云平臺(tái)安全防御策略研究

摘要：隨著云計(jì)算在各行業(yè)的成熟落地與廣泛應(yīng)用，云平臺(tái)環(huán)境下的安全問題也越來越得到用戶和服務(wù)商的高度重視。如何構(gòu)建云平臺(tái)的安全防御策略，是云環(huán)境平穩(wěn)安全運(yùn)行的保證。一個(gè)好的防御策略不僅需要根據(jù)事態(tài)發(fā)展做及時(shí)調(diào)整，同時(shí)還需要一個(gè)完善的運(yùn)維體系。從云平臺(tái)安全面臨的挑戰(zhàn)，全局觀構(gòu)建防御系統(tǒng)，被動(dòng)防護(hù)向主動(dòng)防御轉(zhuǎn)變，云平臺(tái)安全防護(hù)策略與解決方案，以及云平臺(tái)的安全防護(hù)實(shí)踐等幾個(gè)方面進(jìn)行了分析論述。

關(guān)鍵詞：云平臺(tái)；網(wǎng)絡(luò)；安全；策略；方案

一、前言

近年來網(wǎng)絡(luò)安全領(lǐng)域頗不平靜，2017年勒索病毒肆虐全球150多個(gè)國家，網(wǎng)絡(luò)安全行業(yè)陷入尷尬境地，用戶的安全投入不斷增加，然而安全事件的爆發(fā)卻更加頻繁。云計(jì)算作為網(wǎng)絡(luò)技術(shù)的衍生品，需要依托于網(wǎng)絡(luò)平臺(tái)運(yùn)行，而網(wǎng)絡(luò)作為一個(gè)開放性平臺(tái)，雖然能夠保障信息獲取的便利性、廣泛性，但是存在著很多信息安全問題亟待解決[1]。

隨著物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等新技術(shù)的普及，我們已經(jīng)進(jìn)入了網(wǎng)絡(luò)攻擊對(duì)象擴(kuò)大化、攻擊方式多樣化、攻擊常態(tài)化和攻擊影響更深遠(yuǎn)的時(shí)代。首先，云計(jì)算引入了新的威脅和風(fēng)險(xiǎn)，進(jìn)而也影響和打破了傳統(tǒng)的信息安全保障體系設(shè)計(jì)、實(shí)現(xiàn)方法和運(yùn)維管理體系；其次，云計(jì)算的資源彈性、按需調(diào)配、高可靠性及資源集中化等都間接增強(qiáng)或有利于安全防護(hù)，同時(shí)也給安全措施改進(jìn)和升級(jí)、安全應(yīng)用設(shè)計(jì)和實(shí)現(xiàn)、安全運(yùn)維和管理等帶來了問題和挑戰(zhàn)[2]。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理念和體系已無法適應(yīng)當(dāng)前的基于云平臺(tái)的安全防御。傳統(tǒng)安全防護(hù)的重心在于邊界防護(hù)（終端防護(hù)、網(wǎng)絡(luò)防護(hù)、主機(jī)防護(hù)等），在不同的區(qū)域間通過安全設(shè)備構(gòu)筑了分割孤立的防護(hù)體系，彼此之間缺乏信息共享和防護(hù)協(xié)同，在層出不窮的漏洞和高級(jí)攻擊手段面前，看似強(qiáng)固的安全防護(hù)堡壘成為了擺設(shè)。在云平臺(tái)下我們不可能將一切都控制在邊界之內(nèi)，不可能防護(hù)住所有的設(shè)備，不可能提前發(fā)現(xiàn)和修復(fù)所有漏洞。在入侵已經(jīng)不可避免的情況下，及時(shí)檢測(cè)和快速響應(yīng)安全威脅，才是降低安全損失的現(xiàn)實(shí)選擇。

二、全局觀構(gòu)建防御系統(tǒng)

