一、案例背景：

新冠疫情爆发，我国推进“上云用数赋智”行动，培育新经济和新业态，鼓励运用云计算技术助力疫情防控，加快了云计算应用进程。“十四五”规划更是明确培育壮大云计算和网络安全等新兴数字产业，促进数字技术与实体经济深度融合，赋能传统产业转型升级。云计算已经成为企业或组织数字化转型的必然选择。
 

中国移动经过十余年在云计算领域的深耕，基于5G和自主研发的“大云”，打造了5G智慧云品牌——移动云。移动云已经实现了“N+31+X”三层资源布局架构，提供涵盖云、大数据、人工智能等完整板块的全栈产品，凭借“云网一体、云数融通、云智融合、云边协同”特色，向政务、医疗、工业、教育等重点领域输出自有核心能力，推进行业数字化。
 

中国移动云能力中心是中国移动的全资子公司，聚焦于移动云业务发展，承担着移动云的研发、运营和支撑一体化的职责。目前，中国移动云能力中心以“云设施构建者、云服务提供者、云生态汇聚者”为定位，正在集智汇力，力争2022年进入国内云服务商第一阵营。中国移动能力中心一直非常重视安全建设，为行业客户提供了安全的基础设施和稳定可靠的云服务，以及数字化、智能化和原生化的云安全产品，能满足移动云用户的安全防护要求，为云上业务的安全运行提供有力保障。
 

然而，随着攻防对抗日益加剧，云平台已经成为发生网络安全事件的重灾区，合规性要求也日益增强，对移动云提出了更高的要求和挑战。中国移动云能力中心将不断进行云安全技术研究和生态合作，完善云安全防护，提升云安全服务能力，更好的为移动云用户服务。

o  安全状态不可见：移动云为租户提供多个云安全服务，这些服务产生了大量安全事件，租户通过各安全服务了解局部的安全情况，但难以直观和快速的掌握整体安全状态。针对高级持续性攻击，无法及时发现，发生安全事件后，也难以追踪和分析。等级保护2.0的发布和实施，也要求租户建立安全管理中心，加强态势感知能力建设。

o  安全能力整合改造：移动云为保障云平台和云产品安全、提供云安全服务，建设了大量的安全设备和产品，提升了移动云的整体安全性。但这些安全能力之间并没有实现互通，未能形成整体合力，为客户提供全面和完善的防护体系。

o  交付效率待提升：移动云发布了多款安全产品和服务，随着用户数量的增加和安全关注度提升，大量用户在使用这些产品和服务，这对移动云的交付产生了较大的压力。为更好的提供安全使用体验和及时的安全防护，移动云将对安全管理进行优化，提升交付效率、降低资源投入。
 

二、案例概述：

中国移动云能力中心通过跟踪云安全技术发展、法律法规和标准规范的要求，提出了建设移动云云上态势感知和云安全管理中心的计划，推动移动云安全升级，为移动云用户提供更全面的安全能力和更快速的安全响应能力。
 

在项目建设初期，移动云面临着一些挑战和风险。

o  租户数据隔离：移动云中大量租户同时使用安全产品，不同租户的不同安全产品会产生大量日志数据。为了实现租户态势感知，应能够快速识别租户资产的变化，从这些安全产品中识别出这些日志数据哪些租户，每个租户也只能看到自己的日志数据，才能实现租户态势感知。

o  安全数据处理：移动云面对大量安全数据，需要能够快速和准确的对这些日志数据处理和分析，从而能够准确的识别安全告警和事件，降低误报率。移动云数据处理能力也应该能够随着性能要求的变化，对计算能力和存储能力进行弹性扩展，满足数据处理要求。

o  安全设备管理：移动云为了将云平台安全产品和租户产品进行融合，需要将各种产品进行抽象，把安全产品转换为安全能力，进行统一的调度、分配和交付，从而实现这些安全产品的融合和互补，共同为中国移动能力中心内部运维、业务部门和外部租户提供服务。
 

