關鍵業務上云后，真的安全嗎？

云上如果存在漏洞，那數據泄露、業務中斷、勒索威脅等問題隨時都有可能發生。

即使通過外掛的漏掃設備進行不定期巡檢，掃描結果誤報、掃描結果信息混亂無法跟資產關聯、問題太多無人力逐一排查等問題緊隨而來。

所以，如何有效地管理云上漏洞？

深信服超融合6.8.0給出了答案。

上線即安全

在業務云化過程中，全面監控云上資產，可以有效發現脫離安全策略的“漏網之魚”。

深信服超融合內建的云安全中心能夠自動給所有虛擬機安裝agent，從而實現資產系統識別、應用識別，并接受下發的漏洞檢測修復、病毒查殺等指令，達到虛擬機上線即安全的效果。

為了保證agent能夠不受環境限制能夠給所有虛擬機裝上去實現監控，深信服超融合自研G2H模塊間通信方式。

云安全中心可通過virtio-serial或virtio-vsock打通虛擬機、物理主機之間的網絡通信，并借助物理主機上的代理服務將虛擬機的請求，經由物理主機轉發給終端安全防護模塊和云安全中心，實現在虛擬機沒有打通與終端安全防護模塊、云安全中心網絡的情況下，自動給虛擬機安裝agent。

在監控能力方面，云安全中心提供了資產識別能力，以便用戶能夠根據不同的資產進行不同的安全響應。

資產識別依賴于安裝的agent，agent里調用了VMTools與終端安全防護模塊能力，通過VMTools后臺自動收集虛擬機上的信息，再由應用識別模塊識別操作系統、web應用、數據庫、中間件及相應版本，通過G2H隧道將所收集的資產指紋信息定期同步給云安全中心平臺。

所以，只需通過虛擬機上輕量化的agent，云安全中心可以做到從終端、系統到應用層面的全面監控。

漏洞管理

防護動作不應只局限在終端，而是需要終端、網絡、云端三位一體全方位防護。

針對終端漏洞管理，深信服超融合云安全中心通過自動安裝的agent與創新的模塊通信方式，支持對全平臺主流漏洞進行實時檢測。

深信服超融合通過識別資產變更，能自動對終端安全防護模塊下發漏洞掃描任務，用戶也可選擇通過界面主動手動觸發漏洞掃描。虛擬機終端上的agent會實時將任務進度、漏洞信息回傳給云安全中心，并幫助用戶可視化地了解資產中的漏洞和風險情況，識別虛擬機當前存在的漏洞風險。

通過內建的終端安全防護模塊，深信服超融合提供漏洞一鍵修復功能或建議，引導用戶向導化完成掃描修復動作。修復前自動調用超融合自身底層快照接口進行修復前快照兜底，修復后如果業務異?？梢约皶r恢復到快照點。

在網絡防護上，深信服超融合提供了網絡可視化功能，能夠對業務間復雜的訪問流量進行分析，準確地繪制出業務系統之間的訪問關系。

流量采集器通過旁路方式部署在虛擬網絡層，采集到的流量導入到流量收集器，再由流量分析模塊對收集的流量進行解析，之后將流量信息存儲在數據庫中供調用，并以圖形化的方式將訪問關系呈現出來。

通過訪問關系，管理運維人員可以識別異常訪問流量，排查意外暴露的端口，并可在排查處置前通過內置的分布式防火墻對漏洞虛擬機進行封堵，防止潛在威脅進一步擴散。

另外，深信服超融合也提供了流量鏡像功能，可將東西向流量鏡像到安全審計設備做七層流量分析。

未來，深信服超融合將推出虛擬補丁功能，在網絡層面，用軟件定義的方式檢測防御利用漏洞進行攻擊的流量，在保證業務不中斷的情況下，也能封堵漏洞。

在深信服超融合本身提供的主機防護和網絡防護能力基礎上，深信服7*24小時威脅情報中心也在云端向超融合云安全中心實時推送全球最新的威脅情報。

用戶只需將終端安全防護模塊連通威脅情報中心，虛擬機無需另外連接公網即可獲取到最新的漏洞信息與處置建議，確保超融合所有虛擬機漏洞可第一時間暴露出來，幫助運維人員及時處置響應。

基于深信服在安全領域二十余年的積累，深信服超融合打造了云、網、端多維度防護的云安全中心，將安全能力真正“融合”在超融合中，并不斷提供豐富的安全事件閉環方案，幫助用戶業務實現上線即安全。

信服云黑板報：信服云黑板報是信服云打造的一檔技術內容分享欄目，將定期為大家推送云計算相關的技術解析、技術分享等內容，為大家揭曉信服云技術領先、自主可信、安全可靠、開放合作等特點背后的“奧秘”。