基于軟件定義的云計(jì)算中心安全建設(shè)

陳高輝 王小軍

隨著新一輪科技革命和產(chǎn)業(yè)變革興起，5G、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)產(chǎn)業(yè)迅速崛起，當(dāng)前企業(yè)都在以各種方式積極推進(jìn)數(shù)字化轉(zhuǎn)型智能化發(fā)展，以強(qiáng)化信息化應(yīng)用水平，提升智能化能力，促進(jìn)管理運(yùn)行自動化。云計(jì)算中心是信息化基礎(chǔ)設(shè)施，是支撐企業(yè)實(shí)現(xiàn)智能化發(fā)展的有效保障，而安全防護(hù)又是云計(jì)算中心建設(shè)運(yùn)行的重要組成部分。本文分析軟件定義的安全技術(shù)在云計(jì)算中心安全防護(hù)中的作用，期待對企業(yè)云計(jì)算中心的安全建設(shè)起到借鑒作用。

一、云計(jì)算中心安全需求

云計(jì)算中心安全技術(shù)聚焦在計(jì)算資源池、網(wǎng)絡(luò)資源池和云管理平臺三個層面。云計(jì)算引入了虛擬化技術(shù)、云計(jì)算引擎、容器技術(shù)和云計(jì)算管理平臺，給主機(jī)和網(wǎng)絡(luò)帶來新的安全挑戰(zhàn)。

計(jì)算資源池安全保障：圍繞物理服務(wù)器、虛擬機(jī)化底層及虛擬機(jī)系統(tǒng)三個維度開展安全防護(hù)工作，首先實(shí)現(xiàn)主機(jī)層的惡意代碼防范。其次，需要關(guān)注上述三個維度的漏洞檢測及防護(hù)，避免類似虛擬機(jī)逃逸攻擊等惡性安全事件發(fā)生。同時，還應(yīng)該在操作系統(tǒng)層面通過安全基線加固、安全漏洞加固、防暴力破解、防弱口令等各類安全手段實(shí)現(xiàn)防護(hù)效果。

網(wǎng)絡(luò)資源池安全保障：首先需要圍繞物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)實(shí)現(xiàn)惡意代碼的防范，其次需要關(guān)注在東西向流量和南北向流量的安全防護(hù)，即保障入云業(yè)務(wù)或VPC內(nèi)部（東西向流量）及外部（南北向流量）的安全隔離、訪問控制、業(yè)務(wù)安全等，還需要實(shí)現(xiàn)在虛擬化環(huán)境下的安全策略跟隨。

云管理平臺安全保障：主要關(guān)注平臺安全，將云管理平臺當(dāng)作平臺應(yīng)用進(jìn)行安全防護(hù)，即做好云平臺的訪問認(rèn)證及授權(quán)控制，并對平臺設(shè)置安全基線。安全人員可通過漏洞的檢測和防護(hù)技術(shù)，從多維度對云平臺進(jìn)行日志收集及審計(jì)操作，保障云平臺本身的安全。

容器安全防護(hù)：包括容器殺毒、容器配置核查等。

另外，考慮到全業(yè)務(wù)數(shù)據(jù)中心涉及自建云平臺，及后續(xù)混合云平臺，需要考慮多云環(huán)境下的統(tǒng)一云安全策略管理與執(zhí)行。

二、數(shù)據(jù)中心安全建設(shè)

（一）架構(gòu)安全

按照數(shù)據(jù)中心網(wǎng)絡(luò)、主機(jī)和終端方面的情況，結(jié)合網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)要求和數(shù)據(jù)中心數(shù)據(jù)安全防護(hù)要求，列出數(shù)據(jù)中心相關(guān)的架構(gòu)安全風(fēng)險(xiǎn)差距分析表如表1。

（二）總體思路

數(shù)據(jù)中心面臨諸多安全問題，很難通過一般安全產(chǎn)品將數(shù)據(jù)中心面臨的所有風(fēng)險(xiǎn)解決。安全風(fēng)險(xiǎn)也是動態(tài)發(fā)展變化的，因此，解決方案也需要隨著數(shù)據(jù)中心的安全需求變化不斷完善和發(fā)展。與傳統(tǒng)模式相較，云計(jì)算的網(wǎng)絡(luò)安全需求并沒有什么變化，無論是信息的保密性、完整性、可用性，還是根據(jù)網(wǎng)絡(luò)層次劃分的從物理層到應(yīng)用層安全，仍然都需要考慮。但云計(jì)算也帶來了新特點(diǎn)，制訂云計(jì)算數(shù)據(jù)中心信息安全方案時，應(yīng)該充分考慮虛擬化的特點(diǎn)，系統(tǒng)地進(jìn)行規(guī)劃，解決思路如下：

