2.  混合云环境下的网络安全技术

3.  公有云厂商网络安全技术比较

4.  混合云环境下的网络分层防护方案

混合云环境下，企业可以使用综合考虑各个云厂商自身提供的网络层安全服务以及云安全市场中其他安全厂商提供的网络产品或服务，从边界DDOS防护、边界云防火墙、VPC间防火墙、虚拟子网间访问控制及云主机间的访问控制等多个层次，构建企业混合云业务的网络层纵深防御体系。

l互联网边界处，使用DDOS清洗服务或高防IP，过滤DDOS攻击；

l互联网边界处，使用云防火墙和IPS技术，实现网络层访问控制、流量监控告警和入侵防护功能，包括不公有同云厂商集成提供的暴力破解、虚拟补丁、信息窃取、防病毒等功能；

lVPC和VPC边界处，部署VPC边界防火墙，对VPC之间的访问和流量进行管理；

lVPC内不同网段间，可使用虚拟交换机策略，管理同一VPC内不同子网间的访问；

l云主机之间，使用安全组策略，管理同一VPC内不同云主机之间的访问；

5.  混合云环境下的网络安全挑战和应对

混合云环境下，因为应用系统部署、应用架构调用、业务数据流转及使用人员的复杂性，导致安全人员难以追溯并理清楚各类访问需求和访问路径，无法在用户和应用访问路径的关键节点采取合适的安全防护措施。不过安全仍然可以从以下两方面积极应对：

1）梳理访问关系

l梳理IDC、公有云、私有云中各类应用和应用分配的网段；

l梳理应用、VPC间访问和调用关系并进行分类、分级汇总；

l梳理使用人员，包括外部业务用户，内部运维、开发、测试，内部业务用户，第三方人员等；

l梳理使用人员访问各应用的访问路径，并进行分类、分级汇总；

l明确关键资产的访问对象和访问路径；

2）访问路径的纵深安全控制

l结合资产价值进行访问路径风险评估，包括现有主要控制措施，补偿性控制措施等；

l基于纵深安全防御理念，在各个访问通道的关键边界处，进行访问控制、流量检测、攻击流量阻断、虚拟补丁等，同时在访问资产前，加强对用户和访问设备的身份鉴别、权限管理等安全措施。

l明确混合云环境下的网络安全目标：基于业务/应用/VPC/人员访问需求，在网络层面实现基本的网络隔离和访问控制功能，对访问流量进行检测告警，对异常访问流量进行阻断等。

l对于一些场景如企业内部员工访问云上SaaS应用，可选择和使用CASB产品对访问资产和路径进行安全控制；

l考虑使用SDP/ZTNA产品，减少可见攻击面，加强用户身份、设备认证和权限管理，替代VPN访问通道；