混合雲等保就缺一個防火牆

人總是在一個不适當的時間被推上一個不适當的位置去做一件正确的事情。

——丘吉爾

前兩天客戶告訴我：他們把阿裡雲WAF用在了本地部署的網站上，挺好！解決了他們網站裸跑的問題。

進一步，他問我還有哪些阿裡雲安全産品支援本地環境，我稍微理了一下，結果吓了一跳，竟然發現：

阿裡雲等保安全産品幾乎全線支援『非』阿裡雲環境部署。

（上圖來自阿裡雲等級保護解決方案頁面）

不相信？讓我們一個個看：

• 阿裡雲WAF、阿裡雲WAF支援CNAME方式接入，WEB系統不管在不在啊裡雲上都可以通過修改DNS解析的方式接入到阿裡雲WAF。
• 阿裡雲安全中心、阿裡雲安全中心就是安全廠商經常念叨的态勢感覺，而且過去的雲安全中心的前身之一就叫态勢感覺，态勢感覺和安騎士合并為雲安全中心。通過将阿裡雲安全中心的agent部署到線下IDC或者其他雲服務上即可實作接入。
• 阿裡雲堡壘機、阿裡雲堡壘機其實就是一個RDP/SSH的協定代理，在代理這些管理流量的同時實作操作審計，是以隻要網絡可達，再結合一些網絡安全政策禁止所有非阿裡雲堡壘機對伺服器管理端口的通路即可接入阿裡雲堡壘機。
• 阿裡雲資料庫審計、資料庫審計本身是一個旁路裝置，通過網絡抓包的方式收集資料庫和應用伺服器之間操作過程來實作審計功能，通過将阿裡雲資料庫審計的agent部署線上下IDC或者其他雲伺服器上即可接入，資料庫審計可以通過修改發送資料位址的方式支援公網接入，當然，這種部署最好能夠在有VPN/專線的保護下實施，
• 阿裡雲DDOS高防IP、阿裡雲高防IP和阿裡雲WAF一樣都支援CNAME方式接入，修改DNS解析即可實作非阿裡雲環境的接入。
• SSL證書、證書服務本身就不對部署環境有任何限制，雲上，雲下皆可部署。
• 漏洞掃描、隻要通過修改DNS記錄對掃描的主域名添加驗證資訊，無論網站是否部署在阿裡雲都可以用阿裡雲漏洞掃描進行漏洞發現。
• 安全管家、安全管家是阿裡雲提供的安全技術專家服務，包括應急版、護航版、企業版。
• DBS資料庫備份、備份系統雖然不屬于安全産品，但在等級保護中備份是一項非常重要的檢查項目，阿裡雲DBS支援對非阿裡雲資料庫伺服器的備份，并且支援部署備份網關，進而避免将資料庫伺服器直接暴露在公網上，利用資料庫網關還可以将備份到雲端的資料庫備份自動下載下傳到本地儲存。

在阿裡雲等級保護相關服務中隻有一個雲防火牆不支援『非』阿裡雲環境。

混合雲等保，就缺一個防火牆。