随着公有云的出现，客户普遍存在双模IT的特征，稳定模式如私有云，按照传统和线性建设发展，注重安全和稳定，如金融和制造业的生产系统。敏捷模式如公有云，是探索和非线性的，强调敏捷和速度，如C端业务、创新业务。

基于对客户需求的观察，可以说绝大多数客户都采用了混合云，甚至All in公有云。伴随的安全挑战我认为主要来自三个方面：

一、混合云带来安全一致性的挑战。

企业需要安全一致性，他们非常希望能够在混合云中统筹安全策略和控制风险。

数据中心有成熟的纵深防护模型，广泛采用白名单确保业务安全规范。混合云中，存在南北向、东西向、微服务、API等复杂业务模型和调用逻辑。我们看到客户对这些资源都是单独控制，不同的环境由不同的人管理着不同的工具，随着时间的推移，这肯定是不可持续的。

现在，客户已经着眼于跨云和内部资源的统一控制，如通过云管平台打通多云资源，强调安全一致性的能力等，否则，业务部署肯定会因为安全性问题被放缓。

所以，提供一种灵活的、软件定义的、安全功能可伸缩扩展，广泛适配云平台的解决方案，会是客户需要的。

二、混合云带来更大的攻击面的挑战。

混合云环境的复杂性使企业面临多种攻击的风险。以前，客户服务器中病毒我们可以用已知的查杀工具清除；现在，要不帮客户恢复快照，要不教客户用比特币交赎金。

越来越多未知的漏洞、恶意程序、挖矿程序出现在客户的服务器中，客户解决问题的成本越来越高。

出现这种情况我认为有两点，首先企业的服务器部署太容易也太迅速了，来不及进行基线检查和漏洞扫描就投入生产。其次，公有云的环境的安全性较差，一些犯罪组织在公有云上执行自动化攻击，90%以上的C&C域名是指向到公有云主机上的，公有云为企业带来便利的的同时，也滋生了犯罪的土壤。

所以，把安全能力前置到云上每一台虚机或容器内，通过自动化运维、轻量化部署具备合规基线能力、风险漏洞检测能力，定位告警并触发自防护能力的主机安全方案，自动对所有终端分类成：受控/非受控、可信/不可信 四种类型，配合对应安全策略一致性管理，就能实现零信任安全网络的架构基础，应对混合云环境下随处存在的攻击挑战。

三、敏捷业务带来持续交付的挑战。

传统数据中心，安全运维团队把资源交付给开发部门，开发部门交付应用业务，业务从资源准备到上线通常数月，安全运维团队流水线作业是来得及支持业务的。

但现在，很多企业的业务应用由开发团队驱动，Devops已经成为敏态IT的标配，这就给安全运维团队带来了变化。

1. 安全需要从设计编码阶段就被引用，安全开发流程(SDL)被前置，安全不在是被动防护；

2. 安全团队不仅要防护漏洞，还需要懂业务逻辑，和开发人员一起对付羊毛党；

3. 持续的CI/CD过程中，安全也要实现自动化，开发做Devops，安全就必须DevSecOps。

应对这些挑战需要广泛接触新技术新理念。

我们看到Check Point的Infinity架构可以解决多云一致性风险，整合了云、终端和威胁防护。

新的Dome9将安全性和合规性整合进应用的CICD全生命周期安全，而不影响敏捷性。

开放的安全能力API接口，也为安全运维团队提供了整合安全能力，转型DevSecOps，应对未知挑战的机会。

所以，中天云图会在跟Check Point合作中，不断学习吸收消化新技术新理念，转换成保障客户数字化转型能力。

谈一谈中天云图在安全服务方面的生态建设和安全服务在生态里面的重要性。

因为服务是一项持续、不容易量化的产品，就仅举例一项已经标准化的安全服务。

Checkup安全检测服务我们已经与CheckPoint合作超过一年，为二十家客户提供了可视化的风险报告，及时发现网络中存在的风险并提供解读和针对性解决方案。既不影响客户业务，又能帮客户定期出具报告。既能提升服务体验，又能提高业务转化率。虽然没有都转化为CheckPoint客户，但通过专业服务提升了客户对中天云图安全服务能力的认可。

我们通过整合其他优秀厂商的安全能力转化成标准服务，帮用户提供网络安全、终端安全、应用安全、业务安全和云安全的能力。

中天云图云管平台配合MSP云服务外。重视云安全能力，通过ESB企业服务总线，整合优势厂商能力的API，提供API网关和注册和发布安全功能，持续扩充云服务和云安全能力。实现云主机自动注册自动配置安全策略，有兴趣可以台下交流。