王樹太，吳 慶，王 振

（杭州迪普信息技術(shù)有限公司，浙江 杭州 310051）

0 引 言

云計算是以數(shù)據(jù)資源的形式向用戶展示存儲功能，其安全問題是被關(guān)注的焦點，將安全問題分為兩類，分別是設(shè)備部署在云環(huán)境中需要的新防護手段和引入的新安全問題[1]。伴隨計算機技術(shù)在各行各業(yè)中的廣泛應(yīng)用，傳統(tǒng)數(shù)據(jù)中心因為虛擬化技術(shù)增加了安全設(shè)備識別難度，已經(jīng)不能滿足目前海量數(shù)據(jù)的存儲，給數(shù)據(jù)集中帶來一定安全風(fēng)險。而云計算環(huán)境就是將存儲與網(wǎng)絡(luò)整合為一體，通過虛擬化設(shè)備以及動態(tài)網(wǎng)絡(luò)資源實現(xiàn)數(shù)據(jù)中心的池化與管理[2]。

隨著云技術(shù)的不斷發(fā)展，公有云、私有云所提供的業(yè)務(wù)與不同行業(yè)、領(lǐng)域開始互相融合，在一些行業(yè)的具體應(yīng)用落地方面也有了較大突破，公有云、私有云的應(yīng)用不再局限于互聯(lián)網(wǎng)、IT 企業(yè)，隨著技術(shù)的逐漸成熟開始滲入到了銀行、智能制造、軌道交通等諸多行業(yè)中。相比公有云，私有云具有部署本地化、運維本地化、可管可控、帶寬擴展靈活等特點而受到客戶青睞。

私有云，可部署在企業(yè)數(shù)據(jù)中心的防火墻以內(nèi)，也可部署在托管數(shù)據(jù)中心，私有云的核心屬性是專有資源，同樣具備云計算的三層架構(gòu)，即IaaS（基礎(chǔ)架構(gòu)即服務(wù)）、PaaS（平臺即服務(wù)）、SaaS（軟件即服務(wù)）。私有云系統(tǒng)平臺是指能夠幫助企業(yè)快速構(gòu)建云計算基礎(chǔ)架構(gòu)的系統(tǒng)軟件，主要包括提供計算、存儲、網(wǎng)絡(luò)等基礎(chǔ)IaaS 云平臺和提供應(yīng)用運行環(huán)境的容器云平臺[3]。

公有云如火如荼的發(fā)展，促使國內(nèi)外出現(xiàn)大量的公有云提供商，例如亞馬遜AWS 云、微軟Azure 云、阿里云、騰訊云、華為云等。從云計算業(yè)務(wù)支撐到云計算安全相關(guān)內(nèi)容，公有云利用其平臺集成優(yōu)勢和環(huán)境便利，通過認證合作方的方式，在公有云上提供了全套的應(yīng)用和安全解決方案。而私有云建設(shè)方面，由于政府、企業(yè)相關(guān)的全套技術(shù)和人員儲備無法與公有云的投入相匹敵，所以存在一定的差距，通常采取計算、安全等分開建設(shè)，分步實施的方式進行。

私有云安全集中化部署、集中化管理的需求，一方面帶來了極大的便利，提供了更好的靈活性；另一方面也帶來了新的安全問題和新的挑戰(zhàn)，例如內(nèi)部流量不可見、主機內(nèi)部的虛擬機缺乏有效的隔離措施等。

1 私有云環(huán)境安全面臨的挑戰(zhàn)

在傳統(tǒng)的數(shù)據(jù)中心中，其網(wǎng)絡(luò)往往采用接入層、匯聚層和核心層三層架構(gòu)，對網(wǎng)絡(luò)資源通過功能分區(qū)的方式進行部署，區(qū)域之間通過劃分VLAN 結(jié)合訪問控制的方式進行邏輯上的隔離，或者直接進行物理上的隔離。數(shù)據(jù)中心網(wǎng)絡(luò)與外網(wǎng)之間一般通過硬件防火墻設(shè)備來進行隔離。而云數(shù)據(jù)中心通過對資源的虛擬化打破了傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的物理邊界，網(wǎng)絡(luò)從三層架構(gòu)轉(zhuǎn)變?yōu)檫壿嬌系拇蠖泳W(wǎng)絡(luò)，這也為如何保障云數(shù)據(jù)中心的安全帶來了挑戰(zhàn)[4]。

