綠盟科技自2012年開始研究並打造雲端計算安全解決方案，並於2022年正式推出“T-ONE雲化戰略”，將安全產品與方案全面向雲轉型，並構建開放的雲化生態。本文將對綠盟科技的雲端計算安全風險與發展的認知、價值主張、合作體系、參考體系、技術體系與建設方案進行闡釋。因篇幅限制分為上、中、下三篇，本篇為上篇。

雲化風險分析

雲端計算的發展給千行百業提供了數字化的技術支撐，也是我國加快數字經濟發展支撐力之一。雲端計算帶來高效、彈性、便捷的同時，新的風險也在增加，但原有的安全問題也並沒有消除。由於資料的重要性加上雲使用者對資料的掌控權丟失，如何讓使用者放心地使用雲，就必須解決雲端計算本身面臨的各種安全問題。雲端計算的風險包括通用風險與具體場景的特有風險。

雲端計算通用的安全風險

無論是基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service， PaaS）、軟體即服務（Software as a Service，SaaS）等傳統雲端計算平臺，還是雲原生、多雲、混合雲等新的雲端計算場景，都存在一些通用常見的安全風險。通用的風險如圖所示。

雲端計算通用的安全風險

1）平臺安全風險

雲端計算最核心的問題就是服務可用性的問題，服務可用性所面臨的風險主要分為內部風險與外部風險。內部風險主要是涉及平臺自身可靠性問題，如：人員威脅操作、當機、資料丟失等，它們都會造成雲服務不可用；外部風險主要有漏洞利用、流量攻擊、惡意掃描、密碼爆破等等。

由於雲端計算規模大，並承載各類服務，平臺安全風險被利用所造成的後果和破壞性遠超傳統應用平臺，目前存在一些提高雲端計算安全性的解決方案，但只解決特定的問題，還不能從根本上改變當前雲端計算平臺不安全的狀態。

2）虛擬化安全風險

虛擬化技術是雲平臺核心技術之一，虛擬化技術以客居方式執行作業系統帶來的安全問題是虛擬化所特有的安全風險，其中包括虛擬化層引入的新安全風險，以及新的虛擬化特有的安全風險，前者如虛擬機器間的攻擊與觀測盲點、虛擬機器蔓延（VM Sprawl）導致的攻擊面擴大；後者如資料混雜風險、映象篡改風險、資料所有權和管理權分離不清、殘餘資料清除，這些風險正成為雲端計算安全的焦點。

3）雲應用安全風險

雲端計算的靈活性和開放性使得任何使用者都可以透過網際網路接入，因此對執行在雲端的應用程式安全防護是一個非常大的挑戰。雲應用的安全風險一方面要分析雲應用自身的安全風險，如API、Web應用等面臨的安全風險；另一方面還需考慮整個網路體系的安全，特別是底層計算與網路架構。使用者將資料從本地網路上傳到雲端來提供服務，在這一過程中除了要考慮Web型別的攻擊以外，還應該對敏感資料應用與伺服器之間通訊採用加密技術防止中間人劫持風險。

4）資料與隱私洩露風險

資料作為第五大生產要素，其重要程度顯而易見。考慮到各類資料上雲趨勢明顯，雲上的資料安全應特別得到重視。

雲使用者將海量業務資料彙集到雲資料中心，故應在資料整個生命週期做好安全管理，在採集、傳輸、儲存、使用、共享、銷燬流程做到相應的安全防護。特別地，雲使用者的敏感資訊不應被洩露、破壞或損失，為此，儲存服務具備授予使用者訪問許可權並且阻止非法訪問的機制，防止因非授權訪問和其他物理方法導致的資料洩露，此外還要保護高許可權管理員的敏感資訊。

然而，我們觀察到的事實是，雲端計算相關安全事件相當比例是雲上資料洩露，原因是沒對雲上的服務、資料訪問進行認證授權，或訪問憑證暴露在程式碼倉庫、映象或網站頁面中，導致攻擊者能夠非授權地透過憑證訪問雲上資料。

大量使用者資料被部署在同一個雲平臺上，也降低了惡意攻擊者擊破資料保護堡壘的工作量和難度。如雲平臺存在安全風險，攻擊者則有可能利用其技術優勢獲取雲中使用者的資料資訊。除了外部攻擊者外，還要考慮雲服務商(Cloud Service Provider，CSP)內部惡意攻擊者。

在多雲和混合雲場景中，系統間資料傳輸流程也使得資料秘密性和完整性受到顯著威脅。

因此，如何保證存放在雲資料中心的資料隱私不被非法利用，如何保證資料在雲系統流轉過程中不被竊取或篡改，需要技術改進與法律完善。

5）制度管理風險

制度管理風險是指雲服務商或使用者部署、使用、運營雲服務的過程中的制度不完備所帶來的風險。實際上，僅靠安全防護技術並不能完全保證雲系統和應用的安全，還需要制定並有效執行制度，以支撐各類安全技術的應用。

