構建云平臺安全的防護體系與手段

王愛彬

摘要：通過構建云平臺網絡安全的防護支撐構架，以及利用現(xiàn)有的安全防護手段和防護設備；提出對整個云平臺的安全防護的工作思路與框架；為探討云計算的安全防護的具體實施提供一定的分析和解決方案。

關鍵詞：云平臺；安全；防護

引言：云計算模式通過將數(shù)據(jù)統(tǒng)一存儲在云計算服務器中，加強對核心數(shù)據(jù)的集中管控，比傳統(tǒng)分別在大量終端上的數(shù)據(jù)行為更安全。由于數(shù)據(jù)的集中，使得安全審計、安全評估、安全運維等行為更加簡單易行，同時更容易實現(xiàn)系統(tǒng)容錯、高可用性和冗余及災備恢復。但云計算模式是在傳統(tǒng) IT 技術的基礎上發(fā)展起來的，其本質上是增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調配，高可靠等特點。因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護方案依然可以發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風險，從保障系統(tǒng)整體安全出發(fā)，云計算在帶來方便快捷的同時也帶來新的風險和挑戰(zhàn)，其面臨的主要挑戰(zhàn)和需求如下：法律和合規(guī)，動態(tài)、虛擬化網絡邊界安全，虛擬化主機安全、數(shù)據(jù)保密和防泄漏、安全運維和管理等；所以構建整體云安全防護的技術支撐體系顯得越來越重要。

一、云安全防護支撐體系框架

云平臺及網絡安全防護是在專用業(yè)務網與互聯(lián)網安全保障體系中的一部分，需要在總體安全保障戰(zhàn)略的統(tǒng)一指引下，以構建可視、可管、可配置、智能化、可擴展的安全能力為目標，結合云平臺及網絡架構和技術特性，利用傳統(tǒng)和虛擬化、NFV安全防護手段，從基礎設施、虛擬化、網絡、系統(tǒng)、應用、數(shù)據(jù)及管理支撐等多層面采取相應的安全支撐手段，構建軟件定義的安全防護支撐體系，提供安全檢測與識別、安全防護、安全審計與備份三大能力，滿足云平臺業(yè)務發(fā)展的要求。

云安全防護框架是依托于安全操作（簡稱SOC）一體化平臺及各類安全子系統(tǒng)能力，提供云安全防護，固化落實云平臺全生命周期安全管理的要求和作業(yè)流程。其中云安全集中管理平臺作為SOC一體化平臺的模塊，復用、調度各個安全子系統(tǒng)的安全能力對云平臺提供集中可視化、一點管控、配置自動化、策略智能化、彈性可擴展的全面云安全防護。

1.1安全防護集中可視化。傳統(tǒng)的安全防護主要依賴專業(yè)的安全人員進行安全防護策略添加及部署，對最終用戶而言并不可視，用戶需要根據(jù)自己的實際業(yè)務需求自助訂閱相關安全防護內容，比如：用戶可自行通過簡單配置生成安全防護實例并下發(fā)防護策略，提供安全防護自助化能力，能自行開通安全服務并進行管理，結合安全防護日志可實時查看攻擊威脅情況并輸出報告。

1.2集中安全一點管控。云環(huán)境下安全設備種類繁多，包括過濾轉發(fā)類如IPS、WAF、FW等、旁路監(jiān)聽類如IDS、主動掃描類如主機漏掃及Web漏掃等，需要提供整體集約化的安全管控措施，對云環(huán)境下所有的安全設備進行統(tǒng)一管理，實現(xiàn)快速分發(fā)部署安全實例并形成安全防護策略。云安全管理平臺實現(xiàn)多維度信息采集和威脅分析，能夠在一個界面，對云環(huán)境的安全態(tài)勢進行監(jiān)控，對云環(huán)境的資產進行集中化、智能化和可視化管理，準確呈現(xiàn)安全態(tài)勢。

