算力云，亚信安全首发信舱ForCloud算力云安全方案

算力云作为新型的数字经济的关键基础设施，随着落地建设的加快，面临的安全威胁也随之日益增多，例如2024年3月份，人工智能行业主流算力框架Ray的一个未修复安全漏洞（CVE-2023-48022漏洞）被黑客野外大规模利用，攻击AI工作负载并窃取敏感数据和算力。Ray被数以千计运行AI基础设施的公司采用，包括OpenAI、亚马逊、Shopify、Uber、字节跳动等等，该漏洞造成了数以千计的人工智能企业受到影响，数百个集群已经遭到攻击，超过10亿美元算力遭到“劫持”。

算力云简介

基于云原生技术架构的算力云

算力网络是以云计算为基础，实现计算能力的高效调度和利用，将分布在全球各地的计算资源（包括但不限于云计算数据中心、边缘计算节点、高性能计算集群等）通过高速网络连接起来，形成一个统一的、可调度的计算资源池。

算力云是贯穿整个算力网的技术基座（如图1所示），算力云采用云原生架构和技术，向下封装对各类异构资源的统一管理，向上提供标准Kubernetes集群环境和API，以运行各核心组件，实现资源运维管理、AI任务调度和弹性伸缩、数据访问加速、工作流编排、大数据服务集成、AI作业生命周期管理、AI制品管理、统一运维等服务；再向上针对AI生产流程中的主要环节，支持AI数据集管理，AI模型开发、训练、评测，以及模型推理服务等。

图1- 算力云技术架构逻辑图

从 IT 架构的角度来看，云原生化最显著的特点就是云原生应用各层之间的界限模糊。通过解构云原生环境分层实验，可以显著的得出一个结论：应用程序层和基础设施层之间没有明确的界限。无论您采用何种维度或方法，您都无法将每种类型的资源整齐地分类为落入一个不同的层或其他层。

在这种环境下，基础设施层停止在哪里，应用层从哪里开始？这不是一个容易回答的问题。有人可能会争辩说容器是应用程序层的一部分，因为它们包含应用程序的代码。但是可以提出同样等效的论点，即容器是云基础设施层的一部分，因为它们提供了运行应用程序代码的托管环境的一部分。

算力云安全需求

一体化全栈云原生安全

算力网络需要将算力云与安全融合，以更好地实现资源共享和明确资源权限，确保算力网络中的供需双方可以合理合法地利用算网资源。

从安全架构的视角来看，算力云安全将进一步模糊传统安全边界，已跨越多云平台、深入至宿主机网络、操作系统、虚拟化层，直至触及传统应用和云原生应用，以及云上数据安全。这是一个复杂生态系统，虽然赋予我们前所未有的灵活性与扩展性，却也带来了安全碎片化和安全缝隙的难题。

当前云安全方案沿用了传统IT分层安全方法，每个环节都可能部署了单独的安全工具。这不仅造成资源重叠与成本增加，更关键的是，既不能形成联合发现、联合抵御的综合效果。反而造成难以“全栈”检测、保护和响应，以及难以“一体化”安全管理。

虽然采用传统云安全方案建设，也将具备主机安全、容器安全、镜像安全等云原生基础设施安全防护产品，但缺少系统性的云原生应用安全防护体系，同时云原生环境下，应用程序安全和基础设施安全性已经成为一体，基于分层理念的单点安全产品组合式防护面临着诸多挑战：

图2 - 传统云安全方案在算力云中面临的挑战

综合来讲，由于应用程序安全性和基础设施安全性已经成为一体，基于分层理念的单点能力组合式云安全产品方案，与算力云采用的云原生技术架构带来的各层之间模糊化，产生了结构性矛盾。

因此，“覆盖全栈”一体化云原生安全平台更适合算力云安全，通过实施应该识别和减轻整个堆栈风险的保护措施，也就是将安全功能整合到一个单一、无缝的解决方案中，以保护整个云原生全栈应用程序生命周期。这些集成功能使 DevOps、云基础设施和安全团队能够在复杂多变的云原生环境中有效且高效地实现成功的全栈安全。

亚信安全首发

ForCloud算力云安全方案

ForCloud是亚信安全提出“全栈一体”的新一代云安全解决之道。ForCloud"全栈一体”云安全方案支持构建一个从算力云底层基础设施到上层算力云应用的全方位安全防护体系，并通过集成的管理中心实现策略统一、响应协同和高效管理。

图3 - ForCloud算力云“全栈一体” 安全框架图

从下往上看“全栈安全”的内涵：

算力云基础设施层

通过IAC扫描以“安全左移”理念对云资源配置和模板进行安全分析。通过KSPM、CSPM主动识别和管理云基础设施中的配置与和合规安全风险。以及针对私有云环境通过将信舱DS无代理安全产品的核心能力下沉来保护云平台宿主机与虚拟化层的安全。

