一種虛實融合、智能隨需的安全服務(wù)平臺研究

盧 凱，于增明，黃 兵

(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所，北京 102209)

0 引言

隨著云計算技術(shù)、物聯(lián)網(wǎng)技術(shù)的快速發(fā)展和應(yīng)用以及“兩化融合”工作的不斷深化，人們可以切實地感受到生產(chǎn)效率的提高和生活品質(zhì)的提升，線上購物、遠(yuǎn)程診療、數(shù)據(jù)云端存儲、個性化定制家電等基于云計算技術(shù)的應(yīng)用正在進入和影響著人們的生活。近年來，隨著工業(yè)和信息化部《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃(2018—2020年)》的頒布，工業(yè)企業(yè)也迎來了一次“上云”的熱潮。云計算成為了互聯(lián)網(wǎng)產(chǎn)業(yè)和工業(yè)支柱產(chǎn)業(yè)發(fā)展的推動力。

伴隨著制造、交通、能源、市政、醫(yī)療等各行業(yè)信息化進程的加快，服務(wù)化成為產(chǎn)業(yè)發(fā)展的必然趨勢，各種生產(chǎn)活動的成果逐漸開始以服務(wù)方式向用戶進行交付，即最終的交付成果是一種基于網(wǎng)絡(luò)和信息平臺的服務(wù)[1]。安全防護作為各行業(yè)信息安全領(lǐng)域的重要需求，以服務(wù)的形式向用戶提供安全防護保障必然也會成為一種新的方式。本文將研究一種基于云計算環(huán)境的安全服務(wù)平臺，使得用戶只需按需定制即可快速便捷地獲得信息安全防護服務(wù)，而不用考慮安全產(chǎn)品的升級維護、更新?lián)Q代，同時服務(wù)平臺采用虛擬安全產(chǎn)品與實物安全產(chǎn)品相結(jié)合的方式來降低用戶的服務(wù)成本和滿足用戶的多樣化需求。

1 研究現(xiàn)狀

隨著各產(chǎn)業(yè)信息化程度的提高，面臨的網(wǎng)絡(luò)安全威脅也越來越嚴(yán)峻，傳統(tǒng)的安全防護方式是在系統(tǒng)的物理邊界和關(guān)鍵區(qū)域部署安全設(shè)備，這種方式存在如下這些問題。

(1)是否能正確進行產(chǎn)品配置關(guān)系著安全設(shè)備是否能真正具有防護的能力。

(2)病毒庫、特征庫是否能及時更新直接影響安全設(shè)備的防護效果。

(3)用戶防護方案的逐步完善，可能會導(dǎo)致安全設(shè)備的需求變更。

(4)安全設(shè)備的功能細(xì)分為用戶提供更多樣的部署選擇[2]，增大部署難度。

(5)隨著企業(yè)的發(fā)展及系統(tǒng)規(guī)模的增大，安全設(shè)備的備件庫存會給企業(yè)造成不小的經(jīng)濟負(fù)擔(dān)。

(6)安全設(shè)備對維護人員素質(zhì)的要求越來越高，而企業(yè)安全人員的數(shù)量和能力都存在嚴(yán)重不足。

有別于傳統(tǒng)的安全防護方式，基于云計算環(huán)境的安全服務(wù)作為一種新的業(yè)務(wù)模式，已經(jīng)得到了越來越廣泛的關(guān)注。國內(nèi)外一些互聯(lián)網(wǎng)企業(yè)、電信運營商以及安全企業(yè)已經(jīng)紛紛推出了各自的云平臺安全服務(wù)產(chǎn)品[3-5]。比如：美國AT&T公司，對采用其云安全服務(wù)企業(yè)的上網(wǎng)流量進行檢查，保障用戶訪問網(wǎng)站以及郵件系統(tǒng)的安全；北美電信巨頭Verizon擁有包括DDoS攻擊防護、網(wǎng)絡(luò)威脅監(jiān)測與分析等品類豐富的安全服務(wù)產(chǎn)品，具備云安全產(chǎn)品的全球服務(wù)能力；國內(nèi)中興通訊在其Cocloud云計算平臺基礎(chǔ)上推出移動云計算安全服務(wù)，阿里、騰訊等運營商也都將安全產(chǎn)品與其云平臺結(jié)合，為用戶提供線上交付的安全服務(wù)。

