王樹太，吳 慶，王 振

（杭州迪普信息技術有限公司，浙江 杭州 310051）

0 引 言

云計算是以數據資源的形式向用戶展示存儲功能，其安全問題是被關注的焦點，將安全問題分為兩類，分別是設備部署在云環(huán)境中需要的新防護手段和引入的新安全問題[1]。伴隨計算機技術在各行各業(yè)中的廣泛應用，傳統(tǒng)數據中心因為虛擬化技術增加了安全設備識別難度，已經不能滿足目前海量數據的存儲，給數據集中帶來一定安全風險。而云計算環(huán)境就是將存儲與網絡整合為一體，通過虛擬化設備以及動態(tài)網絡資源實現(xiàn)數據中心的池化與管理[2]。

隨著云技術的不斷發(fā)展，公有云、私有云所提供的業(yè)務與不同行業(yè)、領域開始互相融合，在一些行業(yè)的具體應用落地方面也有了較大突破，公有云、私有云的應用不再局限于互聯(lián)網、IT 企業(yè)，隨著技術的逐漸成熟開始滲入到了銀行、智能制造、軌道交通等諸多行業(yè)中。相比公有云，私有云具有部署本地化、運維本地化、可管可控、帶寬擴展靈活等特點而受到客戶青睞。

私有云，可部署在企業(yè)數據中心的防火墻以內，也可部署在托管數據中心，私有云的核心屬性是專有資源，同樣具備云計算的三層架構，即IaaS（基礎架構即服務）、PaaS（平臺即服務）、SaaS（軟件即服務）。私有云系統(tǒng)平臺是指能夠幫助企業(yè)快速構建云計算基礎架構的系統(tǒng)軟件，主要包括提供計算、存儲、網絡等基礎IaaS 云平臺和提供應用運行環(huán)境的容器云平臺[3]。

公有云如火如荼的發(fā)展，促使國內外出現(xiàn)大量的公有云提供商，例如亞馬遜AWS 云、微軟Azure 云、阿里云、騰訊云、華為云等。從云計算業(yè)務支撐到云計算安全相關內容，公有云利用其平臺集成優(yōu)勢和環(huán)境便利，通過認證合作方的方式，在公有云上提供了全套的應用和安全解決方案。而私有云建設方面，由于政府、企業(yè)相關的全套技術和人員儲備無法與公有云的投入相匹敵，所以存在一定的差距，通常采取計算、安全等分開建設，分步實施的方式進行。

私有云安全集中化部署、集中化管理的需求，一方面帶來了極大的便利，提供了更好的靈活性；另一方面也帶來了新的安全問題和新的挑戰(zhàn)，例如內部流量不可見、主機內部的虛擬機缺乏有效的隔離措施等。

1 私有云環(huán)境安全面臨的挑戰(zhàn)

在傳統(tǒng)的數據中心中，其網絡往往采用接入層、匯聚層和核心層三層架構，對網絡資源通過功能分區(qū)的方式進行部署，區(qū)域之間通過劃分VLAN 結合訪問控制的方式進行邏輯上的隔離，或者直接進行物理上的隔離。數據中心網絡與外網之間一般通過硬件防火墻設備來進行隔離。而云數據中心通過對資源的虛擬化打破了傳統(tǒng)數據中心網絡的物理邊界，網絡從三層架構轉變?yōu)檫壿嬌系拇蠖泳W絡，這也為如何保障云數據中心的安全帶來了挑戰(zhàn)[4]。

1.1 私有云主機內部虛擬機互訪流量難于管控

在私有云環(huán)境中，主機內部的多個業(yè)務虛擬機之間的互訪流量可以直接通過主機內部的虛擬交換總線進行交換，無需通過外部設備轉發(fā)，因此，私有云數據中心的虛擬化平臺內部虛擬機之間的交互流量無法使用傳統(tǒng)的流量審計、流量分析、流量管控等手段進行管理和控制。流量在內部完成了轉發(fā)，安全防護設備無法獲取私有云虛擬化主機內部已經進行轉發(fā)了的流量，對于內部威脅的發(fā)現(xiàn)，病毒、攻擊的檢測就無從下手，甚至連基本的訪問控制業(yè)務都不能在虛擬機外部完成。在私有云出口邊界部署的傳統(tǒng)防火墻只能獲取從外部到私有云內部的流量，無法對虛擬機內部的流量進行過濾和防護，同樣也無法提供相應的訪問控制策略。另外，私有云內部的虛擬機可能會隨著業(yè)務的變化隨時發(fā)生不同的變化，例如，為了一次新的線上活動，可能臨時增加大量新的業(yè)務虛擬機，且業(yè)務虛擬機前后的Web 和中間件之間的交互流量會由于活動的高峰期出現(xiàn)較大的波動，再者可能由于內部出現(xiàn)APT 類型的滲透和業(yè)務服務器之間的跳板攻擊時，私有云資源池外部的安全設備防護等無法檢測到資源池內部的業(yè)務流量變化和攻擊態(tài)勢的發(fā)展，也就無法采取相關的防護措施適應環(huán)境的變化。

