走进安全云 极简的安全配置

对于租户/业务管理员而言，业务上线过程中所面临的繁琐安全配置往往是掣肘业务上线速度的主要原因，在面向对象的IT架构中，这个问题更为突出。对于动辄管理数百个业务系统的IT管理员而言，如何快速且准确的针对业务特点进行安全业务配置，无疑是一个巨大的挑战。

在传统模式下，每一个安全能力，都要对被保护对象进行多方面的定义，配置逻辑从网络层至应用层都不可或缺，但此种方式无法适应在云环境中的无界网络，对租户的配置对象无法进行统一的引用。

新华三安全云改进了传统安全业务的配置方式。在安全云的方案架构中，所定义的对象(资产)可以被所有安全服务进行调用，可定义的对象(资产)包括DNS域名、IP地址/地址段，应用协议、特征字段等多种元素。不同的安全服务类型，可以灵活选择不同的防护对象(资产)。通过调用OpenStack的标准接口，安全云能够动态的对虚拟机列表及租户(业务)网关列表进行同步，确保租户(业务)管理在配置过程中能够准确的对相应资产进行防护。从根本上解决安全业务能力同租户对应的问题，极大的降低安全配置的复杂度。

在完成防护对象(资产)的选取之后，安全云对各个安全业务的配置逻辑进行统一抽象，从安全业务使用者的角度重新设计，并将相关配置操作转换为OpenStack可以识别的安全业务插件，通过插件接口对实际的安全能力进行配置下发，最终完成安全业务快速自动化部署。

同时，安全云还能够提供安全业务使用效果的展示，通过动态图表，直观显示安全业务生效后的使用效果，包括命中率，事件统计，安全态势等多个维度的指标，使安全业务的使用效果一目了然。彻底解决安全事件不可见，安全效果不可知的现状。

以下选取Web应用防护配置过程，详细介绍新华三安全云的配置过程。

首先，选择需要防护对象(资产)，通常，Web应用防护的对象(资产)是DNS域名，从下拉列表中，可以选择之前定义的所有DNS域名。完成之后，点击下一步，进入Web应用防护策略配置界面。

图：选取安全防护对象

随后，选择需要开启的Web应用安全防护。安全云将Web防护类型抽象为三个大类，包括Web应用攻击防护、CC安全防护、恶意IP封禁。三类安全防护能力，都可以通过点击“状态”开关一键开启，并能够立即生效。对于Web应用攻击防护规则策略，可以选择不同的安全防护强度，也可以进行自定义安全规则详细配置。仅需要两个步骤，就完成了对Web应用安全的配置。

图：开启安全防护策略

在安全配置完成之后，展示页面可以从攻击排行、安全事件、攻击趋势等多个维度对安全服务配置效果进行基本的展示。云境·安全云也能通过云智·安全态势感知服务对全局合规态势、攻击态势、运维态势、Web安全态势进行更深入的展示。

图：展示安全防护效果