試論云端安全防御體系的構(gòu)建

□杜駿震 林 梅

(山西廣播電視大學(xué)，山西 太原 030027)

隨著云計(jì)算技術(shù)的發(fā)展與成熟以及社會(huì)信息化進(jìn)程的加快，云計(jì)算服務(wù)模式受到了廣大用戶的青睞，越來越多的行業(yè)用戶開始將其應(yīng)用系統(tǒng)遷移到公有云上。與此同時(shí)，如何確保公有云上系統(tǒng)與應(yīng)用的安全是用戶極為關(guān)注的要點(diǎn)。公有云的安全采取云服務(wù)提供商、用戶及云安全服務(wù)商責(zé)任共擔(dān)的原則。云服務(wù)提供商負(fù)責(zé)確保云環(huán)境基礎(chǔ)設(shè)施的底層安全，包括計(jì)算組件、存儲(chǔ)基礎(chǔ)設(shè)施、數(shù)據(jù)庫和網(wǎng)絡(luò)。云安全服務(wù)商負(fù)責(zé)確保云服務(wù)平臺(tái)的安全。用戶確保負(fù)責(zé)業(yè)務(wù)應(yīng)用的安全。從技術(shù)應(yīng)用來看，云端應(yīng)構(gòu)建一個(gè)包括網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、服務(wù)等多維度的安全體系，實(shí)現(xiàn)云端網(wǎng)絡(luò)空間安全態(tài)勢感知。在開放的安全運(yùn)維管理平臺(tái)下實(shí)現(xiàn)賬號(hào)授權(quán)管理與訪問控制、遠(yuǎn)程運(yùn)維安全、日志審計(jì)分析以及各類安全產(chǎn)品的協(xié)同工作。

一、網(wǎng)絡(luò)安全的核心內(nèi)涵

云網(wǎng)絡(luò)是云計(jì)算環(huán)境的基礎(chǔ)設(shè)施，通過虛擬專網(wǎng)技術(shù)、安全組技術(shù)、DDoS攻擊防御技術(shù)等可保障云網(wǎng)絡(luò)的安全。

(一)虛擬私有云

云計(jì)算的實(shí)現(xiàn)場景包括公有云、私有云、混合云和社區(qū)云。初期許多用戶進(jìn)行了私有云的建設(shè)，用戶自行規(guī)劃私有云網(wǎng)絡(luò)，將自己的IT資源部署在一個(gè)完全獨(dú)立的網(wǎng)絡(luò)環(huán)境內(nèi)，并且用戶自行運(yùn)維網(wǎng)絡(luò)。隨著公有云技術(shù)的發(fā)展與成熟,越來越多的用戶開始將自己的IT資源或私有云遷移到公有云上。這種情況下，為實(shí)現(xiàn)公有云上各用戶之間的網(wǎng)絡(luò)隔離，給每個(gè)用戶提供一個(gè)安全獨(dú)立的專有網(wǎng)絡(luò)，云服務(wù)提供商通過虛擬私有云技術(shù)來保障云網(wǎng)絡(luò)的安全。目前虛擬私有云VPC服務(wù)已是主流云服務(wù)商提供的一項(xiàng)基礎(chǔ)服務(wù)。

虛擬私有云。VPC(Virtual Private Cloud)，簡稱虛擬私有云，使用網(wǎng)絡(luò)虛擬化技術(shù)，是基于隧道技術(shù)和軟件定義網(wǎng)絡(luò)技術(shù)(SDN)實(shí)現(xiàn)的。其中，隧道技術(shù)采用Overlay網(wǎng)絡(luò)(疊加網(wǎng)絡(luò)、覆蓋網(wǎng)絡(luò))，它將一個(gè)邏輯網(wǎng)絡(luò)建立在一個(gè)實(shí)體網(wǎng)絡(luò)之上，采用SDN技術(shù)動(dòng)態(tài)創(chuàng)建。每個(gè)VPC都有一個(gè)獨(dú)立的隧道號(hào),一個(gè)隧道號(hào)對(duì)應(yīng)一個(gè)虛擬化網(wǎng)絡(luò)。因此，VPC是云計(jì)算場景下用于用戶資源隔離的一種虛擬網(wǎng)絡(luò)。