不過，現(xiàn)有這些云平臺安全服務(wù)產(chǎn)品存在著以下幾點不足。

(1)云安全服務(wù)產(chǎn)品是為其云平臺本身業(yè)務(wù)服務(wù)的，具有天然的局限性。

(2)云安全服務(wù)的用戶局限于其云平臺的租戶上，無法向云租戶之外的用戶(如普通工業(yè)企業(yè)用戶)提供服務(wù)。

(3)云安全服務(wù)的產(chǎn)品局限于可虛擬化和軟件化的安全產(chǎn)品上，無法滿足用戶的多樣化需求。

2 平臺架構(gòu)設(shè)計

針對現(xiàn)有云安全服務(wù)產(chǎn)品的不足，本文設(shè)計了一種虛實融合、智能隨需的安全服務(wù)平臺，服務(wù)平臺基于云環(huán)境構(gòu)建，整合虛擬化安全產(chǎn)品以及實物安全產(chǎn)品資源，面向各類用戶，提供動態(tài)隨需的安全服務(wù)。平臺由硬件資源層、虛擬網(wǎng)絡(luò)層、安全服務(wù)層、服務(wù)平臺層和安全管理體系這五部分組成，總體架構(gòu)如圖1所示。

圖1 安全服務(wù)平臺總體架構(gòu)

硬件資源層：提供云計算平臺運行的硬件資源，包括計算資源、網(wǎng)絡(luò)資源、存儲設(shè)備和安全設(shè)備等。

虛擬網(wǎng)絡(luò)層：提供節(jié)點虛擬化支撐、網(wǎng)絡(luò)虛擬化支撐和虛實互聯(lián)的接口。虛擬化支撐負(fù)責(zé)生成虛擬機節(jié)點和容器節(jié)點，網(wǎng)絡(luò)虛擬化支撐負(fù)責(zé)生成虛擬網(wǎng)絡(luò)節(jié)點，并通過SDN技術(shù)實現(xiàn)數(shù)據(jù)流量交換和鏈路特性仿真，虛實互聯(lián)接口實現(xiàn)安全防護目標(biāo)網(wǎng)絡(luò)與防護對象的連接。

安全服務(wù)層：實現(xiàn)安全服務(wù)任務(wù)管理，根據(jù)用戶定制化需求生成安全防護目標(biāo)網(wǎng)絡(luò)，對虛擬安全產(chǎn)品資源、實物安全產(chǎn)品資源和安全知識庫進行管理和分配，下發(fā)安全防護策略。安全防護目標(biāo)網(wǎng)絡(luò)包括該用戶需求的所有虛擬和實物的安全防護設(shè)備，實物安全產(chǎn)品通過虛實互聯(lián)接口接入。防護策略包括安全產(chǎn)品的功能設(shè)置、服務(wù)對象加載以及與安全知識庫匹配的規(guī)則等。

服務(wù)平臺層：提供人機交互界面，實現(xiàn)系統(tǒng)管理、權(quán)限管理、資源管理等平臺層面維護管理以及用戶管理、服務(wù)項目管理、計費管理等服務(wù)業(yè)務(wù)管理。

安全管理體系：包括目標(biāo)網(wǎng)絡(luò)隔離模塊、虛實互聯(lián)隔離模塊和虛擬化隔離模塊。目標(biāo)網(wǎng)絡(luò)隔離模塊負(fù)責(zé)在部署目標(biāo)網(wǎng)絡(luò)時保障不同用戶服務(wù)任務(wù)的節(jié)點和鏈路是邏輯隔離的。虛實互聯(lián)隔離模塊負(fù)責(zé)實現(xiàn)系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的隔離。虛擬化隔離模塊負(fù)責(zé)實現(xiàn)虛擬化的安全性，隔離虛擬機和宿主機運行環(huán)境。

3 主要技術(shù)

本文從安全產(chǎn)品虛實融合技術(shù)、安全資源按需保障技術(shù)和服務(wù)平臺安全保障技術(shù)三個層面來闡述安全服務(wù)平臺的實現(xiàn)路徑。

3.1 安全產(chǎn)品虛實融合技術(shù)