三、安全技术应用情况：

云能力中心一直注重自主技术研究和安全生态建设，联合业界龙头网络安全公司，共同打造原生化的云安全防护体系。绿盟科技作为移动云战略合作伙伴，参与了移动云安全建设。云能力中心和绿盟科技基于各自对云安全的研究和理解，制定了云安全管理中心建设方案。本方案采用软件定义安全的理念，运用云计算和大数据分析技术，打造云安全管理中心，整合现有能力和资源，实现“统一安全接入、统一安全管理、统一服务提供”，对内提供平台保障，对外提供租户安全，形成统一的云安全保障能力。
 

o  云安全管理中心建设

云安全管理中心由安全资源层、安全管理层、能力开放层和安全提供层组成。

安全资源层：移动云的不同节点的平台安全设备和租户安全产品，统一接入到云安全管理中心，统一提供不同类型、不同形态的安全能力，适应不同的云计算环境；将产生的安全数据统一接入到安全数据中心，成为安全数据中心感知移动云安全状态的触角，一旦需要使用安全服务和安全事件处理时，安全能力作为具体执行单位，响应各种要求。

安全管理层：云安全管理中心的核心，包括安全能力管理中心和安全数据中心。安全能力管理中心负责提供安全能力服务，它将安全资源层的各种安全能力注册到能力管理中心，进行统一的设备管理和监控，并将这些安全能力封装为统一的接口和资源目录，供安全提供层使用。当有安全能力使用时，自动进行安全设备和网络流量的编排、策略下发，提供具体的安全防护。安全数据中心负责将安全资源层中各安全资源所产生的安全事件，统一采集和存储到安全数据中心。利用大数据分析技术，应用不同类型的分析引擎，如行为分析引擎、攻击识别引擎、威胁推理、预判引擎和脆弱性分析，结合用户及实体行为分析、网络流量分析和攻击链分析等安全分析技术，从而可以从海量数据中快速识别出安全告警和事件，提升分析效率。最后，通过数据目录的形式，将日志、事件、知识库等安全数据对外开放和查询。

能力开放层：本层承上启下，负责将安全管理层的相关功能封装成具体的接口，通过API接口、服务总线的方式按需对外提供服务。

安全提供层：负责为不同用户提供安全能力。安全运维门户面向安全运维人员，通过服务网关，使用安全管理的安全数据中心和安全能力管理中心，将各种安全数据可视化，直观掌握移动云的租户安全态势和全局安全态势，进行安全事件的处置和研判， 以及完成移动云不同节点中安全资源的管理、日志检索、报表管理和服务管理等常规工作，大大降低了运维人员的工作量，将时间和精力专注于安全本身，提升安全运维效率。安全服务门户面向移动云不同部门和租户提供安全服务和能力，他们可以按需选择和使用这些服务和能力，一旦选择安全服务后，这些能力将通过安全管理层自动实现安全资源的部署、编排和流量调度，从而满足其业务的安全要求，大大提升安全服务的使用体验和安全能力的交付效率。
 

o  态势感知能力建设

态势感知能力的整体架构针对云上多租户场景进行设计开发，与移动云管理平台深度对接，以大数据框架为基础，接入各类安全设备日志、扫描器的弱点报告、主机资产指纹信息，进行安全态势分析，最终接入到云安全管理中心，实现每个租户能查看各自资产的安全风险状况。

态势感知能力将租户信息与其各类资产进行关联，在接入日志数据、弱点报告和资产数据时，对这些数据和信息进行扩展，包含租户信息。当数据分析或展示时，仅处理和展示该租户的日志数据、弱点报告和资产，从而实现租户的安全态势总览、资产安全态势、网络安全态势、应用安全态势、脆弱性态势。

态势感知能力一方面可以与云平台进行对接，可以自动获取租户资产的变化；另一方面支持虚拟化部署，结合移动云其他服务，可以动态的增加虚拟机方式横向扩展，或调整虚拟机配置增大处理性能，满足租户安全数据分析的处理性能，实现原生化部署。
 

四、客户反馈效果：

绿盟科技为云能力中心战略合作伙伴，具有丰富的云安全研究经验，共同构建智能化和原生化的云安全能力。态势感知产品已在移动云官网上线，服务了大量用户，帮助其提升安全防护效果，满足合规性要求。
 

2020年，移动云态势感知产品参与了信通院2020年可信云认证，绿盟科技协助提供专业的技术支持服务，配合进行各项测评工作，最终态势感知产品顺利通过了认证。
 

移动云安全管理中心也在同步建设中，相信未来也将为移动云提供更全面的安全能力。