在数字化转型的过程中，IT架构也正在发生着巨大的变化，云计算、大数据、物联网、人工智能等新技术的涌现，让割裂分散的传统IT架构向集中统一的新兴IT架构快速转型。网络边界的模糊以及业务资源的整合与再分配都对网络安全架构提出了新的挑战。

传统烟囱式的建设模式下每个业务系统拥有独立的安全防护设备，业务系统规模较小，网络结构简单，各个系统间边界清晰，资源独立，安全运维也相对简单。在数字化时代，数据大集中带来业务系统规模的激增，云计算技术的大规模应用以及多租户的出现，使得网络边界完全被打破，业务资源池化，原有碎片化的安全架构已完全不能够适应业务架构的融合与扩张。海量业务在上线过程中，安全系统的部署会由于访问量和应用的多样性成为最大的瓶颈。企业如何差异化实现业务系统的安全，也成为数字化转型过程中的重要课题。

综上所述，数字化经济时代，对云安全体系的三个核心需求分别是云安全能力的快速部署、租户/业务专享安全能力以及安全状态的可视化。应对数字化安全架构带来的挑战，其根本的解决之道是降低运维安全复杂度，提高安全弹性伸缩能力以及差异化安全能力交付。

新华三安全云解决方案综述

从传统观点看，为应对数字化转型过程中IT架构的变化，安全最有效的改变方式就是单纯将安全设备软件化建立简单的虚拟化安全资源池。但此种方式存在较大的缺陷，使得业务实际需求与安全配置成本不符，使得单一业务也需要完成虚拟设备的完整配置流程，无法对租户实现安全资源的服务化，同时也不能对安全业务的实施效果进行可视化的监控。

为解决上述问题，新华三提出了安全云的解决方案（如图一），重新定义在新IT架构下的安全能力。安全云从逻辑控制层的角度出发，屏蔽底层技术细节，将各类安全能力从单纯的产品配置转变为服务化配置，将繁琐的安全业务重新进行定义，从用户业务的角度出发，将安全能力的配置抽象为必要的逻辑实现。基于OpenStack架构，定义各类标准安全服务，并关联OpenStack所标识的租户边界“网关”节点，实现租户的流量的牵引与安全能力编排，同时，针对第三方安全控制器及安全设备也可通过标准接口进行适配，纳入到安全云的安全能力体系中。通过对认证模块的调用及虚拟机列表的读取，完成云管理平台到安全云的平滑单点登录及对象操作。

安全云方案核心技术能力

对于租户/业务管理员而言，业务上线过程中所面临的繁琐安全配置往往是掣肘业务上线速度的主要原因，在面向对象的IT架构中，这个问题更为突出。对于动辄管理数百个业务系统的IT管理员而言，如何快速且准确的针对业务特点进行安全业务配置，无疑是一个巨大的挑战。

新华三安全云架构将改进传统安全业务的配置方式。在传统模式下，每一个安全能力，都要对被保护对象进行多方面的定义，配置逻辑从网络层至应用层都不可或缺，但此种方式无法适应在云环境中的无界网络，对租户的配置对象无法进行统一的引用。

核心能力1：安全能力快速部署

在新华三安全云架构中，所定义的对象（资产）可以被所有安全服务进行调用。可定义的对象（资产）包括DNS域名、IP地址/地址段，应用协议、特征字段等多种元素。不同的安全服务类型，可以灵活选择不同的防护对象（资产）。通过调用OpenStack的标准接口，安全云能够动态的对虚拟机列表及租户（业务）网关列表进行同步，确保租户（业务）管理在配置过程中能够准确的对相应资产进行防护，从根本上解决安全业务能力同租户对应的问题，极大降低安全配置的复杂度。

在完成防护对象（资产）的选取之后，安全云也对各个安全业务的配置逻辑进行统一抽象，从安全业务使用者的角度重新设计，并将相关配置操作转换为OpenStack可以识别的安全业务插件，通过插件接口对实际的安全能力进行配置下发，最终完成安全业务快速自动化部署。

同时，安全云还能够提供安全业务使用效果的展示，通过动态图表，直观显示安全业务生效后的使用效果，包括命中率、事件统计、安全态势等多个维度的指标，使安全业务的使用效果一目了然，彻底解决安全事件不可见，安全效果不可知的现状。

下文将基于Web应用防护配置过程，详细介绍新华三安全云的配置逻辑。

首先，选择需要防护对象（资产）。通常，Web应用防护的对象（资产）是DNS域名，从下拉列表中，可以选择之前定义的所有DNS域名。完成之后，点击下一步，进入Web应用防护策略配置界面（如图2）。

