淺談如何構建云平臺安全的防護體系

◆李 磊

?

淺談如何構建云平臺安全的防護體系

◆李 磊

（山西廣播電視傳媒（集團）有限責任公司 山西 030006）

本文從云平臺安全防護支撐體系的基本概念入手，分析了云平臺安全防護支撐體系的四大特點：（1）集中可視化；（2）單點管控；（3）自動化配置；（4）靈活擴展。這也在一定程度上說明了構建云平臺網(wǎng)絡安全的防護體系的重要性和重大意義，除此之外還分析了云平臺安全防護手段部署的一些情況，說明了在云平臺安全防護支撐體系構建過程中需要注意的一些問題。

云平臺；安全；防護

1 云平臺安全防護支撐體系框架

在專用服務網(wǎng)絡和互聯(lián)網(wǎng)安全屏障保護系統(tǒng)中，比較重要的環(huán)節(jié)就是云平臺和網(wǎng)絡安全保護。這需要在確保具備整體的安全保護策略的基礎上，從基礎的設備、網(wǎng)絡的虛擬化處理、網(wǎng)絡的構建、系統(tǒng)的應用以及數(shù)據(jù)的管理方面實施一定的安全防護措施。并且還需要結(jié)合云平臺和網(wǎng)絡架構的技術特點，采用傳統(tǒng)意義上和虛擬化的NFV安全保護措施，旨在構建可查看、管理、配置、智能化和擴展的安全平臺。一般而言安全保護支持系統(tǒng)為了達到云平臺業(yè)務發(fā)展的要求，就需要具備識別、檢測、保護、審計安全的功能。云平臺安全保護框架是在集成平臺和各種安全運行子系統(tǒng)的基礎上，可以在很大程度上提供穩(wěn)定的云平臺安全保護能力，并實現(xiàn)對于整個生命周期內(nèi)實施云平臺安全管理的目的。云平臺安全集中管理平臺是一種SOC集成的平臺模塊，各安全子系統(tǒng)重用和調(diào)度的安全能力可以在一定程度上為云平臺提供良好的云平臺安全保護，具有集中可視化、單點管控、自動化配置、智能策略和靈活擴展等特點。

1.1 安全防護集中可視化

傳統(tǒng)意義上實行安全保護的方式是通過專業(yè)的安全人員來添加和部署安全保護措施，最終用戶是看不到這些措施的。用戶首先可以充分了解自身的業(yè)務需求，然后選擇訂閱相關度比較強的安全保護措施和內(nèi)容。例如，用戶可以自身進行一些簡單的設備配置，產(chǎn)生一定的保護方式和實例，實現(xiàn)自助化的安全保護功能，這在很大程度上可以方便用戶自行打開安全服務進行檢查，并且實施一定的管理措施，還可以結(jié)合安全保護記錄隨時了解系統(tǒng)受到攻擊的情況并及時輸出報告。

1.2 集中安全一點管控

云環(huán)境中有多種安全設備，包括過濾器和轉(zhuǎn)發(fā)器（類似于入侵防御系統(tǒng)(IPS)、晶片(WAF)、固件(FW)、旁路監(jiān)控類如入侵檢測系統(tǒng)(IDS)、主動掃描類中包含的主機泄漏掃描和網(wǎng)絡泄漏掃描等）。這些設備均需要得到集成和密集的安全控制措施的管理，保證云環(huán)境中的所有設備都可以安全穩(wěn)定的運行，實現(xiàn)安全案例的快速部署和分發(fā)，進而形成良好的安全保護方式。云平臺安全管理平臺可以收集多維信息，并分析出潛在的威脅信息，能夠在單個操作界面上監(jiān)控云環(huán)境的安全狀況，集中、智能、可視化地管理云環(huán)境的整體資產(chǎn)，達到準確展示云環(huán)境的安全狀況的目的。

1.3 安全配置自動化

在安全自動化方面，云環(huán)境可以通過使用一定程度的視覺安全保護方法直接對于相應的安全保護進行啟動(如網(wǎng)絡保護、入侵保護、掃描服務等)。通過運維門戶界面，運維管理人員可以根據(jù)實際操作的需要集中控制整個網(wǎng)絡的安全設備，實現(xiàn)對于各個設備和環(huán)境的快速運維(如監(jiān)控安全設備運營狀況、集中控制安全方式、授權升級設備等)。云環(huán)境可以通過提供自助化的安全功能，及時的根據(jù)安全業(yè)務的各項需求提供相應的安全保護，達到幫助用戶自動挑選安全保護實例和定制安全保護方式的目的。從安全保護策略可以分析多維的數(shù)據(jù)、實現(xiàn)自動化的學習和不斷地自我更新，我們可以看出安全保護策略具備強大的智能性。

