王愛彬

摘要：通過構(gòu)建云平臺(tái)網(wǎng)絡(luò)安全的防護(hù)支撐構(gòu)架，以及利用現(xiàn)有的安全防護(hù)手段和防護(hù)設(shè)備；提出對(duì)整個(gè)云平臺(tái)的安全防護(hù)的工作思路與框架；為探討云計(jì)算的安全防護(hù)的具體實(shí)施提供一定的分析和解決方案。

關(guān)鍵詞：云平臺(tái)；安全；防護(hù)

引言：云計(jì)算模式通過將數(shù)據(jù)統(tǒng)一存儲(chǔ)在云計(jì)算服務(wù)器中，加強(qiáng)對(duì)核心數(shù)據(jù)的集中管控，比傳統(tǒng)分別在大量終端上的數(shù)據(jù)行為更安全。由于數(shù)據(jù)的集中，使得安全審計(jì)、安全評(píng)估、安全運(yùn)維等行為更加簡單易行，同時(shí)更容易實(shí)現(xiàn)系統(tǒng)容錯(cuò)、高可用性和冗余及災(zāi)備恢復(fù)。但云計(jì)算模式是在傳統(tǒng) IT 技術(shù)的基礎(chǔ)上發(fā)展起來的，其本質(zhì)上是增加了一個(gè)虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點(diǎn)。因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護(hù)方案依然可以發(fā)揮一定的作用。綜合考慮云計(jì)算所帶來的變化、風(fēng)險(xiǎn)，從保障系統(tǒng)整體安全出發(fā)，云計(jì)算在帶來方便快捷的同時(shí)也帶來新的風(fēng)險(xiǎn)和挑戰(zhàn)，其面臨的主要挑戰(zhàn)和需求如下：法律和合規(guī)，動(dòng)態(tài)、虛擬化網(wǎng)絡(luò)邊界安全，虛擬化主機(jī)安全、數(shù)據(jù)保密和防泄漏、安全運(yùn)維和管理等；所以構(gòu)建整體云安全防護(hù)的技術(shù)支撐體系顯得越來越重要。

一、云安全防護(hù)支撐體系框架

云平臺(tái)及網(wǎng)絡(luò)安全防護(hù)是在專用業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)安全保障體系中的一部分，需要在總體安全保障戰(zhàn)略的統(tǒng)一指引下，以構(gòu)建可視、可管、可配置、智能化、可擴(kuò)展的安全能力為目標(biāo)，結(jié)合云平臺(tái)及網(wǎng)絡(luò)架構(gòu)和技術(shù)特性，利用傳統(tǒng)和虛擬化、NFV安全防護(hù)手段，從基礎(chǔ)設(shè)施、虛擬化、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)及管理支撐等多層面采取相應(yīng)的安全支撐手段，構(gòu)建軟件定義的安全防護(hù)支撐體系，提供安全檢測與識(shí)別、安全防護(hù)、安全審計(jì)與備份三大能力，滿足云平臺(tái)業(yè)務(wù)發(fā)展的要求。

云安全防護(hù)框架是依托于安全操作（簡稱SOC）一體化平臺(tái)及各類安全子系統(tǒng)能力，提供云安全防護(hù)，固化落實(shí)云平臺(tái)全生命周期安全管理的要求和作業(yè)流程。其中云安全集中管理平臺(tái)作為SOC一體化平臺(tái)的模塊，復(fù)用、調(diào)度各個(gè)安全子系統(tǒng)的安全能力對(duì)云平臺(tái)提供集中可視化、一點(diǎn)管控、配置自動(dòng)化、策略智能化、彈性可擴(kuò)展的全面云安全防護(hù)。

1.1安全防護(hù)集中可視化。傳統(tǒng)的安全防護(hù)主要依賴專業(yè)的安全人員進(jìn)行安全防護(hù)策略添加及部署，對(duì)最終用戶而言并不可視，用戶需要根據(jù)自己的實(shí)際業(yè)務(wù)需求自助訂閱相關(guān)安全防護(hù)內(nèi)容，比如：用戶可自行通過簡單配置生成安全防護(hù)實(shí)例并下發(fā)防護(hù)策略，提供安全防護(hù)自助化能力，能自行開通安全服務(wù)并進(jìn)行管理，結(jié)合安全防護(hù)日志可實(shí)時(shí)查看攻擊威脅情況并輸出報(bào)告。

1.2集中安全一點(diǎn)管控。云環(huán)境下安全設(shè)備種類繁多，包括過濾轉(zhuǎn)發(fā)類如IPS、WAF、FW等、旁路監(jiān)聽類如IDS、主動(dòng)掃描類如主機(jī)漏掃及Web漏掃等，需要提供整體集約化的安全管控措施，對(duì)云環(huán)境下所有的安全設(shè)備進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)快速分發(fā)部署安全實(shí)例并形成安全防護(hù)策略。云安全管理平臺(tái)實(shí)現(xiàn)多維度信息采集和威脅分析，能夠在一個(gè)界面，對(duì)云環(huán)境的安全態(tài)勢(shì)進(jìn)行監(jiān)控，對(duì)云環(huán)境的資產(chǎn)進(jìn)行集中化、智能化和可視化管理，準(zhǔn)確呈現(xiàn)安全態(tài)勢(shì)。

1.3安全配置自動(dòng)化。提供可視化的安全防護(hù)手段，可按需開啟相應(yīng)的安全防護(hù)（如Web防護(hù)、入侵防護(hù)、掃描服務(wù)等）；運(yùn)維管理人員可通過運(yùn)維門戶界面對(duì)全網(wǎng)安全設(shè)備進(jìn)行集中管控，實(shí)現(xiàn)快捷運(yùn)維（如安全設(shè)備狀態(tài)監(jiān)控、安全策略集中管控、設(shè)備升級(jí)授權(quán)等等）。提供安全能力自助配置手段，基于安全業(yè)務(wù)需求按需提供安全能力，可實(shí)現(xiàn)用戶自動(dòng)部署安全防護(hù)實(shí)例并配置安全防護(hù)策略。