雲端計算系統的安全執行離不開有效的制度管理。攻擊者利用新漏洞或使用新的攻擊戰法可能會繞過雲端計算各類現有安全機制，但事前發現並避免組織在制度管理中的風險，可以很大程度上抵禦各類威脅，更好地保證提供安全的雲端計算服務。

6）法律與合規性風險

雖然雲端計算具有分散式、跨地理區域的特性，但云計算資料中心始終是部署在某個國家或行政區域，因此雲端計算物理設施、雲平臺與部署應用需要受當地的法律約束。法律風險是指雲服務商宣告的SLA協議以及服務內容在法律意義上存在的違反規定的風險、網路安全法提出的安全保護要求等。例如，2019年，我國出臺了網路安全等級保護2.0，其中針對雲端計算風險提出了相關的具體要求；此外，2022年的《資料出境安全評估辦法》對境內資料出境做出了具體的合規性要求。

雲端計算應用場景的安全風險

雲端計算在不同應用場景下存在的特定安全風險如下：

公有云安全風險

使用者通常是出於信任使用公有云服務，若公有云服務商無法保障使用者的業務與資料安全，即便成本再低廉，也幾乎沒有使用者願意使用。因此使用公有云需考慮的風險包含雲應用的安全風險與雲服務商的安全風險。

公有云上應用的主要安全風險有兩種：漏洞利用和弱密碼爆破。攻擊者利用漏洞利用或弱密碼爆破入侵部分雲主機後，一般利用多種駭客工具進行擴散傳播，最終攻擊手段為挖礦、勒索、竊密、DDoS攻擊完全取決攻擊者的喜好和目的。每年因錯誤配置、漏洞利用等問題進而發生的惡意程式碼執行事件與日俱增，惡意樣本總數相比2020年同期數量上漲10%，因而云計算租戶需要特別注意這些安全風險。

雖然主流的公有云服務商的安全防護能力比較強，但仍需要考慮雲服務商自身存在的安全風險。首先，可能出現雲服務商災備管理不完善，導致資料中心服務中斷；其次，雲服務商的服務水平協議（SLA）及免則宣告是否符合需求，例如服務可用性保障範圍及供給商是否擔負一定安全責任等等；最後，雲服務商內部員工竊取客戶敏感資料、客戶不易對雲服務供給商的安全控制措施和訪問記錄開展審計、終止使用雲端服務後，資料的備份、遷移與銷燬問題。

私有云/行業雲安全風險

區域和行業的頭部企業或組織透過構建私有云或行業雲，為數字化建設提供基礎資源，奠定數字化轉型的基石。因各地市、各行業的雲建設方式不同，其安全責任劃分不同，具體可參考前述責任共擔模型。私有云/行業雲的安全主要集中在保障物理設施與硬體的穩定安全執行、網路劃分的隔離性以及健壯性、業務高峰期大流量承受能力、雲網路邊界接入隔離、檢測監測、審計溯源，以確保訪問雲端計算系統和應用的流量可信，出現安全事件可以快速發現、響應和溯源。

相比公有云，私有云/行業雲因其業務差異大有較大的定製需求，在應對使用者業務本身安全問題也是私有云安全重要的一部分。如金融行業雲面臨欺詐風險，攻擊者利用貓池、手機牆，修改手機硬體的模擬器，模仿正常使用者的註冊、認證、使用等流程從而不正當獲利，因而整個雲平臺和應用的風險就涉及到拒絕服務、API漏洞利用、業務欺詐等，相關的防護技術和流程會涉及到對業務系統本身的安全改造。

多雲/混合雲安全風險

多雲（multi-cloud）一般是由多個雲提供商提供的多項公有云服務的組合，出於成本、可用性或避免廠商鎖定的原因，企業可同時訂購多個雲服務商的產品服務，最大限度地發揮不同雲服務商各自領域的優勢，避免陷於單一雲服務商的短板和繫結；混合雲是指企業同時使用公有云和私有云（或傳統辦公環境），形成既有公有云系統，又有私有云系統，甚至還有傳統網路互聯的混合環境。因此，無論是客戶需求使然，還是雲端計算演進過程，都會使得多雲/混合雲在各行業出現它們的身影，很多企業正在轉向多雲或混合雲部署，應用程式是僅部署在單個雲端計算提供商或本地部署的雲平臺上，還會在多個雲端計算提供商的雲平臺進行混合型部署。多雲與混合雲模型透過增加更異構的計算基礎設施來降低威脅可用性的風險，以及避免特定的雲端計算商鎖定。

