云安全是云资源池建设、使用、运营、运维全生命周期中不可忽略的重要组成部分。当前，私有云厂商在安全产品的能力、类型和服务经验较为缺乏，部分厂商仅能提供基础安全能力，无法满足用户对于安全的中高阶需求。这种情况下，私有云建设方在方案规划阶段就需要考虑如何快速构建完善的安全能力体系，满足云上用户及行业监管的必要需求。

主流的建设思路有两种，一种是使用全套私有云厂商的安全产品，通过采集第三方安全产品硬件或软件方式补齐缺少的部分安全能力；第二种，私有云厂商与安全厂商合作，基于安全厂商提供的云安全资源池解决方案，构建云上安全能力体系。

第一种建设思路，适用于采购头部私有云厂家的私有云产品。这些厂商在安全领域投入较大的研发资源，配套的安全产品种类较多，基本能满足用户基础安全和等级保护的需求。私有云厂商自有的安全产品在使用体验上，基本能够与其他云上业务保持一致，如统一的UI设计、租户自服务能力、一致的计费计量、统一的操作入口、操作简单等。

多数私有云厂家能提供的安全产品种类、能力，甚至运营服务能力各有不同，且绝大部分私有云厂商在项目交付过程中，需要集成第三方安全产品，才能符合项目要求。在该模式下安全能力是简单的交付集成，最大的需求变成了网络部署上的互联互通、相互兼容，所以在使用体验上，有可能出各种各样的问题，如产品许可授权不一致、产品入口不统一、无法做到租户自服务等等。云上扩展新安全能力的难度也较大，不利于未来云业务的长期发展。

第二种思路，非常适合安全能力较弱的私有云厂家，可以快速集成完整的安全解决方案并实现交付。对于云用户而言，客户还可以享受安全行业头部厂商提供的产品和服务。主要应用场景是政务云、行业云。

基于云安全资源池的方案，需要考虑以下关键性问题：

当前，主流安全厂商提供的面向云环境的安全资源池方案中，安全产品基本都是采用软件交付和集成，并且配套统一的安全管理平台对不同种类的安全能力进行统一授权，统一开通部署、统一的运维配置等，可按照单租户需求进行独享一套安全产品或多租户共享安全产品进行划分。

单租户独享：每个租户都需要部署一套安全产品虚拟机，包含安全服务。该独享模式适用于云上租户规模较小的场景，一个虚拟机承载一种安全业务，部署和管理简单，无需考虑复杂的网络场景，部署在租户办公网络内即可使用。

多租户共享：在云平台搭建阶段，统一集中部署安全资源池，后续多租户共享基础安全底层，但业务层互相隔离。该模式适用于云租户规模较大、且对安全产品可靠性要求高的场景。因支持该模式的安全产品需考虑到可靠性、扩展性，对初期部署的资源要求较多。

安全产品以及云安全资源池管理平台的管理网和业务网络需要结合私有云的网络模型进行细化设计，在私有云建设阶段做整体的规划。在安全产品的业务网络部分，除了考虑能否满足互通性要求外，也许要考虑网络的安全性、配置的便捷性，网络配置的最优方式即通过云平台上的网络功能，即可实现，无需通过某些仅管理员或者网络工程师可登录的后台，进行网络的配置维护。

集成方式一： 松耦合

平台增加单点登录，云资源和安全资源的管理入口统一。此模式下，安全产品的部署、管理仍需要通过两个平台共同完成，由云平台操作安全虚拟机和网络的配置部署，安全管理平台实现安全产品的纳管和安全业务的配置管理。

此模式相对简单，上线周期短，适合云上租户数较少，且云上的运维工作由私有云平台建设方承接，所以对于“拎包入住”的业务方而言，省却了很多感知体验。

方式二：半耦合

平台增加单点登录，且安全管理平台可对接云管理平台的接口实现安全产品的部署、使用、运维配置都在安全管理平台上进行，没有操作的割裂性。

此模式开发投入较大，需要安全厂商投入较大研发资源，适用于单个项目中租户规模大，且安全业务需求较多的场景。

方式三：紧耦合

私有云平台上开发所有安全产品的介绍、下单、开通、部署页面，仅在安全产品使用时，通过单点登录能力登录到产品的使用页面。 此模式仅适用私有云厂商拥有富裕的研发资源，项目数多，单项目拥有大规模租户、客户侧或者私有云厂家对品牌一致性、统一的计量计费、操作体验较高要求的场景。

缺点：开发投入大、安全产品或私有云平台往往都为分支/定制版本，迭代频次低。

基于私有云市场的云解决方案现状，通过集成第三方安全厂商成熟的云安全资源池解决方案是一条快速构建完善的云安全能力体系的路径之一。每个项目中集成方案的目标与落地可行性，需要结合实际的业务规模、用户场景、项目上线时期要求、投入成本等进行综合考量，并制定切实可行的目标和计划。