【IT168 评论】政企行业的发展趋势正在逐步向云靠拢，随着企业用户对于云计算认知大大提升和国家云计算政策引导，政府和企业用户纷纷加速云落地，大家都称之为政企云，但部署政企云面临的最后一道门槛是安全问题，该问题也引起各个行业以及企业部门的广泛关注。

▲Palo Alto Networks 大中华区总裁 徐涌

　　谈及政企云安全问题，不仅包括了IT基础设施，还包括了政企云平台上用户数据的安全这两大类，对于IT基础设施安全层面，我们有幸邀请到了Palo Alto Networks 大中华区总裁徐涌先生，来和大家共同探讨一下当下的政企云安全以及未来政企云安全的发展趋势。

　　随着政企云市场的推进，政企云的安全问题越来越重要，谈到政企云安全市场的格局，徐总说：为了满足来自于更多区域更多用户对更多数据的需求，政企机构正处于不断演进之中。现在政府和企业利用数据的方式，在五年前是根本无法想象的。然而出于个人牟利或中断通讯的目的，收集敏感数据或者其他各种数据始终是不法分子的目标。所以政企网络与终端必须保证安全，要有更多灵活性和更强的威胁可视性与防御能力。

　　安全风险成政企云最大挑战

　　政企云的全面应用目前看来还尚需时日，在政企云的开发上势必会面临各种各样的挑战，谈到挑战，徐总认为即使应用了公有云，威胁网络的安全风险依然不变。从某种程度来说，安全风险反而变得更加严峻，原因包括：本地部署的单个服务器上的诸应用采用了虚拟化。一旦公有云环境被侵入，攻击者可访问所有应用与数据。

　　徐总说：“安全实践告诉我们，任务关键型应用和数据应当隔离在网络安全段内。”他还谈到：在物理网络中，一般使用网络、防火墙和安全策略来进行分段。而在云计算环境中，服务器中虚机之间的通信是依据不同信任等级持续进行的，这使得分段变得非常困难。信任等级参差不齐，加之那些基于端口的虚拟化安全产品缺乏对主机内部流量的可视性，会导致安全等级的削弱和降低。

　　软件还是硬件 这是个问题

　　关于政企云的安全解决方案，有硬件和软件之分，那客户在选择政企云的解决方案时该如何选择呢?对此，徐总是从以下几个方面来进行解读的：

　　首先，要了解企业网络在安全方面的现实差距，这一点非常重要，只有这样才能获得准确的可行信息。

　　其次，要将网络攻击生命周期的差距分析考虑在内，仔细观察这一生命周期的每一阶段，从外围攻破、横向移动、命令与控制、数据泄露，以及如何有效保护从终端、网络边界到数据中心核心的所有步骤。

　　企业应当采用安全平台方案。一方面节省了费用，另一方面安全平台也有助于简化管理。对安全设备的集中管理以及来自于平台的主要安全策略和功能，能够大大提高整个机构的效率。

　　徐总还谈到，平台的另一大优势是它可以覆盖整个企业网络，包括网络边缘、数据中心、移动网络与与终端设备等。将这个现代化平台纳入安全方案的机构可以实现更全面有效的网络安全水平，进而防御网络攻击。

　　Palo Alto Networks的政企云安全

　　在云的安全建设方面，Palo Alto Networks提供了一套完整的安全平台，帮助140个国家的3.1万顾客应对网络威胁挑战，囊括了诸多行业如金融、零售、医疗、政府与公共事业等。

　　徐总提到，在涉及的众多行业中，以金融行业最具代表性，客户借助Palo Alto Networks的下一代安全平台，有效保护了财务交易、顾客记录与知识产权等方面。当顾客通过越来越多的设备与媒介获取个人财务信息时，攻击面也随着行业的发展而不断扩大。

　　如何正确面对政企云的攻击?

　　网络攻击作为政企云的重大威胁，是众多安全厂商不得不考虑的方面，针对政企云的防御工作，徐总分别给我们介绍了对政企云的DDoS防护以及ATP攻击防护。

　　针对政企云DDoS攻击的防护：

　　Palo Alto Networks支持以下两种DoS保护机制：

　　洪水防护：数据包泛滥的网络会产生许多半开放会话与服务，无法响应每个请求，这种情况下攻击的源地址往往是虚假的。Palo Alto Networks对此进行探测与阻止。

　　资源保护：探测与阻止会话损耗攻击。在这种攻击中，攻击者利用大量主机(木马)充分建立大量会话，消耗系统资源。

　　针对政企云ATP攻击防护：

　　Palo Alto Networks通过识别每种威胁的关键组件、自动分享信息、与针对这些成分在安全技术中提供保护等，阻止APT攻击，从网络到云环境，再到终端，在网络攻击的每个阶段提供全面保护。

　　通过精细策略控制，Palo Alto Networks可阻止APT攻击，减少堵塞交付、C&C通道与无签名利用阻止模块的攻击平面、基于内容的签名与URL分类，保护终端免受零日威胁。

　　使用针对新型漏洞、恶意软件负载、恶意URL与C&C通道的安全保护措施。该平台本地集成、具有防火墙环境安全，Traps与Aperture等，阻止在网络、终端与云环境中各个阶段的APT攻击。

　　政企云在中国

　　种种迹象表明，云的应用已经基本普及到各个企业当中，徐总预测随着技术的持续发展并被接纳，如电子支付系统与物联网设备的采用等，新的漏洞与“网络通路”也随之产生，给黑客们制造了更多机会进行有针对性的攻击。

　　许多企业机构采用的单点解决方案并不足以应对上述攻击，与此相反，企业需要采取更加全面的安全方案;企业、政府与服务供应商都应当重新构架系统与网络，抛弃传统平台，采用新一代技术来覆盖全部区域，囊括网络、终端与云。