云平臺(tái)安全防御要從整體和全局的角度來規(guī)劃和管理網(wǎng)絡(luò)安全，而不是僅僅關(guān)注單點(diǎn)安全、單個(gè)安全防護(hù)手段，或單個(gè)防護(hù)設(shè)備，要將終端、邊界和云端的安全防護(hù)融合起來，建立一個(gè)整合平臺(tái)級(jí)的安全防護(hù)體系。如圖1所示，云平臺(tái)全局防御系統(tǒng)圖。

1.在做網(wǎng)絡(luò)安全體系建設(shè)時(shí)，必須考慮全局、完整的安全體系設(shè)計(jì)，包括前期的咨詢、評(píng)估、方案部署和后期運(yùn)維與服務(wù)，讓安全成為系統(tǒng)解決方案的有機(jī)構(gòu)成部分，而非后期補(bǔ)丁式的安全防護(hù)。

2.擴(kuò)大安全防護(hù)對(duì)象。不僅包括傳統(tǒng)防護(hù)對(duì)象，如：終端與網(wǎng)絡(luò)，更要注重云端、物聯(lián)網(wǎng)設(shè)備，以及應(yīng)用的安全防護(hù)，不僅防護(hù)企業(yè)自身系統(tǒng)的安全，更要防護(hù)第三方合作伙伴的系統(tǒng)安全。

3.跳出單點(diǎn)安全防護(hù)思維，從整體和全局來把控網(wǎng)絡(luò)安全態(tài)勢(shì)。過去終端防護(hù)、網(wǎng)絡(luò)防護(hù)、主機(jī)防護(hù)等孤島式工具，猶如九龍治水，各管一攤，彼此缺乏信息共享與協(xié)同，安全能力無法最大發(fā)揮。

4.整體與全局的安全觀是滿足等保合規(guī)的要求。等級(jí)保護(hù)是《網(wǎng)絡(luò)安全法》要求的法律責(zé)任。復(fù)雜、多樣的等保合規(guī)要求，需要具有全面安全防護(hù)能力的安全服務(wù)商支持。

5.在整體安全觀下，數(shù)據(jù)成為威脅攻擊的真相之源，成為發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的關(guān)鍵。攻擊者無論怎樣隱藏行蹤，總會(huì)留下數(shù)據(jù)痕跡。將終端、邊界、云端的流量與日志匯總起來，通過大數(shù)據(jù)平臺(tái)分析和威脅情報(bào)支持，可以改變過去那種“只見樹木，不見森林”的狀況，達(dá)到對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)的全面掌控，實(shí)現(xiàn)對(duì)安全攻擊的及時(shí)響應(yīng)和處置，最大程度降低安全損失。

三、被動(dòng)防護(hù)向主動(dòng)防御轉(zhuǎn)變

通過安全態(tài)勢(shì)感知把原來分散的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、防病毒軟件等有效組合起來，形成一個(gè)能自學(xué)習(xí)，自演進(jìn)、預(yù)測(cè)未知威脅的多維度、多層次主動(dòng)防御系統(tǒng)，才能真正應(yīng)對(duì)云平臺(tái)下的挑戰(zhàn)，也是踐行整體、全面安全觀的最佳方式。通過采集全網(wǎng)原始流量數(shù)據(jù)，結(jié)合機(jī)器學(xué)習(xí)和人工智能，對(duì)海量異構(gòu)的安全數(shù)據(jù)進(jìn)行挖掘和關(guān)聯(lián)分析，對(duì)攻擊、威脅、流量、行為、運(yùn)維和合規(guī)等態(tài)勢(shì)進(jìn)行感知，生成全方位的安全全景視圖，使用戶能夠快速準(zhǔn)確地掌握網(wǎng)絡(luò)安全全局態(tài)勢(shì)，及時(shí)發(fā)現(xiàn)威脅、處理風(fēng)險(xiǎn)，支撐安全決策和應(yīng)急響應(yīng)，建立安全預(yù)警機(jī)制，增強(qiáng)整體安全防護(hù)能力的主動(dòng)防御措施。根據(jù)知名研究機(jī)構(gòu)IDC報(bào)告，安全防御體系的“指揮中心”是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知體系，它能幫助用戶認(rèn)清威脅環(huán)境的變化，掌控威脅發(fā)展趨勢(shì)，積極主動(dòng)防御，提升企業(yè)安全能力。