1.4 彈性可擴展

云平臺安全防護體系支撐框架可以快速靈活地提供服務能力，并能實現(xiàn)快速的自動化擴展、釋放和恢復。還可以通過票務系統(tǒng)實現(xiàn)自動調(diào)度，提供給用戶根據(jù)自己的實際需求訂閱或購買安全策略的服務，極大地調(diào)動了用戶的使用積極性。除此之外，云平臺安全防護體系支撐框架通過使用資源池，可以通過過濾器和轉(zhuǎn)發(fā)器、監(jiān)控器和檢測體系實現(xiàn)良好的安全功能，并且通過合理的控制實現(xiàn)用戶的按需分配和資源的自動分配功能。在云平臺安全管理平臺的支撐和管理下，多種安全支持手段就可以實施可視化、可管理性、可配置性和智能性的安全保護管理，提供用戶按照自我需求靈活高效進行功能擴展的安全保護服務和高度集中操作和維護服務。生產(chǎn)場景、統(tǒng)一的安全能力平臺和獲取對象共同決定著云平臺技術和網(wǎng)絡技術實施架構。

云平臺生命周期的安全保護進程中包含很多的生產(chǎn)場景，比如安全檢查和收集、統(tǒng)一管理安全事件和處理安全故障、動態(tài)的調(diào)整和改進策略、定期對于平臺的防護系統(tǒng)進行風險評估、管理和審核密碼的有效性、準備應急預案并進行應急的訓練。這些場景都需要操作人員具備靈活調(diào)用SOC集成安全功能平臺的能力，這可以在很大程度上提供給云平臺良好的管理模式、智能化的保護措施以及可以自我調(diào)配的設施。

SOC集成安全能力平臺中需要應用的就是子系統(tǒng)的強大安全防護能力，還可以將這種防護能力封裝到微服務器中進行處理。使用云平臺安全集中管理器就可以整合防護能力和防護服務，最大化的顯示出云平臺在安全防護方面的巨大潛力，比如說云平臺在應對安全威脅時的操作、對于基礎設施安全工作的詳盡處理、智能化的分析其中存在的問題、制定足夠安全的設施配置、實現(xiàn)良好控制的集中可視化智能策略以及靈活擴展支持需求等。

信息技術設備、網(wǎng)絡中的設施、所使用的系統(tǒng)、安全設施的配置以及虛擬化系統(tǒng)都屬于采集對象，這些信息的采集可以幫助云平臺安全子系統(tǒng)更快捷收集到日志和安全方面的信息，實現(xiàn)高效配置SOC綜合安全能力平臺的目的。

2 云平臺安全防護手段部署概述

從防護設備使用不同方式處理流量的角度出發(fā)，可以將安全設備分為三種類型：（1）保護型、檢測型和評價型。保護型的設備的作用就是過濾和傳輸流量，保護型的設備有FW、WAF、ADS等。檢測型的設備負責檢測和分析流量，但是檢測型設備不用對于流量進行轉(zhuǎn)發(fā)，常用的檢測型設備有NID和處理審計工作需要的產(chǎn)品等。評估型的設備主要作用就是實現(xiàn)主動的檢測，常用的系統(tǒng)有網(wǎng)絡漏洞掃描系統(tǒng)和普通漏洞掃描系統(tǒng)等。一旦云平臺保護的流量類型和對象發(fā)生改變，就需要改變使用不同的配置安全保護手段的方法。一般配制方法有三種：（1）大型網(wǎng)絡統(tǒng)一保護策略；（2）南北保護策略；（3）主機保護和東西流保護策略。大型網(wǎng)絡的統(tǒng)一保護策略一般用在云平臺較外層的網(wǎng)絡上，可接入云平臺網(wǎng)絡。實現(xiàn)安全保護的主要手法有四種：流量異常清洗法、保護網(wǎng)絡中相關應用安全、安全監(jiān)控特定網(wǎng)站、實行遠距離安全評估等。南北保護(North-South protection)一般用于云平臺與外部網(wǎng)絡連接的地方，放置的方式也比較隨意，一般會放在VxLAN網(wǎng)關旁邊或者三層交換機處或者出口路由器上，對于云平臺流量實行穩(wěn)定的安全保護。主機和東西向流量保護策略主要用于云平臺內(nèi)部，作用就是檢測和保護物理現(xiàn)實主機和虛擬主機之間的安全連接，檢測和保護資源分配虛擬機和VPC(比如分配出網(wǎng)絡區(qū)域和應用區(qū)域、應用區(qū)域和數(shù)據(jù)庫區(qū)域)之間的安全。應用比較廣泛的有對于病毒的防護、對于本機的本地安全進行完整的漏洞掃描、實現(xiàn)實時的網(wǎng)絡或者主機入侵檢測、驗證安全配置基線的問題等。

3 結(jié)束語

總而言之，云平臺安全防護支撐體系的構建在很大程度上可以為云平臺安全平臺提供良好的安全保障，所以需要加大在這方面的投入力度。在構建過程中需要注意，一旦云平臺保護的流量類型和對象發(fā)生改變，就需要改變使用不同的配置安全保護手段的方法。

[1]李仕鵬.數(shù)字化測繪技術在工程測量中的運用探析[J].工程技術研究, 2018(16):253-254.

[2]胡進娟.高校虛擬化平臺建設方案研究[J].電子元器件與信息技術, 2018(10):27-29.

[3]王愛彬.構建云平臺安全的防護體系與手段[J].通訊世界, 2018(09):35-36.

[4]何玉瑩,梁志強,陸月瑩,唐福林.多維度構建立體化業(yè)務平臺安全防護體系[J].廣西通信技術, 2016(04):53-56.