云来了，也带来了一大波新概念，这让安全老炮们有时候也摸不着头脑。今天这篇小文，就是白话一下私有云安全的那些事儿。

         云最重要的变化就是，对IT资源的使用方式发生了变革。比如，传统安全公司的保护对象，是放在某个物理机房的几个机架；而现在，都虚拟化了，看不见摸不着，机房也是分布式的了。所以，按照以前物理插线的模式，接入硬件安全设备，是不怎么行得通了。

         举个栗子：把客户比作房东，把安全厂商比作安防盗门的，那么，以前客户就是一户户农家小院（自有机房），安全厂商去装个防盗门就完事了；而现在，国家提倡住小区了（企业上云），安全厂商除了要去给小区安个大门，还要给每家每户安个小防盗门；而且客户要求也提高了，对小区来说，光安个大门已经不行了（合规要求），还要有监控、电子围栏、车牌识别、车库防盗系统….不安行不行？不行，房管局要求的很细（等保2.0 在5月已发布），房地产商（云服务提供商）必须要把自己的小区安全做规范（云平台自身必须过等保），另外群众富裕了，家里存古董黄金也普遍了，光安个防盗门不行，还得买保险柜（安全按需订购），不然房管局也不放心（云上业务也要做等保），要派人来提醒。而且派出所说了，如果家里东西丢了，要是物业没管好大门，物业要赔钱（云平台安全由服务商担责）；要是房东自己不关门被偷了，房东就自己负责（云租户对自己业务安全担责），这叫责任共担模型。总的来说，物业管好大门（基础安全），业主管好钥匙（管好自己的数据），其余的事情就让安全厂商来搞定（业务安全）。

         对安全厂商来说，生意也不好做了。人家物业（云厂商也有安全产品）自己也卖防盗门，人家和业主天天见着面儿打着交道呢，你安全厂商进小区还得先登记；另外，有的小区是政府下令修的（大数据局/经信委），修房子的是开发商（承建方），物业又另一拨人（运维方），业主又是人家大公司福利分房（各个委办局），你去卖防盗门，得跟政府、开发商、物业、福利分房公司领导都得一一打通关节，这生意才做的进去——这可比装修农家小院只需要搞定男主要费劲多了。

         另外，技术上难度也大了。以前是农家小院，大门简单；现在都虚拟化了，而且业主可能在好几个小区都买了房（虚拟机分布在不同物理节点），而且房子还可以在小区之间漂移（VPC，虚拟私有网络），人家要你统一保证安全（租户安全解决方案）；另外，有的物业公司要求你卖了防盗门得分点钱给他（合作增值模式），有的要一次性买你1000套防盗门送业主（大项目模式），有的是老业主认识你，就自己直接找你买防盗门（直销模式）；有的物业公司要和你长期合作（战略合作模式），有的要求你的防盗门预装（合作对接模式），有的留下统一尺寸找了多家来入围（生态链），咳咳，听起来就够复杂。

         说点高兴的：虽然生意难做了，技术难度也大了，但是盘子大啊！2018年国内云建设规模900多亿，和小龙虾产业规模差不多呢，而且还在持续高速增长。所以，你是否盘算过你今年在这个蓝海里面能赚多少钱呢？

       好了，还是回归码农本色，老老实实讲几个核心技术原理吧：

1、服务器虚拟化

现在的服务器都是以虚机为粒度分配，甚至还有Docker粒度。主流虚拟化技术国内主要是KVM和VMware。一个租户的服务器就是一组虚拟机，虚拟机往往会分配到不同的实体机上。

2、网络虚拟化

为了解决4k等问题，网络也虚拟化了。Vxlan最为主流，就是在vlan报文前面又加了个udp报头，你理解为隧道就好。所谓overlay网络就是基于这个来的，Overlay在网络技术领域，指的是一种网络架构上叠加的虚拟化技术模式，是一个虚拟网络。

3、常见云网络拓扑模型

在云机房，SDN网络较为常见，按照overlay模式，常见拓扑有三种：

• Network Overlay 隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高，可以支持非虚拟化的物理服务器之间的组网互通。
•  Host Overlay 隧道封装在vSwitch完成，不用增加新的网络设备即可完成Overlay部署，可以支持虚拟化的服务器之间的组网互通。
•  Hybrid Overlay是Network Overlay和Host Overlay的混合组网，可以支持物理服务器和虚拟服务器之间的组网互通。

4、CSA云安全模型

这个是CSA提的，去客户那喷的时候你总得找点权威依据吧，如图：

5、责任共担模型

因为篇幅原因，所有问题要讲清楚需要50w字，请自行百度脑补。

再讲几个法律法规：

1、网络安全法

2、云等保2.0

好了，看到这里，您也是半瓶水的云安全砖家了，最后给CSS（Cloud Security Solution）产品部做做广告：

“软件定义的智能、可运营“云安管平台