借助VPC，不同的虛擬私有網(wǎng)絡(luò)之間實(shí)現(xiàn)了二層邏輯安全隔離，用戶可基于公有云環(huán)境創(chuàng)建與管理自定義的虛擬私有網(wǎng)絡(luò)環(huán)境，如私有IP地址范圍、子網(wǎng)劃分、網(wǎng)關(guān)與路由配置等。用戶可自行確定網(wǎng)絡(luò)規(guī)模、資源部署的地域與可用區(qū)，可自定義子網(wǎng)，將同類業(yè)務(wù)劃分到相同子網(wǎng)。用戶可在自定義的VPC中創(chuàng)建、運(yùn)行、管理各種云產(chǎn)品實(shí)例，如彈性云服務(wù)器(ECS)、彈性負(fù)載均衡(ELB)等。用戶也可以申請彈性帶寬和彈性IP搭建業(yè)務(wù)系統(tǒng)。VPC通過虛擬路由器、虛擬交換機(jī)、自定義路由、安全組等組件實(shí)現(xiàn)網(wǎng)絡(luò)邊界安全與網(wǎng)絡(luò)安全域隔離。

安全組。安全組是由云服務(wù)商提供的分布式虛擬化防火墻，它是為同一個(gè)VPC內(nèi)的彈性云服務(wù)器提供網(wǎng)絡(luò)訪問控制，對(duì)專有網(wǎng)絡(luò)內(nèi)的云主機(jī)進(jìn)行IP+端口級(jí)別的訪問控制，實(shí)現(xiàn)端口維度和實(shí)例維度的資源訪問控制。用戶可以在安全組內(nèi)定義各種訪問規(guī)則，當(dāng)彈性云服務(wù)器加入該安全組后，即受到該安全組訪問規(guī)則的保護(hù)。安全組可用于在云端劃分安全域。具有相同安全保護(hù)需求、相互信任且擁有相同網(wǎng)絡(luò)安全訪問控制及邊界控制策略的IT資源可屬于一個(gè)安全域。一個(gè)安全域又可劃分為若干安全子域。安全域是云端業(yè)務(wù)系統(tǒng)安全保護(hù)的重要基石。

地域與可用區(qū)。云服務(wù)商的云平臺(tái)允許用戶在不同地域(Region)與可用區(qū)(Availability Zone)分配云資源。地域是一個(gè)從地理位置和網(wǎng)絡(luò)時(shí)延維度來劃分的獨(dú)立的相互隔離的地理區(qū)域。可用區(qū)是在同一地域內(nèi)風(fēng)火水電、機(jī)房、網(wǎng)絡(luò)互相獨(dú)立的物理數(shù)據(jù)中心。一個(gè)可用區(qū)可以是一個(gè)或多個(gè)物理數(shù)據(jù)中心的集合。一個(gè)地域內(nèi)的多個(gè)可用區(qū)之間通過光纖高速互聯(lián)。用戶在遷移應(yīng)用上云時(shí)應(yīng)就近選擇地域，以減少網(wǎng)絡(luò)時(shí)延，提高訪問速度。如果用戶的應(yīng)用需要較高的容災(zāi)能力與高可用服務(wù)，可考慮將IT資源部署在同一區(qū)域的不同可用區(qū)，在多個(gè)可用區(qū)啟動(dòng)不同云產(chǎn)品實(shí)例。如果用戶的應(yīng)用需要實(shí)例之間的網(wǎng)絡(luò)延時(shí)較低，可考慮將IT資源部署在同一區(qū)域的同一可用區(qū)內(nèi)。不同地域之間的云產(chǎn)品缺省情況下不能用內(nèi)網(wǎng)IP通信，但可以通過彈性公網(wǎng)IP(EIP) 進(jìn)行因特網(wǎng)訪問。