3.1.1 安全產(chǎn)品虛擬化

以pfSense防火墻、Snort入侵檢測、FreeWAF Web應(yīng)用防護系統(tǒng)等為代表的開源安全產(chǎn)品率先實現(xiàn)了虛擬化，同時基于類UNIX操作系統(tǒng)的安全產(chǎn)品在進行虛擬化方面有著先天的優(yōu)勢。開源安全產(chǎn)品在實際使用中有大量用戶，在開源社區(qū)所有人都可進行使用、測試，針對產(chǎn)品的測試力度超過一般的商業(yè)產(chǎn)品，其功能絲毫不亞于甚至高于商業(yè)版的安全產(chǎn)品。此外，國內(nèi)一些安全廠商像綠盟、天融信等也都將各自安全產(chǎn)品進行了一定的修改，支持虛擬化。虛擬化的安全產(chǎn)品在與云計算結(jié)合后，更能夠方便地實現(xiàn)自動部署、快速啟動、按需編排。以pfSense為例，它是一個基于FreeBSD系統(tǒng)、專為防火墻和路由器功能定制的開源版本，它以可靠性著稱，并且提供往往只存在于昂貴商業(yè)防火墻才具有的特性。pfSense通常被部署作為邊界防火墻、路由器、無線接入點、DHCP服務(wù)器、DNS服務(wù)器和VPN端點。

3.1.2 安全產(chǎn)品虛實互聯(lián)

虛實互聯(lián)功能是將在虛擬網(wǎng)絡(luò)環(huán)境中無法通過虛擬網(wǎng)絡(luò)設(shè)備提供的服務(wù)，通過接入物理設(shè)備，使之與虛擬網(wǎng)絡(luò)融合，采用物理設(shè)備提供的服務(wù)來實現(xiàn)服務(wù)的可擴展接入。對于安全服務(wù)平臺來說，物理設(shè)備即是各種不同類型的安全防護產(chǎn)品，如防火墻、IDS/IPS等。圖2為實物安全產(chǎn)品接入虛擬安全防護網(wǎng)絡(luò)的結(jié)構(gòu)圖。

圖2 安全產(chǎn)品虛實互聯(lián)結(jié)構(gòu)圖

實物接入子網(wǎng)絡(luò)使用SDN交換機將流量接入安全防護目標(biāo)網(wǎng)絡(luò)的虛擬交換機，由虛擬交換機和SDN交換機兩者的共同作用，形成了安全防護目標(biāo)網(wǎng)絡(luò)。在此過程中，兩種交換機起了流量接入導(dǎo)出的作用，通過配置流表使虛擬網(wǎng)絡(luò)與實物設(shè)備在邏輯上形成一個網(wǎng)絡(luò)。

安全服務(wù)平臺通過安全產(chǎn)品的虛擬化來獲得更豐富的虛擬安全資源,通過虛實互聯(lián)技術(shù)來實現(xiàn)虛擬安全產(chǎn)品和實物安全產(chǎn)品的融合,以適應(yīng)更廣泛的用戶安全需求。

3.2 安全資源按需保障技術(shù)

3.2.1 安全資源的按需保障

安全服務(wù)層的安全產(chǎn)品資源管理模塊負(fù)責(zé)整合虛擬安全產(chǎn)品資源和實物安全產(chǎn)品資源，形成一個安全產(chǎn)品資源池，采用自研、外購、合作等方式完善安全服務(wù)平臺的產(chǎn)品體系。

用戶提交安全服務(wù)需求，由安全服務(wù)平臺來進行安全資源的分配管理和部署管理。安全服務(wù)平臺的虛實互聯(lián)功能使得平臺具有高可擴展性，可根據(jù)用戶需求動態(tài)增加新的安全防護產(chǎn)品，擴充資源池。而當(dāng)用戶需求發(fā)生變更或服務(wù)期滿時，空余的安全產(chǎn)品也會被回收進資源池。這種安全資源的彈性管理能降低成本并提高產(chǎn)品的使用效率。

安全產(chǎn)品資源池的構(gòu)建以及安全資源的彈性管理保障了用戶端到端的安全需求。

3.2.2 安全服務(wù)的快速重構(gòu)

安全防護目標(biāo)網(wǎng)絡(luò)通過虛擬網(wǎng)絡(luò)拓?fù)涞臉?gòu)建來實現(xiàn)安全產(chǎn)品的編排，實物安全產(chǎn)品也是通過虛實互聯(lián)功能接入到虛擬網(wǎng)絡(luò)拓?fù)渲械摹０踩?wù)平臺支持虛擬網(wǎng)絡(luò)的鏈路仿真，為虛擬網(wǎng)絡(luò)節(jié)點間建立通信鏈路，鏈路仿真是構(gòu)建虛擬網(wǎng)絡(luò)的核心支撐技術(shù)，通過虛擬鏈路仿真可靈活構(gòu)建虛擬網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

