混合云安全合规必备工具——新钛云服混合云管理平台（CMP）TiOps

作者：云和安全管理服务专家新钛云服 刘波原创

前言：

《中华人民共和国网络安全法》自2017年6月1日起施行，第二十一条规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，确保网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2019年12月1日起等级保护2.0正式生效实施，等级保护是我们国家网络安全的基本制度。2021年下半年《关键信息基础设施保护条例》、《数据安全法》、《个人信息保护法》也相继生效。《数据安全法》第二十七条规定：利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务。

《数据安全法》的实施，体现了总体国家安全观的立法目标，为数字化经济的安全健康发展提供了有力支撑，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确了相关主体的数据安全保护义务。《个人信息保护法》主要侧重隐私权，个人信息的保护，个人信息的安全是数据安全重要的一部分。

企业的安全痛点

伴随相关法律法规的出台，作为数字经济的核心生产要素‘数据’的安全上升到了国家安全战略高度，安全合规越发显得重要，企业也明显感受到了来自于网安和网信部门安全监管的压力。合规是安全的基础性要求，信息化建设项目必须将安全合规同步纳入总体规划内，这已经成为业界共识。

对于企业来说，随着业务的发展壮大，其应用系统生态也会变得更加复杂，运维需要更加多元的角色参与，更加频繁的数据共享交换，以及云计算、大数据、物联网、微服务等新技术的采用，给IT部门带来了全新的挑战。对于网络安全建设和规划，企业需要从安全合规和风险防御两个方面来进行考量。

当前，很多传统企业都开始走上数字化转型之路，有越来越多的企业选择混合云的部署方式来作为数字化转型的基础设施架构，这给企业的IT运营部门实施网络安全策略带来了很多的挑战，包括：成本、技术和管理上的，一方面预算资金有限，还要考虑不同场景下的安全产品的选型（包括传统IDC的安全，公有云上的安全，同时还要考虑企业本地化部署的私有云上云原生的安全，比如容器的安全等），还要思索安全产品部署后的运维难度。

事实上，现在的IT安全规划和运维部门面临比以往任何时候都更大的压力，经常因各种各样的事情忙的焦头烂额。那么，是否有一种工具或者平台可以解决上述提到的IT运营部门的痛点？既可以满足法律层面安全合规的需求，还可以节省安全产品的采购成本，又可以实现混合云场景下各种资产和运维的统一管理，提高运营效率。

新钛云服TiOps安全组件

TiOps概述

作为支撑混合云运营和管理服务体系的IT关键组件，新钛云服TiOps混合云管理平台（CMP）为企业IT的云化和服务化提供了统一的技术框架，基于新钛云服TiOps，企业可以向下对接混合IT基础设施（包括各大公有云资源，VMware、OpenStack、超融合等私有云，物理服务器，以及基于云原生技术的容器等资源），向上交付云化的IT服务运营能力。 企业使用云基础设施已是大势所趋，混合云的架构是必然形态，满足企业稳态业务和敏态业务的双重诉求，让企业的IT基础设施具备弹性、安全、高利用率，新钛云服TiOps可以连接、编排多云环境，帮助企业更高效、更低成本的管理运营，让IT管理人员从繁琐的资源申请、资源审批、资源交付等日常操作中解放出来。

IT服务化是企业本身的业务能力数字化转型的必然需求，采用新钛云服TiOps后，可以统一管理所有资源，实现自助式、自动化的服务申请与交付，同时实现成本可视化与计费计量，真正帮助客户解决混合云和安全管理方面的问题。新钛云服TiOps主要的使用场景包括：混合云资源统一管理，高效安全运维管理，运维权限精细化管理，多供应商访问控制统一管理，业务成本管理，运维服务化，安全合规。今天我们主要谈一下新钛云服TiOps在安全合规场景下的优势。

安全合规说明

等级保护2.0版本：《GBT22239-2019信息安全技术 网络安全等级保护基本要求》中对三级的通用要求共211项，其中部分要求内容如下：

·安全计算环境

安全审计：

应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；审计记录应包括事件的日期和时间、用户、时间类型、事件是否成功及其他与审计相关的信息。

访问控制：

应对登陆的用户分配账户和权限。

·安全管理中心

系统管理：

应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。审计管理：应对审计管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，并对这些操作进行审计；应通过审计管理员对审计记录应进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

安全管理：

应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并对这些操作进行审计。集中管控：应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。

·安全运维管理

漏洞和风险管理：

应采取必要的措施识别安全漏洞和隐患，对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。

网络和系统安全管理：

应划分不同的管理员角色进行网络和系统的运维管理，明确各个角色的责任和权限；应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容。

新钛云服TiOps集成融合了等级保护2.0合规要求必备的多种安全功能于一身（ALL IN ONE），包括：安全扫描，安全基线，云堡垒机，云数据库堡垒机，日志审计，和运维安全等模块。

新钛云服TiOps同时具备公安部颁发的安全产品销售许可证。

TiOps安全扫描功能

通过安全扫描可以及时发现系统当前安全上的脆弱性。

TiOps安全基线功能

新钛云服TiOps的安全基线功能可以支持对虚机、中间件、数据库、容器等安全配置检查，目前检查标准包括：CIS Level 1和Level 2,等级保护2.0的2级和3级。基于检查结果及时进行相应的有针对性的安全加固，使系统更安全可靠。

TiOps云堡垒机功能

新钛云服TiOps的云堡垒机功能对运维人员的操作实现可审计、可追溯，比如说你在虚机上面执行了哪些任务，哪些操作，可以通过这个虚机的会话日志，以录屏的形式记录下来，满足等级保护2.0审计合规要求。新钛云服TiOps堡垒机理论上可以达到秒级部署，维护成本低，维护简单甚至不用维护，非常适合混合云的环境。

TiOps云数据库堡垒机功能

新钛云服TiOps的云数据库堡垒机兼容自建MySQL、MariaDB和公有云数据库PaaS，提供丰富的数据库审计日志。

TiOps日志审计功能

新钛云服TiOps同时还支持对物理机、虚机、容器等日志的审计功能。堡垒机（运维审计）和日志审计这两项都是等级保护2.0中安全管理中心区域必须要部署的产品。

TiOps安全运维功能

对于运维安全策略管理，可以采用白名单的形式指定运维人员只能执行已授权的命令，也可以通过黑名单来禁止运维人员执行一些危险的命令，比如说数据库删除，避免恶意或误操作带来的运维安全问题

用户收益

云管理平台（CMP）新钛云服TiOps操作界面简单方便，除了满足安全合规要求外，还可以明显降低企业安全组件的采购成本，快速提升安全运营效率，帮助企业从传统IT基础架构管理顺利过渡到混合云IT架构管理。