企業的數字化業務通常部署在多雲多地多系統，由於各雲平臺架構異構，不同雲資源管理難度大且運維複雜，難以實現統一高效管理、控制或分析，導致多雲/混合雲場景下運維不敏捷，管理成本高，而安全運維也同樣存在這些問題。企業將業務部署在公有云上，其安全能力建設重度依賴雲服務商，而各雲廠商安全能力差異性較大且水平參差不齊，無法直接使用一套安全方案。此外，Gartner分析得出99%以上的雲安全事件其根本原因將是終端使用者在雲上的錯誤配置，在多雲或混合雲的場景下，使用者無法保證在所有環境中保持統一、正確的安全策略，從而引發資料洩露或攻擊者滲透穿越。

雲原生安全風險

雲原生可稱為雲端計算的下半場，近年興起的容器和編排技術憑藉其彈性敏捷的特性和活躍強大的社群支援，成為了雲原生生態的重要支撐技術。容器化部署形態也在改變雲端應用的設計、開發、部署和執行，從而重構雲上業務模式。

容器和容器編排系統的安全風險將直接影響整個雲原生系統的安全性。從IT基礎設施的視角看，雲原生系統底層是容器，其基於作業系統虛擬化技術，跟其他的虛擬化雲端計算平臺一樣，存在逃逸和雲內橫向移動的風險；上層是以微服務為中心的容器編排、服務網格、無伺服器計算（Serverless Computing）等系統，其API、業務存在被攻擊的風險。

此外，從DevOps的視角看，雲原生系統所包含的軟體供應鏈（如第三方軟體庫、容器映象等、第三方廠商非授權釋出軟體倉庫等）也存在被投毒或惡意攻擊的風險；整個開發環節，如CI/CD，也存在被攻擊的風險。

5G/MEC安全風險

多接入邊緣計算（Multi-access Edge Computing, MEC）是在靠近物或資料來源頭的網路邊緣側，融合網路、計算、儲存、應用核心能力的分散式開放平臺，就近提供邊緣智慧服務，滿足行業數字化在敏捷聯接、實時業務、資料最佳化、應用智慧、安全與隱私保護等方面的關鍵需求。預計到 2022 年，超過 50%的企業生成資料將在資料中心或雲之外的邊緣進行建立和處理。5G為邊緣計算產業的落地和發展提供了良好的網路基礎，主要體現在三大場景（eMBB， uRLLC 和 mMTC）的支援、核心網使用者面功能的靈活部署以及 5G 網路能力開放等方面。

5G/MEC是網路邊緣更好使能各行各業的關鍵，它們大多位於企業園區機房裡面，一般為運營商代建和代維。企業藉助 5G/MEC 系統進行生產控制、遠端監控、物流管理和智慧安防等生產活動。5G/MEC也是賦能工業生產的重要通訊和計算基礎設施，它們的底層均是以雲端計算為支撐技術，例如虛擬化、SDN和NFV等。

5G/MEC系統對時延、可靠性和安全性有很高的要求。很多生產業務對延遲有嚴格要求，如遠端塔吊控制資訊流的端到端延遲要小於 18ms，即生產裝置（塔吊等）透過無線基站、IP RAN 網路、5G/MEC系統到企業應用系統（遠端控制）的端到端通訊要保證低延遲。因而，5G網元UPF會隨MEC下移，帶動UPF相關業務埠下移到（如 N4，N6，N9, 5GC OAM等介面）5G移動承載網。而這樣導致的直接問題是本地MEC的UPF和對方MEC的應用層互通，透過N9介面意味著是本地MEC的UPF和對方MEC的UPF 互通出現的流量隔離問題等。

一方面，5G網元和MEC系統都是基於雲端計算技術構建的，其存在雲端計算本身的風險；另一方面，5G/MEC系統還受到泛終端接入、本地安全管理、MEC平臺漏洞、攻擊企業雲、攻擊核心網等安全問題的困擾。

雲安全價值主張

立足綠盟科技“智慧安全”的公司戰略，本章對綠盟科技視角下的雲安全價值主張進行闡釋。

雲化趨勢下的綠盟科技戰略轉型

綠盟科技2015年釋出“智慧安全2.0”戰略，提出了“智慧、敏捷、可運營”三個特徵，這三個特徵與雲端計算天然地匹配，構建了綠盟雲安全服務。結合人工智慧技術，綠盟雲透過多源資料融合，構建知識圖譜，進行關聯、抽取與學習，形成了雲端威脅情報，準確、及時地推送到地端各類安全產品，進而對新出現的已知或未知威脅進行識別、防護、檢測與響應，形成完整、快速、端到端的運營閉環。

