云安全解决方案百花齐放，私有云构建安全能力体系真这么难？

在中国云计算发展的当前阶段，安全已经是云资源池建设、使用、运营、运维全生命周期中不可忽略的重要组成部分。

︾

本文以私有云市场安全能力建设的现状为出发点，基于多年在云安全资源池场景中与众多云厂家的合作落地经验，浅析可满足不同用户需求的差异化、可落地的解决思路和方案。 

主流的建设思路有两种。

1.使用全套私有云厂商的安全产品，部分缺少的安全能力，通过采集第三方安全产品硬件或软件方式进行交付。

这种建设思路适用于采购头部私有云厂家的私有云产品，这些厂商在安全领域投入较大的研发资源，配套的安全产品种类较多，基本能满足用户基础安全和等级保护的需求。私有云厂商自有的安全产品在使用体验上，基本能够与其他云上业务保持一致，如统一的UI设计、租户自服务能力、一致的计费计量、统一的操作入口、操作简单等等，正如私有云厂商宣称的，“云网安”融合。

但不是所有私有云厂商都是头部，他们所能提供的安全产品种类、能力，甚至后续安全运营服务能力是不同的，且在项目交付过程中，绝大部分私有云厂商需要集成第三方安全产品，才能达到项目招标的要求。在交付过程中集成的安全产品，仅能在业务功能层面满足客户的需求。该模式下安全能力是简单的交付集成，最大的需求变成了网络部署上的互联互通、相互兼容，所以在整体的使用体验上，远低于其他云上产品。例如产品许可授权不一致、产品入口不统一、无法做到租户自服务等等。在未来云业务长期发展的情况下，云上扩展新的安全能力难度也较大。

2.私有云厂商与安全厂商合作，基于安全厂商提供的专门面向云场景的安全资源池解决方案构建云上安全能力体系。

这种思路非常适合安全能力较弱的私有云厂家，可以快速集成完整的安全解决方案并实现交付。对于云用户而言，客户还可以享受安全行业头部厂商提供的产品和服务。主要应用场景是政务云、行业云。

接下来从第二种思路出发，介绍满足不同用户需求的落地建议方案。

当前主流安全厂商提供的面向云环境的安全资源池方案中，安全产品基本都是采用软件交付和集成，并且配套统一的安全管理平台对不同种类的安全能力进行统一授权，统一开通部署、统一运维配置等，可按照单租户需求进行独享一套安全产品或多租户共享安全产品进行划分。

单租户独享：每个租户都需要部署一套安全产品虚拟机，包含安全服务。该独享模式适用于云上租户规模较小的场景，一个虚拟机承载一种安全业务，部署和管理简单，无需考虑复杂的网络场景，部署在租户办公网络内即可使用。

多租户共享：在云平台搭建阶段，统一集中部署安全资源池，后续多租户共享基础安全底层，但业务层互相隔离。该模式适用于云租户规模较大、且对安全产品可靠性要求高的场景。支持该模式的安全产品需考虑可靠性、扩展性，对初期部署的资源要求较多。

安全产品以及云安全资源池管理平台的管理网和业务网络需要结合私有云的网络模型进行细化设计，在私有云建设阶段做整体的规划。

在安全产品的业务网络部分，除了考虑能否满足互通性要求外，也许要考虑网络的安全性、配置的便捷性。网络配置的最优方式通过云平台上的网络功能即可实现，无需通过某些仅管理员或者网络工程师可登录的后台进行网络的配置维护。

 方式一：松耦合 

平台增加单点登录，云资源和安全资源的管理入口统一。此模式下，安全产品的部署、管理仍需要通过两个平台共同完成，由云平台操作安全虚拟机和网络的配置部署，安全管理平台实现安全产品的纳管和安全业务的配置管理。

此模式相对简单，上线周期短，适合云上租户数较少，且云上的运维工作由私有云平台建设方承接，所以对于“拎包入住”的业务方而言，省却了很多感知体验。

 方式二：半耦合 

平台增加单点登录，且安全管理平台可对接云管理平台的接口实现安全产品的部署、使用、运维配置，没有操作的割裂性。

此模式开发投入较大，需要安全厂商投入较大研发资源，适用于单个项目中租户规模大，且安全业务需求较多的场景。

 方式三：紧耦合 

私有云平台上开发所有安全产品的介绍、下单、开通、部署页面，仅在安全产品使用时，通过单点登录能登录到产品的使用页面。此模式仅适用私有云厂商拥有富裕的研发资源，项目数多，单项目拥有大规模租户，客户侧或者私有云厂家对品牌一致性、统一的计量计费、操作体验较高要求的场景。

此模式开发投入大，安全产品或私有云平台往往为分支/定制版本，迭代频次低。

基于私有云市场的云解决方案现状，通过集成第三方安全厂商成熟的云安全资源池解决方案是一条快速构建完善的云安全能力体系的路径。每个项目中集成方案的目标与落地可行性，需要结合实际的业务规模、用户场景、项目上线时期要求、投入成本等进行综合考量，并制定切实可行的目标和计划。