1. 混合云環(huán)境下的網(wǎng)絡(luò)安全變化

傳統(tǒng)IDC環(huán)境下，企業(yè)業(yè)務(wù)可能會面臨外部互聯(lián)網(wǎng)的DDOS攻擊以及網(wǎng)絡(luò)層的漏洞掃描和惡意流量攻擊等，因此一般會在機房出口處部署抗DDOS流量清洗設(shè)備、網(wǎng)絡(luò)層防火墻設(shè)備、網(wǎng)絡(luò)入侵檢測或入侵防御設(shè)備、防病毒網(wǎng)關(guān)或者統(tǒng)一威脅管理平臺等。
企業(yè)使用混合云后，網(wǎng)絡(luò)層的安全風險和安全控制需求仍然存在，但和傳統(tǒng)IDC環(huán)境相比，混合云業(yè)務(wù)部署可能涉及多家IDC、公有云廠商或者自建私有云等情況，導(dǎo)致信息安全需要在多個邊界進行安全防護，同時VPC網(wǎng)段和IDC/私有云網(wǎng)段，不同VPC網(wǎng)段之間的通信訪問需求，也需要在混合云網(wǎng)絡(luò)內(nèi)部不同網(wǎng)段間進行訪問控制和流量檢測，從而給混合云環(huán)境下的網(wǎng)絡(luò)安全帶來更多挑戰(zhàn)。
另外混合云環(huán)境下和邊界相關(guān)的安全問題也包括運維通道相關(guān)的VPN和跳板機軟硬件產(chǎn)品，可通過SDP產(chǎn)品和多云管理平臺如TiOPS產(chǎn)品進行替換，在此不做過多解釋。

2. 混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)

根據(jù)對傳統(tǒng)網(wǎng)絡(luò)安全的理解，混合云環(huán)境安全特性，以及對多家公有云廠商的安全產(chǎn)品調(diào)研，我們發(fā)現(xiàn)混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)主要包括包括DDOS流量清洗、高防IP、云防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)或網(wǎng)絡(luò)入侵防御系統(tǒng)、虛擬交換機ACL規(guī)則、云主機安全組等。
DDOS流量清洗，主要用于防御互聯(lián)網(wǎng)上的DDOS攻擊行為，部署在企業(yè)云業(yè)務(wù)和互聯(lián)網(wǎng)邊界處。高防IP，用戶在業(yè)務(wù)在遭受大流量DDoS攻擊時，可通過配置高防IP，將攻擊流量引流到云廠商提供的高防IP地址，對攻擊流量進行清洗過濾后再將正常流量轉(zhuǎn)發(fā)到源站IP，從而確保源站IP穩(wěn)定訪問。
防火墻，主要用于實現(xiàn)互聯(lián)網(wǎng)和VPC、VPC和VPC之間的網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)安全。一些公有云廠商也會在云防火墻上集成NIPS、防病毒、用戶身份認證管理等功能。
網(wǎng)絡(luò)入侵檢測/入侵防御系統(tǒng)，主要用于對網(wǎng)絡(luò)流量進行檢查并基于規(guī)則進行告警或阻斷。
虛擬交換機ACL規(guī)則，主要用于VPC內(nèi)子網(wǎng)間的訪問控制。
安全組，一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾能力，用于實現(xiàn)云主機間網(wǎng)絡(luò)層的訪問控制。

3. 公有云廠商網(wǎng)絡(luò)安全技術(shù)比較

不同公有云廠商在網(wǎng)絡(luò)安全方面一般都會提供包括安全組、虛擬交換機ACL訪問控制、DDOS流量清洗或高防IP等基礎(chǔ)的網(wǎng)絡(luò)安全服務(wù)。部分成熟的公有云廠商，也會提供云防火墻、網(wǎng)絡(luò)入侵檢測/入侵防御系統(tǒng)或防病毒等網(wǎng)絡(luò)安全服務(wù)。
云廠商名稱網(wǎng)絡(luò)層安全技術(shù)/服務(wù)簡要說明 阿里云DDOS高防IP國內(nèi)清洗中心超過8個，單中心帶寬大于1T，10T+總防御帶寬。電信、聯(lián)通、移動、教育等20線獨家防御云防火墻南北4-7層流量和東西4層流量的控制檢測實現(xiàn)IPS，實時流量監(jiān)控，虛擬補丁功能集成安全組功能進行統(tǒng)一管理騰訊云DDOS防護免費基礎(chǔ)防護，高防IP等云防火墻提供互聯(lián)網(wǎng)邊界、VPC 邊界的網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵防護系統(tǒng)通過旁路部署方式，無變更無侵入地對網(wǎng)絡(luò)4層會話進行實時阻斷樣本智能分析平臺惡意樣本智能分析鑒定平臺，支持常見可執(zhí)行文件（包括32位和64位）、腳本、文檔、壓縮包、ELF 文件、APK 文件等多種，幫助檢測惡意文件、后門、APT攻擊等高級威脅檢測系統(tǒng)采用鏡像流量旁路進行檢測天翼云Anti-DDoS流量清洗Anti-DDoS服務(wù)作為安全服務(wù)的基礎(chǔ)服務(wù)，目前屬于免費服務(wù)。DDoS高防IP付費增值服務(wù)云下一代防火墻通過虛擬機方式部署，可串聯(lián)或單臂連接到虛擬網(wǎng)絡(luò)中（如：虛擬應(yīng)用服務(wù)器前端的網(wǎng)關(guān)，或者是VPC網(wǎng)絡(luò)的邊界網(wǎng)關(guān)）。集成用戶認證、訪問控制、入侵防御、病毒過濾、授權(quán)管理等多種功能華為云Anti-DDoS流量清洗免費提供基礎(chǔ)DDoS 防護，防護能力最高可達5Gbps。本服務(wù)默認開啟DDoS高防AAD10+清洗節(jié)點，8T+ DDoS高防總體防御能力，單用戶T級防御能力，抵御各類網(wǎng)絡(luò)層、應(yīng)用層DDoS/CC攻擊百度智能云流量審計分析IDS云上旁路入侵檢測DDOS防護服務(wù)DDoS防護服務(wù)為百度智能云上客戶提供5Gb的免費DDoS防護能力。當業(yè)務(wù)遭受超過5Gb的DDoS攻擊時，可以將攻擊流量引向高防中心浪潮云DDOS高防適用區(qū)域：華北一、華北二UcloudDDOS攻擊防護針對IP進行海量DDoS清洗能力金山云高防IP防護能力按次購買，100G包年僅需28000

