随着云的应用越来越多，客户的云环境也变得越来越复杂。曾有调查称85%已经转向云的企业要跨云，有些应用和服务会放到AWS上，有的会放在微软云上，有的会放在主机托管的云上，有的会放在企业自己的云平台……可见，这已经成为未来发展势不可挡的趋势。Juniper也意识到这一趋势，于近日宣布推出全新的Contrail Security微分段安全解决方案，该方案能够为企业和SaaS云供应商在多云环境下运行的应用提供有效的保护。

记者在日前采访了Juniper大中国区技术总监王栋，他详细讲解了Contrail Security是如何一步步解决客户安全的痛点，并有效抵御安全威胁。

多云环境带来哪些安全痛点?

王栋将客户在多云环境下的安全痛点归纳为四类：

首先是应用程序不透明。由于每一个云平台的模式和底层架构都不一样，所以当应用在公有云、私有云、混合云之间运行时，客户完全不知道应用程序的特性和流量情况。

其次是策略数量激增。众所周知，由于每个云平台的安全特征都不同，需要运维人员根据平台的特性制定不同的安全策略。王栋表示，一个系统动辄几百个策略，一个设备上可能写着上千条的策略，如果用人力来逐一制定部署，安全策略制定难免百密一疏。更令人担忧的是，人为操作工作量繁重，一旦操作失误就会带来不可估量的损失。

再者是操作复杂性，多云环境让企业客户的运维工作压力突增，跨多环境的意图驱动，自动化的可互操作的API都让管理变得非常复杂。

最后是可扩展和执行的横向威胁防御，随着安全边界的模糊，传统所谓的“边界防护”的概念已经完全不能适配多云环境，那如何在企业应用扩展的同时也可以横向地扩展安全的性能和保护的效率呢?这是很多企业用户在思索的问题。

Juniper深刻了解了这些向云迁移的客户痛点，推出了Contrail Security，保证客户实现跨混合及多云环境的应用安全。

三大秘密武器铸造应用安全“神器”

如何化解企业用户遇到的这四大难题，保证应用的安全?王栋认为，Contrail Security解决方案从三个方面入手，逐个击破应用安全顽疾也并非难事。

Contrail Security安全解决方案首先实现了应用流程的可视化。这能够帮助客户了解不同应用分别是呈现出怎样的流量状态，例如应用从前端的Web服务到后端数据库，流量如何，是否出现问题，都可以反映在Contrail Security的软件界面上。王栋认为，这些数据给安全性提供更多决策的能力或者是决策的依据，十分有价值。

另外Contrail Security安全解决方案还有一个非常亮眼的功能，那就是一致的“意图驱动”策略。王栋举例道，现在人们出行，查询路线时其实想知道的并不是“在哪里上车，坐多少路车，是否需要转地铁”，而是希望知道哪条路线最快、最省钱或者最舒适。而这一的描述方式，就属于“意图驱动”，同样，在企业运维人员也希望用“意图驱动”描述安全策略，而不是之前“我需要某个IP地址，我需要某个网络接口”这样描述方式。

“通过一个一致的自动化的意图也可以更好地表现多云、多应用底层环境下它的策略要求。”王栋透露，这种意图驱动的功能已经在申请专利过程中，它可以更好地帮助IT人员或者是云的运维人员来管理网络，可以更好地帮助客户发现网络异常，从而解决它。

除以上两点外，可扩展和高性能的多点执行也是Contrail Security安全解决方案的一大特色，过去安全设备的执行点一般被放在网络边界的防火墙上，但Contrail Security部署方式灵活多样，可以实现多点执行，通过叠加网络(overlay)到防火墙都可以做部署。除此之外，Contrail Security还能够与下一代虚拟防火墙进行集成，从而提供高级安全服务，确保业务安全。

记者认为，多点执行突破了边界安全的传统模式，把安全分散在所有计算节点上，这样一来，有的企业甚至可以完全撇开旧的边界安全，是一个非常好的创新点。王栋补充道，安全分散在计算节点之后，工作流变得分散，可计算能力却大大提高，承担的负荷更大，部署更优，企业的海量业务更不容易受到影响，客户体验会变得非常棒。

给管理做“减法”，让安全更加分

当记者问及Contrail Security对企业客户最大的吸引力时，王栋认为它最大的好处在于屏蔽了底层的复杂性。他解释道，对于一个网络安全管理人员来说，部署Contrail Security解决方案并不需要清楚Juniper应用系统的底层特征，只需要清楚顶层的安全策略定义，制定好安全策略后它就会自动就下放到企业的具体应用场景中。

“Contrail Security是一个策略架构，部署了很多虚拟执行点安装在系统底层，它会自己转发成对于特定平台的安全定义或者是最终的执行步骤，企业安全管理人员只需要知道应用数据流应该怎么走，哪些流量不被许可进入就足够了。”王栋总结道。

记者了解到，在多云环境下的应用安全的防御，还属于比较新的领域，目前这个市场只有一些新兴的初创公司。但即便如此，客户已经开始有需求，预计多云管理和多应用的管理的安全市场规模将达90亿美金。“Contrail Security解决方案的研发花了一年多的时间，是因为Juniper更希望做出精品，”王栋强调，多云环境的应用安全市场还需要很长一段时间去发展，其市场空间还很大，Juniper希望与这个市场的客户一起成长，共同实现应用安全的强大与灵活。

有不少人认为数字化转型如同赋予企业第二次生命，但在挖掘业务更多价值的同时风险却始终相随。现在应用安全在企业客户心中的地位变得越来越重要，Juniper已经抢先迈出第一步，未来如何，让我们拭目以待。

本文作者：周雪

来源：51CTO