算力云工作负载层

通过“N合1”架构的轻代理安全大基座，避免单品堆叠，一个安全Agent同时覆盖主机安全、容器安全、网络微隔离等运行时全栈安全需求，且安全组件稳定、资源占用少、不影响业务；同时利用这种轻代理安全大基座的安全能力，构建云安全资源池，助力提升安全计算环境安全能力统一供给，通过一个安全Agent做到一套系统解决租户多个安全问题，提升运行时安全效能，同时也降低了资源池安全能力组件的资源占用和运维管理负担。

算力云应用层面

我们通过云WAF、RASP、防篡改的全栈联动协同的应用安全大基座，来保护传统应用和云原生应用；并通过微隔离提供内网中不同业务间的网络隔离能力，支持通过流量自学习的模式自动化生成“应用定义细粒度访问控制”的安全策略。在软件资产管理方面，创新提出“镜像分层扫描和资产画像”新方法，达到降低残余风险提升管理效率的目标。

一体化管理中心

将来自全栈各层的安全相关数据统一收集、分析和关联，通过更完整的拼图一样融合多来源数据，实现对安全威胁的完整洞察。

以及针对资产、风险、策略、检测和响应五大安全能力按照“联合发现、联合抵御”的理念进行整合，通过一个集中式管理中心来实现。这样的中心能够实时监控安全态势，及时预警潜在威胁，自动或手动部署防御措施，快速响应安全事件，并确保业务在遭遇攻击后能够迅速恢复。

ForCloud算力云安全方案助力算力云构建覆盖全栈安全需求的一体化云原生安全平台，如图4所示，ForCloud算力云安全方案构建“N合1”安全组件基座，实现“五大安全一体化”。各层安全之间实现联防联控，一次解包，多种检测，避免防护盲点的同时提高防护性能，更好的满足“高度合规监管，技术安全性、稳定性、网络延迟和资源消耗要求严苛”的算力网关键云原生应用的高级需求场景，同时兼容国产信创环境。

图4 - ForCloud算力云安全方案原子能力视图

亚信安全ForCloud 算力云安全方案不仅“一体化”保护算力网络自身安全，还支持以“云安全资源池”的产品形态与算网融合，将安全服务化，并通过订阅形式为算网租户提供“全方位、按需购买”的安全产品服务。

ForCloud 算力云安全方案助力提升安全计算环境安全能力统一供给：对主机安全、容器安全、微隔离等对各项防护技术合理布局设计和有机组合，提升运行时安全效能，避免防护盲点，降低安全组件资源的占用。同时对齐网络安全法、数据安全法、等级保护等安全合规监管要求，扩展安全区域边界、安全管理中心、数据安全等能力。

图5 - ForCloud SDSEC 算力云安全资源池架构图

ForCloud

算力云安全方案落地西云智算中心

东数西算作为国家级的算力建设，相关的实践及研究均走在了国内外的前列。亚信安全作为宁夏、成都、贵州节点建设的参与者，对相关的算力平台的建设又明确的指导作用，同样的亚信安全也参与了算力节点的安全设计建设工作，相关的算力方案在相关的节点也进行了对应的落地。具体来说，亚信安全ForCloud 算力云安全解决方案在实际应用中展现了以下几个方面的显著效果：

首先，方案通过智能化的威胁检测机制，显著提升了威胁检测与响应速度。在算力云环境下，数据的快速流动和处理要求安全解决方案能够迅速识别和应对威胁。ForCloud算力云安全方案利用先进的机器学习和人工智能技术，实时分析算力云工作负载的行为，从而能够迅速发现并响应云环境中的异常活动，大幅缩减了安全事件的响应时间。

其次，通过集中管理和自动化配置，ForCloud算力云安全方案有效降低了安全管理的成本。在算力云中，资源的管理和调度需要高效且一致，ForCloud算力云安全方案实现了安全策略的集中控制和自动化部署，使得企业能够更加高效地管理云环境的安全问题，不仅减少了人力成本，还提高了管理的准确性和效率。

最后，ForCloud算力云安全解决方案与现有的云基础设施无缝集成，确保了业务的连续性。在加强安全防护的同时，该方案的设计和实施均未对业务的正常运行造成任何影响。这种无缝的集成能力，使得企业在享受算力云带来的高效计算能力的同时，也能够确保数据的安全和业务的稳定。

综上所述，亚信安全ForCloud算力云安全解决方案在算力云环境下展现了卓越的性能和实战效果，显著降低了云环境中的安全风险，提高了系统的整体安全性，为企业数字化转型提供了坚实的安全保障。

✦

•

✦

算力云依赖于云原生技术的灵活性和扩展性，而算力云安全则是确保这种新型计算架构稳定运行、数据安全无虞的关键保障。两者相辅相成，共同推动着数字化转型和智能时代的进步。

亚信安全“全栈一体”的ForCloud算力云安全具有以下技术优势：

覆盖广度

全栈云安全意味着从底层基础设施到上层应用的每一个环节都有相应的安全措施，包括云基础设施安全、数据安全、云应用安全、身份与访问管理、合规性等，确保算力网络的每一个层面都受到保护。

动态防护

在算力网络中，资源动态分配和任务灵活调度的特点要求安全防护措施也要具备动态性和适应性。ForCloud算力云全栈安全方案通过实时监控、自动响应和智能分析，能够及时发现并应对各种安全威胁。