绿盟科技云安全纲领 2023 CONTENTS绿盟科技云安全纲领 2关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市， 证券代码 ： 300369。 绿盟科技在国内设有 50 余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 星云实验室专注于云计算安全。基于 IaaS 环境的安全防护，利用 SDN/NFV 等新技术和新理念，提出了软件定义安全的云安全防护体系。 承担并完成多个国家、省、市以及行业重点单位创新研究课题，已成功 孵化落地绿盟科技云安全解决方案。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息， 均不会出现在本报告中。 CONTENTS1 云化⻛险分析 001 1.1 云计算通用的安全⻛险 002 1.2 云计算应用场景的安全⻛险 004 2 云安全价值主张 008 2.1 云化趋势下的绿盟科技战略转型 009 2.2 绿盟科技云计算安全价值主张 010 3 云安全合作体系全景图 014 3.1 合作伙伴 015 3.2 合作模式 017 3.3 服务及方案 019 4 云计算安全技术体系全景图 023 4.1 云计算安全体系 024 4.2 基础云安全能⼒ 026 4.3 复合云安全能⼒ 036 4.4 业界优秀实践 041 5 云安全参考体系 044 5.1 与 NIST 安全标准的关系 045 5.2 与 CSA 标准的关系 049 5.3 与等级保护 6.0 的关系 0536 云安全能⼒发展趋势 059 6.1 云上攻防 060 6.2 云安全态势与安全能⼒的评估 061 6.3 云上⻛险发现 062 6.4 API 与服务类安全 063 7 场景化的云安全建设 065 7.1 大型公有云上的安全建设 066 7.2 私有 / 行业云的安全建设 066 7.3 多云 / 混合云的安全建设 067 7.4 云化新型基础设施（5G/ 边缘计算）的安全建设 068 参考文献 06901 云化⻛险分析绿盟科技云安全纲领002云计算的发展给千行百业提供了数字化的技术支撑，也是我国加快数字经济发展的支撑 力之一。在云计算带来高效、弹性、便捷的同时，新的风险也在增加，但原有的安全问题并 没有消除。由于数据的重要性加上云用户对数据的掌控权丢失，想要让用户放心地使用云， 就必须解决云计算本身面临的各种安全问题。云计算的风险包括通用风险与具体场景的特 有风险。 1.1 云计算通用的安全风险 无论是基础设施即服务 （ InfrastructureasaService，IaaS） 、平台即服务 （PlatformasaService， PaaS）、软件即服务（SoftwareasaService， SaaS）等传统云计算平台， 还是云原生、多云、混合云等新的云计算场景，都存在一些通用常见的安全风险。通用的风 险如图 1.1所示。 法律与合规性风险 平台安全风险 云计算 云存储 云网络 宿主机和物理网络 机房与环境数据与隐私泄露风险 云应用安全风险 虚拟网络风险 虚拟主机风险制度管理 风险 云 平 台云 租 户虚拟化安全风 险 计算 资源 物理 资源 图1.1 云计算通用的安全风险 1.1.1 平台安全风险 云计算最核心的问题就是服务可用性的问题，服务可用性所面临的风险主要分为内部风 险与外部风险。内部风险主要是涉及平台自身可靠性问题，如：人员威胁操作、宕机、数据 丢失等，它们都会造成云服务不可用；外部风险主要有漏洞利用、流量攻击、恶意扫描、密 码爆破等等。