1.2 業(yè)務虛機間缺乏有效的安全隔離措施

在傳統(tǒng)的數據中心內，不同的應用分布在不同的物理服務器上，在靠近物理服務器的位置會部署安全設備，比如防火墻、入侵防護、Web應用防火墻（Web Application Firewall，WAF）等，用以提供邊界隔離、入侵檢測防護、Web 應用防護等安全保護。當服務器虛擬化后，在物理服務器內部存在多個業(yè)務虛擬機，每個業(yè)務虛擬機承載不同應用，同時，在物理服務器內部，由于虛擬化引入了新的虛擬網絡層，即同一物理服務器內部的不同虛擬機間的流量可以通過內部的虛擬交換機直接通信，不再通過外部的物理防火墻，因此，原有的安全防護機制會部分失效。同時，這也導致我們在安全運維管理上希望監(jiān)控應用間的通信情況的期望，在私有云的場景下變得難以實現(xiàn)。

1.3 私有云提供彈性擴展、動態(tài)遷移便利的同時，給安全防護帶來新挑戰(zhàn)

私有云的一個重要的特性就是動態(tài)靈活的資源池內部遷移技術，業(yè)務虛擬機可以在數據中心內的不同物理主機間進行運行時不停機遷移，或者跨不同數據中心進行不停機遷移，業(yè)務虛擬機所運行的網絡、存儲、計算資源環(huán)境都發(fā)生了相應的改變，傳統(tǒng)安全防護、安全管理所采用的預先設置好訪問控制、安全防護、安全檢測等基礎安全策略的方法就無法滿足私有云彈性擴展的安全策略和動態(tài)變化的安全防護需求。安全運維策略無法同步對遷移后的業(yè)務虛擬機提供相應的變更和適配，這一問題帶來了安全運維上的挑戰(zhàn)，傳統(tǒng)的解決方案無法滿足私有云彈性擴展、動態(tài)遷移的安全防護需求。

1.4 與公有云存在運維、運營管理差距

與私有云相比，公有云在成本方面具有更大的透明度，這使得企業(yè)能夠測算和控制費用。私有云部署幾乎沒有行之有效的收費功能，因此，它們要復制公有云按使用量收費的模式。為了與公有云競爭，私有云需要有近乎即時的預配置、自動化和自助服務。對于企業(yè)IT 來說，這是一個巨大的挑戰(zhàn)，因為他們可能要處理數百個應用程序。公有云服務提供商通常都會有數十名工程師負責對平臺進行創(chuàng)新，負責將機器學習和人工智能集成到他們的產品中。這是企業(yè)IT 部門無法企及的資源[5]。

2 私有云云管平臺解決方案

隨著私有云建設的持續(xù)深入，虛擬化、云資源池化的技術不斷改進，私有云在計算、存儲、網絡等資源管理和運維上積累了大量的經驗。伴隨著網絡資源的虛擬化推進，安全防護能力的虛擬化、組件的云化部署逐漸進入人們的視野。云計算相關技術的發(fā)展，OpenStack 平臺的日趨成熟，使得云平臺對于計算資源、安全資源的管理有望出現(xiàn)融合的趨勢。既然安全類的產品可以進行虛擬化，那么是否可以與業(yè)務一致，統(tǒng)一管理，內部引流，通過SDN 引流和編排等技術，完成業(yè)務、安全的統(tǒng)一管理和編排，提升整體運維的簡單程度？

私有云技術逐步趨于成熟，相應的私有云規(guī)模也出現(xiàn)爆發(fā)式的增長，隨著規(guī)模的不斷擴大，私有云對安全防護、安全運營和運維也提出了更高的要求，表現(xiàn)為：

