移動云安全體系探索

王立軍

【摘要】在傳統IT架構、單一云架構向多云架構方向發(fā)展演進過程中，由于多云架構結構復雜，各類云混雜部署致使安全管理與網絡管理碎片化，云安全的內外部威脅及國家網絡安全法的實施，云安全等級保護變得非常重要和緊迫。

【關鍵詞】網絡安全法;多云架構;云安全體系;DDOS攻擊;Web全棧防護;云安全中心

中圖分類號：TN929? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2022.02.021

1. 云安全背景介紹

由于原傳統IT架構、單一云架構向多云架構方向發(fā)展演進，多云架構結構復雜，公用云、私有云、物理機、容器混雜部署，安全管理與網絡管理進一步分離致使安全管理變得碎片化。流向模型改變致使東西向流量大，甚至是南北向流量的數十倍。

云安全來自外部的威脅：DDOS攻擊、網絡掃描、監(jiān)聽、木馬、蠕蟲、病毒入侵、掛馬、SQL注入、非授權訪問，虛擬化平臺、共享彈性資源、租戶傳統網絡邊界消失、業(yè)務自動化等新增外部威脅：接入終端更多樣，各種移動終端、VDI終端;新的針對Hypervisor漏洞攻擊等。

來自內部的威脅：越權訪問&操作、內網IP、ARP欺騙、病毒二次擴散、非法終端接入、關鍵信息泄密。VM存在相互攻擊、流量不可視，取證困難;VM動態(tài)遷移需要安全策略保持一致性;存儲數據物理位置不可知，用戶擔心數據隱私泄露;云IDC的管理集中帶來管理員的權限濫用風險等。

由于《中華人民共和國網絡安全法》出臺，實行等級安全保護已成為法律制度。信息安全等級保護是對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中發(fā)生的信息安全事件分等級響應、處置。

“等保2.0”時代已經到來，新標準將云計算、移動互聯、物聯網、工業(yè)控制系統等列入標準范圍，這也是網絡安全與等級保護合規(guī)性的要求。

2. 移動云安全體系淺析

移動云安全服務覆蓋業(yè)務邊界安全，終端安全，應用安全，安全管理等，通過統一對接云安全管理平臺提供安全能力，用戶通過可視化門戶，及時了解和評估安全威脅，實施安全檢測和防護，管理安全資產。如圖1

3. 抗DDOS優(yōu)勢

采用業(yè)界領先的攻擊識別清洗技術，輕松應對大流量攻擊、連接耗盡攻擊、脈沖攻擊，保證客戶業(yè)務正常運行。

聚集多名CCIE、CCSP認證且具備多年行業(yè)經驗的網絡安全專家，對攻擊防護全程監(jiān)控、跟蹤建議，對客戶提供安全咨詢服務。

針對種類繁多的DDoS攻擊，既具備通用化模板配置，又具備安全專家根據不同特點、不同技術制定的個性化防護策略，提高防護效果。

客戶購買服務后通過簡單配置即可開通防護，登錄自助服務平臺可查看攻擊告警、防護狀態(tài)、防護報告。

4. Web全棧防護優(yōu)勢

高效防御，智能安全分析為中心的主動性對抗防御架構，支持40大類上千種Web攻擊防護，快速迭代“攻擊樣本”提升防御效果。

彈性防護，基礎防護+彈性防護按需搭配，支持常態(tài)化基礎防護包月服務及應對突發(fā)的高流量彈性防護，觸發(fā)彈性防護按天計費，防護成本靈活可控。

穩(wěn)定可靠。運營商級云資源池架構，集群+冗余高可用模式，消除單點故障，徹底解決大規(guī)模應用層防御的性能瓶頸問題。

網站隱身，通過修改CNAME方式引流，不再對外暴露用戶源站服務器地址、避免攻擊者繞過Web防護直接攻擊用戶業(yè)務站點。如圖2

5. 漏洞掃描

5.1 系統漏洞掃描

1）支持CVE、CNVE、CNVD等主流漏洞庫

2）掃描系統層面多種脆弱性：安全漏洞、安全配置漏洞、應用系統安全漏洞、弱口令等，發(fā)現可利用的漏洞

3）支持自定義掃描策略、掃描范圍

5.2 WEB漏洞掃描

1）支持主流Web容器，包括IIS、Tomcat、Apache等

2）支持SQL注入、cookie校驗、跨站腳本攻擊、偽造跨站請求、網頁掛馬、隱藏字段檢測等漏洞

3）提供專業(yè)的漏洞掃描報告，指導租戶簡單快捷的修復漏洞。為用戶提供針對公網IP的漏洞掃描服務，使用范圍更加靈活。支持資產所有權認證，防止漏掃產品被惡意使用，保障用戶資產安全。

提供漏洞詳情頁面和漏洞對比分析，方便用戶通過對比結果中的新增漏洞、已修復漏洞、未修復漏洞等清晰掌握資產的安全變化狀況。

6. 態(tài)勢感知

態(tài)勢感知采用先進的大數據架構，通過采集系統的網絡安全數據信息，對所有安全數據進行統一處理分析，實現對網絡攻擊行為、安全威脅事件、日志、流量等網絡安全問題的發(fā)現和告警，打造安全可監(jiān)控、攻擊可防護、威脅可感知、事件可控制的安全能力。

7. 云堡壘機

云堡壘機是一個云資源集中管理平臺，它能實現對云上資產運維過程的事前規(guī)劃、事中控制和事后審計。同時，云堡壘機還支持自動化運維、資產拓撲發(fā)現、工單審批等功能，幫助用戶建立完善的運維管理與內控體系，建立安全、高效、可控的運維管理機制。

8. 云安全中心

云安全中心是一個實時識別、分析、預警安全威脅的統一安全管理系統，通過防勒索、防病毒、防篡改、合規(guī)檢查等安全能力，幫助用戶實現威脅檢測、響應、溯源的自動化安全運營閉環(huán)，保護云上資產和本地主機并滿足監(jiān)管合規(guī)要求，圖4所示：

9. 云安全中心優(yōu)勢

9.1 安全可靠

提供服務器資產的漏洞檢測、基線檢查及云平臺配置功能，并提供詳細的修復建議，形成安全運營閉環(huán)，幫助您加固系統安全。

9.2 資產管控

整合用戶全局資產的威脅信息進行安全評分，并收集資產指紋等相關信息，幫助用戶對資產進行統一的安全管控。

9.3 實時監(jiān)控

可實時監(jiān)控您移動云上所有資產的安全事件并提供封禁處理，可開啟實時通知告警事件功能，及時抵御惡意入侵。及時發(fā)現異常登陸、暴力破解等安全問題，保護云上安全并滿足監(jiān)管合規(guī)要求。

參考文獻：

[1]《云計算架構技術與實踐》顧炯炯編著—北京：清華大學出版社.2016

[2]《中國移動集團政企產品白皮書》[EB/OL].2020