云端守望者（下）：十八般武艺

在《云端守望者（上）：十二道难关》中，天翼云详尽讲解了云计算环境下的安全威胁，面对这些问题，天翼云又是如何为用户搭建起安全防护墙的呢？自从 Google 在 2006 年公开提出云计算的概念以来，迄今已经过了 14 年的时间。人们对云安全的认知，已经从最初的陌生尝试，转变为信任和依赖。突如其来的疫情，更是加速了各行各业上云的速度，现如今挂在人们口中的是“万物皆可上云”。 然而，数据泄露、云服务滥用、系统漏洞和共享技术漏洞等新问题也逐步暴露出来，云计算依然面临着诸多安全威胁。作为云服务厂商中唯一的一家运营商企业，天翼云构建了一整套完善的安全防护体系，保证租户的网络安全不受威胁，业务运行不受干扰。

这套解决方案主要分为四个方面，合规资质安全、运营安全、运维安全以及基础设施安全。

合规资质安全

云服务商要向客户提供云服务，首先要保证自己具备运营和卖云的资质，“三无”的云资源无法受到主流市场的认可。在安全资质上，天翼云获得了 ISO、CSA STAR，以及国内的可信云、EAL、PCI-DSS 等各类资质的认证；同时在等级保护测评方面，天翼云在全国的所有资源池都已通过等级保护测评，绝大部分资源池已通过等保三级测评，可以说在合规资质层面，天翼云能够做到让用户放心使用。

运营安全

运营安全，主要指云服务商在运营云时，需要关注的方方面面。如果以五星大酒店作比喻，云服务商相当于大酒店的运营者，为每个客户提供单独的房间（即云资源），那作为酒店运营者，首先要保证每当有客户入住，能提供出干净可入住的房间（资源可管理），其次要保证每个客户办理的入住手续是完整可追踪的（流程可控），最后要保证我们的员工都是尽心尽力为客户服务的（服务可信）。撤掉这个比喻，那么为了给租户提供安全的云服务，天翼云从可管、可控、可信三个层面，构建了覆盖全生命周期的、各运行层面的立体安全运营体系。

 运维安全

为了讲清楚运维安全，再次回到五星大酒店的比喻。作为酒店的运营者，我们除了给客户提供服务，是不是还需要一套完善的运行维护体系？比如换下来的床单被罩等需要重新清理消毒、房间需要清扫、全酒店的电力要保证有备用，不会受到灾害影响等，那么作为云服务商也是类似的。天翼云在给租户提供云资源的同时，要保证自身网络不受外界入侵攻击的影响，要保证资源池本身的物理安全性，要保证运维的过程本身安全可信，这也是对一个合格且优秀的运营者的基本要求。

基础设施安全

这里的基础设施，主要指租给客户的云资源的安全如何保证。上面提到，针对发起的攻击，天翼云有责任也有能力来抵御，因为一旦云平台受到攻击，那么所有的租户都将受到影响。但是如果访问是针对租户服务器的，天翼云并不会做相应的阻拦。还是以五星大酒店来做比喻，面对手持利器，杀气腾腾来到酒店门口的强人，保安自然不是吃素的，肯定当场拿下，也就是说酒店会租赁保安进行安保服务，保证不会有此类盗窃现象发生。但如果有伪装为正常用户的窃贼进来，比如穿着高雅，指明要访问哪层哪个房间的人员，且有正常的访问手续，那么保安是没有道理拦下的。因此，云环境下的安全体系构建，除了来自云服务商，有很大一部分要由客户自己来负责搭建。但对于使用天翼云的客户来讲，天翼云为租户提供全套纵深的安全防御产品，可为用户打造安全的云数据中心。

案例分享-企业等保合规专属云

某物流公司安全运维需求

该公司为国家级 5A 综合物流企业，为顺应数字化企业发展趋势，企业的部分业务系统转移部署在天翼云上。针对企业信息安全，客户希望可以解决云上运维过程中的账号复用、数据泄露、运维权限等可能存在的问题，及提高运维效率。天翼云通过提供云堡垒机、日志审计等产品为用户实现了可管可控的高效运维。

火神山医院

如果火神山采用传统的信息化系统建设方式，不但要保证上百台服务器的以及网络设备、存储设备备、存储设备的正常运营，而且要创造配套的机房环境。这意味着从采购到安装部署需要很长时间，无法满足在几天时间内正式收治确诊病患的需求。 为保障“两神山”医院能够在最短时间之内完成交付运行收治病患，医院内部实现业务系统服务器零部署，减轻本地运维压力，上云是唯一途径。 但医疗行业近年来成为了网络攻击和勒索的高发区，仅次于金融行业。疫情期间，国家安全部门也监测到大量来自海外异常访问和攻击，对于医疗核心系统上云，安全就成了首要考虑的问题。天翼通过云安全运营中心、服务器安全卫士等多项服务及产品，为火神山医院构建了一套完整云上安全服务体系。

说起 2020 年的关键词，必然少不了“云”的身影，制造业、服务业、医疗、教育、办公，处处闪现着云应用场景。然而，企业在享受云计算带来的快捷、灵活的同时，传统信息安全的物理边界也在被打破，新一代信息安全革命已经形成。在此背景下，保障云安全，用云技术赋能千行百业，无疑是天翼云作为央企国家队云服务商的责任和使命。