（1）高性能、低時延要求

私有云數據中心不斷增長，業(yè)務流量的需求不斷創(chuàng)新高，這也就要求安全防護平臺需要有更高的性能以支撐業(yè)務的發(fā)展，同時安全防護平臺對業(yè)務時延、吞吐量、新建等指標的影響也成為考慮的重中之重。

（2）高可靠性、高連續(xù)性要求

在傳統(tǒng)的IT 網絡中，高可靠性要求通常通過成熟的可靠性方案來保障，私有云數據中心由于所有業(yè)務、數據都在私有云內部運行，這也對可靠性提出了更高的要求。另外，整個私有云數據中心的連續(xù)性要求由業(yè)務中要求最嚴格、最高的業(yè)務決定，這也就使得業(yè)務連續(xù)性要求較高。

（3）安全能力、彈性擴展能力

私有云數據中心自身具有彈性擴展，可以按照業(yè)務自由擴充業(yè)務虛擬機。這也就要求私有云數據中心的安全防護產品和安全防護解決方案同樣能適配計算資源的彈性擴展和動態(tài)變化的需求。

（4）安全防護業(yè)務平臺化

私有云數據中心的運維、運營統(tǒng)一由私有云數據中心進行管理，類似的安全防護業(yè)務的平臺化運營、運維也就成為一個剛需，不同的行業(yè)客戶對于平臺化的安全防護能力資源池的需求也表現(xiàn)出統(tǒng)一的需求。

（5）多租戶、多業(yè)務隔離

私有云多租戶、多業(yè)務隔離的特點，同時也要求安全資源池能按照租戶、業(yè)務進行隔離，并提供資源池內部隔離的安全防護能力和安全特性。

2.1 云管平臺建設整體思路

私有云云安全管理平臺的總體建設思路為利用物理資源構建虛擬化資源池，在虛擬化資源池基礎上構建能力資源池，對運維用戶提供管理門戶，對租戶提供獨立租戶門戶，平臺一方面充分考慮運維的需求，另一方面對私有云的安全運營做出充分的考慮和設計，通過工單控制將租戶到管理員運維流程打通，形成整體的管理平臺，平臺整體架構如圖1 所示：

圖1 私有云云管平臺總體架構

（1）物理資源

整合服務器、存儲、網絡設備、安全設備、應用交付等硬件物理設備和資源，通過對此類物理資源的管理和整合，形成私有云基礎的物理資源運行管理能力[6]。

（2）虛擬化資源池

基于物理資源，提供虛擬化資源池、網絡資源池、存儲資源池，以此提供整個云管平臺的能力承載，基于虛擬化資源池提供虛擬的運行環(huán)境；網絡資源池提供業(yè)務調度和業(yè)務編排等能力；存儲資源池一方面提供運行的存儲池，另一方面提供運維、運營等管理的數據存儲和落地。

（3）能力資源池

能力資源池由運營能力、安全能力、運維能力三個主要部分組成：運營能力主要提供私有云云安全的運營相關能力，包含租戶、租戶資源的管理、安全能力的定價、運維運營工單、租戶的自服務門戶支撐、原有租戶的賬戶對接等能力；安全能力主要提供實際的安全防護和應用優(yōu)化方面的能力，包含流量清洗、防火墻邊界隔離、VPN 接入、入侵檢測、Web 應用防護、應用負載、行為審計、日志審計、業(yè)務堡壘機等；運維能力主要從資源的監(jiān)控、安全資源池的故障自檢、池內拓撲管理和流量可視化管理、運維日志審計、告警管理、運維報表、能力資源池授權管理、租戶運維管理等角度，提供給私有云安全資源池管理員一個統(tǒng)一的運維管理入口。

2.2 云管平臺關鍵技術

（1）軟件定義安全

軟件定義安全（Software Defined Security，SDS） 是 從 軟 件 定 義 網 絡（Software Defined Network，SDN）引申而來，旨在通過物理或虛擬資源的有效集成和標準化，提供更靈活的軟件定義能力?？啥x的功能包括特定的安全保護規(guī)則、流向和業(yè)務所需的安全保護。軟件可以根據不同的業(yè)務進行安全功能定義，也可以根據不同來源的安全防護能力為不同客戶定義不同的安全防護功能組合。

