径。
以下为360企业安全、云安全事业部总监王亮《私有云场景云安全运营实践》演讲全文:很高兴今天有这个机会能让我把360在私有云场景当中,我们自己在用私有云以及我们在为客户建私有云过程当中碰到的一些问题,跟大家分享一下。
王亮
我会从三个角度去谈私有云场景的安全问题,第一,我们会先看一下在这个场景当中的需求是什么,然后我们再来看一下私有云场景里面云安全能力的定义,第三点我想看一下360自己在做内部私有云的时候是怎么来处理问题的。
首先来看一下在一个云的场景当中,我们可以把它分成几个不同的参与者,有云的建设方、运营方、监管云和租户方,最终是云的使用者。从不同的视角来看,大家对云安全的认识,以及对云上安全的需求是不一样的。这里面有一些共性的需求,比如说这四方在建设、运行以及监管、使用的过程中都会合规,对安全的运营管理,其实这是一些共性的需求。今天我们有针对云上安全的运营展开一些比较深入讨论。
我们谈到运营,最根本的就是这三点,我们把它总结为PPT,People 、Proccess、Technology.今天主要讲第三点,第一它要对安全事件可见、可管、可分析、和可处置。我们基本上把整个云分为两大部分,在业务层面,Biz—SecOps.第二部分在云的开发过程当中,可能大家比较熟悉就是Dev—SecOps,今天也有一个单独的论坛谈这个话题。
首先看第一点,我们在做整个云上业务时,怎么样保证云端业务的安全。这是一张云上的安全管理完整示意图,刚才各位专家包括各位领导谈到了很多云上的安全,一大特点就是它的防护角度、风险是呈现变化分布的。我们从CIC的安全域上可以看到,如果从国家的整网规范来看,大概200多个贡献点。如果做到云上安全和云上合规的话你要考虑的因素非常多,你要实施的手段也特别多。因此,在云上我们要做到完整合规,能够去防止数据的泄露,防止黑客的攻击,做到可运营的状态,就需要有这样一个非常完整的安全管理平台,能够把所有的安全资源和数据管理起来。通过这个平台,我们可以去做到租户的集中管理,订单的审核以及日志的审计等等,这些东西都可以通过一个界面有一个完整的管理系统。我们的这些安全资源把它虚拟化之后,变成一个安全的资源池,通过上面的API对资源池自己调度,这样的话,能对我的业务系统提供一个完整的防护。实际上就构成了一个非常完整的云安全的管理示意图。
这张图我们目前也希望能够把它做成一个标准化的云安全架构,目前我们也在找一些兄弟单位,包括像阿里云、华为等等,他们也在积极参与当中。我们希望能够用两年的时间把它作为一个云安全的完整架构把它推出来,将来大家再碰到这样的云安全问题时,起码能够做到有一个可参考的能力模型。
如果在云安全中真正使用安全能力的使用者,其实就是租户,因此在一个正常的云的场景中,我们一定要让它作为一个租户的业务形态采购。因此我们内部的私有云,其实我们的整个云的业务也是把它做成一个订单式的,在私有云上各个部门可以在上面订购他认为对他有意义的安全能力,比如说我们做了云上的一些虚拟机的防护,做了云上的危机警报、web防护等等。各个部门因为业务形态不一样,有一些业务部门可能有一些对外的窗口,比如说也有一些云上的游戏等等,可能它会比较偏重对web的防护。我们也有一些对内的部门,比如像财务部门、内部的Ops部门可能注重的是一些内部的数据防泄露,因此大家在云上可以根据自己不同的业务系统去上面采购能够对自己业务强相关的安全服务。
刚才给大家展现的整个云安全管理平台能够做的事就是把整个云上的安全事件收集起来,把它做一个集中的展示,通过这个展示我们就能看到在云上到底发生了什么事情,到底有那些人试图窃取我的数据,试图入侵我的系统。其实这个主要也是从运营者的角度去看整个云安全的能力。