綠盟科技於2021年釋出了“智慧安全3.0”戰略，在“智慧安全2.0”的基礎上，針對近年來安全攻防和產業發展的新趨勢，確定了“全場景、可信任、實戰化”的三個原則。這三個原則也體現了雲端計算安全的新發展趨勢。

首先，全場景是指綠盟科技的安全能力可應用於雲端計算、工業網際網路、5G/邊緣計算等各類環境，事實上，雲端計算已經成為了一種使能技術，透過構建各種雲化基礎設施，進而支撐各類新型資訊基礎設施；此外，混合雲、多雲場景下的統一化、可編排的安全需求也給下一代雲安全體系提出了新的要求。

其次，可信任是指安全能力可被服務提供商和使用者所信任，綠盟科技透過梳理和監控資產、流量和工作負載，提供視覺化的主客體行為剖面；透過全面的監控日誌、告警和事件，還原安全事件的完整過程和處置情況；透過雲端的海量資料分析，提供可信任的人工智慧引擎，提升檢測響應的效率和準確率。透過全程、深度的觀測能力，給客戶安全保護提供背書。

最後，雲端計算已經開始從滿足合規性轉向實戰化攻防，各種針對雲平臺、雲應用和雲租戶的攻擊層出不窮。綠盟科技以攻防起家，始終貫徹以攻促防的安全能力建設思路，透過雲化靶場、雲端計算攻擊模擬和安全評估工具、雲上風險測繪和應急響應等實用型、實戰化的技術，推動綠盟科技雲安全解決方案及各類安全產品的攻防對抗水平持續提升。

2022年，綠盟科技正式推出了名為T-ONE（inTelligent First security ，智慧安全優先）的雲化戰略，包含了雲化交付的安全服務體系、安全運營中心，以及各類相關的安全解決方案和安全產品。一方面，T-ONE架構中，雲化基礎設施成為重要的支撐體系，絕大多數的安全能力透過雲端分發、部署和更新，而客戶本地側的瘦安全端點透過雲化技術，按需、動態生成、編排企業側所需的安全能力；另一方面，T-ONE可部署在資料中心、私有云和傳統企業環境，很好地支援各類混合型場景。

可見，綠盟科技近年所做的戰略方向投入，一方面順應了整個行業雲化的發展趨勢，另一方面也積極利用雲端計算的各種特性，為其整體戰略體系賦能。

綠盟科技雲端計算安全價值主張

綠盟科技已在雲端計算安全領域持續投入十年，在雲安全聯盟（CSA）擔任雲安全服務工作組和雲原生安全工作組的聯席主席，主導和參與編寫多項國際國內標準、白皮書；與雲服務商、各行業客戶對接、打磨各類雲安全產品、解決方案與服務，因而對雲端計算安全在各行業如何發展和落地有較多思考，並提出綠盟科技關於雲端計算安全的價值主張。

雲端計算安全的理念秉承了開放融合、軟體定義、微服務化與原生安全。

 綠盟科技雲端計算安全的價值主張

1）開放融合

網路安全是一個高度碎片化的市場，雲端計算安全也是如此。無論是雲安全資源池，或是安全即服務，還是雲原生安全，都需要多廠商多種安全能力融合，透過一致的形態為客戶提供統一化的安全服務。

綠盟科技的雲安全體系透過定義雲環境下所需的各種原子化安全能力，在透過開放的生態系統中，每種能力可對應相應的產品或服務，消減了廠商鎖定（Vendor lock-in）的風險。

進而，透過網路安全網格（CyberSecurity Mesh），根據客戶場景和具體需求，按需組合各類安全能力，構建理論上無上限的複合安全能力，以應對複雜場景和各類新威脅。

2） 軟體定義

綠盟科技2016年提出了軟體定義安全的理念，透過將安全能力的資料平面與控制平面分離，可構造軟體定義的安全架構。在資源層面，可將硬體、虛擬化、容器化形態的安全裝置抽象為具有各類安全能力的安全資源池，可提供彈性的安全能力；在控制層面，可透過安全控制平臺，根據應用的策略，靈活地準備（provision）相應的安全資源，排程或操控相關流量，並且下發對應的安全規則，從而自動化地實現在雲環境中的防護、分析和響應機制。

軟體定義是現代化雲端計算系統所具備的特徵，也是對傳統計算、儲存與網路能力的重構，雲端計算安全體系自然地繼承了該特徵。軟體定義的安全體系與雲端計算平臺融合，共同提供按需、內生、彈性、自動化的工作負載與網路保護。