VPC應(yīng)用場景分析 。①在同一區(qū)域內(nèi)不同VPC之間互通的場景下，可通過配置對(duì)等連接創(chuàng)建、對(duì)等連接接受、VPC對(duì)等連接路由來實(shí)現(xiàn)VPC對(duì)等連接。對(duì)等連接建立后，可以實(shí)現(xiàn)同帳號(hào)與不同賬號(hào)下使用私有IP地址在兩個(gè)VPC之間進(jìn)行通信。②在跨區(qū)域的VPC互連的場景下，可以實(shí)現(xiàn)同帳號(hào)與不同賬號(hào)的VPC互連。③在通過公網(wǎng)連接跨區(qū)域VPC的場景下，可通過虛擬專用網(wǎng)絡(luò)IPsec VPN來實(shí)現(xiàn)。④在VPC內(nèi)的云資源連接因特網(wǎng)的場景下，如果是單臺(tái)彈性云服務(wù)器ECS連接公網(wǎng)，只需將一個(gè)EIP綁定到ECS上，ECS即可實(shí)現(xiàn)主動(dòng)訪問公網(wǎng)或向公網(wǎng)提供服務(wù)。如果是多臺(tái)彈性云服務(wù)器ECS共享彈性公網(wǎng)(EIP)連接公網(wǎng)，則需要配置NAT網(wǎng)關(guān)的SNAT功能，實(shí)現(xiàn)同一VPC內(nèi)的多個(gè)ECS共享一個(gè)或多個(gè)EIP訪問因特網(wǎng)。配置NAT網(wǎng)關(guān)的DNAT功能,將EIP的端口映射到各ECS的端口上，使VPC內(nèi)的多個(gè)ECS共享一個(gè)EIP實(shí)現(xiàn)內(nèi)部服務(wù)對(duì)公網(wǎng)的發(fā)布。如果是多臺(tái)彈性云服務(wù)器ECS通過彈性負(fù)載均衡(ELB)對(duì)公網(wǎng)提供服務(wù)，則配置ELB，根據(jù)分配策略將公網(wǎng)訪問流量均衡分發(fā)到與ELB連接的后端多臺(tái)ECS上，通過EIP的綁定實(shí)現(xiàn)海量高并發(fā)公網(wǎng)用戶訪問云服務(wù)器ECS。⑤在云上VPC與本地?cái)?shù)據(jù)中心的互連的場景下，如果使用公網(wǎng)連接VPC與本地?cái)?shù)據(jù)中心，可在本地部署VPN設(shè)備，通過IPSec VPN的加密隧道將VPC與本地?cái)?shù)據(jù)中心連接。如果在VPC與本地?cái)?shù)據(jù)中心之間架設(shè)物理專線，此方式的網(wǎng)絡(luò)傳輸質(zhì)量與安全等級(jí)可提高。如果本地?cái)?shù)據(jù)中心與跨區(qū)域的VPC互連，先實(shí)現(xiàn)本地?cái)?shù)據(jù)中心與其中一個(gè)VPC的互通，然后在云連接服務(wù)中創(chuàng)建云連接，再在創(chuàng)建的云連接實(shí)例中加載需要互通的VPC實(shí)例。

(二)Dos/DDoS攻擊防御

目前，分布式拒絕服務(wù)攻擊DDoS采用了混合攻擊模式、團(tuán)伙行為、物聯(lián)網(wǎng)設(shè)備參與DDoS攻擊。 DDoS的防御需要依賴眾多環(huán)節(jié)，包括漏洞挖掘與披露、網(wǎng)絡(luò)測量與感知、威脅狩獵與情報(bào)共享、防護(hù)資源調(diào)度和應(yīng)急響應(yīng)。

對(duì)于抵御小流量的DDoS攻擊，可以通過修改云主機(jī)操作系統(tǒng)的配置或安全防御模塊來抵御。

對(duì)于抵御攻擊流量不超過系統(tǒng)基本防護(hù)能力的DDoS攻擊，可采用專業(yè)的DDoS 系統(tǒng)或服務(wù)來抵御 SYN Flood、UDP Flood、ACK Flood、ICMP Flood 等傳輸層及網(wǎng)絡(luò)層 DDoS 攻擊以及 CC 攻擊與 HTTP 慢速攻擊等應(yīng)用層 DDoS 攻擊。

對(duì)于抵御大流量的DDoS攻擊，可選購云安全服務(wù)商提供的DDoS防御云服務(wù)，將用戶自己的域名解析到高防IP系統(tǒng)，隱藏真實(shí)源IP地址，這樣所有訪問流量被牽引至高防節(jié)點(diǎn)，惡意攻擊流量被高防IP系統(tǒng)清洗過濾，正常訪問流量被轉(zhuǎn)發(fā)到源站IP。通過靈活調(diào)整調(diào)度策略，優(yōu)化防御體系，可有效抵御不斷變化的攻擊。

二、主機(jī)安全要義分析

云端主機(jī)面臨的風(fēng)險(xiǎn)主要集中在流量攻擊、密碼暴力破解、病毒勒索、惡意挖礦、惡意木馬病毒入侵與高危漏洞利用攻擊等方面。 為確保云端主機(jī)的安全，在軟件層面，應(yīng)安裝最新版的操作系統(tǒng)、中間件、數(shù)據(jù)庫，進(jìn)行主機(jī)安全配置加固、只安裝必需的軟件及選用專業(yè)的主機(jī)安全防護(hù)系統(tǒng)。