1.1 私有云主機內(nèi)部虛擬機互訪流量難于管控

在私有云環(huán)境中，主機內(nèi)部的多個業(yè)務(wù)虛擬機之間的互訪流量可以直接通過主機內(nèi)部的虛擬交換總線進行交換，無需通過外部設(shè)備轉(zhuǎn)發(fā)，因此，私有云數(shù)據(jù)中心的虛擬化平臺內(nèi)部虛擬機之間的交互流量無法使用傳統(tǒng)的流量審計、流量分析、流量管控等手段進行管理和控制。流量在內(nèi)部完成了轉(zhuǎn)發(fā)，安全防護設(shè)備無法獲取私有云虛擬化主機內(nèi)部已經(jīng)進行轉(zhuǎn)發(fā)了的流量，對于內(nèi)部威脅的發(fā)現(xiàn)，病毒、攻擊的檢測就無從下手，甚至連基本的訪問控制業(yè)務(wù)都不能在虛擬機外部完成。在私有云出口邊界部署的傳統(tǒng)防火墻只能獲取從外部到私有云內(nèi)部的流量，無法對虛擬機內(nèi)部的流量進行過濾和防護，同樣也無法提供相應(yīng)的訪問控制策略。另外，私有云內(nèi)部的虛擬機可能會隨著業(yè)務(wù)的變化隨時發(fā)生不同的變化，例如，為了一次新的線上活動，可能臨時增加大量新的業(yè)務(wù)虛擬機，且業(yè)務(wù)虛擬機前后的Web 和中間件之間的交互流量會由于活動的高峰期出現(xiàn)較大的波動，再者可能由于內(nèi)部出現(xiàn)APT 類型的滲透和業(yè)務(wù)服務(wù)器之間的跳板攻擊時，私有云資源池外部的安全設(shè)備防護等無法檢測到資源池內(nèi)部的業(yè)務(wù)流量變化和攻擊態(tài)勢的發(fā)展，也就無法采取相關(guān)的防護措施適應(yīng)環(huán)境的變化。

1.2 業(yè)務(wù)虛機間缺乏有效的安全隔離措施

在傳統(tǒng)的數(shù)據(jù)中心內(nèi)，不同的應(yīng)用分布在不同的物理服務(wù)器上，在靠近物理服務(wù)器的位置會部署安全設(shè)備，比如防火墻、入侵防護、Web應(yīng)用防火墻（Web Application Firewall，WAF）等，用以提供邊界隔離、入侵檢測防護、Web 應(yīng)用防護等安全保護。當服務(wù)器虛擬化后，在物理服務(wù)器內(nèi)部存在多個業(yè)務(wù)虛擬機，每個業(yè)務(wù)虛擬機承載不同應(yīng)用，同時，在物理服務(wù)器內(nèi)部，由于虛擬化引入了新的虛擬網(wǎng)絡(luò)層，即同一物理服務(wù)器內(nèi)部的不同虛擬機間的流量可以通過內(nèi)部的虛擬交換機直接通信，不再通過外部的物理防火墻，因此，原有的安全防護機制會部分失效。同時，這也導(dǎo)致我們在安全運維管理上希望監(jiān)控應(yīng)用間的通信情況的期望，在私有云的場景下變得難以實現(xiàn)。

1.3 私有云提供彈性擴展、動態(tài)遷移便利的同時，給安全防護帶來新挑戰(zhàn)

私有云的一個重要的特性就是動態(tài)靈活的資源池內(nèi)部遷移技術(shù)，業(yè)務(wù)虛擬機可以在數(shù)據(jù)中心內(nèi)的不同物理主機間進行運行時不停機遷移，或者跨不同數(shù)據(jù)中心進行不停機遷移，業(yè)務(wù)虛擬機所運行的網(wǎng)絡(luò)、存儲、計算資源環(huán)境都發(fā)生了相應(yīng)的改變，傳統(tǒng)安全防護、安全管理所采用的預(yù)先設(shè)置好訪問控制、安全防護、安全檢測等基礎(chǔ)安全策略的方法就無法滿足私有云彈性擴展的安全策略和動態(tài)變化的安全防護需求。安全運維策略無法同步對遷移后的業(yè)務(wù)虛擬機提供相應(yīng)的變更和適配，這一問題帶來了安全運維上的挑戰(zhàn)，傳統(tǒng)的解決方案無法滿足私有云彈性擴展、動態(tài)遷移的安全防護需求。