3） 微服務化

軟體定義強調了控制與資料的分離，雖然定義了服務（應用）、控制和資源三層，但主要重點在於後兩者。至於服務層，只是提供安全即服務（SECaaS），並沒有過多著筆。從近年的實踐和趨勢，我們可以看到雲安全應用的發展，會是容器化、編排化和微服務化。

由於容器有很好的可移植性和虛擬化效能，安全廠商開始將各類安全應用以容器的方式打包、釋出和交付，並且使用編排系統，對雲應用進行分散式部署、版本更新、彈性擴容。而服務層面最大的變化，就是安全應用的微服務化。

隨著雲基礎設施雲原生化，業務系統微服務化已經成為軟體架構當前發展的新趨勢。即將一個大型的單體系統拆解成多個輕量級的工作負載，並以容器打包、服務封裝，透過微服務閘道器或服務網格將這些服務聯通。

以往一個大型安全平臺或安全服務，現在透過一個基礎設施即程式碼（Infrastructure as Code，IaC）的配置檔案交付，背後是一個微服務的有機集合。對於安全廠商或客戶，可以基於這些微服務進行業務擴充套件，根據場景增加或修改安全功能，形成場景化的安全能力。

可以說，軟體定義安全提供了敏捷的安全能力，對應用層提供了開放的北向介面；而微服務化可根據業務需要，透過應用介面按需呼叫這些安全能力。

本質上看，微服務化體現的是雲化SaaS趨勢下，未來的安全解決方案將會是API驅動，微服務將是API形態交付的最小粒度體現；此外，微服務也提供了不同顆粒度的API更新、管理和編排更有效的機制。 

4） 智慧大腦

雲化的必然趨勢是攻防上雲和資料集中，這兩種趨勢都對構建智慧的雲端大腦提出了切實的要求。

首先，上雲已經不是新鮮詞了，而是企業提升業務效率、克服疫情帶來影響的必然選擇。然而，攻擊者也關注到企業的各類雲上業務，各類雲上的資料洩露、服務拒絕服務屢見不鮮，雲安全已經不僅僅是合規驅動，真實的攻防已經圍繞雲上業務快速開展起來。

此外，隨著雲端計算建設的推動，無論是在客戶側還是在安全廠商側，都會匯聚相當大量資料，例如資產、日誌、告警或事件，這些資料一旦到了一定數量級，就會呈現出某些攻防特徵。

如果安全廠商需要快速發現攻擊者的行為，就應構建一個雲端大腦，收集、處理、融合、分析多源異構資料，對當前的態勢進行研判，及時發現風險與威脅，並快速做出決策。設計雲端大腦的同時，並構建各項運營的指標體系，閉環、迭代地提升安全運營的效率與效果。

與此同時，需要注意的是，資料上雲需要滿足國家的各項法律法規的要求，特別是具有個人標識或敏感的資料需要進行相應的處置，滿足合規性要求方能使用。綠盟科技釋出的《擁抱合規、超越合規：資料安全前沿技術研究報告》[1]，其中去標識化與脫敏評估、隱私增強計算等技術能夠幫助雲端安全大腦滿足合規性要求。

5）原生安全

雲端計算安全首先是要保障雲端計算系統的自身安全，綠盟科技透過雲安全資源池和雲原生應用防護系統（CNAPP）為各層級的雲端計算平臺提供了全方位的安全防護。

在保護雲安全系統的同時，也應充分利用雲端計算和雲原生系統所提供的彈性、敏捷等特性，賦能現有的雲安全系統。例如前述的軟體定義、微服務化都是安全能力雲化或雲原生化後所具備的特性。

當我們的雲安全系統具有云原生的特性，這些優點就成為內生的。即便脫離了雲原生的環境（如在傳統IT系統，甚至在5G核心網等系統），還是會具有這些優點。我們不會討論這些系統只為雲端計算所服務的，或這些系統是具有“雲”的特性。我們只會說，這些特性就是我們的安全平臺與生俱來安全特性，或這些平臺原生具備的安全能力。

更通俗地說，綠盟科技的雲安全方案，不僅僅適用於公有云、私有云或多雲，也適用於混合雲等複雜的雲場景，還適用於傳統IT環境、5G/MEC等各類場景。

事實上，綠盟科技T-ONE方案中很重要的元件SSE邊緣閘道器，就是採用了雲原生化的各類安全微服務，在企業邊緣側提供多種所需的安全能力。

原生安全是雲化趨勢下安全廠商的必然趨勢，只有用統一的技術棧和技術架構，才能用最小的成本服務更多的使用者，提供一致、全面和高效的安全服務。

雲安全合作體系全景圖

綠盟科技雲安全方向的合作秉承開放融合的價值主張，與不同型別的合作伙伴展開了多種模式的合作。

 合作伙伴

為了更好地服務客戶，綠盟科技秉承開放的態度，透過多種合作模式，與雲服務商、安全廠商、電信運營商、獨立IDC服務商共同打造更加具有競爭力，更加貼近客戶業務的聯合解決方案。瞭解不同合作伙伴和合作模式的對應情況，請參考：

