云计算经过多年的发展，形成了通过将各种资源进行快速调度和组合来满足不同业务需求的能力，它融合了多种技术、集百家之所长，为高并发、大流量、大数据和强计算等业务提供了完美支撑。

我国还处在云计算技术应用的发展期，云计算应用在互联网、运营商和金融等行业的带动下，逐渐向其他行业延伸。但今天摆在企业眼前的一道坎就是平稳实现数字化转型，要想跨过这道坎，安全是不可或缺的核心能力。

为了使企业在“上云”的过程中安全地进行数字化转型，安全牛联合在云安全技术领域深耕多年的实践者——长亭科技、迪普科技、H3C（新华三）、华清信安、弘积科技、绿盟科技、奇安信、深信服等8家行业代表性企业，从云安全建设的顶层设计出发，梳理了国内现阶段具有较高落地指导性和价值体现性的建设方式方法。另一方面，安全牛还实际调研、访谈了50余位行业用户，包括金融、科技、交通、教育、医疗、互联网、运营商以及大型制造企业等，从实际应用的角度收集一线安全建设人员最真实的云安全应用反馈，探讨云安全建设的核心问题、研究安全能力与业务的匹配度。

报告关键发现

• 报告调查发现，超过四分之一的受访企业表示，云环境安全性已经成为了业务安全的重要保障。89%的受访企业表示，私有云环境发生安全问题时，将直接影响到企业核心业务的开展；
• 云安全应具备三大核心能力：防护能力、服务能力和运营能力。私有化云环境的安全能力构建应该涵盖安全技术能力体系建设、安全运营能力体系建设、法律法规与信息安全管理体系建设以及自动化的安全管理平台建设；
• 在现阶段，云安全能力还不完全成熟的环境下，企业结合自身的业务应用情况适当的采用补偿控制措施与云安全联动，是适应我国企业生产环境的一种最佳实践；
• 以SaaS化的安全云模式将安全能力提供给企业，对安全运营能力不足的中小企业是一个高性价比的选择，对于大型企业用户，也可以用来实现某些特定业务安全性的加强和补充；
• 云原生安全可以充分利用云平台的能力，释放安全控制的潜力和能力。但实现原生安全需要较长时间的实施周期和运行调试过程，云建设方共同参与推进不可或缺；
• 私有云安全建设需要平台化和体系化的能力保障，但目前云安全各安全能力点之间标准化程度较低，在很大程度上增加了企业建设难度和后续的协同效果；
• 私有云安全建设的可知与可见性需进一步加强，私有云安全能力的实现需要摆在企业以及政府和行业监管的眼皮下，让用户放心、让监管省心。

私有云安全能力构建模型

本次报告中，我们根据相关专家观点和用户实践，梳理提出私有云环境下安全能力构建模型。安全牛认为，私有化云环境的安全能力由三体系一平台构成，分别为安全技术能力体系、安全运营能力体系、法律法规与信息安全管理体系以及自动化的安全管理平台。

目前，云环境下的安全能力构建主要包括：安全云、工作负载保护、安全资源池、零信任、内生安全和原生安全等。对于现阶段的企业应用环境来说，参考技术成熟度和落地实施难度，我们通过对甲方企业用户进行调研，也得到了较为真实的反馈。

调查数据显示，有一半的企业都使用了安全资源池和安全云的模式，有四分之一的企业使用了内生安全和工作负载保护的模式。另外，有近一半的企业信息系统还没有完成业务上云的迁移。

安全牛将长期关注云计算领域安全建设，本报告是云安全领域的系列研究报告之一，专注于私有云环境的安全能力构建，为私有云用户提供云安全能力建设的参考。希望可以使企业在建设云安全能力的时候得到一些启发，少走一些弯路，提高工作效率。