1.4 與公有云存在運維、運營管理差距

與私有云相比，公有云在成本方面具有更大的透明度，這使得企業(yè)能夠測算和控制費用。私有云部署幾乎沒有行之有效的收費功能，因此，它們要復(fù)制公有云按使用量收費的模式。為了與公有云競爭，私有云需要有近乎即時的預(yù)配置、自動化和自助服務(wù)。對于企業(yè)IT 來說，這是一個巨大的挑戰(zhàn)，因為他們可能要處理數(shù)百個應(yīng)用程序。公有云服務(wù)提供商通常都會有數(shù)十名工程師負責(zé)對平臺進行創(chuàng)新，負責(zé)將機器學(xué)習(xí)和人工智能集成到他們的產(chǎn)品中。這是企業(yè)IT 部門無法企及的資源[5]。

2 私有云云管平臺解決方案

隨著私有云建設(shè)的持續(xù)深入，虛擬化、云資源池化的技術(shù)不斷改進，私有云在計算、存儲、網(wǎng)絡(luò)等資源管理和運維上積累了大量的經(jīng)驗。伴隨著網(wǎng)絡(luò)資源的虛擬化推進，安全防護能力的虛擬化、組件的云化部署逐漸進入人們的視野。云計算相關(guān)技術(shù)的發(fā)展，OpenStack 平臺的日趨成熟，使得云平臺對于計算資源、安全資源的管理有望出現(xiàn)融合的趨勢。既然安全類的產(chǎn)品可以進行虛擬化，那么是否可以與業(yè)務(wù)一致，統(tǒng)一管理，內(nèi)部引流，通過SDN 引流和編排等技術(shù)，完成業(yè)務(wù)、安全的統(tǒng)一管理和編排，提升整體運維的簡單程度？

私有云技術(shù)逐步趨于成熟，相應(yīng)的私有云規(guī)模也出現(xiàn)爆發(fā)式的增長，隨著規(guī)模的不斷擴大，私有云對安全防護、安全運營和運維也提出了更高的要求，表現(xiàn)為：

（1）高性能、低時延要求

私有云數(shù)據(jù)中心不斷增長，業(yè)務(wù)流量的需求不斷創(chuàng)新高，這也就要求安全防護平臺需要有更高的性能以支撐業(yè)務(wù)的發(fā)展，同時安全防護平臺對業(yè)務(wù)時延、吞吐量、新建等指標的影響也成為考慮的重中之重。

（2）高可靠性、高連續(xù)性要求

在傳統(tǒng)的IT 網(wǎng)絡(luò)中，高可靠性要求通常通過成熟的可靠性方案來保障，私有云數(shù)據(jù)中心由于所有業(yè)務(wù)、數(shù)據(jù)都在私有云內(nèi)部運行，這也對可靠性提出了更高的要求。另外，整個私有云數(shù)據(jù)中心的連續(xù)性要求由業(yè)務(wù)中要求最嚴格、最高的業(yè)務(wù)決定，這也就使得業(yè)務(wù)連續(xù)性要求較高。

（3）安全能力、彈性擴展能力

私有云數(shù)據(jù)中心自身具有彈性擴展，可以按照業(yè)務(wù)自由擴充業(yè)務(wù)虛擬機。這也就要求私有云數(shù)據(jù)中心的安全防護產(chǎn)品和安全防護解決方案同樣能適配計算資源的彈性擴展和動態(tài)變化的需求。

（4）安全防護業(yè)務(wù)平臺化

私有云數(shù)據(jù)中心的運維、運營統(tǒng)一由私有云數(shù)據(jù)中心進行管理，類似的安全防護業(yè)務(wù)的平臺化運營、運維也就成為一個剛需，不同的行業(yè)客戶對于平臺化的安全防護能力資源池的需求也表現(xiàn)出統(tǒng)一的需求。

（5）多租戶、多業(yè)務(wù)隔離

私有云多租戶、多業(yè)務(wù)隔離的特點，同時也要求安全資源池能按照租戶、業(yè)務(wù)進行隔離，并提供資源池內(nèi)部隔離的安全防護能力和安全特性。

2.1 云管平臺建設(shè)整體思路

私有云云安全管理平臺的總體建設(shè)思路為利用物理資源構(gòu)建虛擬化資源池，在虛擬化資源池基礎(chǔ)上構(gòu)建能力資源池，對運維用戶提供管理門戶，對租戶提供獨立租戶門戶，平臺一方面充分考慮運維的需求，另一方面對私有云的安全運營做出充分的考慮和設(shè)計，通過工單控制將租戶到管理員運維流程打通，形成整體的管理平臺，平臺整體架構(gòu)如圖1 所示：