1.3安全配置自動化。提供可視化的安全防護手段，可按需開啟相應的安全防護（如Web防護、入侵防護、掃描服務等）；運維管理人員可通過運維門戶界面對全網安全設備進行集中管控，實現(xiàn)快捷運維（如安全設備狀態(tài)監(jiān)控、安全策略集中管控、設備升級授權等等）。提供安全能力自助配置手段，基于安全業(yè)務需求按需提供安全能力，可實現(xiàn)用戶自動部署安全防護實例并配置安全防護策略。

1.4安全策略智能化。安全防護策略可以根據(jù)多維度、海量的安全數(shù)據(jù)分析，自適應學習，迭代更新，體現(xiàn)安全策略的智能化。

1.5彈性可擴展。服務能力可以快速和彈性的提供，可自動實現(xiàn)快速擴展、釋放和回收。可與工單系統(tǒng)打通，實現(xiàn)自動化派單。用戶可按需訂閱或購買安全服務能力。以資源池的方式，提供過濾轉發(fā)、旁路監(jiān)聽、檢測評估等安全能力。通過控制中心實現(xiàn)安全即服務的按需分配和自動化部署。

多種安全支撐手段在云安全管理平臺的統(tǒng)一管理下，可提供可視、可管、可配置、智能的安全管理能力，按需、彈性、快速的可擴展安全防護能力，集中化的安全運維能力。

云平臺技術及網絡的技術實現(xiàn)架構由生產場景、安全一體化安全能力平臺、采集對象組成。如下圖所示：

生產場景：在云平臺全生命周期安全防護中，包括安全驗收、安全事件及故障處理、策略動態(tài)調整、定期風險評估、通行字管理與審計、應急預案和應急演練這幾大應用場景。這些場景中靈活的調用SOC一體化安全能力平臺的能力，提供對云平臺的可視、可管、可配置、智能化、可擴展的安全防護。

SOC一體化安全能力平臺：集中調用云安全子系統(tǒng)的安全能力，封裝成微服務等綜合安全能力，通過云安全集中管理模塊，將能力與服務整合在一起，對云平臺集中展現(xiàn)安全態(tài)勢，處理安全威脅，收集所有云安全基礎設施的日志，智能分析日志并制定安全配置，達到集中可視化、一點管控、配置自動化、策略智能化、彈性可擴展的支撐要求。

采集對象：包括了IT設備、網絡設備、應用系統(tǒng)、安全設備、虛擬化系統(tǒng)等對象，供云安全子系統(tǒng)進行采集日志及安全信息，并接收執(zhí)行SOC一體化安全能力平臺下發(fā)的處置配置。

二、云安全防護手段部署概述

根據(jù)防護設備對流量的處理方式，可將安全設備分為防護類、檢測類、評估類。防護類設備主要對流量進行過濾和轉發(fā)，如FW、WAF、ADS等；檢測類只對流量進行檢測和分析，不轉發(fā)，如NIDS、審計類產品等；評估類是主動發(fā)包探測，如系統(tǒng)漏洞掃描、Web漏洞掃描等。根據(jù)云平臺防護的流量類型和對象的不同，安全防護手段的部署位置也不同。一般可分為大網統(tǒng)一防護、南北向防護、主機及東西向流量防護。

安全防護手段部署方案

說明：

大網統(tǒng)一防護：部署在云平臺外部網絡上，與云平臺網絡可達。主要安全防護手段包括異常流量清洗、web應用安全防護、web網站安全監(jiān)控、遠程安全評估等。

南北向防護：部署在云平臺和外部網絡的接口處，通常旁掛在三層交換或出口路由器或VxLAN網關上，實現(xiàn)對進出云平臺流量的安全防護。主要安全防護手段包括異常流量清洗、web應用防火墻、防火墻、入侵檢測、異常行為監(jiān)測等。

主機及東西向流量防護：部署在云平臺內部，實現(xiàn)對物理主機、虛擬主機的安全檢測和防護，以及對虛擬機之間、VPC內部各細分區(qū)域間（如web區(qū)與APP區(qū)，APP區(qū)與DB區(qū)）的安全檢測和防護。主要安全防護手段包括防火墻、網絡/主機入侵檢測、安全配置基線核查、本地安全漏洞掃描、防病毒等。