混合云环境下的网络层安全挑战

1. 混合云环境下的网络安全变化

传统IDC环境下，企业业务可能会面临外部互联网的DDOS攻击以及网络层的漏洞扫描和恶意流量攻击等，因此一般会在机房出口处部署抗DDOS流量清洗设备、网络层防火墙设备、网络入侵检测或入侵防御设备、防病毒网关或者统一威胁管理平台等。
企业使用混合云后，网络层的安全风险和安全控制需求仍然存在，但和传统IDC环境相比，混合云业务部署可能涉及多家IDC、公有云厂商或者自建私有云等情况，导致信息安全需要在多个边界进行安全防护，同时VPC网段和IDC/私有云网段，不同VPC网段之间的通信访问需求，也需要在混合云网络内部不同网段间进行访问控制和流量检测，从而给混合云环境下的网络安全带来更多挑战。
另外混合云环境下和边界相关的安全问题也包括运维通道相关的VPN和跳板机软硬件产品，可通过SDP产品和多云管理平台如TiOPS产品进行替换，在此不做过多解释。

2. 混合云环境下的网络安全技术

根据对传统网络安全的理解，混合云环境安全特性，以及对多家公有云厂商的安全产品调研，我们发现混合云环境下的网络安全技术主要包括包括DDOS流量清洗、高防IP、云防火墙、网络入侵检测系统或网络入侵防御系统、虚拟交换机ACL规则、云主机安全组等。
DDOS流量清洗，主要用于防御互联网上的DDOS攻击行为，部署在企业云业务和互联网边界处。高防IP，用户在业务在遭受大流量DDoS攻击时，可通过配置高防IP，将攻击流量引流到云厂商提供的高防IP地址，对攻击流量进行清洗过滤后再将正常流量转发到源站IP，从而确保源站IP稳定访问。
防火墙，主要用于实现互联网和VPC、VPC和VPC之间的网络访问控制和网络安全。一些公有云厂商也会在云防火墙上集成NIPS、防病毒、用户身份认证管理等功能。
网络入侵检测/入侵防御系统，主要用于对网络流量进行检查并基于规则进行告警或阻断。
虚拟交换机ACL规则，主要用于VPC内子网间的访问控制。
安全组，一种虚拟防火墙，具备状态检测和数据包过滤能力，用于实现云主机间网络层的访问控制。

3. 公有云厂商网络安全技术比较

不同公有云厂商在网络安全方面一般都会提供包括安全组、虚拟交换机ACL访问控制、DDOS流量清洗或高防IP等基础的网络安全服务。部分成熟的公有云厂商，也会提供云防火墙、网络入侵检测/入侵防御系统或防病毒等网络安全服务。
云厂商名称网络层安全技术/服务简要说明 阿里云DDOS高防IP国内清洗中心超过8个，单中心带宽大于1T，10T+总防御带宽。电信、联通、移动、教育等20线独家防御云防火墙南北4-7层流量和东西4层流量的控制检测实现IPS，实时流量监控，虚拟补丁功能集成安全组功能进行统一管理腾讯云DDOS防护免费基础防护，高防IP等云防火墙提供互联网边界、VPC 边界的网络访问控制网络入侵防护系统通过旁路部署方式，无变更无侵入地对网络4层会话进行实时阻断样本智能分析平台恶意样本智能分析鉴定平台，支持常见可执行文件（包括32位和64位）、脚本、文档、压缩包、ELF 文件、APK 文件等多种，帮助检测恶意文件、后门、APT攻击等高级威胁检测系统采用镜像流量旁路进行检测天翼云Anti-DDoS流量清洗Anti-DDoS服务作为安全服务的基础服务，目前属于免费服务。DDoS高防IP付费增值服务云下一代防火墙通过虚拟机方式部署，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关）。集成用户认证、访问控制、入侵防御、病毒过滤、授权管理等多种功能华为云Anti-DDoS流量清洗免费提供基础DDoS 防护，防护能力最高可达5Gbps。本服务默认开启DDoS高防AAD10+清洗节点，8T+ DDoS高防总体防御能力，单用户T级防御能力，抵御各类网络层、应用层DDoS/CC攻击百度智能云流量审计分析IDS云上旁路入侵检测DDOS防护服务DDoS防护服务为百度智能云上客户提供5Gb的免费DDoS防护能力。当业务遭受超过5Gb的DDoS攻击时，可以将攻击流量引向高防中心浪潮云DDOS高防适用区域：华北一、华北二UcloudDDOS攻击防护针对IP进行海量DDoS清洗能力金山云高防IP防护能力按次购买，100G包年仅需28000

4. 混合云环境下的网络分层防护方案

混合云环境下，企业可以使用综合考虑各个云厂商自身提供的网络层安全服务以及云安全市场中其他安全厂商提供的网络产品或服务，从边界DDOS防护、边界云防火墙、VPC间防火墙、虚拟子网间访问控制及云主机间的访问控制等多个层次，构建企业混合云业务的网络层纵深防御体系。

l互联网边界处，使用DDOS清洗服务或高防IP，过滤DDOS攻击；

l互联网边界处，使用云防火墙和IPS技术，实现网络层访问控制、流量监控告警和入侵防护功能，包括不公有同云厂商集成提供的暴力破解、虚拟补丁、信息窃取、防病毒等功能；

lVPC和VPC边界处，部署VPC边界防火墙，对VPC之间的访问和流量进行管理；

lVPC内不同网段间，可使用虚拟交换机策略，管理同一VPC内不同子网间的访问；

l云主机之间，使用安全组策略，管理同一VPC内不同云主机之间的访问；

5. 混合云环境下的网络安全挑战和应对

混合云环境下，因为应用系统部署、应用架构调用、业务数据流转及使用人员的复杂性，导致安全人员难以追溯并理清楚各类访问需求和访问路径，无法在用户和应用访问路径的关键节点采取合适的安全防护措施。不过安全仍然可以从以下两方面积极应对：

1）梳理访问关系

l梳理IDC、公有云、私有云中各类应用和应用分配的网段；

l梳理应用、VPC间访问和调用关系并进行分类、分级汇总；

l梳理使用人员，包括外部业务用户，内部运维、开发、测试，内部业务用户，第三方人员等；

l梳理使用人员访问各应用的访问路径，并进行分类、分级汇总；

l明确关键资产的访问对象和访问路径；

2）访问路径的纵深安全控制

l结合资产价值进行访问路径风险评估，包括现有主要控制措施，补偿性控制措施等；

l基于纵深安全防御理念，在各个访问通道的关键边界处，进行访问控制、流量检测、攻击流量阻断、虚拟补丁等，同时在访问资产前，加强对用户和访问设备的身份鉴别、权限管理等安全措施。

l明确混合云环境下的网络安全目标：基于业务/应用/VPC/人员访问需求，在网络层面实现基本的网络隔离和访问控制功能，对访问流量进行检测告警，对异常访问流量进行阻断等。

l对于一些场景如企业内部员工访问云上SaaS应用，可选择和使用CASB产品对访问资产和路径进行安全控制；

l考虑使用SDP/ZTNA产品，减少可见攻击面，加强用户身份、设备认证和权限管理，替代VPN访问通道；