圖1 私有云云管平臺總體架構(gòu)

（1）物理資源

整合服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用交付等硬件物理設(shè)備和資源，通過對此類物理資源的管理和整合，形成私有云基礎(chǔ)的物理資源運行管理能力[6]。

（2）虛擬化資源池

基于物理資源，提供虛擬化資源池、網(wǎng)絡(luò)資源池、存儲資源池，以此提供整個云管平臺的能力承載，基于虛擬化資源池提供虛擬的運行環(huán)境；網(wǎng)絡(luò)資源池提供業(yè)務(wù)調(diào)度和業(yè)務(wù)編排等能力；存儲資源池一方面提供運行的存儲池，另一方面提供運維、運營等管理的數(shù)據(jù)存儲和落地。

（3）能力資源池

能力資源池由運營能力、安全能力、運維能力三個主要部分組成：運營能力主要提供私有云云安全的運營相關(guān)能力，包含租戶、租戶資源的管理、安全能力的定價、運維運營工單、租戶的自服務(wù)門戶支撐、原有租戶的賬戶對接等能力；安全能力主要提供實際的安全防護和應(yīng)用優(yōu)化方面的能力，包含流量清洗、防火墻邊界隔離、VPN 接入、入侵檢測、Web 應(yīng)用防護、應(yīng)用負載、行為審計、日志審計、業(yè)務(wù)堡壘機等；運維能力主要從資源的監(jiān)控、安全資源池的故障自檢、池內(nèi)拓撲管理和流量可視化管理、運維日志審計、告警管理、運維報表、能力資源池授權(quán)管理、租戶運維管理等角度，提供給私有云安全資源池管理員一個統(tǒng)一的運維管理入口。

2.2 云管平臺關(guān)鍵技術(shù)

（1）軟件定義安全

軟件定義安全（Software Defined Security，SDS） 是 從 軟 件 定 義 網(wǎng) 絡(luò)（Software Defined Network，SDN）引申而來，旨在通過物理或虛擬資源的有效集成和標準化，提供更靈活的軟件定義能力?？啥x的功能包括特定的安全保護規(guī)則、流向和業(yè)務(wù)所需的安全保護。軟件可以根據(jù)不同的業(yè)務(wù)進行安全功能定義，也可以根據(jù)不同來源的安全防護能力為不同客戶定義不同的安全防護功能組合。

（2）微隔離及虛擬網(wǎng)絡(luò)可視化

微隔離技術(shù)本質(zhì)上來說就是一種適合于虛擬化內(nèi)部的網(wǎng)絡(luò)隔離技術(shù)，主要面向虛擬化的數(shù)據(jù)中心場景，用于阻止攻擊或者威脅在虛擬化內(nèi)部橫向移動和擴散的一種技術(shù)。伴隨著微隔離而衍生的虛擬化內(nèi)部網(wǎng)絡(luò)可視化技術(shù)，通過對虛擬化內(nèi)部的網(wǎng)絡(luò)流量和業(yè)務(wù)流量的數(shù)據(jù)采集，提供內(nèi)部流量和業(yè)務(wù)的可視化能力。

云計算和傳統(tǒng)IT 架構(gòu)相比，具有資源共享、靈活的特點，正因為這些特點，原來傳統(tǒng)網(wǎng)絡(luò)的可信任邊界被徹底打破，業(yè)務(wù)與業(yè)務(wù)之間、業(yè)務(wù)內(nèi)部不同虛擬機之間，都無法通過傳統(tǒng)的安全隔離手段來達到現(xiàn)有的隔離效果。目前公有云的解決方案中，采用的Agent 代理方式實現(xiàn)云主機的監(jiān)控、隔離等手段，這種手段在私有云中同樣適用，通過Agent 的采集，不同的業(yè)務(wù)虛擬機的數(shù)據(jù)可以被云管平臺利用，一方面可以用于云內(nèi)資產(chǎn)的可視化管理；另一方面可以借助Agent 提供更多的控制能力。

私有云云管平臺可以借由提供安全能力的微隔離組件或者主機、虛擬機上安裝的Agent，提供更豐富的安全分析和安全管控能力。Agent探針記錄大量虛擬主機安全事件和業(yè)務(wù)虛擬機的主機行為審計事件，并將這些數(shù)據(jù)發(fā)送到云管平臺，由管理平臺對日志進行集中的歸一處理并進行安全關(guān)聯(lián)分析，通過數(shù)據(jù)的細致化采集并進行深度的安全分析，可以提供更細層面的安全風(fēng)險評估和安全問題追蹤。