四、云平臺(tái)安全防護(hù)策略

云平臺(tái)安全以軟件定義安全為核心，結(jié)合安全服務(wù)鏈技術(shù)，將安全服務(wù)化，用戶可以根據(jù)業(yè)務(wù)的安全策略需求，自定義安全訪問路徑，將傳統(tǒng)的圍防式安全變?yōu)樗朗桨踩?，以適應(yīng)云計(jì)算環(huán)境下的安全邊界模糊、多租戶安全策略沖突等問題。以整網(wǎng)的高速轉(zhuǎn)發(fā)性能為基礎(chǔ)，軟件定義手段為承載方式，安全資源池化為手段，通過VPC技術(shù)實(shí)現(xiàn)多租戶和多業(yè)務(wù)的南北向隔離并形成“安全通道” ，同時(shí)利用安全服務(wù)鏈技術(shù)滿足“通道”內(nèi)的資源安全交互，最終實(shí)現(xiàn)企業(yè)在新一代業(yè)務(wù)架構(gòu)下的安全能力交付。

1.云基礎(chǔ)設(shè)施防護(hù)。不同安全區(qū)域（互聯(lián)網(wǎng)平臺(tái)、多渠道接入和核心應(yīng)用）使用的是“安全通道”貫穿。一個(gè)安全通道是通過使用一組高端交換平臺(tái)，創(chuàng)建跨區(qū)域訪問并提供多種安全服務(wù)。云計(jì)算環(huán)境下的防火墻多應(yīng)用虛擬防火墻技術(shù)，其與常見的物理防火墻幾乎無區(qū)別，使用對(duì)象均是不同的業(yè)務(wù)系統(tǒng)，并實(shí)施不同的安全策略，進(jìn)而實(shí)現(xiàn)對(duì)不同業(yè)務(wù)系統(tǒng)信息的安全隔離[3]。安全通道節(jié)點(diǎn)包括傳統(tǒng)的防火墻功能，也可以進(jìn)一步擴(kuò)展，以提供其他的安全服務(wù)，包括網(wǎng)絡(luò)IPS/AV中，Web應(yīng)用防火墻，在線惡意代碼掃描和負(fù)載均衡。安全服務(wù)也可以并行執(zhí)行，如 IPS檢查和防火墻檢查同時(shí)進(jìn)行。

2.多渠道接入防護(hù)。利用VPC的思路，對(duì)接入租戶進(jìn)行劃分，有效利用VPN、VRF和Vxlan等技術(shù)，構(gòu)建基于私有云LaaS類型的云化管理環(huán)境，通過在物理網(wǎng)絡(luò)上構(gòu)建虛擬的Overlay網(wǎng)絡(luò)層，實(shí)現(xiàn)網(wǎng)絡(luò)的云化應(yīng)用，同時(shí)為了實(shí)現(xiàn)云化環(huán)境的安全控制與數(shù)據(jù)權(quán)限隔離，在Overlay的網(wǎng)絡(luò)基礎(chǔ)之上，通過新一代防火墻、IPS和負(fù)載均衡產(chǎn)品的SOP技術(shù)，為每個(gè)租戶分配獨(dú)立非共享的安全防護(hù)資源。