操作系統(tǒng)安全配置加固。盡可能采用最新版的操作系統(tǒng)來保證操作系統(tǒng)層面的安全，在此基礎(chǔ)上，進(jìn)行安全配置加固。例如，windows操作系統(tǒng)的安全配置加固主要有：①賬戶管理：默認(rèn)賬戶安全、根據(jù)業(yè)務(wù)需求，設(shè)定不同的用戶和用戶組并分配帳號(hào)、定期檢查并刪除無關(guān)賬號(hào)、隱藏上次登錄的用戶名、密碼復(fù)雜度滿足規(guī)定的策略、密碼最長留存期、帳戶鎖定策略、系統(tǒng)弱口令檢測。②認(rèn)證授權(quán)：從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)或本地關(guān)機(jī)的權(quán)限只分配給Administrators組、用戶權(quán)限指派、只允許授權(quán)帳戶登錄、只允許授權(quán)帳號(hào)從網(wǎng)絡(luò)訪問云主機(jī)。③文件權(quán)限：關(guān)閉硬盤默認(rèn)共享、禁止自動(dòng)打開默認(rèn)共享及共享文件夾授權(quán)訪問。④服務(wù)安全：禁用不必要的服務(wù)、關(guān)閉不必要的端口。⑤IP協(xié)議安全配置：啟用SYN FLOOD攻擊保護(hù)。⑥安全選項(xiàng)：啟用各安全選項(xiàng)與禁用未登錄前關(guān)機(jī)。⑦其他安全配置：限制遠(yuǎn)程登錄空閑斷開時(shí)間、操作系統(tǒng)補(bǔ)丁管理、設(shè)置屏幕保護(hù)密碼和開啟時(shí)間。⑧日志配置操作：配置日志功能，對(duì)用戶登錄進(jìn)行審核記錄；對(duì)系統(tǒng)的審核策略、審核對(duì)象、審核目錄服務(wù)訪問、審核特權(quán)的使用、審核系統(tǒng)事件、審核帳戶管理、審核進(jìn)程追蹤的操作進(jìn)行審核。

中間件安全配置加固。盡可能采用最新版的中間件來保證中間件層面的安全。在此基礎(chǔ)上，進(jìn)行安全配置加固。例如，對(duì)Tomcat 管理后臺(tái)的安全加固配置可以包括：網(wǎng)絡(luò)訪問控制、開啟Tomcat 的訪問日志、Tomcat 默認(rèn)帳號(hào)安全、修改默認(rèn)訪問端口、重定向錯(cuò)誤頁面、禁止列出目錄等。

數(shù)據(jù)庫安全配置加固。盡可能采用最新版的數(shù)據(jù)庫來保證數(shù)據(jù)庫層面的安全，在此基礎(chǔ)上，進(jìn)行安全配置加固。例如，MySQL數(shù)據(jù)庫的安全配置加固可以有：禁止MySQL以管理員帳號(hào)權(quán)限運(yùn)行、避免不同用戶間共享帳號(hào)、刪除無關(guān)帳號(hào)、檢查賬戶默認(rèn)密碼和弱密碼、根據(jù)用戶的業(yè)務(wù)需要，配置數(shù)據(jù)庫權(quán)限配置所需的最小權(quán)限、開啟日志審計(jì)功能、若應(yīng)用軟件與數(shù)據(jù)庫部署在同一臺(tái)云主機(jī)時(shí)，可禁止遠(yuǎn)程訪問、通過數(shù)據(jù)庫所在操作系統(tǒng)的防火墻限制，實(shí)現(xiàn)只有來自可信任的 IP 才能訪問數(shù)據(jù)庫、根據(jù)云主機(jī)性能和業(yè)務(wù)需求，設(shè)置最大、最小連接數(shù)。

只安裝必須的應(yīng)用軟件。云主機(jī)上只安裝必須的應(yīng)用軟件并對(duì)其進(jìn)行安全配置加固。

專業(yè)主機(jī)安全防護(hù)系統(tǒng)。用戶可選購專業(yè)的主機(jī)安全防護(hù)系統(tǒng)，將其部署在彈性云服務(wù)器(ECS)上。該防護(hù)系統(tǒng)可為用戶提供資產(chǎn)清點(diǎn)、安全基線檢查、異常登錄檢測與提醒、登錄管理、密碼破解攔截、勒索軟件防御、惡意文件查殺、挖礦病毒查殺、木馬病毒查殺、高危漏洞檢測、漏洞風(fēng)險(xiǎn)預(yù)警等安全防護(hù)，為云主機(jī)提供全方位的系統(tǒng)安全防護(hù)。

