私有云建设中如何处理原有安全设备及利旧相关问题？| 总第248周

‍‍

0x1本周话题

话题：想咨询建设过私有云安全能力的大佬一个问题，就是公司内新建了一套私有云环境（如阿里、腾讯、华为等），那原来的一堆安全设备，比如堡垒机、态势感知平台、TAP网络、WAF等，可以做到把私有云内的流量导出到云外，让这些原有的安全设备重新发挥作用吗？尤其是私有云自带的比如堡垒机，如不满足新创、国密等要求，怎么解决的呢？

A1：一种就是流量绕云外安全设备，一种就是云平台接管设备，属于云内资源。

A2：可以的，某家的主机安全带有流量转发功能，可以转发到外部。WAF 采用路由模式也是可以的。另外，转发流量一定要评估好带宽，不然可能会影响到生产业务。

Q：还是说私有云内的安全能力（如WAF、堡垒机、态势感知）彻底替代了原来的安全的一套安全设备，逐渐往云上的安全能力全部替代？现在就是对云内安全能力存疑，也怕被后期绑定。

A3：我觉得还是先定义私有云的安全要求把，是要求完全隔离，还是可以底层数据互或者上层应用数据互通。全流量分析采用两套，其他后续逐步全部往云原生走，主机安全得好好评估一下，因为更新较慢。根据需求再做安全评估，你买的应该是公有云吧，还是说你买的是专有云部分，控制台在厂家那里。

A4：在自己家机房建设私有云啊，跟公有云完全没关系。

A5：自建的私有云就跟你比如的那些没关系了啊，自家机房，怎么部署，流量怎么搞，这不全都在自己手里吗。

A6：自建私有云，也是采购，云厂商来建设，我见过的私有云，都是采购的，大厂来建设的，还没见过完全自己搭建的。你现在问题估计是，不想放弃现有的设备，不放心云厂商的安全中心能力。

A7：他也只是帮你建设啊，你可以提出来安全部分复用原来那一套啊，可以直接放弃他们的安全中心那部分，而且自家内部机房，带宽也不是问题，打底10G跳线搞起来。

A8：可以不全部接纳云厂商安全解决方案，云里可以有第三方产品，主要是看你要达到什么效果。

A9：云里的第三方产品，了解过一些也是和云适配的特定型号的。建私有云的方案设计时，要求考虑原设备的利旧吧。各家私有云也有自己适配的设备的，要设计时考虑。

A10：那就直接流量转发出来，复用你原有的安全设备。主要是感觉做方案的时候就没有提及旧设备利用问题，直接按全新方案去做的。

Q：就想问下建设过的私有云安全能力的大佬，实际是怎么利旧的？我们咨询了厂商，大部分利旧很困难，比如态势感知设备，此外，Tap网络几乎要重构，私有云提供的堡垒机不满足新创、密评要求。

A11：可以，流量镜像出去，一般的云厂商都带了分光分流设备，会有多余的口。但是要么感觉能力都一般（比如WAF、堡垒机），要么根本无法利旧老设备（如态感），要么利旧很复杂（如tap网络）。要想所有利旧肯定不可能，会很复杂，只能部分利旧，那些老的产品也不是云原生化的。

A12：肯定做方案的时候要考虑。软硬适配不是说说这么轻松的。

A13：这些能力都有特定基础条件的。私有云厂家没有实际适配测试验证过的设备，告诉你功能支持，也没人敢用的。我们就是用的自己的堡垒机，专门给云内使用，看你是多租户还是单单租户，我们可以理解成单租户。

A14：不可能三角，必需明确需求，有取舍。有些通用的就不要太纠结云内自带的能力，比如堡垒机，有些强需求的，比如态感，是有方案可以把流量给出来的，那就好好设计下。感觉是在设计初期，可以多聊聊，看看方向。还要看看具体是哪一层的安全能力，saas和paas的好利旧一些，iaas层的和云厂商绑定比较紧。

A15：这个还是看你们的实际需求和场景，像我们学校就是自建的机房和私有云，但是云平台上面的那些安全功能基本上都没用上，整体的安全需求都还是依托于传统的硬件类安全设备来实现的。

A16：我感觉他这个都快落地了，或者可能已经落地了，如果还在设计初期的话，可以给供应商划个底线，安全方面接入原有的就接入原有的，不能接入或者复用的，就把流量传出来。

A17：1.私有云里面也会有三方oem或生态产品，都是传统产品的虚拟化形态。这种用谁都无所谓，老旧的硬件设备折腾下也能接入。2.和云密切相关的原生类产品还是建议用csp的，举个例子，比如vpc间流量都是vxlan，让老的设备解包也解不了，还是要靠csp的黑魔法去处理。再比如cspm这种，传统厂商也没有私有云产品接口清单，也做不来。

A18：我们实际就是云内流量分析用的云厂商服务，其他的大部分放在云边界。

Q：cspm是啥，前面那个csp是私有云安全的意思吧?

A19：cspm云安全态感。

A20：现在有云内方案，用云内agent把流量给出来，如果是都落地了才考虑安全，那就太晚了，应该早点介入的。

Q：这个agent 一般放在哪里？

A21：宿主机 vm 容器都可以，看具体场景和需求。

A22：私有云自带的安全能力如果经过poc测试发现不太满足，可以不选，这样底座还小一些，然后去买点第三方的安全能力（现在很多厂商对私有云都有很多案例）。

A23：可以的，取决于具体网络架构。一般WAF就放在互联网边界。堡垒机打通权限即可。态势感知把日志发过去即可。overlay有专门的流量采集方案。

A24：我们这边建设前说能利旧的，建完对接都是问题，云专线、对等链接、弹性IP在实现具体需求时都有问题，已经准备放弃抵抗了。

0x2 群友分享

【安全资讯】

关于征求国家标准《信息安全技术数据安全风险评估方法》（征求意见稿）意见的通知