3.多業(yè)務(wù)互訪防護(hù)。不同系統(tǒng)可能分布在不同的Vxlan或網(wǎng)段中，利用SDN控制器通過網(wǎng)絡(luò)服務(wù)虛擬化技術(shù)，將承載層物理網(wǎng)絡(luò)服務(wù)資源進(jìn)行歸一化的切片和抽象，建立虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)。虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)可以涵蓋虛擬防火墻節(jié)點(diǎn)、虛擬LB節(jié)點(diǎn)、虛擬IPS節(jié)點(diǎn)等多種類型。一旦虛擬網(wǎng)絡(luò)服務(wù)節(jié)點(diǎn)完成定義，SDN控制器會(huì)將這些虛擬資源和承載層網(wǎng)元自動(dòng)映射，當(dāng)不同應(yīng)用的數(shù)據(jù)跨安全級(jí)別流動(dòng)時(shí)，通過服務(wù)鏈技術(shù)對(duì)訪問流量進(jìn)行東西向的安全檢測(cè)，最終將清洗后的流量注入到目標(biāo)地址當(dāng)中。

五、云平臺(tái)安全解決方案

（一）常規(guī)解決方案

1.基礎(chǔ)安全即服務(wù)。即通過云平臺(tái)自身的安全標(biāo)準(zhǔn)接口與標(biāo)準(zhǔn)的安全方案對(duì)接，其中包括：FWAAS、LBAAS、VPNAAS和NATAAS，雖然這些安全即服務(wù)是通用云計(jì)算平臺(tái)原生自帶的安全接口，但是并不能完全滿足當(dāng)前安全豐富性的需要。

2.安全軟件化。很多傳統(tǒng)的安全能力，例如：WAF、DBA、運(yùn)維審計(jì)和NGFW都具備較為成熟的安全特性，但是由于架構(gòu)和開放性的原因，很難與標(biāo)準(zhǔn)的云平臺(tái)實(shí)現(xiàn)深度的耦合，多數(shù)情況是以虛擬機(jī)的形態(tài)部署在租戶VDC的本地，雖然能夠在一定程度上滿足租戶個(gè)性化的安全需求，但是部署復(fù)雜，并且無法形成有效的引流策略，導(dǎo)致安全軟件成為虛擬機(jī)的網(wǎng)關(guān)，當(dāng)出現(xiàn)虛擬機(jī)遷移或虛擬安全設(shè)備故障時(shí)，都沒有成熟的變更機(jī)制。

（二）“安全云”方案

目前絕大多數(shù)云平臺(tái)都具備一定的安全即服務(wù)的能力，為其租戶提供部分的安全服務(wù)能力，但是由于云計(jì)算服務(wù)商和安全服務(wù)商在技術(shù)結(jié)構(gòu)、知識(shí)認(rèn)知方面，都存在較大的差異，導(dǎo)致安全無法全面有效的在云計(jì)算環(huán)境中落地。在云平臺(tái)中融合較為完整的安全服務(wù)目錄，一方面需要大量的接口開發(fā)，同時(shí)在運(yùn)維上會(huì)大量追加整個(gè)云平臺(tái)的策略調(diào)整數(shù)量級(jí)，造成云計(jì)算平臺(tái)的運(yùn)維過于復(fù)雜，同時(shí)對(duì)于異構(gòu)的多個(gè)云計(jì)算平臺(tái)，也會(huì)出現(xiàn)重復(fù)投資的情況。針對(duì)這些，需要有一種新的解決方案。一方面降低云平臺(tái)的運(yùn)維復(fù)雜度，同時(shí)也能夠靈活的調(diào)配安全云中的安全資源，做到資源復(fù)用，有的放矢。這種方案是在云平臺(tái)的外部建立較為完整的安全能力資源池，在資源池中可以任意增加或調(diào)整不同租戶的安全需求，將復(fù)雜的安全服務(wù)能力與云計(jì)算資源解耦，即“安全云”。安全云主要分為三個(gè)層面：

