對于租戶(hù)/業(yè)務(wù)管理員而言，業(yè)務(wù)上線(xiàn)過(guò)程中所面臨的繁瑣安全配置往往是掣肘業(yè)務(wù)上線(xiàn)速度的主要原因，在面向對象的IT架構中，這個(gè)問(wèn)題更為突出。對于動(dòng)輒管理數百個(gè)業(yè)務(wù)系統的IT管理員而言，如何快速且準確的針對業(yè)務(wù)特點(diǎn)進(jìn)行安全業(yè)務(wù)配置，無(wú)疑是一個(gè)巨大的挑戰。

在傳統模式下，每一個(gè)安全能力，都要對被保護對象進(jìn)行多方面的定義，配置邏輯從網(wǎng)絡(luò )層至應用層都不可或缺，但此種方式無(wú)法適應在云環(huán)境中的無(wú)界網(wǎng)絡(luò )，對租戶(hù)的配置對象無(wú)法進(jìn)行統一的引用。

新華三安全云改進(jìn)了傳統安全業(yè)務(wù)的配置方式。在安全云的方案架構中，所定義的對象（資產(chǎn)）可以被所有安全服務(wù)進(jìn)行調用，可定義的對象（資產(chǎn)）包括DNS域名、IP地址/地址段，應用協(xié)議、特征字段等多種元素。不同的安全服務(wù)類(lèi)型，可以靈活選擇不同的防護對象（資產(chǎn)）。通過(guò)調用OpenStack的標準接口，安全云能夠動(dòng)態(tài)的對虛擬機列表及租戶(hù)（業(yè)務(wù)）網(wǎng)關(guān)列表進(jìn)行同步，確保租戶(hù)（業(yè)務(wù)）管理在配置過(guò)程中能夠準確的對相應資產(chǎn)進(jìn)行防護。從根本上解決安全業(yè)務(wù)能力同租戶(hù)對應的問(wèn)題，極大的降低安全配置的復雜度。

在完成防護對象（資產(chǎn)）的選取之后，安全云對各個(gè)安全業(yè)務(wù)的配置邏輯進(jìn)行統一抽象，從安全業(yè)務(wù)使用者的角度重新設計，并將相關(guān)配置操作轉換為OpenStack可以識別的安全業(yè)務(wù)插件，通過(guò)插件接口對實(shí)際的安全能力進(jìn)行配置下發(fā)，最終完成安全業(yè)務(wù)快速自動(dòng)化部署。

同時(shí)，安全云還能夠提供安全業(yè)務(wù)使用效果的展示，通過(guò)動(dòng)態(tài)圖表，直觀(guān)顯示安全業(yè)務(wù)生效后的使用效果，包括命中率，事件統計，安全態(tài)勢等多個(gè)維度的指標，使安全業(yè)務(wù)的使用效果一目了然。徹底解決安全事件不可見(jiàn)，安全效果不可知的現狀。

以下選取Web應用防護配置過(guò)程，詳細介紹新華三安全云的配置過(guò)程。

首先，選擇需要防護對象（資產(chǎn)），通常，Web應用防護的對象（資產(chǎn)）是DNS域名，從下拉列表中，可以選擇之前定義的所有DNS域名。完成之后，點(diǎn)擊下一步，進(jìn)入Web應用防護策略配置界面。

圖：選取安全防護對象

隨后，選擇需要開(kāi)啟的Web應用安全防護。安全云將Web防護類(lèi)型抽象為三個(gè)大類(lèi)，包括Web應用攻擊防護、CC安全防護、惡意IP封禁。三類(lèi)安全防護能力，都可以通過(guò)點(diǎn)擊“狀態(tài)”開(kāi)關(guān)一鍵開(kāi)啟，并能夠立即生效。對于Web應用攻擊防護規則策略，可以選擇不同的安全防護強度，也可以進(jìn)行自定義安全規則詳細配置。僅需要兩個(gè)步驟，就完成了對Web應用安全的配置。

圖：開(kāi)啟安全防護策略

在安全配置完成之后，展示頁(yè)面可以從攻擊排行、安全事件、攻擊趨勢等多個(gè)維度對安全服務(wù)配置效果進(jìn)行基本的展示。云境·安全云也能通過(guò)云智·安全態(tài)勢感知服務(wù)對全局合規態(tài)勢、攻擊態(tài)勢、運維態(tài)勢、Web安全態(tài)勢進(jìn)行更深入的展示。

圖：展示安全防護效果