为什么要说云网安全。以前都是网络安全和信息安全的说法，自从电信运营商提出云改数转、云网融合以后，我们就开始提云网安全。因为确实不仅仅是云和网都面临来自外部和内部的各种威胁、风险。这次主要谈云网安全中的安全中台、安全能力池、云安全及MEC网络安全四个部分。

       安全的内容其实比较复杂，所以我们要更多的和现实结合起来，便于理解。我这里做了一个不是很完美的比喻。将我们安全的工作和新冠肺炎疫情防控的工作做了个类比。安全中台就好比指挥部，负责数据的收集，大数据展示疫情动态，进行疫情防控的调度等。安全能力池就好比各个交通进出疫情防控点，比如说从一个省到另外一个省，一定会有疫情防控点对你进行检测，有没有发烧，咳嗽、二维码怎么显示怎么样。云安全，更像我们医院的疫情防控，医院本身要做疫情防控，云自身也要做疫情防控，同时医院还要给各个防控点提供防控手段，比如检测的仪器，就像我们云的安全，既要针对虚拟化平台和资源进行安全防护，采用虚拟化技术提供安全防护能力。

       下一步安全发展的趋势。为什么说形势日益严峻？中国电信云网融合与企业数字化转型带来融合弹性、开放的网络环境，以及多元化、专业化的业务场景，安全风险涉及面更广，安全检测精度与响应时限要求更高，安全运营更为复杂。亟需从功能架构、技术架构、运营架构等方面统一规划、统一构建。

中国电信很早以前建设了SOC平台（Security Operations Center），基本夭折了，最初的基于网络异常流量监控、安全事件的集中监控、安全风险评估、垃圾邮件集中自动化处理等能力虽然具备，但是等级很低。SOC（安全管理平 台）通过实施安全管理平台，将分散在各个设备上的安全事件进行集中地 收集汇总。SOC是一个管理安全事件的平台，是网络安全数据的处理中心和指挥中心，它具备统一的安全事件的一个收集分析的功能、统一的安全设备的管理的功能，实施一个全面的告警和响应的管理，与电信的OSS系统进行有效地衔接，调度我们整个维护的体系。按照SOC的定义，其实中国电信是没有完全实现的。

       在“2009通信网络和信息安全高层论坛”上，中国电信广州研究院数据通信研究部副部长金华敏表示SOC之所以没有达到预期：

       第一个方面是我们对于SOC的定位和运营的问题。缺乏SOC的运营队伍，很难形成一个有效的SOC运作的流程。

       第二个尽管引入事件的关联分析，但不区分被管理对象的种类，也不区分管理对象的重要性。导致的问题，一方面是我们的管理平台充斥着大量的没有意义的事件，还有漏洞和告警。但是，我们真正需要的，能力得到的一些事件、一些风险，他没有探测到、发现到。

       第三SOC系统在宏观上缺乏全网的安全分析视图，微观上缺乏安全基线的定制，也缺乏安全告警的深入分析和响应工具，影响到SOC效率的发挥。

       云网安全的架构和演进。整个架构里面，安全能力管理平台和安全能力池是重要的部分，提供防护手段主要在这里；其次，AI和大数据分析能力的引入，会极大的提升我们的安全的分析能力，解决原有SOC平台的一些痛点。
  安全中台部署架构。安全数据采集的点就在大数据前置节点，既负责省安全数据的采集、稽核和预处理；又负责向集团输入数据进行治理和建模分析。
       安全能力池功能。监测审计类安全能力集中部署，或者说管理类、对时延要求不高的安全能力集中部署。部分网关类安全能力，或者说流量型对时延敏感的安全能力，下沉近源端部署，确保时延满足要求。

       

云原生安全

       谈安全之前先来谈谈云原生。云原生应用也就是面向“云”而设计的应用，在使用云原生技术后，开发者无需考虑底层的技术实现，可以充分发挥云平台的弹性和分布式优势，实现快速部署、按需伸缩、不停机交付等。云原生涉及的几个概念：

       微服务。微服务解决的是软件开发中一直追求的低耦合+高内聚，微服务的本质是把一块大饼分成若干块低耦合的小饼，比如一块小饼专门负责接收外部的数据，一块小饼专门负责响应前台的操作，小饼可以进一步拆分，比如负责接收外部数据的小饼可以继续分成多块负责接收不同类型数据的小饼，这样每个小饼出问题了，其它小饼还能正常对外提供服务。

       DevOps。DevOps这个词，其实就是Development和Operations两个词的组合。它的英文发音是 /de‘vɒps/，类似于“迪沃普斯”。DevOps的意思就是开发和运维不再是分开的两个团队，而是你中有我，我中有你的一个团队。

       持续交付。持续交付的意思就是在不影响用户使用服务的前提下频繁把新功能发布给用户使用。

容器化。容器化的好处在于运维的时候不需要再关心每个服务所使用的技术栈了，每个服务都被无差别地封装在容器里，可以被无差别地管理和维护，现在比较流行的工具是docker和k8s。

       企业可以获得一些云原生的“价值”比如敏捷、弹性、自动化这本质上还是解决基础架构层面的问题，而资源效率、业务智能、安全性…这些大企业更关心的，并未完美解决。云原生2.0，企业云化从“ON Cloud”走向“IN Cloud“，生于云、长于云且立而不破。

       云原生安全。百度百科的解释过于抽象，我举个例子：现在我们的安全体系都是以一个个系统和安全能力池的形式进行安全防护。但云原生安全是让安全作为云的基本原子能力集成到云产品需求分析、设计、研发、验证、发布、运营整个过程中。

Gartner全球最具权威的IT研究与顾问咨询公司。提出云原生安全体系具备的三大基本能力。一是能够对云环境下面临的新风险和威胁形式进行检测与响应，例如云的不当配置、云API的恶意调用、云API密匙泄露等；二是云原生安全体系各安全组件和能力应支持部署于云环境（云主机、容器等），以实现安全能力服务化和弹性交付；三是覆盖私有云及各公有云环境，为企业级客户提供统一、有效和易用的云安全能力和解决方案。

      MEC安全总体要求。MEC 业务管理平台、省级汇聚层、MEC 边缘节点如使用云资源池提供的IaaS、PaaS、SaaS 服务，MEC 建设维护单位应和云服务提供单位明确各自的安全工作分工，制定各自安全方案。如果MEC由云资源池承载，则云资源池应缺省提供物理安全、三层网络隔离安全、剩余信息保护服务。

      MEC主机作为一个运行实体，其上运行着MEP（MEC平台）、MEC APP及用户面（4/5G网关功能，即UGW-U/UPF）。MEPM（MEC平台管理器）可以帮助管理不同的MEC平台，同时MEPM会将管理结果向MEAO（边缘业务编排器）反馈。MEAO会向MEP下发的业务部署脚本，向MEC平台下发MEC应用镜像和配置等，实现MEC APP生命周期的管理等。MEC APP: MEC服务。