綠盟科技合作模式&合作伙伴矩陣圖

1）雲服務商

雲服務商是指提供基於雲端計算的平臺、基礎結構、應用程式或儲存服務的第三方公司。綠盟科技與雲服務商合作為客戶提供雲+安全一體化解決方案。

a) 雲市場售賣

經過前期雲服務商雲平臺與綠盟科技的安全產品的深度適配與聯合開發，綠盟科技的安全產品具備雲上快速部署，策略統一升級維護等能力，並在雲服務商的雲市場上線。租戶可以透過雲市場直接購買相應的安全產品獲得對應的安全能力，整個過程方便快捷。

b)  生態合作方案

綠盟科技與雲服務商實現雲安全產品與租戶雲資產解耦合的交付方案，綠盟科技的安全產品上架雲市場後，租戶可透過雲市場直接下單，也可以走線下流程實現採購，購買方式較為靈活。

c) 聯合解決方案

綠盟科技利用自有云安全產品與雲服務商合作打造雲+安全一體化解決方案，優勢互補，強強聯合，共同進行市場推廣。

2）安全廠商

安全廠商主要是指能夠獨立設計、研發、生產、銷售資訊保安產品的企業，綠盟科技聯合業內優秀的安全廠商聯合推出更具競爭力的解決方案。

a) 資源池納管

將第三方優勢安全產品納入到綠盟科技的安全資源池內做統一管理，實現安全能力快速擴充套件。

3）運營商

運營商是指提供網路服務的供應商，國內主要運營商包括中國移動、中國聯通、中國電信、中國廣電，綠盟科技聯合運營商集團、運營商研究院等單位，合作開發增值性解決方案，實現合作共贏。

a) 聯合開發

結合綠盟科技與運營商研究院的技術優勢，共同開發具有針對性客戶場景的安全解決方案，如5G/MEC安全方案、SASE解決方案、雲原生安全解決方案等。

b) 聯合解決方案

在標準的客戶場景下，利用綠盟科技與運營商自有的標準產品，打造標準化的雲+安全解決方案，可覆蓋廣泛的客戶需求。

c) 合作增值運營

綠盟科技與運營商雙方共建資料中心，運營商為客戶提供計算、儲存、網路等資源，綠盟科技為客戶提供安全能力與安全運營服務，實現能力共建、責任共擔、收益共贏的合作運營體系。

d) 特定場景的定製化解決方案

綠盟科技提供安全能力及安全服務的定製化功能實現，定製產品獨立演進獨立升級，實現客戶特定場景下的安全需求。

4）區域IDC服務公司

區域IDC服務公司，定位為省級/市級基礎設施服務提供商，綠盟科技與IDC服務公司共同打造安全運營中心，為客戶提供雲+網路+安全的整體解決方案。

a)  合作運營模式

 依賴於T-ONE Cloud戰略體系中完整的基礎安全能力、安全運營、安全服務等能力，結合本地IDC運營公司的計算、儲存、網路等資源，為客戶打造業務承載、網路安全、態勢感知的整體業務運營中心。

 合作模式

針對不同型別的合作伙伴，綠盟科技打造了公司級戰略合作、安全運營中心合作增值運營、IT基礎設施合作增值運營、解決方案打造、優勢產品構建等多種合作模式，同時針對不同的合作模式也提供了多層次、多團隊、多維度的支援，為雙方順利合作保駕護航。瞭解不同合作模式和合作夥伴權益對應情況，請參考表2。

合作模式&合作伙伴權益矩陣圖

1）公司級戰略合作

綠盟科技與具備產品研發、解決方案、市場運營能力的大型合作伙伴（如雲服務商、安全廠商）進行公司級戰略合作，雙方將在產品研發、關鍵技術突破、行業標準制定、市場營銷等方面展開深入合作，實現優勢資源的有效整合，共同為客戶提供優質、高價值的產品、服務與解決方案。

2） 安全運營中心合作增值運營

綠盟科技攜手重慶、長沙、瀋陽、天津、上海、武漢等十幾個城市構建城市級的雲端計算安全運營中心。綠盟科技提供安全產品、技術及運營能力，合作伙伴（如大型IDC運營方）提供本地化資源與硬體裝置，雙方共建SaaS化的安全運營中心，共同建設、責任共擔、收益共享，最終達成互利共贏的目標。