1.控制層面。主要通過虛擬融合架構(gòu)控制器將網(wǎng)絡(luò)和安全進(jìn)行流量引導(dǎo)和策略下發(fā)，在安全云中為每一個(gè)租戶分配獨(dú)立的安全資源，并打通安全資源與云計(jì)算資源的路徑，實(shí)現(xiàn)安全資源與計(jì)算資源的銜接。

2.數(shù)據(jù)平面。通過專用硬件資源和NFV，實(shí)現(xiàn)快速彈性的資源池化，通過專用硬件資源為所有租戶提供高性能流量處理以及基于策略的快速轉(zhuǎn)發(fā)，該部分資源為基礎(chǔ)資源，在保障租戶業(yè)務(wù)基本安全的前提下，提供更加可靠和快速的轉(zhuǎn)發(fā)能力；同時(shí)針對(duì)個(gè)性化的應(yīng)用層安全需求，通過NFV的方式實(shí)現(xiàn)單租戶個(gè)性化業(yè)務(wù)的快速部署。

3.日志平面。安全云的實(shí)體部署位置位于云平臺(tái)的邊界處，能夠處理95%以上的南北向流量。同時(shí)在安全云內(nèi)通過態(tài)勢(shì)感知系統(tǒng)可以分別對(duì)租戶的外部威脅和流量進(jìn)行完整的分析，為云服務(wù)商和租戶分別呈現(xiàn)各自的整體安全態(tài)勢(shì)。

六、云平臺(tái)安全防護(hù)實(shí)踐

企業(yè)云平臺(tái)設(shè)計(jì)必須遵守國家關(guān)于系統(tǒng)等級(jí)保護(hù)的相關(guān)要求，云平臺(tái)的安全防護(hù)成為系統(tǒng)設(shè)計(jì)的重要內(nèi)容，構(gòu)建云平臺(tái)的防護(hù)不僅需要在管理上有手段，更重要的是技術(shù)上要求相應(yīng)的對(duì)策。

在設(shè)計(jì)云計(jì)算安全技術(shù)框架的時(shí)候，首先需要結(jié)合企業(yè)自身業(yè)務(wù)特點(diǎn)設(shè)計(jì)出適合本企業(yè)的防護(hù)模型。一般情況下云平臺(tái)防護(hù)模型包括：安全管理中心、企業(yè)服務(wù)器區(qū)域和用戶區(qū)域等部分組成[4]。

云平臺(tái)防護(hù)模型主要特點(diǎn)：

1.創(chuàng)建安全域。云平臺(tái)為不同的企業(yè)、不同的職能部門及不同的用戶提供服務(wù)，因此需要根據(jù)其職能劃分出不同的局域網(wǎng)，即劃分多個(gè)不同的VLAN，創(chuàng)建多個(gè)安全域，因?yàn)榘踩虻倪吔缑鞔_，所以可以很容易的實(shí)現(xiàn)域內(nèi)數(shù)據(jù)相互據(jù)隔離。在安全域的內(nèi)部，數(shù)據(jù)調(diào)用訪問自由，各域之間數(shù)據(jù)訪問在可控條件下實(shí)現(xiàn)了資源共享。

2.設(shè)置安全管理中心。安全管理中心是云平臺(tái)的中樞和大腦，通常包括：負(fù)載均衡設(shè)備、防火墻、堡壘機(jī)，以及數(shù)據(jù)備份系統(tǒng)、補(bǔ)丁分發(fā)系統(tǒng)、信息系統(tǒng)、應(yīng)用防護(hù)系統(tǒng)、主機(jī)審計(jì)及防護(hù)系統(tǒng)、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等。

3.網(wǎng)絡(luò)獨(dú)立性。將云平臺(tái)網(wǎng)絡(luò)與互聯(lián)網(wǎng)相互訪問的出入口作為邊界，在邊界處設(shè)置隔離策略，云平臺(tái)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的訪問就可以得到有效控制，這種邏輯上的隔離，實(shí)現(xiàn)了云平臺(tái)的網(wǎng)絡(luò)獨(dú)立，平臺(tái)的安全性得到提升。

