什么是云网安一体？

为什么需要云网安一体？

随着行业数字化转型的快速发展，云、大数据、物联网和移动互联网等ICT技术的普遍应用，给广大用户带来了前所未有的新体验，但是也引入了新的安全问题。近年来，外部APT（Advanced Persistent Threat，高级持续性威胁）攻击和企业内部违规导致的大规模数据泄露等恶性事件层出不穷。各行各业也逐渐意识到，传统的边界防护手段存在很多局限性，已无法满足新形势下的网络安全需求。

• 新型技术及其应用为网络攻击提供新的载体，增加了攻击的灵活性，使攻击过程变得更加隐蔽，使用的技术也更加智能，导致威胁检测和溯源难度增大

  随着人工智能的不断发展，网络黑客不断开发出新的攻击手段。他们利用人工智能应用程序重构恶意软件，以规避智能防病毒程序的监测，例如，针对语音识别人工智能应用程序，实施人耳无法感知的“海豚攻击”。“人工智能 + 黑客”模式已经逐步成熟，基于边界访问控制、威胁特征签名检测等传统的防护架构和机制，已经难以应对。同时，由于攻击过程更加复杂和隐蔽，原有的网络基础设施和云基础设施由不同安全运营单位负责，导致安全运维模式相互割裂，无法全面识别威胁数据，造成威胁检测和威胁溯源难度增大。

• 远程办公和终端的泛在接入，访问和接入边界被打破，被攻击的机会增多

  COVID-19危机加速了远程办公的兴起，员工分散化、技能外包化，极大地促进了互联网流量的增长。更多设备通过互联网接入，企业网络的物理边界被打破，而远程环境中缺乏安全保护措施，这将给网络攻击者带来更多的网络攻击机会。从手机、电脑到摄像机、视频会议终端、传感器等，一旦联网，软件漏洞会被黑客所利用，这些设备产生的数据可能被非法获取或篡改，也可能因攻击而失效或瘫痪。海量物联网设备感染病毒形成的僵尸网络，发起DDoS（Distributed Denial of Service，分布式拒绝服务）攻击规模将越来越大，从而造成网络堵塞，服务器瘫痪等严重影响。

• 业务云化后，要实现数据共享，业务边界会被打破，管控难度与泄密风险进一步扩大

  业务云化已经成为各行业建设趋势，数据资源不断催生出有价值的行业应用，实现数据驱动产业创新发展。数据共享和流通将成为刚性业务需求，原来相互隔离的业务网络将打破安全边界走向融合，安全管控难度与泄密风险进一步扩大。传统的基于边界隔离的安全防护体系将不能满足数据流动下的安全需求，亟需构建新的安全防护体系。

面对数字化转型带来的变化与挑战，按照国家的政策法规，各部门需要基于一体化的思路，构建体系化的安全防御架构。在网、云、端内嵌安全信息感知能力，获取安全分析数据，实现安全状态可知；在关键节点布设“安全执行器”（例如：交换机、路由器、防火墙等），实现安全策略执行；统一部署“安全控制器”（例如：网络/安全控制器、SDP控制器等），实现安全策略编排和下发；依托安全运营中心和网络安全态势感知平台，持续收集全量的云网安信息，并进行统一的安全分析、动态评估和整体呈现。形成全网一体监测感知、精准高效安全管控、快速处置的云网安一体的动态防御安全体系。

云网安一体能带来哪些价值？

云网安一体架构提出了“一体分析、一体决策、一体处置”的建设理念，颠覆了传统静态、被动、单点的安全防护思路，旨在打造智能化的网络安全架构，实现风险实时检测、威胁主动研判、智能全局防控。

• 一体分析：全面采集云、网络、终端多维威胁数据，云上云下数据协同，提升威胁分析准确率，安全态势全域统一呈现。

  为了提升安全事件分析的准确性，需要收集尽可能多的信息，特别是终端（含服务器）风险信息、网络流量信息、安全设备的日志信息。这些信息分别散落在不同的网络位置，必须对端、网、云、安进行统一纳管，设置唯一的安全运营中心，以获得更精准的分析结果。

  信息收集时，尽可能搜集全面，但同时要考虑成本。例如，流量探针的设置，要考虑在流量集中的位置进行部署；或者复用网络、安全设备自身的能力，减少独立探针的部署数量。

  信息收集之后，需要精准的智能算法对信息进行综合分析和研判，并基于智能威胁分析模型进行大数据关联分析、综合分析和研判，提升威胁告警准确率，减少误判。通过态势感知平台实现云内和云外数据协同，威胁一并呈现，全网安全态势一体呈现，提升安全运维效率。

