1. 混合云環境下的網絡安全變化

傳統IDC環境下，企業業務可能會面臨外部互聯網的DDOS攻擊以及網絡層的漏洞掃描和惡意流量攻擊等，因此一般會在機房出口處部署抗DDOS流量清洗設備、網絡層防火墻設備、網絡入侵檢測或入侵防御設備、防病毒網關或者統一威脅管理平臺等。
企業使用混合云后，網絡層的安全風險和安全控制需求仍然存在，但和傳統IDC環境相比，混合云業務部署可能涉及多家IDC、公有云廠商或者自建私有云等情況，導致信息安全需要在多個邊界進行安全防護，同時VPC網段和IDC/私有云網段，不同VPC網段之間的通信訪問需求，也需要在混合云網絡內部不同網段間進行訪問控制和流量檢測，從而給混合云環境下的網絡安全帶來更多挑戰。
另外混合云環境下和邊界相關的安全問題也包括運維通道相關的VPN和跳板機軟硬件產品，可通過SDP產品和多云管理平臺如TiOPS產品進行替換，在此不做過多解釋。

2. 混合云環境下的網絡安全技術

根據對傳統網絡安全的理解，混合云環境安全特性，以及對多家公有云廠商的安全產品調研，我們發現混合云環境下的網絡安全技術主要包括包括DDOS流量清洗、高防IP、云防火墻、網絡入侵檢測系統或網絡入侵防御系統、虛擬交換機ACL規則、云主機安全組等。
DDOS流量清洗，主要用于防御互聯網上的DDOS攻擊行為，部署在企業云業務和互聯網邊界處。高防IP，用戶在業務在遭受大流量DDoS攻擊時，可通過配置高防IP，將攻擊流量引流到云廠商提供的高防IP地址，對攻擊流量進行清洗過濾后再將正常流量轉發到源站IP，從而確保源站IP穩定訪問。
防火墻，主要用于實現互聯網和VPC、VPC和VPC之間的網絡訪問控制和網絡安全。一些公有云廠商也會在云防火墻上集成NIPS、防病毒、用戶身份認證管理等功能。
網絡入侵檢測/入侵防御系統，主要用于對網絡流量進行檢查并基于規則進行告警或阻斷。
虛擬交換機ACL規則，主要用于VPC內子網間的訪問控制。
安全組，一種虛擬防火墻，具備狀態檢測和數據包過濾能力，用于實現云主機間網絡層的訪問控制。

3. 公有云廠商網絡安全技術比較

不同公有云廠商在網絡安全方面一般都會提供包括安全組、虛擬交換機ACL訪問控制、DDOS流量清洗或高防IP等基礎的網絡安全服務。部分成熟的公有云廠商，也會提供云防火墻、網絡入侵檢測/入侵防御系統或防病毒等網絡安全服務。
云廠商名稱網絡層安全技術/服務簡要說明 阿里云DDOS高防IP國內清洗中心超過8個，單中心帶寬大于1T，10T+總防御帶寬。電信、聯通、移動、教育等20線獨家防御云防火墻南北4-7層流量和東西4層流量的控制檢測實現IPS，實時流量監控，虛擬補丁功能集成安全組功能進行統一管理騰訊云DDOS防護免費基礎防護，高防IP等云防火墻提供互聯網邊界、VPC 邊界的網絡訪問控制網絡入侵防護系統通過旁路部署方式，無變更無侵入地對網絡4層會話進行實時阻斷樣本智能分析平臺惡意樣本智能分析鑒定平臺，支持常見可執行文件（包括32位和64位）、腳本、文檔、壓縮包、ELF 文件、APK 文件等多種，幫助檢測惡意文件、后門、APT攻擊等高級威脅檢測系統采用鏡像流量旁路進行檢測天翼云Anti-DDoS流量清洗Anti-DDoS服務作為安全服務的基礎服務，目前屬于免費服務。DDoS高防IP付費增值服務云下一代防火墻通過虛擬機方式部署，可串聯或單臂連接到虛擬網絡中（如：虛擬應用服務器前端的網關，或者是VPC網絡的邊界網關）。集成用戶認證、訪問控制、入侵防御、病毒過濾、授權管理等多種功能華為云Anti-DDoS流量清洗免費提供基礎DDoS 防護，防護能力最高可達5Gbps。本服務默認開啟DDoS高防AAD10+清洗節點，8T+ DDoS高防總體防御能力，單用戶T級防御能力，抵御各類網絡層、應用層DDoS/CC攻擊百度智能云流量審計分析IDS云上旁路入侵檢測DDOS防護服務DDoS防護服務為百度智能云上客戶提供5Gb的免費DDoS防護能力。當業務遭受超過5Gb的DDoS攻擊時，可以將攻擊流量引向高防中心浪潮云DDOS高防適用區域：華北一、華北二UcloudDDOS攻擊防護針對IP進行海量DDoS清洗能力金山云高防IP防護能力按次購買，100G包年僅需28000