三、應(yīng)用軟件安全的主要內(nèi)容分析

(一)應(yīng)用軟件開發(fā)安全

應(yīng)用軟件的開發(fā)應(yīng)遵循《安全開發(fā)生命周期》的規(guī)范來進(jìn)行，將安全考慮集成在軟件開發(fā)的需求分析、系統(tǒng)設(shè)計(jì)、軟件編碼、軟件測試和維護(hù)的各階段，減少應(yīng)用軟件的漏洞與安全缺陷。

培訓(xùn)。所有開發(fā)人員要接受安全知識(shí)的培訓(xùn)，包括：安全設(shè)計(jì)、威脅建模、安全編碼、安全測試、隱私等。

需求分析階段。要確定安全計(jì)劃、設(shè)立安全基線和安全分級(jí)、進(jìn)行安全風(fēng)險(xiǎn)評(píng)估(SRA)和隱私風(fēng)險(xiǎn)評(píng)估(PRA)以及完成安全需求分析及評(píng)審。

設(shè)計(jì)階段。要進(jìn)行攻擊面的分析、威脅建模(STRIDE 模型) 及安全功能的設(shè)計(jì)與評(píng)審。其中，威脅建模包括：身份假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、特權(quán)提升。

編碼階段。要使用一定的安全開發(fā)工具、遵循安全編碼規(guī)范，棄用不安全的函數(shù)和API，采用安全開發(fā)框架，進(jìn)行代碼靜態(tài)分析以查找代碼中存在的結(jié)構(gòu)性錯(cuò)誤、安全漏洞等問題。

測試階段。要進(jìn)行程序的動(dòng)態(tài)分析、模糊測試、安全用例測試、滲透測試以及代碼審計(jì)。如果應(yīng)用軟件發(fā)生需求變更，還需要對(duì)威脅模型和攻擊面進(jìn)行重新評(píng)析。

發(fā)布階段。軟件發(fā)布前，要進(jìn)行最終安全評(píng)析(FSR)，發(fā)布時(shí)要包含事件響應(yīng)計(jì)劃，然后按照《應(yīng)用軟件安全上線規(guī)范》進(jìn)行安全加固并發(fā)布，發(fā)布的同時(shí)仍需對(duì)各種問題和文檔進(jìn)行存檔。

響應(yīng)階段。如果軟件發(fā)布后受到攻擊，要按照預(yù)定的《應(yīng)急響應(yīng)計(jì)劃》快速采取行動(dòng)，最大程度地降低事件造成的損失。

(二)滲透測試

應(yīng)用系統(tǒng)上線前應(yīng)使用一定的滲透測試工具模擬黑客攻擊的方式，在可控和可調(diào)整的范圍之內(nèi)，對(duì)系統(tǒng)及應(yīng)用軟件進(jìn)行全方位滲透入侵安全性測試，以發(fā)現(xiàn)存在的隱性漏洞、安全漏洞以及BUG，或者驗(yàn)證經(jīng)過安全修護(hù)后的軟件是否達(dá)到預(yù)期安全目標(biāo)，是否符合預(yù)定的安全策略及安全合規(guī)的要求。

滲透測試過程包括:①前期交互：與用戶溝通，確定滲透測試的范圍、目標(biāo)和限制條件。②情報(bào)搜集：充分地收集系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層的所有信息。③威脅建模階段：使用獲取的情報(bào)信息，標(biāo)識(shí)主機(jī)上可能存在安全漏洞和弱點(diǎn)。④漏洞分析：綜合前面各階段得到的信息，分析出下一步最可行的模擬攻擊途徑。⑤滲透攻擊：利用前面分析驗(yàn)證后的目標(biāo)系統(tǒng)安全漏洞進(jìn)行模擬攻擊，獲得訪問控制權(quán)。⑥后滲透攻擊：識(shí)別重要資產(chǎn)與信息，識(shí)別關(guān)鍵基礎(chǔ)設(shè)施，自行設(shè)計(jì)出攻擊目標(biāo)，找出對(duì)重要業(yè)務(wù)影響的攻擊路徑。⑦撰寫報(bào)告：編寫滲透測試報(bào)告、成功滲透攻擊的途徑與過程、安全漏洞與修補(bǔ)建議以及與技術(shù)升級(jí)方案。

