山石网科混合云多云网络安全解决方案，一站式为用户筑牢安全防线

一、挑战与需求

随着企业数字化转型的不断加快，多云、混合云已经逐渐被企业广泛采用。在多云、混合云环境中，企业将面临更为复杂和严峻的网络安全挑战，需要拥有应对多云、混合云网络安全问题的解决方案。

目前中国企业正在广泛拥抱多云、混合部署模式。根据混合云产业推进联盟发布的《中国混合云用户调查报告（2021年）》显示：混合云用户的平均用云数量达4.3个；在已经应用混合云的企业中，大部分企业会同时选择多个公有云和私有云服务商提供的服务，该部分的企业达到了86.7%； 金融、 互联网等行业用云数量相比其他行业更为突出；大型企业平均用云数量明显多于中小型企业。

在多云、混合云时代，企业将面临更为复杂的网络安全问题。

·一是企业需要解决单云环境下传统的网络安全威胁，如：南北向网络安全、应用安全、数据安全、主机安全等；

·二是云计算环境带来新的安全挑战，如：云平台及云内租户安全、东西向网络安全等；

·三是混合云之间网络连接不稳定是用户关注的重点问题（根据前述《报告》）；

·四是如何通过统一云安全管理平台有效管理多个云平台或异构的安全资源，简化安全运维流程，合理管理云安全的使用和费用支出，降低安全治理成本。

上述几点已成为用户日益面临的挑战与亟需解决的问题。

二、解决方案

山石网科多云、混合云网络安全解决方案基于山石网科多年的云安全积累与对客户的深入理解，为用户提供从单云环境到多云环境，再到云安全运营的全方位安全服务，助力企业从容应对多云、混合云环境所面临的安全挑战。

面向多云、混合云用户，山石网科首先提供针对单云环境内（私有云、公有云）的云租户边界、Web应用服务、主机、数据库等安全能力；其次针对多云、混合云环境提供安全SD-WAN解决方案、 主机安全管理、云Web应用防火墙、云数据库审计、云日志审计、云堡垒机、云漏洞扫描等安全能力；最后为多云、混合云用户提供一站式安全运营管理服务，实现企业多云、混合云安全运营。

山石网科多云、混合云网络安全解决方案可实现On-Premise+On-Cloud的混合部署，为客户提供覆盖企业总部、分支机构、私有云数据中心、各公有云环境的多云、混合云架构环境下的统一网络与安全能力保障。方案整体架构如下：

三、方案组成

山石网科全面拉通内部的安全产品和方案能力，将安全SD-WAN、私有云安全、公有云安全、云安全审计和云安全运营等优势方案能力集成进企业多云、混合云网络安全解决方案中，帮助企业多云、混合云用户构建全面、可靠、稳定的网络安全环境。

1. 安全SD-WAN

山石网科为应对企业多云、混合云广域组网所面临的各种挑战，遵循安全SD-WAN 理念，提供安全SD-WAN解决方案。方案由山石网科安全管理平台HSM作为SD-WAN控制器，以山石网科全系列下一代防火墙、SDW系列安全网关、山石网科虚拟化防火墙（山石云·界）作为CPE/vCPE，连接企业总部、分支机构、私有云数据中心和各公有云环境，为用户构建易运维、高安全、高稳定的云网互联组网方案。

方案能够为企业广域网络提供先进的防护能力。山石网科安全SD-WAN解决方案的所有节点设备全部采用安全架构，能够为企业多云、混合云广域网络提供业界先进的L2-L7层安全防护能力，如病毒过滤、入侵防御、反垃圾邮件、IP信誉库、异常行为检测、变种威胁发现等，帮助企业构建云上云下一体化的安全防护体系，满足企业安全合规需求。

2. 私有云安全

山石网科云安全产品兼容各类主流虚拟化和云平台环境，可通过在私有云部署山石云·界、山石云·格、山石云铠、山石云·集、山石vWAF及审计探针等产品实现私有云网络层、应用层、数据层的威胁检测与安全防护。

山石云·界为用户提供云计算网络之间的安全隔离和安全防护。山石云·界虚拟化下一代防火墙是专门为云计算环境设计的虚拟化网络安全产品，共享山石网科硬件下一代防火墙核心技术，基于“All in One”的设计理念，为客户提供下一代防火墙、虚拟专用网（VPN）、高可用性（HA）、入侵防御（IPS）、病毒过滤（AV）、服务质量保证（QoS）、负载均衡、AAA 认证授权、云沙箱等丰富的安全功能，提供高性价比的云安全部署方案。

山石云·格为用户提供云内东西向流量的网络微隔离防护能力。山石云·格将下一代防火墙的安全服务能力下沉至云计算环境中各个宿主机内，通过山石网科专利自研的引流技术，按需对虚拟机提供全方位、细粒度的近端网络防护控制能力，以较低的访问授权控制和丰富的可视化能力，真正在云计算环境下实现“零信任安全模型”。

