專有云平臺在物理設施層的基礎上，通過云平臺控制面實現了數據和資源的集約化，并擁有了更完善的運維和運營體系。伴隨而來的是，物理設施層和云平臺控制面更容易受到關注和攻擊，即“云平臺安全”遭到威脅。

面對安全威脅，專有云平臺如何見招拆招，實現層層防護？百度智能云專有云 ABC Stack 落實強合規，立足用戶需求，破除傳統安全防護困局，以邊、網、端、審、管五大防線全方位構筑“防護長城”，由點及面，從區域到全局，深層次保障專有云平臺的平穩運行。

邊：多重技術加固基礎防御工程

即出口邊界。多數情況下，互聯網出口等邊界是攻擊者的必經之路，也是安全防護的第一道防線。

首先，專有云 ABC Stack 會基于防火墻的白名單機制，做“IP+端口”級的訪問控制。默認 deny 所有訪問請求，根據“報備信息”進行放行。當然，也要對合法訪問保持警惕。通過入侵檢測系統 IPS 對數據包進行安全檢測。IPS 提供了從網絡層分析到應用層分析、從應用識別到行為分析、從協議解析到業務語義分析的全方位分析，并采用了大量基于攻擊原理的新型檢測技術，提升抵御未知漏洞攻擊的能力。

其次，專有云 ABC Stack 會采用 Web 應用防火墻對平臺應用（運維平臺、運營平臺等）進行重點安全防護，抵御 OWASP Top 10等各類 Web 安全威脅和拒絕服務攻擊。

網：層層措施保障數據安全流通

即傳輸網絡。傳輸網絡作為數據的流通環境，其安全重要性不言而喻。

在專有云 ABC Stack 上，云產品控制臺上的通信都受到了 HTTPS 安全協議的加密保護。在傳輸過程中，受保護的數據包括傳入或傳出組件的數據，以及在內部傳輸的數據。

專有云 ABC Stack 還通過威脅探針對關鍵網絡路徑的鏡像流量進行采集并還原，針對網絡流量進行安全檢測、反病毒、漏洞防護、防間諜軟件、IOC 情報檢測等威脅分析，并將分析后的威脅日志加密傳輸給安全運營平臺進行統一分析管理。

此外，專有云 ABC Stack 的安全評估系統也會模擬攻擊者，主動檢測網絡中的各類脆弱性風險，覆蓋所有主流網絡對象，包括 KVM 平臺，并提供專業、有效的安全分析和修補建議，同時貼合安全管理流程對修補效果進行審計，最大程度地減小受攻擊面。

端：自研產品精準控制防護部署

即宿主機端、云平臺管控端等。其安全防護可稱為守護云平臺安全的最后一道防線。

首先，專有云 ABC Stack 資源節點、管控節點等環境的宿主機 OS 均是自研 OS，部署了百度自研主機安全產品 HOSTEYE。HOSTEYE 是百度多年來安全技術研究積累的成果，具備資產清點、安全基線檢查、登錄審計（異地登錄報警、暴力破解攻擊攔截）、木馬后門查殺、惡意進程查殺、簡單蜜罐、補丁管理、主機異常檢測、RASP 等能力，搭建了事前識別、事中攔截和事后審計的閉環防護體系。

其次，專有云 ABC Stack 部署了“誘捕端”（蜜罐）。該部署用來混淆黑客的攻擊目標，能夠將攻擊隔離到蜜罐環境，從而保護真實資產、記錄分析攻擊行為，并結合攻擊反制和攻擊溯源精確獲取黑客的網絡身份和指紋信息，以便對其進行攻擊取證和溯源。

審：合規審計實現多項用戶需求

即對云平臺環境中的有關活動和行為的審計記錄。審計可以為回溯相關操作和訪問行為提供對應的證據。另外，審計是等保2.0等合規要求的重要組成部分。

ABC Stack 云平臺側具備的審計能力包括平臺側數據庫審計、運維審計和日志審計。數據庫審計對象為面向云平臺提供基礎服務的關系型數據庫，可審計虛擬機刪除、虛擬機重啟等云上特有行為；運維審計的核心是堡壘機，可實現運維管理過程中身份認證、權限控制、操作審計等能力；日志審計能夠實時不間斷地采集匯聚宿主機 OS、網絡及安全設備的日志信息，可協助用戶進行合規審計與分析。

管：平臺、技術與人力建造多維屏障

即安全運營管理。上述邊、界、端、審實現的是“點”的防護，而安全運營管理，則實現了由“點”及“面”的防護，包括安全數據的集中采集、多維度關聯分析、快速應急處置、完整溯源分析。

專有云 ABC Stack 提供安全運營平臺，匯集威脅探針、網絡設備、安全設備、操作系統等來源的告警數據，結合內置安全規則庫、威脅情報、專家經驗庫、關聯分析、自定義關聯規則等方式識別各類安全威脅。

此外，專有云 ABC Stack 能夠通過大數據和深度挖掘等技術，從多維度海量數據中提取黑客入侵行為的蛛絲馬跡，有效地檢測出各類威脅。專有云 ABC Stack 還具備 SOAR 編排能力，能夠對確定威脅進行多種類型的響應處置，真正打造從監測預警、威脅檢測、溯源分析到響應處置的安全閉環。

與安全運營平臺相配合，專有云 ABC Stack 提供專業安全運營人員，通過“本地運營+遠程支撐”協助用戶更好地運用平臺工具實現安全目標，幫助用戶快速發現安全威脅、分析問題、確診問題、協調各類資源解決問題，支撐用戶持續迭代優化安全體系，從而進一步提高整體安全運營成效。

ABC Stack 作為與百度智能云同棧的私有化平臺，已經獲取近30個國內外權威資質，包括通過等保四級測評、中央網信辦云計算服務安全評估、銀監會-數據安全防護及運維體系審核、ISO 系列等認證，全面滿足政務、金融等行業上云的安全要求。

專有云平臺的安全保障是一項持續性的、動態的、體系化的工作。百度智能云專有云 ABC Stack 希望能夠有機會與客戶共同分析、整理專有云平臺安全的需求和未來期望，結合百度在信息安全工作方面的知識積累、技術沉淀及管理經驗，提供更優質的技術設施與安全保障一體化的解決方案。

總結

以上是生活随笔為你收集整理的由点及面，专有云ABC Stack如何护航云平台安全？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。