一个云平台,五类安全服务,了解2Cloud如何构筑云的安全边界

所有应用部署到云环境中，都需要综合评估云的性能、扩展性、可控性等诸多因素。不同特性和需求的应用，适合不同的资源交付方式来支撑，或是传统托管方式，或是公有云，亦或是私有云（自建、托管）。然而，无论是私有云上的政府应用（政府电子政务、大数据平台），还是云上的企业应用（门户网站、ERP、OA、业务系统等），都需要云平台的支撑，更为重要的是需要云平台的安全防护能力，保障应用的持续稳定运行。

2Cloud Platform为云环境中的用户业务构建“外部防护+内部检测”、“主动防御+被动防御”的安全闭环。网关提供基础的网络防护；漏洞扫描发现用户资源及应用的安全漏洞，根据漏洞评估报告修复漏洞，并由防火墙进行安全加固；监控统计实现对资源负载、公网和私有网络流量的可视化和异常告警；通过全局流分析，检测流量异常并预判攻击行为。

网关 : 用户私有网络的基础防线

网关为用户私有网络提供三到七层的网络功能，包括源地址转换、目的地址转换、转发过滤、IPSec VPN和静态路由。增强型网关可提供8个公网和24个私网接口。在网关可自定义配置私有子网（网段）并配置子网内的服务器内网IP，通过配置公网IP并配置地址转换策略，便可让多台服务器与Internet互联，而服务器地址对外部网络不可见。

漏洞扫描 : 全面评估资源及应用风险

Web漏洞扫描对底层系统上的门户、论坛、网银、电商等网站进行漏洞扫描。识别多种Web语言、Web中间件（IIS、Apache等）和第三方组件（Discuz、Wordpress、Struts等）；系统漏洞扫描对虚拟服务器的操作系统、数据库等底层系统进行漏洞扫描。采用国际通用的CVSS漏洞评分系统，兼容CVE、CNCVE、CNVD、CNNVD等权威漏洞库进行风险评估。《安全评估报告》统计风险分布、漏洞分布和修复建议，全面呈现用户的云资源和Web应用系统的安全。

防火墙 : 对您的业务进行安全加固

Web应用防火墙（WAF）支持透明在线地秒级部署上线，在IPV4、IPV6及二者混合环境中抵御各类Web安全威胁，包括：Web服务器漏洞防护、Web插件漏洞防护、爬虫防护、跨站脚本防护、SQL注入防护等，帮助用户全面掌控业务的运行状态，及时维护云端业务环境，保障业务可靠和安全可控地运行。

专用防火墙提供VPN隧道、路由策略、NAT、ACL等功能。通过IPsec VPN，用户可以将传统数据中心安全地接入云中的私有网络，组成一个按需定制的网络环境。SSL VPN实现对用户接入和访问私有网络的访问控制，防止恶意或攻击性目的的访问。

在2Cloud Platform，用户可以灵活自主组网，为每个私有网络快速部署WAF或防火墙，而这些安全服务，来自专业安全厂商（绿盟科技、天融信、山石网科、Array）的产品深度集成，并由2Cloud Platform一体化交付、统一部署和运维。

监控：可视化网络流量，感知业务

云杉网络自主研发的深度流探测（DFI）覆盖虚拟和物理交换设备，运行于虚拟交换机内核层面，高效无损地统计公网和私有网络流量。基于统计数据，利用大数据流式计算技术，实时展现用户业务的当前状态。相比其它网络探针，DFI直接在虚拟服务器出口进行统计，用户的所有内网流量也能纳入分析并可视化展现，分析获得热点链路和热点业务等特征。

另外，对用户的公网流量进行业务层面的分析，展现业务的带宽消耗、时延、时频和热点等特性。用户可查看到按年、按月或实时的访问者地图，以及不同ISP访问者数量和流量的访问者网络。

攻击检测：快速告警异常，防御攻击

基于DFI的实时统计数据流，利用实时流式计算技术深度挖掘，实时展现用户内部、互联网到用户的流量型攻击。

DDoS攻击分析，通过对流量、包数量、包长、TCP标志位、地理位置和访问客户端数量等维度进行分析，分析用户服务器或业务的日常访问基线。当流量行为大幅度异于以上维度的基线，则有证据判定为流量攻击。通过攻击流的发起方向判断攻击源，从而检测出用户是否被攻击或被用作“肉鸡”攻击。

上图共检测到两股攻击：从美国、欧洲的服务器，针对北京的用户服务器的攻击；以及位于北京的用户通过伪造源IP对美国节点的攻击。

扫描探测行为是大部分恶意攻击的第一步。采用端口扫描分析，展现一定时间范围内对主机集群的多台主机或多个端口的扫描探测行为，通过分析这些行为来发现攻击行为，判断具有窥探用户服务器集群意图的客户端IP或者尝试窥探外部网络的恶意内部用户。

上图共监测到北京源发的四股扫描攻击，用户服务器被侵入作为“肉鸡”，分别对北美和欧洲的四个网段发起扫描。相比DDoS，扫描探测往往更为隐蔽，其目的并不是为了让被攻击者停止服务，而是可能继续攻击的第一步。

将上述DDoS攻击分析和端口扫描分析运用在云服务中，可加强数据中心及用户对网络状况的洞察能力，加强对网络态势的预判能力，为高效地防御和清洗攻击提供有效手段。

2Cloud Platform为用户交付的五类安全服务，来自云杉网络及专业安全厂商的精诚合作和产品集成，为降低网络安全威胁提供必要的防护，为用户的云端业务构筑可靠的安全边界。