(三)WEB應(yīng)用防火墻

Web應(yīng)用防火墻(WAF)對(duì)進(jìn)出WEB服務(wù)器的HTTP/HTTPS相關(guān)內(nèi)容進(jìn)行深度分析，按照預(yù)定的HTTP/HTTPS安全策略對(duì)Web應(yīng)用進(jìn)行保護(hù)，防御HTTP/HTTPS應(yīng)用的入侵。Web應(yīng)用防火墻可有效防御DDoS攻擊、SQL注入、XML注入、XSS跨站腳本、Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，過濾惡意CC攻擊，加密網(wǎng)頁源碼、防掃描、防自動(dòng)化攻擊、防暴力破解、防嗅探，防止數(shù)據(jù)泄露、網(wǎng)頁被篡改和訪問異常等風(fēng)險(xiǎn)。

此外，用戶還可選用安全廠商的Web應(yīng)用云防護(hù)服務(wù)，用戶只需將網(wǎng)站域名解析指向安全廠商的Web應(yīng)用云防護(hù)平臺(tái)的CNAME地址上，修改源網(wǎng)站IP地址，即可直接牽引源站的所有流量到Web應(yīng)用云防護(hù)平臺(tái)進(jìn)行識(shí)別、過濾、轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)對(duì)源網(wǎng)站的防護(hù)。

四、數(shù)據(jù)安全的核心要義

如果數(shù)據(jù)從產(chǎn)生開始未經(jīng)過加密處理，技術(shù)上可以認(rèn)為云主機(jī)、云存儲(chǔ)、RDS上用戶的數(shù)據(jù)對(duì)云服務(wù)商來說是透明的。云端數(shù)據(jù)安全應(yīng)從數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)庫的評(píng)估防護(hù)審計(jì)進(jìn)行綜合保護(hù)。

數(shù)據(jù)存儲(chǔ)安全。如果云存儲(chǔ)中的數(shù)據(jù)是明文存儲(chǔ)，則敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)加大。最有效的安全技術(shù)手段是加密云存儲(chǔ)中的數(shù)據(jù)。用戶可利用云服務(wù)商提供的存儲(chǔ)加解密服務(wù)，寫入云存儲(chǔ)數(shù)據(jù)時(shí)自動(dòng)加密，讀出云存儲(chǔ)數(shù)據(jù)時(shí)自動(dòng)解密，保證云存儲(chǔ)數(shù)據(jù)始終為密文存儲(chǔ)，防止因數(shù)據(jù)文件被竊而造成數(shù)據(jù)泄露。同時(shí)，用戶自己掌握好加解密密鑰。

數(shù)據(jù)傳輸安全。數(shù)據(jù)傳輸過程中，采用網(wǎng)絡(luò)安全傳輸協(xié)議，如SSL/TLS、HTTPS來確保數(shù)據(jù)的安全。安全套接層協(xié)議SSL及其繼任者傳輸層安全協(xié)議(TLS)通過建立端到端安全連接實(shí)現(xiàn)兩個(gè)應(yīng)用進(jìn)程之間的數(shù)據(jù)安全傳輸,實(shí)現(xiàn)雙向身份鑒別、數(shù)據(jù)保密性和完整性。安全超文本傳輸協(xié)議HTTPS在HTTP上建立SSL加密層，建立一個(gè)信息安全通道，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，保證傳輸過程中的數(shù)據(jù)安全。

數(shù)據(jù)庫安全。如果在云主機(jī)上安裝有數(shù)據(jù)庫系統(tǒng)，還需要通過數(shù)據(jù)庫加密產(chǎn)品對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，對(duì)數(shù)據(jù)庫按照列、表、表空間多種粒度進(jìn)行數(shù)據(jù)加密，實(shí)現(xiàn)敏感數(shù)據(jù)以密文形式存儲(chǔ)。授權(quán)用戶可以透明解密數(shù)據(jù)。采取獨(dú)立于數(shù)據(jù)庫的密鑰管理體系，數(shù)據(jù)庫管理員、安全管理員和審計(jì)管理員三權(quán)分立。同時(shí)做到數(shù)據(jù)庫的事前風(fēng)險(xiǎn)評(píng)估、事中訪問可控、事后審計(jì)可控。