（2）微隔離及虛擬網絡可視化

微隔離技術本質上來說就是一種適合于虛擬化內部的網絡隔離技術，主要面向虛擬化的數據中心場景，用于阻止攻擊或者威脅在虛擬化內部橫向移動和擴散的一種技術。伴隨著微隔離而衍生的虛擬化內部網絡可視化技術，通過對虛擬化內部的網絡流量和業(yè)務流量的數據采集，提供內部流量和業(yè)務的可視化能力。

云計算和傳統(tǒng)IT 架構相比，具有資源共享、靈活的特點，正因為這些特點，原來傳統(tǒng)網絡的可信任邊界被徹底打破，業(yè)務與業(yè)務之間、業(yè)務內部不同虛擬機之間，都無法通過傳統(tǒng)的安全隔離手段來達到現(xiàn)有的隔離效果。目前公有云的解決方案中，采用的Agent 代理方式實現(xiàn)云主機的監(jiān)控、隔離等手段，這種手段在私有云中同樣適用，通過Agent 的采集，不同的業(yè)務虛擬機的數據可以被云管平臺利用，一方面可以用于云內資產的可視化管理；另一方面可以借助Agent 提供更多的控制能力。

私有云云管平臺可以借由提供安全能力的微隔離組件或者主機、虛擬機上安裝的Agent，提供更豐富的安全分析和安全管控能力。Agent探針記錄大量虛擬主機安全事件和業(yè)務虛擬機的主機行為審計事件，并將這些數據發(fā)送到云管平臺，由管理平臺對日志進行集中的歸一處理并進行安全關聯(lián)分析，通過數據的細致化采集并進行深度的安全分析，可以提供更細層面的安全風險評估和安全問題追蹤。

（3）安全功能虛擬化

將原有的專用設備上才能運行的安全功能在通用的服務器硬件平臺上進行虛擬化處理，主要期望降低專用安全功能對硬件承載平臺的依賴，降低部署時間、部署難度，以及建設和運維的總成本，提供網絡和安全功能的一體化運營、運維的能力，改善安全能力的適配性。

（4）安全能力資源池化

安全能力資源池是指基于虛擬化技術提供的各種安全能力虛擬機的合集，包括防火墻、入侵防護系統(tǒng)（Intrusion Prevention System，IPS）、WAF、日志審計、數據庫審計、虛擬專用網絡（Virtual Private Network，VPN）、漏洞掃描、配置核查、堡壘機等安全組件，利用網絡功能虛擬化（Network Function Virtualization，NFV）技術進行安全能力池化部署，通過虛擬化的靈活擴展、按需拉起、虛擬化層可靠性，將原有物理網絡需要通過多種安全硬件才能實現(xiàn)的安全防護能力和安全檢測能力整合，形成真正意義上的安全能力資源池，具有隨時實例化、按需擴容、池化級高可靠性等特點。

（5）安全能力組件編排

基于安全能力資源池化的基礎，通過Overlay 網絡技術以及資源池內部安全服務編排等技術，實現(xiàn)安全能力組件的按需組裝、靈活編排、動態(tài)管理。通過安全能力組件的智能化編排技術，為私有云內的租戶提供動態(tài)、靈活的選擇，私有云租戶可以自行決定業(yè)務所需要采用的安全防護的技術棧，按照實際需求進行安全防護能力的編排和采購。當安全運維人員決定采用相應的安全防護能力時，只需要簡單地進行資源申請、編排和部署就可以交由云管平臺的運營組件自動化地完成。云管理平臺會自動拉起對應的安全NFV 虛擬機，編排業(yè)務流量需要經過的安全NFV 虛擬機的先后順序，更新對應租戶的日志和數據采集方式、集中采集地址，從而實現(xiàn)完整的編排和采集，達到靈活定義租戶自己的網絡和安全業(yè)務的目的。

（6）平臺級別安全業(yè)務聯(lián)動

平臺基于內部微隔離技術、可視化技術、虛擬資源和虛擬網絡監(jiān)控技術，一方面可以提供細粒度的運維監(jiān)控能力；另一方面借由采集的數據，結合安全組件和安全能力采集的安全日志和異常流量情況，綜合進行處置動作的靈活編排和觸發(fā)，通過平臺統(tǒng)一進行調度和業(yè)務聯(lián)動，可以形成虛擬化資源池內部的整體有機結合的安全防護和業(yè)務聯(lián)動方案。

基于上述技術的安全業(yè)務聯(lián)動，是一個體系化的安全系統(tǒng)工程，從網絡隔離層、數據監(jiān)控層、網絡安全檢測層、網絡安全處置層進行了充分的整合，從而形成更有效的防護體系。