• 一体决策：基于对终端、网络、用户行为等多维风险数据，并结合位置、用户、时间等信息进行决策，实时动态调整授权或安全策略。

  尽可能对核心资源进行保护，在初次认证通过后，需要从终端风险、网络流量异常和用户违规行为（例如用户访问位置的突然变化）等维度，对终端和用户的风险进行实时评估。基于多维的评估结果，对终端或用户风险评分，结合终端或用户的身份对其权限进行调整，实行降级、阻断等操作。

• 一体处置：云网端全局攻击溯源，威胁选择最佳方式和最接近攻击源的位置分钟级阻断。

  当识别到严重威胁时，需要立即确认，并对威胁进行遏制，以避免威胁进一步扩散。通过不同设备之间的自动化协同联动，实现威胁源分钟级快速定位，分钟级近源快速处置的能力，彻底消除当前的威胁，有效提升运维效率。

云网安一体总体架构

云网安一体解决方案整体架构分为执行层、管控层、分析层三个层次。

各个层次的说明如下。

• 执行层是指参与业务交互的物理设备及运行在物理设备之上的应用软件，由终端、网络、云三个部分组成，每个部分均包含各自的安全设备。
  • 终端包括物联终端、办公终端、智能终端（如手机），以及终端安全软件、杀毒软件等安全组件。
  • 网络通常由广域网和园区/物联接入网组成，上下级网络通过广域骨干网完成连接。同时也包含防火墙、IPS、探针等安全设备。
  • 云包括云平台、云内的应用、数据、云数据中心网络，以及云内的虚拟防火墙、IPS等安全设备。

  执行层在整体架构中负责收集资产信息、终端合规状态、流信息、日志等安全相关信息，并上送给分析层；接收从管控层下发的授权策略和阻断策略，对终端、用户、流量进行相应的处置。

• 管控层由终端管理、网络/安全控制器、云管理平台组成。
  • 终端管理：负责收集终端资产、终端状态、终端安全日志，并对终端进行安全处置。
  • 网络/安全控制器：通过南向接口，统一管理控制物理和虚拟网络，完成网络配置的自动化下发。同时北向接口与态势感知平台对接，完成安全威胁的自动化闭环。
  • 云管理平台：负责云业务的部署，并提供虚拟网络、虚拟机创建等服务。

  管控层在架构中，向下对执行层进行管理控制，向上和分析层进行协同，提供溯源等信息，管控层从分析层接收授权、阻断、查询策略并下发给执行层，是实现自动化阻断和溯源的关键一环。

• 分析层由网络安全态势感知平台、云安全分析平台和安全运营中心组成。
  • 网络安全态势感知平台：收集终端和网络的信息，并进行分析，实现网络侧的态势感知。
  • 云安全分析平台：负责收集云平台、应用、数据的安全信息，完成云自身安全威胁分析。
  • 安全运营中心：负责统一收集网络安全态势感知平台，多个云的云安全分析平台的事件信息，并进行关联分析和威胁统一呈现。在实际部署中，安全运营中心可能和网络安全态势感知平台或者云安全分析平台合一。

  分析层在整体架构中通过智能算法对所有信息进行综合分析和研判，并将全网的安全态势进行统一呈现，对于需要处置的事件下发给控制器进行处理，是云网安一体架构的核心。

云网安一体的典型场景

云网安一体主要包括零信任安全、云网安协同和网络安全服务三个典型场景，三者构成云网安一体的能力基座。零信任安全主要解决业务访问的信任问题，在业务访问过程中依靠云网安协同防御进行安全风险分析研判和威胁响应处置，网络安全服务将安全资源通过服务化方式提供灵活可订阅的安全能力。

• 零信任安全：采用业界最新的零信任理念，以身份和授权为着力点，构建终端、用户、网络、应用四维零信任，高效管控业务风险。

  终端侧针对办公终端和物联网终端，采用终端标识、终端可信准入验证，实现终端零信任；用户侧对访问的主体进行统一的身份标识、高可信身份验证，实现身份零信任；网络侧采用深度包检测技术，结合沙箱、蜜罐等主动安全技术，进行全面的威胁检测与防御，实现流量的零信任；应用侧采取单一应用访问入口的方式，为所有的应用进行集中管控；同时，持续对终端、用户和访问行为的可信任程度进行评估，动态调整每次用户访问不同应用的最低授权，实现访问的零信任。在四维零信任机制下，实现业务层面端到端可信可控。