事前風(fēng)險(xiǎn)評(píng)估是數(shù)據(jù)庫使用前通過數(shù)據(jù)庫掃描器進(jìn)行風(fēng)險(xiǎn)發(fā)現(xiàn)與評(píng)估，若發(fā)現(xiàn)漏洞，可針對(duì)性地進(jìn)行消除與數(shù)據(jù)庫安全加固。

事中訪問可控是使用過程中對(duì)數(shù)據(jù)庫安全防護(hù)，有效的防護(hù)手段包括采用數(shù)據(jù)庫防火墻監(jiān)視對(duì)數(shù)據(jù)源的訪問，自動(dòng)執(zhí)行合規(guī)控制，對(duì)數(shù)據(jù)庫的攻擊進(jìn)行阻斷，采用數(shù)據(jù)庫防火墻與堡壘機(jī)的有效配合實(shí)現(xiàn)運(yùn)維層面的安全操作，通過特權(quán)訪問管理機(jī)制快速發(fā)現(xiàn)、控制、管理和保護(hù)特權(quán)帳戶。

事后審計(jì)可控是對(duì)數(shù)據(jù)庫使用后要審計(jì)可控。借助數(shù)據(jù)庫審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)SQL注入、緩沖區(qū)溢出、權(quán)限提升、拒絕服務(wù)攻擊、內(nèi)部高危操作、應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫等行為的實(shí)時(shí)監(jiān)控告警，追溯訪問來源，追溯數(shù)據(jù)庫風(fēng)險(xiǎn)，關(guān)聯(lián)分析應(yīng)用的URL操作行為和數(shù)據(jù)庫的SQL操作行為。

五、安全態(tài)勢感知

安全態(tài)勢感知是一個(gè)集檢測識(shí)別、分析、預(yù)警、響應(yīng)處置為一體的大數(shù)據(jù)安全分析及可視化平臺(tái)。態(tài)勢覺察、態(tài)勢理解、態(tài)勢預(yù)測是安全態(tài)勢感知的三個(gè)層面。態(tài)勢覺察是通過態(tài)勢要素獲取必要的數(shù)據(jù)。態(tài)勢理解是對(duì)獲取到的融合數(shù)據(jù)進(jìn)行相關(guān)性分析。態(tài)勢預(yù)測是根據(jù)態(tài)勢的歷史信息和目前狀態(tài)，對(duì)未來一定時(shí)間內(nèi)的安全趨勢進(jìn)行預(yù)判，為主動(dòng)防御提供依據(jù)。

安全態(tài)勢感知自動(dòng)收集云上多種資產(chǎn)信息及日志數(shù)據(jù)，對(duì)全網(wǎng)流量實(shí)時(shí)監(jiān)測，結(jié)合威脅情報(bào)、用戶及實(shí)體行為分析、行為分析建模、失陷主機(jī)檢測、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，實(shí)現(xiàn)威脅可視化、攻擊可視化、可疑流量可視化及業(yè)務(wù)可視化。從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)進(jìn)行全方位的實(shí)時(shí)監(jiān)測、攻擊檢測、安全告警、攻擊歷史回溯以及全面的安全態(tài)勢智能分析。

六、安全運(yùn)維管理的主要途徑

(一)用戶身份與訪問控制

在多租戶的云計(jì)算環(huán)境中，用戶賬號(hào)、授權(quán)、訪問控制變得復(fù)雜化。為滿足一個(gè)云賬戶下可以創(chuàng)建并管理多個(gè)用戶，各用戶不要共享使用云賬號(hào)密鑰的需求，云服務(wù)商提供了用戶身份與訪問控制服務(wù)，如阿里云的RAM可幫助客戶管理用戶對(duì)云資源的訪問權(quán)限控制。借助RAM，可以在一個(gè)云賬戶下創(chuàng)建并管理多個(gè)子賬戶，每個(gè)用戶都有唯一的用戶名、登錄密碼或訪問密鑰。針對(duì)不同用戶執(zhí)行不同的授權(quán)策略，實(shí)現(xiàn)不同用戶擁有不同的云資源訪問權(quán)限，按權(quán)限最小化原則為用戶分配權(quán)限，實(shí)現(xiàn)角色分離和最小化特權(quán)的安全實(shí)踐。

(二)遠(yuǎn)程運(yùn)維安全

云主機(jī)的遠(yuǎn)程運(yùn)維可采取VPN技術(shù)與云堡壘機(jī)相結(jié)合的方式，避免直接通過RDP/SSH協(xié)議遠(yuǎn)程登錄云服務(wù)器。