4. 混合云環(huán)境下的網(wǎng)絡(luò)分層防護方案

混合云環(huán)境下，企業(yè)可以使用綜合考慮各個云廠商自身提供的網(wǎng)絡(luò)層安全服務(wù)以及云安全市場中其他安全廠商提供的網(wǎng)絡(luò)產(chǎn)品或服務(wù)，從邊界DDOS防護、邊界云防火墻、VPC間防火墻、虛擬子網(wǎng)間訪問控制及云主機間的訪問控制等多個層次，構(gòu)建企業(yè)混合云業(yè)務(wù)的網(wǎng)絡(luò)層縱深防御體系。

l互聯(lián)網(wǎng)邊界處，使用DDOS清洗服務(wù)或高防IP，過濾DDOS攻擊；

l互聯(lián)網(wǎng)邊界處，使用云防火墻和IPS技術(shù)，實現(xiàn)網(wǎng)絡(luò)層訪問控制、流量監(jiān)控告警和入侵防護功能，包括不公有同云廠商集成提供的暴力破解、虛擬補丁、信息竊取、防病毒等功能；

lVPC和VPC邊界處，部署VPC邊界防火墻，對VPC之間的訪問和流量進行管理；

lVPC內(nèi)不同網(wǎng)段間，可使用虛擬交換機策略，管理同一VPC內(nèi)不同子網(wǎng)間的訪問；

l云主機之間，使用安全組策略，管理同一VPC內(nèi)不同云主機之間的訪問；

5. 混合云環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對

混合云環(huán)境下，因為應(yīng)用系統(tǒng)部署、應(yīng)用架構(gòu)調(diào)用、業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)及使用人員的復(fù)雜性，導(dǎo)致安全人員難以追溯并理清楚各類訪問需求和訪問路徑，無法在用戶和應(yīng)用訪問路徑的關(guān)鍵節(jié)點采取合適的安全防護措施。不過安全仍然可以從以下兩方面積極應(yīng)對：

1）梳理訪問關(guān)系

l梳理IDC、公有云、私有云中各類應(yīng)用和應(yīng)用分配的網(wǎng)段；

l梳理應(yīng)用、VPC間訪問和調(diào)用關(guān)系并進行分類、分級匯總；

l梳理使用人員，包括外部業(yè)務(wù)用戶，內(nèi)部運維、開發(fā)、測試，內(nèi)部業(yè)務(wù)用戶，第三方人員等；

l梳理使用人員訪問各應(yīng)用的訪問路徑，并進行分類、分級匯總；

l明確關(guān)鍵資產(chǎn)的訪問對象和訪問路徑；

2）訪問路徑的縱深安全控制

l結(jié)合資產(chǎn)價值進行訪問路徑風險評估，包括現(xiàn)有主要控制措施，補償性控制措施等；

l基于縱深安全防御理念，在各個訪問通道的關(guān)鍵邊界處，進行訪問控制、流量檢測、攻擊流量阻斷、虛擬補丁等，同時在訪問資產(chǎn)前，加強對用戶和訪問設(shè)備的身份鑒別、權(quán)限管理等安全措施。

l明確混合云環(huán)境下的網(wǎng)絡(luò)安全目標：基于業(yè)務(wù)/應(yīng)用/VPC/人員訪問需求，在網(wǎng)絡(luò)層面實現(xiàn)基本的網(wǎng)絡(luò)隔離和訪問控制功能，對訪問流量進行檢測告警，對異常訪問流量進行阻斷等。

l對于一些場景如企業(yè)內(nèi)部員工訪問云上SaaS應(yīng)用，可選擇和使用CASB產(chǎn)品對訪問資產(chǎn)和路徑進行安全控制；

l考慮使用SDP/ZTNA產(chǎn)品，減少可見攻擊面，加強用戶身份、設(shè)備認證和權(quán)限管理，替代VPN訪問通道；