4.互聯(lián)網(wǎng)訪問控制。安全管理中心系統(tǒng)和企業(yè)服務(wù)器區(qū)域設(shè)備訪問互聯(lián)網(wǎng)進(jìn)出口是唯一的，通過制定的端口和訪問IP地址，對(duì)平臺(tái)中各類系統(tǒng)進(jìn)行控制；通過設(shè)置訪問時(shí)間、訪問期限等限制系統(tǒng)的訪問互聯(lián)網(wǎng)的請(qǐng)求，這種唯一性實(shí)現(xiàn)了對(duì)互聯(lián)網(wǎng)訪問可控制性和可管理性。

5.信息系統(tǒng)分類部署。通常情況下一個(gè)完整的信息系統(tǒng)包括文件系統(tǒng)、數(shù)據(jù)系統(tǒng)和應(yīng)用系統(tǒng)。這三類系統(tǒng)相對(duì)獨(dú)立，因此，我們?cè)诜雷o(hù)方案的實(shí)施中可以將這三類系統(tǒng)分別部署在三個(gè)獨(dú)立的服務(wù)器區(qū)域中，即應(yīng)用服務(wù)器區(qū)域、文件服務(wù)器區(qū)域和數(shù)據(jù)庫服務(wù)區(qū)域，各區(qū)域間彼此獨(dú)立，通過內(nèi)部專有網(wǎng)絡(luò)和IP地址進(jìn)行連接。外部用戶通過互聯(lián)網(wǎng)使用云平臺(tái)的時(shí)候只能對(duì)應(yīng)用系統(tǒng)區(qū)域的服務(wù)器進(jìn)行訪問，數(shù)據(jù)系統(tǒng)和文件系統(tǒng)不與用戶直接接觸，這種獨(dú)立部署方式，降低了數(shù)據(jù)系統(tǒng)和文件系統(tǒng)被網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn)，僅需要考慮應(yīng)用系統(tǒng)區(qū)域的安全防范措施，從而提高了信息系統(tǒng)的整體安全性能。

七、結(jié)語

綜上所述，構(gòu)建云平臺(tái)安全防御策略，首先需要一個(gè)全局觀，從整體性和全局視角規(guī)劃平臺(tái)建設(shè)；其次，防護(hù)策略需要變被動(dòng)防護(hù)向主動(dòng)防御轉(zhuǎn)變，并且以軟件定義安全為核心，將安全服務(wù)化，用戶根據(jù)業(yè)務(wù)的安全策略為需求；另外，需要從控制層面、數(shù)據(jù)平面和日志平面三個(gè)層面上降低云平臺(tái)的運(yùn)維復(fù)雜度，靈活調(diào)配各種安全資源，構(gòu)建一種“安全云”方案；最后，任何一個(gè)好的安全防御方案的落地實(shí)施，都需要一支優(yōu)秀的技術(shù)團(tuán)隊(duì)完成，建立一個(gè)完善的運(yùn)維體系，是實(shí)現(xiàn)云平臺(tái)安全防御策略的有力保障。

參考文獻(xiàn)

[1]商慶偉.云計(jì)算下的信息安全問題與解決方案分析[J].計(jì)算機(jī)產(chǎn)品與流通，2018（10）：100.

[2]姚娟，聞琛陽.云平臺(tái)安全系統(tǒng)建設(shè)方案[J].信息系統(tǒng)工程，2018（05）：61.

[3]苗玉霞.云計(jì)算下的信息安全問題分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（04）：39+41.

[4]陳飛，楊秋紅.企業(yè)云平臺(tái)安全防護(hù)的探索與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（09）：100-101.

（作者單位：中國石油勘探開發(fā)研究院西北分院、中國石油天然氣集團(tuán)有限公司物聯(lián)網(wǎng)重點(diǎn)實(shí)驗(yàn)室）