瞄准多云异构安全挑战，火山引擎打造轻量一体化方案

从“异构”谈安全，全量释放多云价值

数字经济时代，多云战略已经成为当下大多数上云企业的选择。据麦肯锡报告显示，到2025年依然会有42%的企业使用私有云，说明在未来一段时间内，很多企业仍需要兼容私有云和公有云架构，“多云异构”成为IT基础架构演进过程中的常态。

多云环境下，企业可以取长补短，赋予自身敏捷、灵活等特性，同时降低风险、减少成本，但“多云异构”部署模式下，底层资源变得更加复杂和多样，若是保护与管理跟不上，可能面临成本失控、病毒攻击、数据泄漏等诸多风险，无形中成为企业上云、用好云的绊脚石。

近期，火山引擎正式发布多云安全平台，为企业提供SaaS化的一站式多云安全管理服务，提高客户在护网、合规、数据防泄漏方面的安全水平，推动其在多云时代健康、高质量发展。

“多云异构”模式下，会遇到哪些安全管理挑战？

如今，业界普遍认为多云不是云发展过程中的一个临时阶段，而是企业IT基础设施的一种新常态。火山引擎总裁谭待认为，在中心侧多公共云、混合云、本地服务器共存的异构基础设施体系将长期存在，同时，随着数字化业务现场的终端变化和应用复杂度变化，在边缘侧连接与计算将无处不在。

不管是由于业务需求还是出于监管要求等原因，不少企业目前都建设了好几朵云。比如，智能汽车领域的数据分析和存储量巨大，训练、仿真技术大规模应用，通过部署多云平台来应对；业务发展迅速的泛互行业，为避免单一云厂商引发故障，导致业务中断，也纷纷采用多云架构；金融客户一般稳态业务运行在本地私有云上，而如互联网金融、APP这种高并发访问、弹性资源需求大的敏态业务部署于公有云。

对于有志于成功保护云环境的组织来讲，他们必须了解多云的异构性带来的安全管理挑战。火山引擎虽然还是一朵年轻的新“云”，但其优势却在于最懂多云架构。这是因为，字节跳动成立11年以来，内部使用过全球每一朵公有云和边缘云服务，在多云管理上积累了丰富经验，同时也深度洞察客户在多云部署时的痛点和安全需求：

■ 多云增加安全隐患：各云厂商所提供的资产、服务异构、策略不统一带来的安全漏洞、入侵风险增大；

■ 统一安全运营难度大：各云产品在运维时身份、权限、账号分散且不统一，没有建立统一的安全基线，造成多云管理账号泄漏、权限滥用问题，引发了运维安全风险；

■ 核心资产管理风险：数据在多云应用、流动情况下，由于权限身份异构、API数据暴露分散带来的数据泄漏风险增大、合规治理困难问题，很可能使核心资产变为核心风险。

多云安全管理成刚需，选择解决方案要关注哪些关键点？

前些年，企业在云平台建设过程中，因为对云的理解不深入，在云选型的时候还是传统单体系统建设的思路，并在每个云环境中部署了隔离的安全控制。如果要在多云状态下做安全，由于多云异构部署模式，底层资源呈现多样性和复杂性，企业更希望安全方案应该是具备以下特点。首先，方案要具有统一的、可以横跨所有公有云的安全问题解决能力，这是最为关键的立身之本。

其次，平台要能够进行无侵入式、低成本的部署，实现更广泛的资产覆盖。举例来讲，主机安全厂商，可直接将数据探针内置到系统镜像里，用户无需再做额外的操作，但多云环境下做这一工作会有极高的部署成本，需要业务方配合，新上线资产很难覆盖到，入侵风险变大。

再次，需要考量产品的非替换性。如果购买新的多云安全产品，必须要替换之前的主机安全产品，将为企业带来额外的支付成本。

最后，还应该能够减少多云安全运营投入。多云环境下安全事件常会产生重复性告警，带来额外的运营负担，要能够实现统一管控，企业可以清晰了解不同云上有何风险存在。从产品设计、检测风险标准和统一安全基线方面，以及产品使用场景与业务契合度等方面入手，都能够真正降低企业的运营负担。

火山引擎多云安全平台能够适应客户多云架构下业务场景，一站式解决多云安全管理风险。据了解，该平台本身具备轻量化、全栈多云支持以及与客户原有安全产品兼容等特质，能够在多云、云上云下、中心+边缘等环境下统一管理资产、服务、告警、身份四要素，通过云、网、端联动，打通基础设施、工作负载、应用服务、数据共享层面全栈安全防护，一站式解决安全事件难管理、安全漏洞难处置、防护资产不清晰和安全加固难统一等多云安全的核心痛点。

不同场景中，云上一体化安全怎样实现？

火山引擎多云安全平台在企业 IT 架构中是一个承上管下的关键组件，通过统一管控能力，打造云安全的门户和安全底座，主要解决用户在多云安全运营、多云运维、多云数据共享场景下的安全风险。

针对安全运营场景，多云环境下不同云厂商、安全产品的差异，给企业安全策略配置和事件应急带来成倍增加的时间和人力成本，通过打通资产、服务、事件，平台利用Agentless模式对多云环境的攻击、漏洞事件做统一优先级评估、排序、响应和修复，提供自动化的多云一键处置能力，降低运营复杂度。

在多云安全运维场景下，平台为了减少多云账号、aksk泄漏风险，满足合规需求，借助飞连的统一身份从办公网扩展到数据中心，结合多云资产管理（CMDB）、堡垒机，为多云运维提供免账密、一键登录、实名审计溯源、高危操作管控的安全运维能力。

面对数据共享场景，多云间身份权限异构和跨云访问需求，增大了数据泄漏和合规治理的难度，通过数据安全态势DSPM和云服务身份管理CIS提供跨云的服务身份管理，将人、服务、数据做分类分级，赋予统一身份，支持人-数据、人-服务、服务-服务、服务-数据之间的权限管控，并提供审计和合规要求的操作审计和追溯，为客户建立多云环境数据流动全局视图。

解决安全管理问题只是实施多云战略的一个环节，企业要想在多云部署模式下获得真正的利益，需要针对业务场景做各方面的优化，对此，火山引擎打出了一整套“组合拳”，推出了分布式云原生平台、多云CDN、veStack混合云平台等系列产品，帮助客户用好分布式云。

火山引擎基于字节跳动内部大量实践，已经构建出一套相对完整的技术栈，让其有了可以在赛道中发展的实力，从而在行业中形成竞争力，助力企业轻松驾驭多云，实现云上增长。

END