企業(yè)上云后的安全關(guān)切及解決之道

山東 張雨

國家實施云戰(zhàn)略，主要是克服各單位信息化設施和人員大而全、小而全，設備利用率低下、數(shù)據(jù)無法共享、軟件重復開發(fā)、安全沒有保障、企業(yè)的信息化成本愈來愈高的問題。

基于此，各級政府部門、企業(yè)集團等紛紛推出云計劃、云方案等。由上級部門建設或統(tǒng)一租用云服務平臺面向本級和下屬企事業(yè)單位提供按需的云計算服務，以提高政府資產(chǎn)利用率，降低政府信息化投入成本。但是企業(yè)上云決不是一蹴而就的，尤其是其安全保障問題是不得不認真考慮的。

云租戶擔心什么

云平臺建設完成后，多家單位的多個業(yè)務系統(tǒng)遷移上云。但作為業(yè)務系統(tǒng)擁有單位始終對自己的系統(tǒng)能否在云上安全穩(wěn)定運行存在顧慮，并且一些上云的業(yè)務也確實陸續(xù)出現(xiàn)了一些這樣那樣的問題，用戶關(guān)心的問題概括起來主要有以下方面：

一是認為自己的業(yè)務系統(tǒng)很重要，安全要求很高，不想和其他單位的系統(tǒng)混在一起。

二是認為云平臺無法提供滿足自己安全需求的安全產(chǎn)品，不能讓其了解業(yè)務系統(tǒng)的防御狀態(tài)、安全日志等。

三是想知道自己的系統(tǒng)在云上是如何部署的以及業(yè)務流量如何。

四是擔心業(yè)務系統(tǒng)數(shù)據(jù)被云服務商非法竊取。

云安全存在的現(xiàn)實問題

用戶的擔心并非杞人憂天，確實有云平臺上就有業(yè)務系統(tǒng)遭受到了黑客攻擊的情況發(fā)生。這使得租戶上云的積極性受到影響。通過分析評估，認為云的安全風險主要在以下幾個方面：

一是安全責任邊界不清晰：業(yè)務系統(tǒng)上云后沒有明確各參與方的安全職責，云租戶認為運營商會總體負責，而運營商則認為租戶會自行負責。另一方面，運營商還負責部分運維和運營，導致雙方的安全職責劃分不清。

二是缺乏完善的云安全解決方案：由于虛擬化和大數(shù)據(jù)等新型技術(shù)的應用，云上的網(wǎng)絡安全和自主保障時候的網(wǎng)絡安全情況差別很大，對云上的安全措施心里沒底。部分業(yè)務系統(tǒng)在云上基本沒有單獨定制防護措施，如果虛擬機之間的安全隔離防護不當，則可能導致一個租戶的信息系統(tǒng)出現(xiàn)故障會影響其他租戶信息系統(tǒng)的安全運行。

三是運營商運維壓力巨大：運營商投入了大量資源配合租戶遷移業(yè)務系統(tǒng)的同時，也間接承擔了部分的運維工作，上云結(jié)束后這部分工作再如何順利地移交到租戶那里成了難題。

四是缺乏全網(wǎng)態(tài)勢感知能力：大量的業(yè)務系統(tǒng)在云運行，在業(yè)務集中的同時也導致了風險的集中。而且部分云運營商缺乏技術(shù)手段，無法及時發(fā)現(xiàn)安全漏洞和安全事件，只能在發(fā)生安全事件時被動地進行應急補救措施。

五是國家等級保護制度推行不到位：網(wǎng)絡安全法己明確規(guī)定信息系統(tǒng)需要滿足等級保護要求，云上業(yè)務系統(tǒng)也不例外。而上云以后無法有效地進行業(yè)務系統(tǒng)邊界界定，云安全的等級保護無法推行。

解決方案探討

為了解決云的安全問題，促進業(yè)務系統(tǒng)安全上云，經(jīng)過多方對比論證認為，云提供商應該用一個統(tǒng)一的安全管理平臺，打開這樣的控制平臺，就可以一目了然的看到云上整個安全策略的運行情況和資產(chǎn)情況，可以對威脅進行及時的響應和處理，而不需要登錄到不同的平臺上去管理安全。如果能夠讓企業(yè)內(nèi)部的安全產(chǎn)品相互協(xié)同工作，這能在很大程度上節(jié)省企業(yè)的IT 開支，這種開支既包括人力成本，也包括產(chǎn)品成本。這就是為什么說統(tǒng)一的安全管理平臺才是企業(yè)最好的安全方案。

這種安全管理平臺主要是通過虛擬化技術(shù)將眾多安全產(chǎn)品能力集成起來，以服務的方式將各種安全能力提供給云租戶。既可通過一個層面解決不同的安全問題，滿足業(yè)務系統(tǒng)的多個安全需求，又能夠緊密結(jié)合服務鏈技術(shù)，實現(xiàn)安全資源靈活調(diào)度、動態(tài)擴展和按需交付，從而全面滿足上云業(yè)務對安全部署的要求。

該方案以“SaaS（安全即服務）+NFV（網(wǎng)絡功能虛擬化）”技術(shù)為依托，聚焦業(yè)務安全，靈活調(diào)度安全資源，具備可視、可控、安全資源自動化部署、彈性擴展等特點，可較好地滿足云平臺的安全防護需求。目前國內(nèi)網(wǎng)絡安全提供商已經(jīng)有類似方案，但不盡相同，購買時要注意從多方面進行比較選擇。該防護方案具有以下特點：