3）IT基礎設施合作增值運營

綠盟科技與具備本地化計算、儲存、網路資源的中大型IDC運營方合作，雙方共建資料中心，合作伙伴為客戶提供基礎設施相關服務，綠盟為客戶提供安全能力與安全運營服務，為客戶提供穩定、快捷、安全的業務運營服務體系。

4） 解決方案打造

a) 標準化場景

在標準的客戶場景下，結合綠盟科技與合作伙伴（如雲服務商、安全廠商）的標準產品，共同打造標準解決方案，可覆蓋廣泛的客戶需求。

b) 定製化場景

結合綠盟科技與合作伙伴（如雲服務商、運營商）雙方的技術優勢，共同開發具有針對性客戶場景的安全解決方案。

c) 國產化場景

綠盟科技積極參與國內主流的國產化體系的硬體適配計劃，快速滿足客戶國產化雲平臺的安全需求，如鯤鵬凌雲夥伴計劃等。

5）優勢產品構建

雲端計算系統是多種能力的融合，綠盟科技的安全能力一方面可以與雲端計算系統整合，另一方面也可以整合更多的第三方安全能力。

a) 雲廠商安全能力整合

將綠盟科技的安全原子能力嵌入到雲端計算廠商的安全能力池內，或者雲平臺虛擬化業務VPC內，實現雲租戶級別的安全防護。

b) 安全元件能力整合

將第三方安全廠商的安全原子能力嵌入到綠盟科技的安全能力池，豐富現有的安全能力。

c) 國產化適配場景

將綠盟科技的安全原子能力與國產硬體+國產作業系統適配，滿足國產化雲平臺業務防護需求。

 服務及方案

綠盟科技依託於星雲實驗室多年在雲安全領域的研究，同時藉助於綠盟科技在Web安全、網路安全、資料安全等領域的深厚積累，推出了多種適合於不同行業、不同場景、不同形式的安全解決方案。

1）綠盟雲SaaS安全服務

a) 綠盟網站安全監測服務PAWSS

綠盟網站安全監測服務按照SLA約定的頻率對使用者站點進行掃描和網站內容監測，由綠盟安全專家團隊提供的運營服務在安全增值運營平臺上運營，確保客戶網站安全。當監測到使用者網站遇到風險狀況後，安全專家團隊會在第一時通知使用者，並提供專業的解決方案建議。

b) 綠盟網站雲防護服務WCP

綠盟網站雲防護服務，透過雲服務（SaaS）的方式將傳統WAF裝置的功能遠端提供給被防護的客戶，客戶網站只需要變更DNS解析地址即可實現防護服務。同時，服務自動完成站點的策略配置、故障遷移、規則庫升級等運維工作，極大降低了客戶的使用門檻。

c) 綠盟等保套餐服務

綠盟科技依託於SaaS化安全能力，結合自身安全服務優勢，聯合等保測評機構，為使用者提供專業的、一站式的諮詢、指導、建設服務，幫助使用者更快地完成等保整改工作。

d) 綠盟SASE服務

綠盟安全訪問服務邊緣（NSFOCUS Security Access Services Edge，NSFOCUS SASE）在綠盟雲上整合SD-WAN和多種安全能力（如零信任訪問控制、上網行為控制等），對外提供網路和安全一體化的SaaS服務。綠盟SASE旨在透過一朵邊緣雲，作為中繼來處理使用者到應用、裝置到應用等多種連線，提供接入控制、安全防護、網路加速等安全和網路能力。

2）雲安全運營服務

a) 雲端安全服務

綠盟科技為客戶提供完整的安全運營服務，主要包含：網際網路資產核查服務、安全裝置託管服務、輕量化安全測試服務、漏洞修復優先順序分析、基於情報的風險管理服務、網際網路暴露面風險管理服務等。

b) 安全專項服務

綠盟科技為客戶提供豐富的專項安全服務，主要包含：等保合規建設服務、勒索病毒防治服務、挖礦主機治理服務、緊急漏洞應急響應服務等。

3） 雲安全管理平臺方案

a) 綠盟雲安全集中管理方案

綠盟雲安全集中管理系統是為了解決私有云和行業雲安全問題以及解決安全增值場景實現而提供的一整套平臺級產品。採用“軟體定義安全SDS”架構，將虛擬化安全裝置和傳統硬體安全裝置進行資源池化的整合。透過該平臺實現安全裝置服務化和管理的集中化，以及安全能力的“按需分配、彈性擴充套件”， 滿足客戶的合規性需求，提高雲上安全運維效率。

b) 綠盟多雲管理方案

綠盟科技提供多雲管理中心，基於多雲場景下的資源申請和編排管理為您提供一站式雲上資源統一的管理能力，支援主流的公有云及私有云平臺平滑接入，運維人員只需要提供雲平臺相關授權，即可無縫實現不同雲的資產在多雲安全管理平臺集中統一管理。