随后，选择需要开启的Web应用安全防护（如图3）。新华三安全云将Web防护类型抽象为三个大类，包括Web应用攻击防护、CC安全防护、恶意IP封禁。三类安全防护能力，都可以通过点击“状态”开关一键开启，并能够立即生效。对于Web应用攻击防护规则策略，可以选择不同的安全防护强度，也可以进行自定义安全规则详细配置，仅需要两个步骤，就完成了对Web应用安全的配置。

在安全配置完成之后，展示页面可以从攻击排行、安全事件、攻击趋势等多个维度对安全服务配置效果进行基本的展示（如图4）。安全云也能通过安全态势感知服务对全局合规态势、攻击态势、运维态势、Web安全态势进行更深入的展示。

核心能力2：租户/业务专享安全

网络边界模糊，业务资源池化，多租户的出现，对传统安全架构的冲击是巨大的。对于防护类安全能力，包括防火墙、入侵防御、防病毒网关，无法对应租户的逻辑边界。对于检测/审计类安全能力，也无法鉴别不同租户的业务流量。所以，新IT环境下的安全业务架构，不仅需要在交付方式上做出调整，还需能够满足租户个性化的需求。同时，新华三安全云解决方案，也能满足《信息安全技术网络安全等级保护基本要求》中关于云安全的能力要求。

下面将从防护类安全能力架构设计、检测类安全能力架构设计、日志审计架构设计三个方面阐述新华三安全云的如何实现对租户/业务的专享安全能力分配（如图5）。

防护类安全设备采用硬件资源池的方式进行部署，虚拟化微服务通过Docker方式部署，Docker之间通过开放API接口进行通信，能够使每个租户独享安全能力。每个Docker具备有独立的日志发送、独立的策略配置、独立的硬件资源，即使在单独重启后也不互相干扰。防护类安全能力通过同租户在OpenStack架构中的网关（OpenStack称之为“路由器”）关联，保证业务流量能够对应到租户专属的安全能力。

检测类能力采用基于租户标签的流量分发方式，实现对不同租户的独立审计及检测（如图6）。在云架构中，可以采用VLAN或VxLAN的方式为不同的租户划分独立的VPC。检测类能力需要根据不同的VPC，将流量对应到不同的检测设备上。通过汇聚分流平台将镜像流量进行M:N的复制分发和智能过滤，一次性接收云架构内的全部流量，随后，基于标签实现不同租户的流量分发。最后，将检测结果反馈到多租户模式下的态势感知平台上，针对每个租户进行呈现。在此架构下，不需要检测类设备支持虚拟化技术部署，就可以使安全检测能力得到弹性化扩展，同时不改变网络架构或增加流量镜像的配置，就可以使每个租户拥有专享的安全威胁展示空间（如图7）。

如何实现租户内的日志审计，包括操作运维日志的审计以及业务系统的集中审计是《信息安全技术网络安全等级保护基本要求》中所强调的技术重点。传统技术无法对租户的日志进行区分，采用物理设备的审计技术，也不能保证各个租户间的审计独立性，存在较大的合规风险。在安全云审计架构中，提供虚拟带外管理网，与业务网段完全分开，专门用于运维操作登录以及业务系统日志的收集。业务网段通过访问控制策略的配置，不允许进行运维操作，如Telnet，SSH，管理网段的HTTP/HTTPS连接。 

核心能力3：安全状态可视化

在完成安全能力的部署之后，需要进一步对安全能力起到的作用进行评估。传统的安全设备往往会通过独立的管理中心分别对不同的安全设备/能力进行管理。随后，SOC平台的出现，让安全能力的可视化变为可能。在云环境中，安全状态的可视化将被重新定义，传统的技术手段无法满足每一个租户独立的安全状态监视需求，云环境中的安全能力分配的方式也同传统环境完全不同。

在安全云解决方案中，每一个分配给租户的安全能力，都具备有独立的可视化展现页面，用于对安全服务的效果进行评价，对安全策略配置的修改进行指导。

以入侵防御能力的状态监控为例，从攻击IP地址、特征命中情况、攻击程度统计、攻击事件分析四个维度对入侵防御安全能力的实现效果进行评估（如图8）。以攻击事件分析为例，对攻击事件发生的时间，源/目的IP地址，协议、端口，所匹配的策略，所利用的漏洞/威胁特征，所命中的次数等多个维度，对已配置的入侵防御策略进行验证。比如，若配置的策略不符合网络中的安全需求，则命中次数为0，那么就可以基于此对安全策略进行一定的优化。其余维度的监控，也有助于租户对安全能力使用的情况进行评估。

结束语

综上所述，新华三安全云能为客户带来全新的云上安全体验，在满足等保合规的基础之上，大大简化安全能力配置部署的复杂程度，并提供稳定的安全防护架构及灵活的安全监测架构。同时，能够兼顾第三方安全设备的加入，广泛适配基于OpenStack架构的各类云平台，使得安全能力同云平台完全解耦，通过在线路由引流的方式，避免传统策略路由引流带来的配置问题及流量分配问题。