山石云铠为云环境提供主机与容器安全防护能力。山石云铠通过快速的资产识别能力主动构建业务画像，帮助用户实现对主机与容器安全的实时监控，采用漏洞扫描与合规基线检测协助用户持续评估基础设施安全，运用先进的微隔离技术理念实现对云内东西向流量的精细化管控，结合高级威胁检测引擎帮助用户高效检测入侵行为与应用风险行为，从而助力用户防御云环境风险，为企业主机与容器业务构建真正的“零信任”方案。

3. 公有云安全

山石网科可为多云、混合云用户提供公有云内丰富的安全防护能力。为助力用户构建安全的公有云业务防护体系，落实租户安全等级保护要求，山石网科凭借丰富的网络安全经验，总结出适用于公有云环境内的安全防护解决方案，从租户内的云主机、云网络、应用软件、业务数据、运维管理和日志审计等方面进行安全防护，帮助用户构建稳定、高效、安全的公有云业务环境。

在方案中，多云、混合云用户的公有云租户可在公有云市场灵活选购满足自身防护需求的山石网科公有云安全产品，如山石云·界虚拟化防火墙、山石云Web应用防火墙、云漏洞扫描等，从而实现租户内差异化、精细化的IaaS安全防护能力。通过公有云安全管理中心，租户能够方便实现山石网科公有云安全产品的下单、资产管理和用量计费，并且可以全面掌握云安全态势，实现便捷、高效的安全运维与租户纵深安全防护。

4. 多云、混合云安全审计

在公有云、私有云及传统网络叠加的混合IT环境中，用户可以在各个位置部署审计探针，并将审计数据集中到多云、混合云安全运营平台进行集中审计，比如在公有云、私有云的数据库服务器上部署审计探针，将数据库访问数据统一汇总进行审计处理，类似的还有云日志审计和云堡垒机。

山石网科云数据库审计与防护系统可对多云、混合云租户内的云数据库访问行为进行独立审计和安全控制，帮助用户应对来自外部和内部的数据库安全威胁，满足等保要求中关于安全计算环境的数据完整性和数据保密性要求。 山石网科云堡垒机将运维管理和运维安全理念相融合，通过身份认证、权限控制、账户管理、操作审计等多种手段，完成企业多云、混合云内核心资产的统一认证、统一授权、统一审计，全方位提升运维风险控制能力。

山石网科云日志审计产品可为多云、混合云用户提供上网访问行为的监管与审计功能，配合山石云·界的NAT、IPS、上网行为分析等功能，能够有效记录接入用户的网络日志和安全日志，帮助用户解决网络出口日志审计的困扰，满足《网络安全法》及行业的监管要求。

5. 多云、混合云安全管理与运营

在多云、混合云环境下，企业需要支持防护类安全产品（防火墙、WAF等）的集中管理和主机安全管理的能力，并通过集中的大数据安全分析，为用户提供多云、混合云环境下整网的资产、风险可视化与统一的安全运维与运营管理。

针对防护类安全产品（防火墙、WAF等）的集中管理，山石网科专门为企业安全运维研发了面向安全设备与业务的集中管理平台，提供山石网科安全产品的集中管理及监控功能，满足用户安全管理需求及合规性要求，是用户整网安全运维的专家级助手。

针对主机安全管理，山石云鉴主机安全管理系统围绕主机检测、响应、预防进行可持续安全运营，实现主机安全全生命周期管理。通过对主机进行脆弱性检测、东西向微隔离管控、多锚点风险检测、多层级安全响应等措施，解决主机资产管理、安全加固、东西向流量防护、威胁实时检测、应急响应、失陷主机定位等安全问题，能够有效帮助混合云安全管理人员应对日趋严峻的主机安全风险。

针对多云、混合云安全运营，山石云景云端安全运营与管理平台秉持动态、协同的安全运营理念，充分利用大数据分析等前沿技术手段构建安全事件的快速响应和主动防御能力，围绕业务系统，把持续的威胁检测、威胁分析和响应处置固化到日常企业安全运营的工作中，帮助企业多云、混合云环境构建起以主动监测、快速预警、有效联动、准确处置为特点的闭环式动态安全运营体系。

四、方案价值

·天然安全的SD-WAN方案，保障多云、混合云网络的稳定和安全

基于山石网科安全网关作为CPE/vCPE，构筑了天然安全的SD-WAN解决方案，基于应用的带宽管理与链路质量的动态应用选路，实现业务质量保障与网络自动化运维。

·多云、混合云统一安全管理，提升安全能力与运维效率

在实现私有云、公有云南北向与东西向安全能力部署的同时，通过多云、混合云统一安全管理，将用户部署在物理网络、私有云及公有云的安全资源都统一纳管，实现统一运维和全局运营，有利于提升整网安全可视化与威胁关联分析能力，提升多云、混合云安全运维与运营效率。

·安全能力云上云下混合部署，按需弹性扩展

采用本地与云上混合部署的形式，用户根据自身的业务需要进行弹性扩展，合理减少安全投入费用，降低安全治理成本。