（3）安全功能虛擬化

將原有的專用設(shè)備上才能運行的安全功能在通用的服務(wù)器硬件平臺上進行虛擬化處理，主要期望降低專用安全功能對硬件承載平臺的依賴，降低部署時間、部署難度，以及建設(shè)和運維的總成本，提供網(wǎng)絡(luò)和安全功能的一體化運營、運維的能力，改善安全能力的適配性。

（4）安全能力資源池化

安全能力資源池是指基于虛擬化技術(shù)提供的各種安全能力虛擬機的合集，包括防火墻、入侵防護系統(tǒng)（Intrusion Prevention System，IPS）、WAF、日志審計、數(shù)據(jù)庫審計、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）、漏洞掃描、配置核查、堡壘機等安全組件，利用網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）技術(shù)進行安全能力池化部署，通過虛擬化的靈活擴展、按需拉起、虛擬化層可靠性，將原有物理網(wǎng)絡(luò)需要通過多種安全硬件才能實現(xiàn)的安全防護能力和安全檢測能力整合，形成真正意義上的安全能力資源池，具有隨時實例化、按需擴容、池化級高可靠性等特點。

（5）安全能力組件編排

基于安全能力資源池化的基礎(chǔ)，通過Overlay 網(wǎng)絡(luò)技術(shù)以及資源池內(nèi)部安全服務(wù)編排等技術(shù)，實現(xiàn)安全能力組件的按需組裝、靈活編排、動態(tài)管理。通過安全能力組件的智能化編排技術(shù)，為私有云內(nèi)的租戶提供動態(tài)、靈活的選擇，私有云租戶可以自行決定業(yè)務(wù)所需要采用的安全防護的技術(shù)棧，按照實際需求進行安全防護能力的編排和采購。當安全運維人員決定采用相應(yīng)的安全防護能力時，只需要簡單地進行資源申請、編排和部署就可以交由云管平臺的運營組件自動化地完成。云管理平臺會自動拉起對應(yīng)的安全NFV 虛擬機，編排業(yè)務(wù)流量需要經(jīng)過的安全NFV 虛擬機的先后順序，更新對應(yīng)租戶的日志和數(shù)據(jù)采集方式、集中采集地址，從而實現(xiàn)完整的編排和采集，達到靈活定義租戶自己的網(wǎng)絡(luò)和安全業(yè)務(wù)的目的。

（6）平臺級別安全業(yè)務(wù)聯(lián)動

平臺基于內(nèi)部微隔離技術(shù)、可視化技術(shù)、虛擬資源和虛擬網(wǎng)絡(luò)監(jiān)控技術(shù)，一方面可以提供細粒度的運維監(jiān)控能力；另一方面借由采集的數(shù)據(jù)，結(jié)合安全組件和安全能力采集的安全日志和異常流量情況，綜合進行處置動作的靈活編排和觸發(fā)，通過平臺統(tǒng)一進行調(diào)度和業(yè)務(wù)聯(lián)動，可以形成虛擬化資源池內(nèi)部的整體有機結(jié)合的安全防護和業(yè)務(wù)聯(lián)動方案。

基于上述技術(shù)的安全業(yè)務(wù)聯(lián)動，是一個體系化的安全系統(tǒng)工程，從網(wǎng)絡(luò)隔離層、數(shù)據(jù)監(jiān)控層、網(wǎng)絡(luò)安全檢測層、網(wǎng)絡(luò)安全處置層進行了充分的整合，從而形成更有效的防護體系。

3 云管平臺應(yīng)用場景分析

云管平臺作為安全資源池的管理和運營平臺，可以為不同的云環(huán)境和云場景提供運營、運維、資源調(diào)度、安全監(jiān)控等能力。為不同私有云場景的用戶提供相應(yīng)的服務(wù)增值、運維增值、運營賦能。

3.1 運營商私有云

運營商通過建設(shè)私有云安全資源池，為IDC機房、政企用戶提供運營商級的安全防護能力解決方案，通過運營商的流量覆蓋能力，使得所覆蓋的客戶均可以通過將流量牽引至運營商的私有云安全資源池中進行防護，從而為運營商原有的流量用戶提供安全能力的增值服務(wù)。通過運營商自建的私有云安全資源池，一方面可以將不同廠商的安全能力虛擬化后提供給不同的租戶；另一方面可以給云上用戶提供專業(yè)級的數(shù)據(jù)中心運維能力，從安全可控、靈活運維角度為運營商的用戶提供專業(yè)的服務(wù)。