1.4安全策略智能化。安全防護(hù)策略可以根據(jù)多維度、海量的安全數(shù)據(jù)分析，自適應(yīng)學(xué)習(xí)，迭代更新，體現(xiàn)安全策略的智能化。

1.5彈性可擴(kuò)展。服務(wù)能力可以快速和彈性的提供，可自動(dòng)實(shí)現(xiàn)快速擴(kuò)展、釋放和回收?？膳c工單系統(tǒng)打通，實(shí)現(xiàn)自動(dòng)化派單。用戶可按需訂閱或購買安全服務(wù)能力。以資源池的方式，提供過濾轉(zhuǎn)發(fā)、旁路監(jiān)聽、檢測評(píng)估等安全能力。通過控制中心實(shí)現(xiàn)安全即服務(wù)的按需分配和自動(dòng)化部署。

多種安全支撐手段在云安全管理平臺(tái)的統(tǒng)一管理下，可提供可視、可管、可配置、智能的安全管理能力，按需、彈性、快速的可擴(kuò)展安全防護(hù)能力，集中化的安全運(yùn)維能力。

云平臺(tái)技術(shù)及網(wǎng)絡(luò)的技術(shù)實(shí)現(xiàn)架構(gòu)由生產(chǎn)場景、安全一體化安全能力平臺(tái)、采集對(duì)象組成。如下圖所示：

生產(chǎn)場景：在云平臺(tái)全生命周期安全防護(hù)中，包括安全驗(yàn)收、安全事件及故障處理、策略動(dòng)態(tài)調(diào)整、定期風(fēng)險(xiǎn)評(píng)估、通行字管理與審計(jì)、應(yīng)急預(yù)案和應(yīng)急演練這幾大應(yīng)用場景。這些場景中靈活的調(diào)用SOC一體化安全能力平臺(tái)的能力，提供對(duì)云平臺(tái)的可視、可管、可配置、智能化、可擴(kuò)展的安全防護(hù)。

SOC一體化安全能力平臺(tái)：集中調(diào)用云安全子系統(tǒng)的安全能力，封裝成微服務(wù)等綜合安全能力，通過云安全集中管理模塊，將能力與服務(wù)整合在一起，對(duì)云平臺(tái)集中展現(xiàn)安全態(tài)勢(shì)，處理安全威脅，收集所有云安全基礎(chǔ)設(shè)施的日志，智能分析日志并制定安全配置，達(dá)到集中可視化、一點(diǎn)管控、配置自動(dòng)化、策略智能化、彈性可擴(kuò)展的支撐要求。

采集對(duì)象：包括了IT設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、安全設(shè)備、虛擬化系統(tǒng)等對(duì)象，供云安全子系統(tǒng)進(jìn)行采集日志及安全信息，并接收?qǐng)?zhí)行SOC一體化安全能力平臺(tái)下發(fā)的處置配置。

二、云安全防護(hù)手段部署概述

根據(jù)防護(hù)設(shè)備對(duì)流量的處理方式，可將安全設(shè)備分為防護(hù)類、檢測類、評(píng)估類。防護(hù)類設(shè)備主要對(duì)流量進(jìn)行過濾和轉(zhuǎn)發(fā)，如FW、WAF、ADS等；檢測類只對(duì)流量進(jìn)行檢測和分析，不轉(zhuǎn)發(fā)，如NIDS、審計(jì)類產(chǎn)品等；評(píng)估類是主動(dòng)發(fā)包探測，如系統(tǒng)漏洞掃描、Web漏洞掃描等。根據(jù)云平臺(tái)防護(hù)的流量類型和對(duì)象的不同，安全防護(hù)手段的部署位置也不同。一般可分為大網(wǎng)統(tǒng)一防護(hù)、南北向防護(hù)、主機(jī)及東西向流量防護(hù)。

安全防護(hù)手段部署方案

說明：

大網(wǎng)統(tǒng)一防護(hù)：部署在云平臺(tái)外部網(wǎng)絡(luò)上，與云平臺(tái)網(wǎng)絡(luò)可達(dá)。主要安全防護(hù)手段包括異常流量清洗、web應(yīng)用安全防護(hù)、web網(wǎng)站安全監(jiān)控、遠(yuǎn)程安全評(píng)估等。

南北向防護(hù)：部署在云平臺(tái)和外部網(wǎng)絡(luò)的接口處，通常旁掛在三層交換或出口路由器或VxLAN網(wǎng)關(guān)上，實(shí)現(xiàn)對(duì)進(jìn)出云平臺(tái)流量的安全防護(hù)。主要安全防護(hù)手段包括異常流量清洗、web應(yīng)用防火墻、防火墻、入侵檢測、異常行為監(jiān)測等。

主機(jī)及東西向流量防護(hù)：部署在云平臺(tái)內(nèi)部，實(shí)現(xiàn)對(duì)物理主機(jī)、虛擬主機(jī)的安全檢測和防護(hù)，以及對(duì)虛擬機(jī)之間、VPC內(nèi)部各細(xì)分區(qū)域間（如web區(qū)與APP區(qū)，APP區(qū)與DB區(qū)）的安全檢測和防護(hù)。主要安全防護(hù)手段包括防火墻、網(wǎng)絡(luò)/主機(jī)入侵檢測、安全配置基線核查、本地安全漏洞掃描、防病毒等。