云堡壘機(jī)可實(shí)現(xiàn)云資源的4A安全管控與運(yùn)維人員的集中管理。云堡壘機(jī)是運(yùn)維人員管理云端所有資源的唯一通路。云堡壘機(jī)提供的訪問控制策略，一方面可將云資源授權(quán)給運(yùn)維人員，另一方面又可進(jìn)行功能權(quán)限的精細(xì)化控制。建立運(yùn)維用戶與主賬號(hào)的唯一對(duì)應(yīng)關(guān)系，分配運(yùn)維人員擁有最小運(yùn)維權(quán)限。借助云堡壘機(jī)的單點(diǎn)登錄功能，運(yùn)維人員只需用一個(gè)賬號(hào)和密碼登錄，便可實(shí)現(xiàn)對(duì)其所維護(hù)的多臺(tái)資源的訪問。云堡壘機(jī)可完整記錄、管控與審計(jì)運(yùn)維人員的操作行為，異常行為告警，深度挖掘內(nèi)部泄密操作。

(三)日志審計(jì)

在云環(huán)境中，日志審計(jì)分析系統(tǒng)可以實(shí)時(shí)準(zhǔn)確地反映云資源的運(yùn)行狀態(tài)，協(xié)助運(yùn)維人員對(duì)入侵行為的分析，對(duì)故障的判斷，對(duì)攻擊的取證分析，同時(shí)也能滿足云環(huán)境的合規(guī)要求。

日志審計(jì)分析系統(tǒng)通常提供了日志采集、日志存儲(chǔ)、日志分析、備份、查詢、告警響應(yīng)和報(bào)表統(tǒng)計(jì)等功能。

日志采集的來源可以包括各類云服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、運(yùn)維系統(tǒng)等產(chǎn)生的日志。日志采集方式可以有客戶端、網(wǎng)頁、協(xié)議、SDK/API等多種。云端日志的存儲(chǔ)方式有在線存儲(chǔ)、近線存儲(chǔ)與離線存儲(chǔ)。在線存儲(chǔ)適用于存儲(chǔ)需要立即訪問與檢索的日志。離線存儲(chǔ)適用于存儲(chǔ)長期低成本存儲(chǔ)的海量冷數(shù)據(jù)日志。近線存儲(chǔ)適用于存儲(chǔ)相對(duì)訪問與檢索速度快但存儲(chǔ)成本相對(duì)較低的日志。日志采集與存儲(chǔ)完成之后，要進(jìn)行日志過濾、日志規(guī)范化及關(guān)聯(lián)分析。云環(huán)境下的日志量巨大，為提高日志分析的效率，需要從海量的日志中提煉出我們所關(guān)心的日志來。由于各種設(shè)備、系統(tǒng)與應(yīng)用產(chǎn)生的日志機(jī)制與內(nèi)容格式不盡相同，所以，日志過濾后要進(jìn)行日志規(guī)范化。通過正則表達(dá)式，對(duì)日志中的組成字段進(jìn)行提取(如：源IP和目標(biāo)IP、源端口和目標(biāo)端口、時(shí)間戳、用戶信息、優(yōu)先級(jí)、原始日志等)，并將其中關(guān)鍵信息進(jìn)行統(tǒng)一賦值，完成各種不同日志的統(tǒng)一格式表達(dá)。日志的關(guān)聯(lián)分析是日志審計(jì)分析系統(tǒng)中最為重要的部分，關(guān)聯(lián)分析利用字段關(guān)聯(lián)、規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、指紋關(guān)聯(lián)等分析方法，對(duì)不同系統(tǒng)業(yè)務(wù)的日志進(jìn)行自動(dòng)化關(guān)聯(lián)性分析，實(shí)現(xiàn)對(duì)已發(fā)生事件或?qū)⒁l(fā)生事件的精確判斷或預(yù)警。

七、結(jié)語

云計(jì)算具有良好的應(yīng)用前景，但由于開放性使得云計(jì)算環(huán)境不斷面臨新的安全挑戰(zhàn)。在技術(shù)應(yīng)用層面上，云安全防御要基于包含網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)、業(yè)務(wù)等多層次的縱深安全防御體系，要基于全局威脅情報(bào)的采集與大數(shù)據(jù)的智能分析，在開放的運(yùn)營管理平臺(tái)下實(shí)現(xiàn)各種安全產(chǎn)品的協(xié)同工作，實(shí)現(xiàn)安全態(tài)勢感知、安全預(yù)警、快速響應(yīng)與主動(dòng)防御。