隨著5G 應(yīng)用的不斷深入，邊緣計算的興起，邊緣側(cè)的業(yè)務(wù)如何進行賦能成為業(yè)界的新熱點，業(yè)內(nèi)也期望通過不斷新的嘗試，探索出新的應(yīng)用場景和路線。邊緣按照所應(yīng)用的位置可以分為邊緣云和邊緣終端兩個部分，其中，邊緣云是云計算與網(wǎng)絡(luò)邊緣側(cè)進行融合而產(chǎn)生的新技術(shù)形態(tài)，是未來產(chǎn)業(yè)關(guān)注的重點，是連接云和邊緣終端的重要橋梁。運營商利用邊緣云的建設(shè)資源，在邊緣云側(cè)提供安全資源池的能力，為邊緣云建設(shè)提供安全防護和運維能力。

3.2 政務(wù)云

近年來，政府越來越重視國民生活問題。政府加快公共服務(wù)向政府轉(zhuǎn)移，深化電子政務(wù)，推進國家治理現(xiàn)代化。采用基于云計算技術(shù)的電子政務(wù)建設(shè)模式，為政府提供橫向整合信息資源的機會、系統(tǒng)和基礎(chǔ)設(shè)施的使用，以提高總體硬件支持和使用率。建立健全電子政務(wù)平臺信息安全體系，加強安全可靠的軟硬件產(chǎn)品集中應(yīng)用，確保政府信息系統(tǒng)安全可靠使用。將政府數(shù)據(jù)和社會數(shù)據(jù)整合到大城市數(shù)據(jù)中，通過跨域數(shù)據(jù)融合分析，實現(xiàn)對城市運行的理解和預(yù)測，為共同治理的創(chuàng)新應(yīng)用提供信息支持。

政務(wù)云通過建設(shè)統(tǒng)一的硬件，在硬件平臺基礎(chǔ)上構(gòu)建云計算、云安全平臺，可以將統(tǒng)一采購的資源進行云服務(wù)化，最終為政務(wù)云的客戶提供更健全、更全面的安全租戶服務(wù)。政務(wù)云通過云安全管理平臺，為政務(wù)云上的數(shù)據(jù)、政務(wù)業(yè)務(wù)，提供更靈活的安全防護，更便捷的安全運維，從而提升整體的靈活性和可用性。

3.3 金融云

金融機構(gòu)私有云的安全需求主要來自 三個方面。一是傳統(tǒng)安全威脅，例如DDoS 攻擊、“僵木蠕”威脅、業(yè)務(wù)系統(tǒng)威脅、主機威脅、惡意代碼病毒等。二是云計算技術(shù)引入新的安全威脅，包括云服務(wù)提供者和使用者安全責(zé)任、云平臺與租戶業(yè)務(wù)系統(tǒng)的等級保護合規(guī)性評估、云技術(shù)帶來的云內(nèi)安全等。三是自身安全需求，即不同客戶自身管理模式、業(yè)務(wù)模式等特色安全需求[7]。

云管平臺利用資源池化的FW、IPS、WAF等傳統(tǒng)防護資源的虛擬化解決傳統(tǒng)的安全防護，通過運營能力的集中化管理解決云內(nèi)安全，從而提供金融云有效的解決方案，可以為金融云的云安全落地和建設(shè)提供一個新的解決方案，也可以為金融云內(nèi)部不同的應(yīng)用部門提供業(yè)務(wù)租戶級別的安全引流和安全隔離方案，通過內(nèi)部流量的監(jiān)控和安全防護，提供跨業(yè)務(wù)橫向的安全防護能力。

4 結(jié) 語

私有云的發(fā)展，使云計算進入了各行各業(yè)，安全防護的需求也隨之不斷增多，私有云云管平臺可以在私有云的基礎(chǔ)上提供多租戶、微隔離、虛擬化、流量可視化、安全業(yè)務(wù)編排等功能和業(yè)務(wù)，為云計算平臺提供更為靈活的安全解決方案。為運營商云、政務(wù)云等私有云環(huán)境的租戶提供安全能力編排服務(wù)，為資源池的運營管理、運維管理等提供支撐，使私有云能更好地為用戶提供安全防護、安全運維和運營管理。