关键业务上云后，真的安全吗？

　　云上如果存在漏洞，那数据泄露、业务中断、勒索威胁等问题随时都有可能发生。

　　即使通过外挂的漏扫设备进行不定期巡检，扫描结果误报、扫描结果信息混乱无法跟资产关联、问题太多无人力逐一排查等问题紧随而来。

　　所以，如何有效地管理云上漏洞？

　　深信服超融合6.8.0给出了答案。

　　一、上线即安全

　　在业务云化过程中，全面监控云上资产，可以有效发现脱离安全策略的“漏网之鱼”。

　　深信服超融合内建的云安全中心能够自动给所有虚拟机安装agent，从而实现资产系统识别、应用识别，并接受下发的漏洞检测修复、病毒查杀等指令，达到虚拟机上线即安全的效果。

　　为了保证agent能够不受环境限制能够给所有虚拟机装上去实现监控，深信服超融合自研G2H模块间通信方式。

　　云安全中心可通过virtio-serial或virtio-vsock打通虚拟机、物理主机之间的网络通信，并借助物理主机上的代理服务将虚拟机的请求，经由物理主机转发给终端安全防护模块和云安全中心，实现在虚拟机没有打通与终端安全防护模块、云安全中心网络的情况下，自动给虚拟机安装agent。

　　在监控能力方面，云安全中心提供了资产识别能力，以便用户能够根据不同的资产进行不同的安全响应。

　　资产识别依赖于安装的agent，agent里调用了VMTools与终端安全防护模块能力，通过VMTools后台自动收集虚拟机上的信息，再由应用识别模块识别操作系统、web应用、数据库、中间件及相应版本，通过G2H隧道将所收集的资产指纹信息定期同步给云安全中心平台。

　　所以，只需通过虚拟机上轻量化的agent，云安全中心可以做到从终端、系统到应用层面的全面监控。

　　二、漏洞管理

　　防护动作不应只局限在终端，而是需要终端、网络、云端三位一体全方位防护。

　　针对终端漏洞管理，深信服超融合云安全中心通过自动安装的agent与创新的模块通信方式，支持对全平台主流漏洞进行实时检测。

　　深信服超融合通过识别资产变更，能自动对终端安全防护模块下发漏洞扫描任务，用户也可选择通过界面主动手动触发漏洞扫描。虚拟机终端上的agent会实时将任务进度、漏洞信息回传给云安全中心，并帮助用户可视化地了解资产中的漏洞和风险情况，识别虚拟机当前存在的漏洞风险。

　　通过内建的终端安全防护模块，深信服超融合提供漏洞一键修复功能或建议，引导用户向导化完成扫描修复动作。修复前自动调用超融合自身底层快照接口进行修复前快照兜底，修复后如果业务异常可以及时恢复到快照点。

　　在网络防护上，深信服超融合提供了网络可视化功能，能够对业务间复杂的访问流量进行分析，准确地绘制出业务系统之间的访问关系。

　　流量采集器通过旁路方式部署在虚拟网络层，采集到的流量导入到流量收集器，再由流量分析模块对收集的流量进行解析，之后将流量信息存储在数据库中供调用，并以图形化的方式将访问关系呈现出来。

　　通过访问关系，管理运维人员可以识别异常访问流量，排查意外暴露的端口，并可在排查处置前通过内置的分布式防火墙对漏洞虚拟机进行封堵，防止潜在威胁进一步扩散。

　　另外，深信服超融合也提供了流量镜像功能，可将东西向流量镜像到安全审计设备做七层流量分析。

　　未来，深信服超融合将推出虚拟补丁功能，在网络层面，用软件定义的方式检测防御利用漏洞进行攻击的流量，在保证业务不中断的情况下，也能封堵漏洞。

　　在深信服超融合本身提供的主机防护和网络防护能力基础上，深信服7*24小时威胁情报中心也在云端向超融合云安全中心实时推送全球最新的威胁情报。

　　用户只需将终端安全防护模块连通威胁情报中心，虚拟机无需另外连接公网即可获取到最新的漏洞信息与处置建议，确保超融合所有虚拟机漏洞可第一时间暴露出来，帮助运维人员及时处置响应。

　　基于深信服在安全领域二十余年的积累，深信服超融合打造了云、网、端多维度防护的云安全中心，将安全能力真正“融合”在超融合中，并不断提供丰富的安全事件闭环方案，帮助用户业务实现上线即安全。

　　以上就是本期《信服云黑板报》的分享，关注“深信服科技”公众号，持续获取更多技术干货内容。