奇安信专家：五大原则构建云的数据中心内生安全体系

　　10月22日，由VMware主办的VMworld 2020 China线上大会正式召开，“网安一哥”奇安信携内生安全框架亮相本次大会。奇安信战略规划副总经理邬怡在演讲中说，云数据中心的内生安全建设需从实战角度，完成对资产识别、纵深防御、实时检测、处置响应等多项能力的完整覆盖。

　　“在新环境尤其是云计算环境下，传统防护手段已经失效，需要用内生安全摆脱安全能力的局部与外挂，实现网络安全能力与信息化环境的融合内生。”邬怡说，内生安全框架通过分解为可落地实施的“十大工程五大任务”，输出体系化、全局化、实战化的网络安全架构，推动不同应用场景的安全体系规划、建设和运行，满足数字化转型和智能化升级的信息化保障需求。

　　邬怡介绍，面向云的数据中心安全防护作为实现内生安全框架的十大工程之一，可以从工程建设的角度，为客户提供一面向复杂应用场景的云数据中心安全解决方案，全面覆盖云数据中心的安全需求，深度结合云平台的相关业务。

　　邬怡强调，云的数据中心安全建设需要遵循五项基本原则，包括：对外接口收敛，缩减云数据中心攻击面;能力弹性扩展，全面覆盖网络纵深防御和系统安全服务;特权操作管控，零信任访问控制;能力深度结合，安全与IT业务并存并行;云内整体管控，云外体系联动。

　　具体而言，政企机构应建设面向企业内网的云数据中心、互联网安全以及公有云的安全接入点，在安全接入点对进出的网络流量进行网络层访问控制、流量监控及威胁检测，实现对云数据中心内部边界、外部边界以及面向公有云的攻击面收缩及网络安全防护。

　　同时，在云边界需建设共享的、资源可编排的云服务安全防护，实现对云服务交付层的边界网络访问控制及应用安全防护;在云内建设数据中心统一的云服务安全管理，如配置核查、日志采集、补丁分发等，实现对云服务交付层的系统级安全管理和安全运行支撑。

　　在访问控制层面，政企机构可基于零信任架构，建设云特权操作管控系统、平台特权操作管控系统，针对特权用户实现零信任访问控制，有效管控和降低资源管控、运行维护等操作的安全风险。

　　在安网能力融合方面，建设云安全资源池实现网络访问控制、应用安全代理、API安全代理、零信任访问控制等产品和服务的池化，并基于云安全管理平台，通过区域设置、安全资源生成、安全代理安装、等手段完成安全能力交付。

　　在以上四个方面的基础上，政企机构还应通过云安全中心和网络安全态势感知平台，支撑对混合云环境下的全局安全策略管控和云数据中心的检测与响应。

　　据邬怡介绍，作为VMware战略合作伙伴，奇安信云安全管理平台、虚拟化安全管理系统等产品，已经和包括VMware在内的多家公司旗下数十个主流云平台实现了兼容，通过开放的产品架构与接口，实现了对各种外部安全能力的无缝对接支持，给客户、合作伙伴提供了更多的选择以及更具保障的产品与服务。在IDC、赛迪等多个机构的报告中，奇安信云安全市场份额均位列国内第一。

特别提醒：本网内容转载自其他媒体，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。