4. 混合云環境下的網絡分層防護方案

混合云環境下，企業可以使用綜合考慮各個云廠商自身提供的網絡層安全服務以及云安全市場中其他安全廠商提供的網絡產品或服務，從邊界DDOS防護、邊界云防火墻、VPC間防火墻、虛擬子網間訪問控制及云主機間的訪問控制等多個層次，構建企業混合云業務的網絡層縱深防御體系。

l互聯網邊界處，使用DDOS清洗服務或高防IP，過濾DDOS攻擊；

l互聯網邊界處，使用云防火墻和IPS技術，實現網絡層訪問控制、流量監控告警和入侵防護功能，包括不公有同云廠商集成提供的暴力破解、虛擬補丁、信息竊取、防病毒等功能；

lVPC和VPC邊界處，部署VPC邊界防火墻，對VPC之間的訪問和流量進行管理；

lVPC內不同網段間，可使用虛擬交換機策略，管理同一VPC內不同子網間的訪問；

l云主機之間，使用安全組策略，管理同一VPC內不同云主機之間的訪問；

5. 混合云環境下的網絡安全挑戰和應對

混合云環境下，因為應用系統部署、應用架構調用、業務數據流轉及使用人員的復雜性，導致安全人員難以追溯并理清楚各類訪問需求和訪問路徑，無法在用戶和應用訪問路徑的關鍵節點采取合適的安全防護措施。不過安全仍然可以從以下兩方面積極應對：

1）梳理訪問關系

l梳理IDC、公有云、私有云中各類應用和應用分配的網段；

l梳理應用、VPC間訪問和調用關系并進行分類、分級匯總；

l梳理使用人員，包括外部業務用戶，內部運維、開發、測試，內部業務用戶，第三方人員等；

l梳理使用人員訪問各應用的訪問路徑，并進行分類、分級匯總；

l明確關鍵資產的訪問對象和訪問路徑；

2）訪問路徑的縱深安全控制

l結合資產價值進行訪問路徑風險評估，包括現有主要控制措施，補償性控制措施等；

l基于縱深安全防御理念，在各個訪問通道的關鍵邊界處，進行訪問控制、流量檢測、攻擊流量阻斷、虛擬補丁等，同時在訪問資產前，加強對用戶和訪問設備的身份鑒別、權限管理等安全措施。

l明確混合云環境下的網絡安全目標：基于業務/應用/VPC/人員訪問需求，在網絡層面實現基本的網絡隔離和訪問控制功能，對訪問流量進行檢測告警，對異常訪問流量進行阻斷等。

l對于一些場景如企業內部員工訪問云上SaaS應用，可選擇和使用CASB產品對訪問資產和路徑進行安全控制；

l考慮使用SDP/ZTNA產品，減少可見攻擊面，加強用戶身份、設備認證和權限管理，替代VPN訪問通道；