• 云网安协同：通过收集网络流量、安全日志、漏洞扫描日志、主机安全等安全威胁事件信息，进行统一综合研判，提升安全分析精准率，实现精准溯源，对于违规的主体立即就近阻断，实现云网安一体防护和一体运营。
• 网络安全服务：为了解决安全运维业务中的运维工作量大、运维难度高、实际防御效果差的问题，华为通过安全资源池化和服务化的方案，联合安全运营中心建设，实现安全服务的灵活调度及编排，提供按需、弹性的安全服务。
  • 安全服务化：针对重保（重要时期的安全保障服务）及非重保期间的不同用户、不同应用系统，提供按需、弹性的安全服务，实现安全的灵活调度及编排，解决传统方案中安全设备串接堆砌带来的难管理、难定界、难调度的业务问题。
  • 安全运营中心：将网络中的安全能力按照我们预期的目标运转起来。安全运营指通过已有的安全系统、工具来生产有价值的安全信息，通过组织人、工具（平台、设备）、发现安全问题、验证问题、分析问题、解决问题并持续迭代优化的过程。

  因此灵活、丰富的安全服务化和安全运营中心相辅相成，形成了网络安全服务的核心价值。

云网安一体的行业应用

云网安一体在数字政府、交通等行业得到广泛应用。

数字政府：零信任安全

在电子政务外网中，通过“一机两用”安全隔离措施，实现基于SDP架构的端到端零信任访问控制，从而确保各级政务部门在接入电子政务外网时，实现互联网与电子政务外网安全隔离。进一步提升政务外网全网终端安全管控能力，助力数字政府建设。

该方案主要由政务外网建设运维管理单位统一建设，包括零信任管理平台（SDP控制器、安全控制器）、安全接入代理、零信任客户端（沙箱）几部分组成。

具体说明如下：

1. 用户通过客户端Agent向SDP控制器发送用户认证请求；
2. SDP控制器进行用户身份校验；
3. 针对身份合法的用户，SDP控制器向安全接入代理网关下发可信资产列表、应用访问列表等信息；
4. SDP控制器向客户端Agent下发访问资源列表（安全接入代理网关的IP、端口）；
5. 用户通过安全接入代理网关访问电子政务外网的应用；
6. 用户如果需要访问互联网应用，可手动将网络模式切换为互联网访问模式。基于安全接入代理网关所配置的安全策略，进行互联网的访问控制。

交通：云网安协同

机场是国家重要的基础设施，网络节点众多、分支复杂、数据流量大，每天会面临各类威胁攻击，受到攻击后，会给业务带来巨大影响，机场上下对安全高度重视。对机场ICT信息系统可能面临的安全威胁和风险进行系统性分析，结合现网安全现状，进行体系化的安全顶层设计，建立基于全流量的高级威胁防御能力，构筑云网安协同的纵深防御体系，完善机场信息安全制度、标准规范和管理流程，保障机场数字化转型的战略稳步推进，为业务稳定运行保驾护航。

具体说明如下：

1. 全网信息采集，安全无死角：采集终端、网络、边界、云平台等信息安全，确保覆盖网络的每一个角落。
2. 大数据精准分析，威胁跑不掉：基于全量安全数据，通过智能算法及机器学习，关联分析模型从海量信息中提炼高价值数据，精准定位高危行为。
3. 网安协同近源处置，攻击影响最小：网络设备及安全设备联动处置，在最靠近威胁源的未知进行阻断，最小化攻击影响。

数字政府：网络安全服务

城域网承载电子政务外网重要应用，涉及部委、地方省/市等大量用户，存在跨地域、跨层级、跨网络多种访问和信息交互方式。因此需要在城域网部署网络边界安全资源池，为不同应用场景，提供弹性化的安全防护资源，实现灵活策略配置和服务编排，增强城域网访问控制、入侵防御、病毒防护、跨站脚本等安全防护能力。

具体说明如下：

1. 创建防护对象：在管理中心将要防护部委的应用的IP地址、IP地址段加入到防护对象中。
2. 业务编排：用户在管理中心为防护对象配置引流策略，使流量经过防火墙做IPS、AV检测。
3. 威胁阻断：用户在安全控制器界面配置具体防护策略，并通过管理中心下发至资源池中的防火墙和AntiDDoS设备上，从而对存在威胁的流量进行清洗检测或阻断告警。
4. 威胁呈现：管理平台搜集各安全组件的威胁事件日志，进行威胁态势的呈现，运维人员根据威胁严重情况，可以进行威胁的处置。