公有云（yún）安全解决方案

一、公有云概（gài）述

业务的（de）创新（xīn）必（bì）然（rán）引（yǐn）发（fā）IT的（de）变化。当业务走向互联网时，IT直接服务于所有的客户（hù），对于（yú）决策者来说，业务创新（xīn）需要大（dà）量（liàng）的IT资产投入但能否成功却存（cún）在风（fēng）险，而且业务发展的目标可能会（huì）随时变化（huà），这给自建（jiàn）IT造（zào）成了很大的不确定性（xìng）；对于运维人员来说，IT规模不（bú）断扩大，引发运维工作（zuò）量急剧（jù）增加，IT的（de）任（rèn）何安全问（wèn）题都可（kě）能对业（yè）务运（yùn）行及收（shōu）入造（zào）成影响，此外如何保障用户对业务的访（fǎng）问速度也（yě）非常重要。

在这种变（biàn）化（huà）下（xià），我们（men）发现传统的自建（jiàn）IT的方式难以满足降低（dī）创新业务启动（dòng）风险、弹性满足业务目标需（xū）求、减少运（yùn）维工作量等要求，这时公有（yǒu）云天然（rán）具（jù）备的优势让其成（chéng）为（wéi）了（le）继网（wǎng）络基础（chǔ）设（shè）施（shī）后的新IT基（jī）础设施，基于公（gōng）有云，我们可以很容易的进行业务的创（chuàng）新。

二、安全分析

随着用户（hù）互联（lián）网（wǎng）应用越来越多，对外接口越来越多，承载的业务（wù）也愈发（fā）关键，业务的互联网化也必然带来安（ān）全风（fēng）险的增加（jiā），而公有云具有的开放性，也给用户造成一（yī）定的安（ān）全顾虑。从用户的（de）接入安全，到传输中（zhōng）的数据安全都是需（xū）要考虑的重点；DDoS攻（gōng）击、CC攻击等低（dī）成本的攻击方式正成为互联（lián）网应（yīng）用（yòng）的（de）重要威胁，然而（ér）无论（lùn）是用户本地的数据中心还是在云端的数据中心因（yīn）受制于有限的带宽（kuān）、IT资源，无法抵御大（dà）流（liú）量的（de）攻击（jī），在遭受攻（gōng）击（jī）时也缺乏足够的安全专家进行响应；用（yòng）户（hù）网（wǎng）站自带的漏洞也是不容忽视的问题。

三、解决方案（àn）

我们提供一个（gè）端到端，完整（zhěng）的公有云安全防护解决（jué）方案（àn）。从云端到（dào）用户（hù），我们在用户端（duān）、传（chuán）输（shū）端、公有云数据中心（xīn）端均提供相（xiàng）应的安全解决方案，实现业务安（ān）全交付。

1、实（shí）现接入（rù）安全（quán）

除了面（miàn）向公众用户的互联网应用，通过SSL VPN提供的接入安全功能，企业（yè）用（yòng）户还可以将面向内部员工、合作伙伴、授权客户的移动办公、OA、ERP、知识库、文档下载等应用迁移至公（gōng）有云（yún）。

多因素（sù）认证（zhèng）：提供用户名（míng）密码、短信、硬件特（tè）征码等多种（zhǒng）认证方（fāng）式对（duì）接入（rù）用户（hù）进行身份鉴定，保障用户身份的合法性。

分（fèn）级授（shòu）权访（fǎng）问：用户可以按角色进行分（fèn）组（zǔ），不（bú）同（tóng）的（de）角色可以授权访问不同的业务系统，杜绝账号冒用及越权访问。

操作审（shěn）计（jì）：对（duì）接入的用户（hù）进（jìn）行审计（jì），记录用（yòng）户的登录、注销、资源访问情况。

2、实现（xiàn）传输安（ān）全

根据用户端（duān）的对象不（bú）同，我们提供了三种场景的传（chuán）输安（ān）全解决方案。

WEB应用：当公众用户访问互联网应（yīng）用时，我们（men）提供HTTPS加密的（de）功能，将用户的HTTP应（yīng）用自动转化成HTTPS应用（yòng）交付给公众用（yòng）户，借助SSL加密机制，确（què）保在整（zhěng）个数据传（chuán）输过程中（zhōng）的信息安全性。

用户接（jiē）入：企（qǐ）业的内部员工、合作（zuò）伙伴、授权客户等访问部署（shǔ）在（zài）云端的企业内部应用时可通过（guò）SSL VPN接（jiē）入的方式进行传输加（jiā）密。

混合云接入：当用户本地的（de）数（shù）据中心（xīn）与公有云互联（lián）时，可以（yǐ）通过（guò）广（guǎng）域网优（yōu）化组件提（tí）供的IPSec VPN协（xié）议进行加（jiā）密，同时支持国密（mì）算法，满足（zú）企业合规性要求。

3、数（shù）据中心安全（quán）

用户在公有云平台上的数据中心安全（quán）包括租户安全与平台安全两部分，我们主（zhǔ）要负责平台安（ān）全（quán），但也提供相应的安全解决方案来（lái）保证（zhèng）租户安全（quán）。

我们（men）为租户在云端的业务提供（gòng）与本地数据中（zhōng）心相媲美的安全解决方案，从网（wǎng）络安全、应用安（ān）全、数据安全三个维（wéi）度提供完整的安全防护（hù），让用户在云端的应用（yòng）安全无忧（yōu），并符合等级保护（hù）的建设要（yào）求。

通过公有（yǒu）云（yún）安全解决方案，除了保障用户互联网应用的（de）安全外，还可为授权用户接入（rù）、混合云接入提供完整的安全解决方（fāng）案，满足监管部门的等级保护合（hé）规性（xìng）要求，为企业客户（hù）业务的（de）全面迁云提供了可能性。并提供以下两个安全服务：

1. DDoS高（gāo）防服务：用户（hù）只需切换DNS到指定（dìng）的地址，即（jí）可享受DDoS流量清洗服务，无需部（bù）署任何硬（yìng）件设备，在（zài）DDoS安（ān）全（quán）防护过程（chéng）中，安全（quán）专家（jiā）会全（quán）程参与防御（yù），观（guān）察网站访问情况，及时做出响应（yīng）措施。

2. 漏洞扫描服务：企业安全的核（hé）心是发现潜在安全风险（xiǎn），我们为用户提供基于云的漏（lòu）洞（dòng）扫描（miáo）服务，用户无需部（bù）署任何硬（yìng）件设备，可定期对指定网站进行漏洞监控，生成监控（kòng）报告，检测范围覆盖（gài）了SQL注入、XSS、命令执行、文件（jiàn）包含、解析漏洞、服务（wù）配置、信息（xī）泄（xiè）露（lù）、弱（ruò）口令检测（cè），后门检测（cè）、网站（zhàn）内容（róng）风险等，为用（yòng）户提（tí）供全面（miàn）的检（jiǎn）测报告以及（jí）相应的（de）安（ān）全（quán）加固建议。