1.對數(shù)據(jù)中心進(jìn)行安全域劃分，根據(jù)各區(qū)域的業(yè)務(wù)特性、技術(shù)特性以及安全需求進(jìn)行對應(yīng)的安全防護(hù)設(shè)計(jì)；

2.要充分考慮網(wǎng)絡(luò)層、操作系統(tǒng)層、虛擬化層、應(yīng)用層以及數(shù)據(jù)層的安全防護(hù)需求，特別是虛擬化等新技術(shù)帶來的問題；

3.強(qiáng)調(diào)安全價值，實(shí)現(xiàn)預(yù)警、檢測、響應(yīng)、溯源的閉環(huán)流程。

（三）軟件定義安全資源池

云環(huán)境的軟件定義云計(jì)算安全建設(shè)主要包括如下四個維度：

統(tǒng)一的云安全服務(wù)平臺：從云內(nèi)、云的邊界、云的外部提供統(tǒng)一的安全威脅管理界面，打通威脅防護(hù)體系，建立一個面向威脅的快速服務(wù)平臺。實(shí)現(xiàn)安全產(chǎn)品分配、部署，以及安全策略、安全日志的統(tǒng)一管理。

可控可視的云內(nèi)安全：著眼云內(nèi)，提供云內(nèi)安全可視、可控能力，圍繞業(yè)務(wù)系統(tǒng)建立云內(nèi)安全邊界。從云內(nèi)業(yè)務(wù)系統(tǒng)視角出發(fā)，構(gòu)筑圍繞云內(nèi)業(yè)務(wù)系統(tǒng)的“動態(tài)邊界”。

軟件定義的安全邊界：充分利用軟件定義安全，將安全資源池化、服務(wù)化能力，提供彈性、與原有安全互補(bǔ)的安全能力?？梢愿鶕?jù)業(yè)務(wù)需求，增加和擴(kuò)容安全能力，打通各個安全組件的管理、日志，為安全服務(wù)平臺統(tǒng)一的威脅管理、安全態(tài)勢感知提供決策依據(jù)。

外部視角的云端能力：充分利用態(tài)勢感知云端安全能力，結(jié)合大數(shù)據(jù)、人工智能，提供安全監(jiān)測、預(yù)警。對云上部署的業(yè)務(wù)系統(tǒng)，從外部攻擊者視角出發(fā)，提供持續(xù)的安全響應(yīng)和安全預(yù)警。

三、系統(tǒng)優(yōu)勢

軟件定義的云安全資源池應(yīng)用X86服務(wù)器集群與計(jì)算、存儲、網(wǎng)絡(luò)虛擬化技術(shù)，構(gòu)建軟件定義的安全能力中心。軟件定義安全能力由軟件定義的云邊界安全能力、安全應(yīng)用市場、安全資源自助編排、安全區(qū)域劃分、所畫即所得的安全能力、統(tǒng)一安全運(yùn)維、基于單業(yè)務(wù)系統(tǒng)的安全視角、統(tǒng)一的安全運(yùn)營等組件構(gòu)成。通過統(tǒng)一的門戶為云租戶提供可選擇的安全服務(wù)包，如：下一代防火墻安全應(yīng)用、上網(wǎng)行為管理安全應(yīng)用等，云租戶可按需申請并獲取這些應(yīng)用。云租戶僅需要關(guān)注環(huán)境中安全資源池之上的業(yè)務(wù)安全，云服務(wù)商則負(fù)責(zé)安全設(shè)備的分配、各類安全信息源的收集和分析。安全應(yīng)用能夠以鏡像的形式上傳到安全資源池管理平臺，然后被部署、驗(yàn)證、運(yùn)行和升級。安全設(shè)備的交付形態(tài)有很多，但邏輯上都會在安全控制平臺的管理下，形成各類資源池，具備相應(yīng)的安全能力。

四、結(jié)束語

數(shù)據(jù)中心安全方案架構(gòu)設(shè)計(jì)采用軟件定義安全的架構(gòu)設(shè)計(jì)理念，從安全需求的角度出發(fā)匹配的云安全基礎(chǔ)架構(gòu)，確保云安全資源池架構(gòu)的可擴(kuò)展性、靈活性和可演進(jìn)性。同時，實(shí)現(xiàn)云安全設(shè)計(jì)和IT基礎(chǔ)架構(gòu)松耦合，確保IT基礎(chǔ)架構(gòu)對安全多樣性的支持和業(yè)務(wù)快速上線的支持。

作者單位：陳高輝 中國石油長慶油田公司數(shù)字和智能化事業(yè)部

王小軍 中國石油川慶鉆探工程有限公司長慶井下技術(shù)作業(yè)公司