3 云管平臺應用場景分析

云管平臺作為安全資源池的管理和運營平臺，可以為不同的云環(huán)境和云場景提供運營、運維、資源調度、安全監(jiān)控等能力。為不同私有云場景的用戶提供相應的服務增值、運維增值、運營賦能。

3.1 運營商私有云

運營商通過建設私有云安全資源池，為IDC機房、政企用戶提供運營商級的安全防護能力解決方案，通過運營商的流量覆蓋能力，使得所覆蓋的客戶均可以通過將流量牽引至運營商的私有云安全資源池中進行防護，從而為運營商原有的流量用戶提供安全能力的增值服務。通過運營商自建的私有云安全資源池，一方面可以將不同廠商的安全能力虛擬化后提供給不同的租戶；另一方面可以給云上用戶提供專業(yè)級的數據中心運維能力，從安全可控、靈活運維角度為運營商的用戶提供專業(yè)的服務。

隨著5G 應用的不斷深入，邊緣計算的興起，邊緣側的業(yè)務如何進行賦能成為業(yè)界的新熱點，業(yè)內也期望通過不斷新的嘗試，探索出新的應用場景和路線。邊緣按照所應用的位置可以分為邊緣云和邊緣終端兩個部分，其中，邊緣云是云計算與網絡邊緣側進行融合而產生的新技術形態(tài)，是未來產業(yè)關注的重點，是連接云和邊緣終端的重要橋梁。運營商利用邊緣云的建設資源，在邊緣云側提供安全資源池的能力，為邊緣云建設提供安全防護和運維能力。

3.2 政務云

近年來，政府越來越重視國民生活問題。政府加快公共服務向政府轉移，深化電子政務，推進國家治理現(xiàn)代化。采用基于云計算技術的電子政務建設模式，為政府提供橫向整合信息資源的機會、系統(tǒng)和基礎設施的使用，以提高總體硬件支持和使用率。建立健全電子政務平臺信息安全體系，加強安全可靠的軟硬件產品集中應用，確保政府信息系統(tǒng)安全可靠使用。將政府數據和社會數據整合到大城市數據中，通過跨域數據融合分析，實現(xiàn)對城市運行的理解和預測，為共同治理的創(chuàng)新應用提供信息支持。

政務云通過建設統(tǒng)一的硬件，在硬件平臺基礎上構建云計算、云安全平臺，可以將統(tǒng)一采購的資源進行云服務化，最終為政務云的客戶提供更健全、更全面的安全租戶服務。政務云通過云安全管理平臺，為政務云上的數據、政務業(yè)務，提供更靈活的安全防護，更便捷的安全運維，從而提升整體的靈活性和可用性。

3.3 金融云

金融機構私有云的安全需求主要來自 三個方面。一是傳統(tǒng)安全威脅，例如DDoS 攻擊、“僵木蠕”威脅、業(yè)務系統(tǒng)威脅、主機威脅、惡意代碼病毒等。二是云計算技術引入新的安全威脅，包括云服務提供者和使用者安全責任、云平臺與租戶業(yè)務系統(tǒng)的等級保護合規(guī)性評估、云技術帶來的云內安全等。三是自身安全需求，即不同客戶自身管理模式、業(yè)務模式等特色安全需求[7]。

云管平臺利用資源池化的FW、IPS、WAF等傳統(tǒng)防護資源的虛擬化解決傳統(tǒng)的安全防護，通過運營能力的集中化管理解決云內安全，從而提供金融云有效的解決方案，可以為金融云的云安全落地和建設提供一個新的解決方案，也可以為金融云內部不同的應用部門提供業(yè)務租戶級別的安全引流和安全隔離方案，通過內部流量的監(jiān)控和安全防護，提供跨業(yè)務橫向的安全防護能力。

4 結 語

私有云的發(fā)展，使云計算進入了各行各業(yè)，安全防護的需求也隨之不斷增多，私有云云管平臺可以在私有云的基礎上提供多租戶、微隔離、虛擬化、流量可視化、安全業(yè)務編排等功能和業(yè)務，為云計算平臺提供更為靈活的安全解決方案。為運營商云、政務云等私有云環(huán)境的租戶提供安全能力編排服務，為資源池的運營管理、運維管理等提供支撐，使私有云能更好地為用戶提供安全防護、安全運維和運營管理。