混合云架构下的资产漏洞检测与管理

混合云包含了多厂商的公有云、私有云及本地数据中心之间的混合部署模式。

2020年 Forrester 发布的 《混合多云战略的关键》调研结果显示，85%的受访者正增加对混合云的管理需求，90% 的 IT 领导者认为本地基础架构是其混合云战略的关键组成部分。同样，根据 Gartner 报告，到 2020年之后，超过90%的组织将利用混合云构建基础设施。混合云架构将是企业未来5~10年内最常见的架构形态。

混合云把企业私有云、公有云和本地数据中心有机结合起来，给企业提供了更丰富的云服务、更弹性的云资源、更合理的IT资源使用成本等便利。与此同时，混合云的复杂度给企业网络安全管理带来了巨大挑战。目前，混合云上资产漏洞管理成熟度远远落后于传统本地数据中心，且造成偏差的主要原因在于缺乏适配混合云环境的资产漏洞检测与管理解决方案。

1、混合云环境下资产漏洞检测方式

目前混合云环境下的资产漏洞检测方式主要有三种：

•第一种，在本地网络内部署资产漏洞检测探针采集资产漏洞，这是最直接的采集方式；

•第二种，通过虚拟交换机，经过SDN引流的方式，将检测流量从SDN调度，主要应用于SDN环境下的资产漏洞检测；

•第三种，在云宿主机或容器节点中创建独立的虚拟机或容器部署检测探针,多用于云环境下资产漏洞检测。

如何保证资产漏洞检测的全面、准确和可靠？我们需要先了解下混合云环境下资产漏洞检测会遇到哪些问题。

2、混合云环境下资产漏洞检测的现状和痛点

•云上资产漏洞检测存在盲区

传统环境下，所有资产都要经过物理层网络设施连接，我们可以通过物理网络完成资产漏洞检测。

但是在云环境中，网络端口也随之虚拟化，物理节点不能覆盖业务数据流经的关键路径。要实现全资产的漏洞检测，就需要具备VPC、VM、Docker、POD、OVS甚至某个API接口等不同类型节点的资产漏洞检测能力。

•资源池复杂，资产维度不统一

混合云架构中，企业对计算资源实行统一的资源池管理。但在资产管理层面，往往缺少统一规划。虚拟化软件、裸金属、容器、云平台等异构资源各自为阵，企业资源池因为资产数量、种类的变化被动式地变化，漏洞检测工具存在难以适应资源池动态变化等问题。

•传统工具难适应云上复杂环境

相对于传统物理环境，云环境中的主机、容器会被动态创建、销毁、迁移以及弹性扩缩。如果是固定配置化的漏洞检测，资产在动态迁移后，检测会发生中断不能持续，而这种动态变化的特点又是随机性和常态化的。网络环境也比较复杂，各种VPC的存在，导致传统检测工具难以适配多样化的网络环境。

如何在大规模虚拟混合环境中实现资产覆盖全面、检测性能高、准确度高，同时无缝对接企业安全运营平台（SOC）？这是混合云环境下选择资产漏洞检测与管理方案时需要考虑的关键问题。

3、混合云环境下资产漏洞检测与管理方案

•跨越混合环境统一的采集方案

构建统一高效、无盲区的全资产漏洞检测与管理方案，漏洞检测工具必须能够跨越私有云、公有云、容器以及传统环境等多种混合架构，提供一致的漏洞检测与管理能力。

•适应云环境的【灵活动态】+【高效检测】方案

在云环境中，漏洞检测工具需要有自动感知节点变化，并随之自动更新和部署的能力，保证漏洞检测工作不中断，适应云上弹性伸缩。

漏洞检测工具还要适应云上大规模、高并发的流量机制，基于高性能的并发检测技术，实现百万级资产漏洞检测。

用户通过漏洞管理平台的自监控能力，实时了解系统的资源消耗状态并及时优化资源配置和检测配置。

4、从漏洞检测到响应的整体解决方案

面向混合云环境，需要建立一套资产漏洞检测与管理平台，收集全系统软硬件产品和组件的全部漏洞信息,有效支撑混合云环境下漏洞的收录、发布、预警、分析、验证、处置等工作。对于漏洞安全应急处置工作,特别是高危以上级别漏洞风险防范、大规模漏洞利用攻击处置, 企业充分提高信息安全防护、风险管理和威胁应对整体水平是至关重要的。

华云安资产漏洞检测与管理解决方案具备混合云环境下资产漏洞检测与管理能力，总体架构包括漏洞库、漏洞管理平台和漏洞扫描探针三部分。其中：

漏洞库，具备漏洞信息的收录、预警通报的接收和下发、企业漏洞态势的监管等职能；

漏洞管理平台，负责接收漏洞预警情报信息、生成漏洞扫描任务、下发漏洞扫描任务给扫描探针进行漏洞扫描，具备漏洞响应、管理运营的职能；

漏洞扫描探针，负责接收漏洞管理平台下发的漏洞扫描任务、执行漏洞扫描任务、反馈漏洞扫描结果，完成混合云环境下资产漏洞检测与验证的职能。

虽然企业上云已蔚然成风，混合云也为企业 IT 资源管理提供了更有效的解决方案，但混合云与生俱来的反向力不可小觑。在混合云环境下，资产漏洞检测与管理需要抓住解决问题的关键要素——统一、灵活、高效。这也正是华云安资产漏洞检测与管理解决方案的价值所在。混合云环境下，它能够以简驭繁高效高质解决用户资产风险管理中存在的痒点和痛点，为用户在资产漏洞管理与漏洞响应方面提供不断迭代的能力和一致的体验。