從主機防病毒、入侵防護，到應用程序控制、行為監(jiān)測及響應，再到主機的加固與運營等8大層面，能力層層遞進，防護面面俱到。而用戶應該先著眼于哪一層？哪一層才真正體現(xiàn)云安全防護的“真本領”？

　　內行看門道。亞信安全近期正式發(fā)布的信艙（DS）-云主機安全20版本（簡稱DS 20）全面滿足了云工作負載保護平臺CWPP各項功能。其中最核心，也是最見功力的更新集中在了云主機安全加固的能力提升。

　　云服務極大地滿足了用戶使用和拓展存儲資源、軟件資源和計算資源的需求，而主要風險正來源于此：

　　企業(yè)內部極少有人能及時了解本身的核心資產，如虛擬服務器規(guī)模、域名、網段的清晰情況。尤其是資產和組織架構越來越復雜之后，云主機數(shù)量統(tǒng)計幾乎成了一道最難搞懂的“高考數(shù)學題”。

　　從近年來主機安全事件來看，應用系統(tǒng)的配置風險是眾多用戶不太重視的問題；另外，隨著新的應用系統(tǒng)類型不斷增加并被應用到生產環(huán)境中，這方面的安全漏洞將會被大面積利用，這里面除了傳統(tǒng)的數(shù)據(jù)庫應用，Web容器、開源監(jiān)控系統(tǒng)（如Zabbix），MongoDb、Redis、Hadoop等新型應用配置風險漏洞也將成為黑客利用的目標。

　　想解決資產導致的風險問題，提升系統(tǒng)的安全防護能力的話，就要換位思考，從基于黑客入侵的視角對資產進行分析，了解資產本身常被黑客利用的脆弱點有哪些。這一步的分析我們可以從幾個方面進行思考：

　　經過分析我們不難發(fā)現(xiàn)，攻擊者的最終目標往往在于存儲重要數(shù)據(jù)的服務器。而攻擊者想要獲得服務器的控制權或數(shù)據(jù)的過程中，常以資產自身的漏洞、弱口令賬號為跳板進入資產內部，并通過提權，創(chuàng)建計劃任務等一系列動作達到目的。

　　解決思路清晰后，如何進行資產梳理和漏洞運營的方案也就對應產生：

　　亞信安全DS 20支持全面收集主機層面資產，包括端口、對內對外IP、web站點、web中間件、web應用、數(shù)據(jù)庫、進程、第三方組件、軟件應用、環(huán)境變量、計劃任務、jar包等；同時可對資產實時監(jiān)測，基于變更規(guī)則（變更頻率）進行告警。

　　【圖：亞信安全DS 20 資產管理】

　　近兩年，勒索病毒一直處于高頻活躍狀態(tài)，通過分析可以發(fā)現(xiàn)勒索病毒常常以文件服務器、數(shù)據(jù)庫等存放數(shù)據(jù)的服務器為目標，并利用弱口令、高危漏洞等作為攻擊入侵的主要途徑。

　　在亞信安全DS 20平臺上，用戶可通過漏洞管理模塊，全面排查系統(tǒng)中存在的漏洞、弱口令、風險賬號等，從而提升系統(tǒng)安全性；另外，亞信安全DS 20融合了NASL技術，通過POC快速對新出現(xiàn)的漏洞進行驗證，利用了NASL技術與國家漏洞庫建立聯(lián)動機制，極大地提升了重大活動和重點網絡中的供應鏈類漏洞預警響應能力。

　　【圖：亞信安全DS 20 實現(xiàn)漏洞管理可視化】

　　【圖：亞信安全DS 20 對系統(tǒng)漏洞風險全面評估】

　　對用戶而言，應急響應時間的長短，直接關乎著企業(yè)的損失。如何快速響應，控制威脅一直是安全人員及用戶關注的重點。對此，DS 20新增“資產一鍵搜”功能，可幫助用戶快速定位受威脅的資產，為處置動作爭取更多的時間。

　　云主機承載著關鍵數(shù)據(jù)及核心業(yè)務系統(tǒng)，一旦受到攻擊，整個信息系統(tǒng)中最具價值的部分將面臨失竊和被破壞的風險，為保障主機安全，因此需要構建以計算環(huán)境安全為核心的縱深防御體系，加強主動評估風險及主動預警響應能力。

　　為此，亞信安全DS 20 提供了強大的基線檢查能力，能夠對大量的主機進行統(tǒng)一掃描，支持檢測操作系統(tǒng)和服務（數(shù)據(jù)庫、服務器軟件、容器等）的弱口令、賬號權限、身份鑒別、密碼策略、訪問控制、安全審計和入侵防范等安全配置，并提供檢測結果，針對存在的風險配置給出加固建議。

　　【圖：亞信安全提供了豐富的安全合規(guī)基線模板】

　　數(shù)字經濟的快速發(fā)展和融合，給數(shù)據(jù)中心帶來了眾多挑戰(zhàn)，尤其是云數(shù)據(jù)中心面臨的安全風險正在加劇。持續(xù)演化的數(shù)據(jù)中心安全威脅不會遠離，云主機安全將是我們的最后一道防線。這也是亞信安全在DS 20 中增加云主機資產梳理、漏洞掃描、基線核查的目的，是構建云主機安全加固新防線的三個核心能力。

　　亞信安全是中國網絡安全軟件領域的領跑者，作為“懂網、懂云”的安全公司，致力于護航產業(yè)互聯(lián)，成為在 5G 云網時代，守護云、網、邊、端的安全智能平臺企業(yè)。以安全數(shù)字世界為愿景，以護航產業(yè)互聯(lián)為使命，亞信安全在云安全、身份安全、終端安全、安全管理、高級威脅治理和威脅情報等領域擁有核心技術。同時基于“安全定義邊界”的 發(fā)展理念，亞信安全以身份安全為基礎，以云網安全和端點安全為重心，以安全中臺為樞紐， 以威脅情報為支撐，構建“全云化、全聯(lián)動、全智能”的產品技術戰(zhàn)略，賦能企業(yè)在 5G 時代 的數(shù)字化安全運營能力。