一是彈性可擴展安全平臺。通過服務鏈技術(shù)按需靈活調(diào)度業(yè)務流量，使安全資源的部署與物理網(wǎng)絡位置無關(guān)?；谟布摂M化技術(shù)，為虛擬設備獨立運行提供資源保障，結(jié)合集群堆疊技術(shù)提供安全可靠的安全服務。系統(tǒng)全面兼容硬件和NFV 方式的安全平臺，安全資源可在線擴容，業(yè)務運行不受影響。

二是全面的安全防護服務能力。除防火墻、負載均衡、VPN 等基礎網(wǎng)絡安全服務，該平臺還具備云監(jiān)測功能，主要包括：網(wǎng)站的7×24小時監(jiān)測，如網(wǎng)站的漏洞、安全事件等，可實現(xiàn)對已上云和未上云網(wǎng)站的監(jiān)測；云防御，主要包括：Web 應用防火墻、虛擬防火墻、虛擬IPS 等，可為云應用系統(tǒng)提供完善的防護能力；云審計，主要包括：全網(wǎng)的流量審計和日志審計，通過大數(shù)據(jù)方法進行安全分析；云合規(guī)，主要包括等級保護預測評服務，以及網(wǎng)頁防篡改、云數(shù)據(jù)庫審計、云堡壘機等服務，結(jié)合虛擬網(wǎng)絡隔離技術(shù)，全面滿足用戶安全等保合規(guī)建設需求。

三是安全可視化管理?？蓪崿F(xiàn)安全拓撲、業(yè)務風險、安全合規(guī)等可視化管理，使安全運維管理變得簡單。

四是安全業(yè)務自動化編排部署。通過SDN（軟件定義網(wǎng)絡）與服務鏈技術(shù)的結(jié)合，可實現(xiàn)網(wǎng)絡和安全資源的一體化管理與調(diào)度。云數(shù)據(jù)中心安全業(yè)務部署所需的安全資源分配、業(yè)務流量調(diào)度和安全策略部署得以集中交付，實現(xiàn)安全業(yè)務的自動化部署。

滿足運營商的利益關(guān)切

該云安全方案充分考慮了云平臺和云租戶雙方的利益關(guān)切?？梢宰龅剑?/p>

一是及時掌握所有租戶業(yè)務的可用性。通過云安全管理平臺的大數(shù)據(jù)分析系統(tǒng)和可視化功能，展示了整個云平臺的所有租戶的網(wǎng)站應用概況。通過此視圖可以讓云平臺建設方和運營商了解整個云平臺到底有多少網(wǎng)站業(yè)務存活，有多少網(wǎng)站出現(xiàn)訪問異常。云運營商可以針對網(wǎng)站出現(xiàn)的訪問異常情況進行跟蹤，提供增值服務。

二是形成豐富的增值服務產(chǎn)品。采用云檢測、云防御、云審計方式，根據(jù)不同的要求提供不同的個性化服務，可按網(wǎng)站數(shù)、數(shù)據(jù)庫數(shù)、并發(fā)用戶數(shù)等指標作為收費依據(jù)，可以幫助云平臺的運營商獲得豐富的增值服務產(chǎn)品，一方面可以讓云租戶有更豐富的安全產(chǎn)品選擇，另一方面也可以幫助云平臺盡快收回成本實現(xiàn)盈利。

三是可隨時了解所有租戶的業(yè)務安全狀況。通過平臺視圖可以了解整個云平臺所有租戶的業(yè)務安全狀態(tài)。例如：整個云平臺的安全漏洞類型和高危端口分布情況、有多少業(yè)務存在安全漏洞和安全事件、最新的安全事件取證分析、0day 漏洞的分布情況等，大大提升云平臺的應急響應能力。

四是云平臺防御動態(tài)展示。通過云安全平臺的防御動態(tài)展示功能，可以幫助云平臺了解自身的安全防御狀態(tài)。例如，云平臺建立了Web應用防護清洗能力，通過此視圖就可以了解目前有多少用戶啟用了Web 防護，整個云平臺受到了哪些類型、哪些地方和哪些IP 的攻擊，提示云平臺及時采取有效措施。

五是高危漏洞影響快速評估。信息安全態(tài)勢瞬息萬變，每天都會有很多漏洞被發(fā)現(xiàn)、被利用，平臺可以幫助云平臺運營商快速完成0day漏洞的分布情況等。

滿足云租戶安全關(guān)切

主要為云租戶提供定義安全策略，自助分析安全日志，自助部署安全產(chǎn)品的能力。

一是應用防護效果一目了然。通過云安全運營平臺的網(wǎng)站防御監(jiān)測視圖可以了解租戶已經(jīng)開通Web 防護的業(yè)務應用狀態(tài)，也可以了解最新的攻擊動態(tài)，包括攻擊國家排行、攻擊IP 排行和攻擊URL 排行等；還可以實時展現(xiàn)出網(wǎng)站的攻擊流量比例，隨時知道網(wǎng)站在全國各省的狀態(tài)。

二是運行狀態(tài)清晰可控。通過提煉形成每個租戶的業(yè)務防護結(jié)構(gòu)圖，展示租戶相關(guān)應用設備的運行狀態(tài)，方便租戶查看和管理。

三是方便云租戶定制安全方案。在云平臺上傳統(tǒng)的安全防護設備都無法按照原始模式交付，如傳統(tǒng)的防火墻、IPS、WAF、日志審計等都無法在云平臺安裝。即使廠家按照軟件方式交付，也會存在日志和流量采集困難，無法達到防護策略的最佳效果、無法關(guān)聯(lián)分析等。本方案可以幫助云租戶以最小的成本和最便捷的方式開啟云上安全防護方案。