c) 綠盟多雲安全管理方案

綠盟科技在多雲管理方案的基礎上，提供多雲安全中心，為不同雲平臺的資產提供風險閉環管理，可靈活選擇安全產品的型別、規格等，提交訂單後安全產品將會自動化部署、秒級開通、快速啟用。透過安全探針採集雲資產資料統一進行態勢分析，呈現多雲安全風險，並進行多雲安全策略配置。

d) 綠盟雲原生容器安全方案

綠盟雲原生容器安全方案（CNSP）定位於雲原生安全領域，秉承DevSecOps理念，踐行安全左移原則，採用微服務架構設計，可彈性匹配客戶側的雲原生環境，藉助容器編排技術將安全能力部署於客戶的業務節點中，為容器編排環境、容器及映象提供持續安全分析，實現容器環境的資源視覺化管理並提供映象安全、基礎設施安全、執行時安全、合規安全等能力，保障容器在構建、部署和執行全生命週期的安全。

4）T-ONE Cloud

T-ONE Cloud是“智慧安全3.0”理念的全新實踐，以雲的思路重構安全運營體系，交付下一代雲化的安全能力。T-ONE Cloud提供整合雲地安全能力、產品服務的雲SOC中心，實現全天候全方位態勢感知、實時安全檢測、攻擊溯源、資產風險評估及智慧響應的安全運營閉環。方案涉及眾多元件和服務，在包含了以上三類服務/方案內容的基礎上，增加了對魔力防火牆（NF-SSE）的支援，以保障地端客戶的邊界安全，同時透過運營端與租戶端的移動APP的及時同步，實現客戶業務安全情況全景感知、訂閱服務快捷授權、風險事件快速處置等能力。方案主要由以下四個方面組成，如圖所示：

T-ONE Cloud體系

a) 雲化交付的安全服務體系

雲化交付的安全服務體系包括可訂閱的產品服務、實現閉環保障的運營服務，以及等保合規建設、挖礦主機治理、勒索病毒防治、緊急漏洞應急響應等專項服務。這次服務體系的一大創新是強調場景化的服務交付。從服務規格的設計到服務價值在客戶檢視的體現，都強調了場景化的服務閉環效果。

b) 安全運營中心（SOC）

安全運營中心（SOC）實現統一使用者檢視和全面安全可視，提供安全產品和服務的訂閱與管理能力。向下對接各類安全資源和能力，向上對接專家服務。綠盟科技的研究成果和情報資料為之賦能。

c) 魔力防火牆（NF-SSE）

魔力防火牆（NF-SSE）是基於彈性架構的新一代防火牆，其出廠即可作為防火牆使用，而NF-SSE一旦與SOC建立連線，使用者就可以擁有自己的安全運營中心，可享受MSS裝置託管服務，在SOC上面按需訂閱自己所需的產品服務和運營服務。SOC上訂閱的安全能力可按需推送到NF-SSE。NF-SSE銜接雲端與使用者側，承載多種安全能力的執行，如Web應用防護能力、全流量威脅檢測能力、終端安全防護能力等。在T-ONE雲地協同的體系裡，利用NF-SSE能夠實現對企業網路的縱深防禦，使安全效能最大化，並且在這種架構下，流量資料無需傳送雲端即可實現動態的檢測與防禦，最大程度降低企業隱私資料洩露的風險。

d) 移動應用APP

移動應用APP包括租戶門戶和運營門戶。終端使用者可以透過租戶門戶，隨時隨處監測安全風險，可實時感知和互動安全服務。合作伙伴可以利用為運營人員提供的運營門戶APP，實現對使用者安全7*24小時的無間斷服務。

綠盟科技依託多年的安全研究及攻防實戰能力為T-ONE賦能。綠盟科技擁有專業的安全研究團隊，八大實驗室的能力創新與運營團隊的實戰化運營經驗，共同賦能打造T-ONE雲端智慧大腦，形成對T-ONE CLOUD體系的實力支撐。這個雲端智慧大腦以資料湖作為基礎，以AI、XDR/XSOAR為核心，是攻防研究實戰與前沿技術相結合的產物。T-ONE CLOUD不止是技術或產品服務的創新，更是一種模式創新。結合綠盟科技的渠道戰略，T-ONE CLOUD推出了全新的合作運營模式，攜手合作夥伴，共建T-ONE CLOUD安全運營中心。綠盟科技為合作伙伴提供全套的建設合作運營中心所需的安全能力和系統軟體，同時提供品牌支援、安全專家支援及技術指導培訓，幫助合作伙伴快速瞭解安全市場，掌握安全服務技能，透過一線安全運營服務與最終客戶產生更緊密的價值連線。