這是天融信近期與高校信息中心交流中的普遍感受。在數(shù)字化轉(zhuǎn)型背景下，智慧校園建設(shè)逐步深入，從云化邁向云原生化，系統(tǒng)上云引入的安全風(fēng)險與云原生安全風(fēng)險疊加，加之責(zé)任界定模糊增加安全管控難度等，云上安全運(yùn)營愈發(fā)棘手。

對高校而言，覆蓋多云、容器云、私有云場景下的云上安全防御方案是解決當(dāng)下“燃眉之急的必需品”。天融信圍繞云工作負(fù)載安全、基礎(chǔ)設(shè)施安全、云網(wǎng)絡(luò)安全、微服務(wù)與API安全、云安全態(tài)勢管理五個維度，在深度實踐中形成了“教育云一體化安全防護(hù)方案”，可以幫助客戶提升應(yīng)急響應(yīng)效率、減輕安全運(yùn)維壓力，全方位保障教育云平臺安全。

難點一

云網(wǎng)絡(luò)邊界模糊及云流量不可視導(dǎo)致微隔離策略配置難度大，以及云內(nèi)橫向滲透攻擊難以抵御。

方案提供有代理及無代理兩種模式以獲取虛擬機(jī)/容器間東、西向網(wǎng)絡(luò)流量，采用多維可視化模型，深入分析業(yè)務(wù)通信關(guān)系，確保云內(nèi)業(yè)務(wù)通信可視，為制定微隔離安全策略提供有力參考。此外，基于標(biāo)簽屬性的微隔離策略，即便云內(nèi)資產(chǎn)動態(tài)變更，策略仍能生效，有效滿足教育云環(huán)境下的東西向流量可視化與統(tǒng)一微隔離需求，解決云環(huán)境下的“東西向”安全隱患。

難點二

高校算力資源高度集中、網(wǎng)絡(luò)環(huán)境復(fù)雜、云主機(jī)安全防護(hù)薄弱，導(dǎo)致挖礦病毒在校園網(wǎng)泛濫，高校安全運(yùn)維人員預(yù)防及處置挖礦病毒難度大。

方案可有效監(jiān)測云主機(jī)挖礦行為，涵蓋文件異常、行為異常及系統(tǒng)資源消耗等多個層面，能夠及時發(fā)現(xiàn)挖礦病毒，并隔離病毒文件，快速阻斷挖礦程序運(yùn)行并產(chǎn)生事件告警通知用戶。此外，主動漏洞掃描可提前發(fā)現(xiàn)安全隱患，全面監(jiān)控云主機(jī)資產(chǎn)，確保無任何疏漏。同時，支持虛擬化分布式防火墻聯(lián)動，對受感染云主機(jī)進(jìn)行隔離或阻斷對外聯(lián)礦池的網(wǎng)絡(luò)連接，為業(yè)務(wù)云主機(jī)提供全方位保障。

難點三

高校使用云原生技術(shù)開發(fā)業(yè)務(wù)系統(tǒng)引入云原生安全風(fēng)險，安全部門與業(yè)務(wù)部門責(zé)任邊界模糊，導(dǎo)致云原生安全風(fēng)險增加。

面對云原生技術(shù)帶來的鏡像投毒、容器逃逸等安全風(fēng)險，方案以容器全生命周期防護(hù)為核心理念，從容器環(huán)境安全、鏡像安全、網(wǎng)絡(luò)安全和工作負(fù)載安全四個方面入手，提供資產(chǎn)清點、鏡像掃描、容器逃逸檢測、微隔離等核心功能，有效解決云原生技術(shù)引入的安全風(fēng)險。此外，針對安全部門與業(yè)務(wù)部門責(zé)任界定不清的問題，方案還可結(jié)合云上安全責(zé)任模型及《網(wǎng)絡(luò)安全等級保護(hù)容器安全要求》，幫助客戶理清客戶明確安全責(zé)任邊界。

難點四

智慧校園核心特點數(shù)據(jù)集約化，公共數(shù)據(jù)庫通常需要以API形式與多個外部系統(tǒng)進(jìn)行數(shù)據(jù)交互。但若API缺乏安全保護(hù)，則可能導(dǎo)致憑證失效和敏感信息泄漏的風(fēng)險。

方案從API防護(hù)與管理兩方面，致力于解決API過度暴露、敏感信息泄漏、API異常操作等安全問題。通過對API開放、運(yùn)維及下線的管理，建立完善的API安全管理體系。同時，通過發(fā)現(xiàn)、檢測、防護(hù)和響應(yīng)四個環(huán)節(jié)，構(gòu)建API安全防護(hù)體系，確保API資產(chǎn)的可見性和安全性。

難點五

多云場景下云動態(tài)彈性特點導(dǎo)致云上安全治理困難，不同云安全防護(hù)工具割裂導(dǎo)致安全運(yùn)維壓力大、安全風(fēng)險難以及時響應(yīng)。

方案從云主機(jī)安全、云網(wǎng)絡(luò)安全、容器安全、API安全多個維度進(jìn)行安全防護(hù)，降低操作復(fù)雜性、減少配置錯誤機(jī)會。詳細(xì)記錄安全日志，快速定位安全風(fēng)險，減少攻擊面，縮短補(bǔ)救時間，且能夠在應(yīng)用上線前加入安全措施，降低后期漏洞修復(fù)成本。

選擇教育云一體化安全防護(hù)方案

打造一致的可視化與安全防護(hù)

讓所有云上難題都有歸宿

通過天融信教育云一體化安全防護(hù)方案，可有效應(yīng)對數(shù)字化轉(zhuǎn)型過程中云基礎(chǔ)設(shè)施面臨的各種安全挑戰(zhàn)，保障教育系統(tǒng)的安全、穩(wěn)定和高效運(yùn)行，為教育高質(zhì)量發(fā)展提供強(qiáng)有力的安全保障。未來，天融信將持續(xù)賦能教育數(shù)字化發(fā)展，推動網(wǎng)絡(luò)安全技術(shù)與教育數(shù)字化的融合創(chuàng)新，助力教育客戶數(shù)字化安全轉(zhuǎn)型升級。