从另外一个角度来看,在云安全上有一个关键的就是核管,即服务的自动编排。这里主要是指安全服务的自动编排,从整个视角来看,这边是云的平台,也就是说类似租户申请的虚拟机的服务,和存储服务,我们要有安全服务的能力,对租户的数据业务进行防护。
刚才我也谈到了,云上的安全组件非常多,我们怎么样把这些组件与它的业务系统绑定在一起,形成一个完整的业务流程,其实这个就是自动编排解决的工作。我们希望它有这样一个编排的能力,能够发现在整个云平台当中,租户的业务到底是一个什么样的业务形态,租户的业务量到底有多大,他采购了什么样的安全服务,这个服务我们现在建议有两种编排方案,内部采用的是手动式拖拽式的编排方案。也就是说租户在购买了服务之后,他又采购了安全服务,他可以自由编排安全的服务以及云服务,我们现在内部采用的是这样一个方案。
未来我们也有可能采用模板式方案,即自动下发策略。用户在采购了云的服务之后,我们会预先定一些模板,这些模板主要是针对未来可能考虑会有一些小白客户,他可能对安全不是特别熟悉,这种情况下你让他拖拽,形成一个有效的策略,这对他的挑战是非常大的,因此我们希望能够预先做相应的模板。当他去采购完服务,以及这些云服务之后,这些策略就可以自动下发到他所采购的安全组件上,形成一个有效的安全防护手段。
还有一点,就是运维的可管。我们可以看到在云上面它的特点是什么呢?多租户的形态,无论我们看到的公共服务,还是社区云,甚至是我们现在碰到的内部的私有云。私有云当中你也可以把它认为是多租户的形态,为什么?各个部门所需要的业务系统和业务能力是不一样的,每个业务系统之间也是隔离的,我们也可以把它看成多租户的形态。每一个组我们都是应该对他的这种业务、对他的运维流程有审计的功能,所以我们建议未来会在整个云平台上面部署这样的虚拟化审计,做到云上的运维可控可管。
刚才讲到的是可视化,下面看看对云上的事件分析和处置的问题。大家知道,2017年发生了很多的安全事件,对我们触动比较大的大概有几件事,一件就是去年的5月12号以及最近在医院发生的勒索情况。黑客攻击的行为往往是勒索,往往是采用赎金的形式获取利益。对于这样的勒索行为,传统的防控手段很难发现它,他会把自己的行为隐蔽得非常好,传统的防病毒对于这种勒索服务器是没有特别好的效果的。因此,在对付这种新型攻击的时候,我们建议要采用跟云端的安全能力结合,在勒索病毒的木马挂马之后,在连接控制点之后,就能够去发现它的木马感染行为,从而在云平台进行阻断。通过这样的方式能够做到对用户的防护。
因此我们看到在对付新的勒索病毒时,安全警报扮演了一个非常重要的角色,我们也在自己的云管平台当中对接了威胁情报,360的数据量大概是几十亿条,而且每天大概以几百万条的数字在增加。通过这种威胁情报的赋能,让整个云安全平台能够让已知的安全威胁,甚至是刚刚发生的一些安全威胁能够有感知,有防护的能力。通过这些对威胁的风险、威胁发生的感知能力,我们可以对它进行一个综合的分析,分析完之后,我们这里会有处置的建议。目前我们还不太建议在云平台上自动做一些处置行为,我们目前的通行做法是把它做成半自动化的方式,一旦发生威胁或者入侵之后,平台马上会发出短信或者邮件,通知给运营者,运营者这个时候要去采用这种手动的方式去做一个处置的动作。这样的话,我们主要是为了避免高附加值的业务,避免因为它的一些自动化的处置导致断网情况的发生。
所以说,如果我们要做整个云上威胁的分析以及处置的话,这里关键的能力就是要跟威胁情况做对接,同时要具备很好的大数据分析能力,它能够对安全事件有一个统一的分析,同时生成建议的处置策略。
通过刚才这些手段,基本上我们可以做到整个云上的完整安全体系。其实我们在整个生产实践过程中也发现,安全涉及的面太宽了,可能不是一家公司能够覆盖得到的,包括360有这么多的产品线,也不可能说覆盖到每一个很细节的点。因此,我们也在整个的云安全建设过程当中,试图建立一个非常完整的生态系统,跟业内的一些安全厂商能够去贡献整个云上安全的完整解决方案。目前我们已经跟国内大概四家公司结成了很紧密的战略联盟,争取能够在云上为我们的企业客户提供一套端到端的合规的安全解决方案。