當(dāng)用戶的業(yè)務(wù)應(yīng)用場景發(fā)生狀態(tài)變化(如規(guī)模、功能、成熟度等發(fā)生變化)時，必然會產(chǎn)生防護方案的變化，也必然導(dǎo)致安全服務(wù)需求的變更，這就要求安全服務(wù)平臺具有快速重構(gòu)網(wǎng)絡(luò)拓?fù)涞墓δ堋?/p>

當(dāng)目標(biāo)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時，目標(biāo)網(wǎng)絡(luò)管理模塊對虛擬鏈路、虛擬交換機、轉(zhuǎn)發(fā)表進行增量重構(gòu)。目標(biāo)網(wǎng)絡(luò)拓?fù)渲邪踩a(chǎn)品的添加或刪除，體現(xiàn)為相關(guān)虛擬鏈路的添加或刪除。

安全服務(wù)平臺通過對安全資源的按需保障以及服務(wù)業(yè)務(wù)的快速重構(gòu)技術(shù)來達到為用戶提供智能隨需安全服務(wù)的目的。

3.3 服務(wù)平臺的安全保障

3.3.1 服務(wù)對象的安全接入

云租戶的安全服務(wù)需求，對于安全服務(wù)平臺來說，相當(dāng)于是對云平臺的虛擬主機和應(yīng)用軟件等的防護需求，只需將流量從網(wǎng)絡(luò)中抓取和引導(dǎo)出來，在平臺內(nèi)部進行安全防護網(wǎng)絡(luò)的構(gòu)建即可提供相關(guān)服務(wù)[6]。

而向云租戶之外的用戶提供安全服務(wù)，需要建立用戶網(wǎng)絡(luò)與安全服務(wù)平臺之間的連接。從安全性和經(jīng)濟性方面來綜合衡量，安全服務(wù)平臺采用虛擬專用網(wǎng)絡(luò)(VPN)的方式，通過虛擬網(wǎng)絡(luò)層的虛實互聯(lián)接口來建立與用戶網(wǎng)絡(luò)之間的連接。通過設(shè)置代理，打通安全防護目標(biāo)網(wǎng)絡(luò)和用戶網(wǎng)絡(luò)之間的連接，用戶網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的交互流量被引入到安全防護目標(biāo)網(wǎng)絡(luò)進行審查，實現(xiàn)安全防護的目的。

虛擬專用網(wǎng)絡(luò)是一種在公用網(wǎng)絡(luò)上架設(shè)專用網(wǎng)絡(luò)進行加密通信的技術(shù)[7-8]。通過VPN傳輸數(shù)據(jù)，可以對數(shù)據(jù)包中的數(shù)據(jù)、驗證包、源IP地址以及目標(biāo)IP地址進行重新封裝，使得數(shù)據(jù)包可以通過公網(wǎng)傳輸，且保障了連接的安全和高效。

3.3.2 服務(wù)平臺的安全管理

服務(wù)平臺自身的安全性是制約安全服務(wù)業(yè)務(wù)推廣與發(fā)展的重要因素之一，只有平臺的安全措施能保障用戶使用云服務(wù)的功能和數(shù)據(jù)安全，才能促使用戶愿意將安全服務(wù)交付給服務(wù)平臺來實施。

安全服務(wù)平臺的基礎(chǔ)云平臺由硬件資源層和虛擬網(wǎng)絡(luò)層構(gòu)成，平臺的物理架構(gòu)采用雙網(wǎng)結(jié)構(gòu)設(shè)計，分為管控網(wǎng)和業(yè)務(wù)網(wǎng)，管控網(wǎng)支撐安全服務(wù)業(yè)務(wù)管控、目標(biāo)網(wǎng)絡(luò)構(gòu)建、數(shù)據(jù)采集與展示等系統(tǒng)運行，業(yè)務(wù)網(wǎng)支撐目標(biāo)網(wǎng)絡(luò)自身業(yè)務(wù)的運行。

安全服務(wù)平臺的安全管理體系實現(xiàn)服務(wù)業(yè)務(wù)目標(biāo)網(wǎng)絡(luò)之間、系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、虛擬機與宿主機之間的安全隔離。

服務(wù)業(yè)務(wù)目標(biāo)網(wǎng)絡(luò)之間的安全隔離主要采用VLAN隔離和訪問控制等措施。系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的隔離主要由硬件資源層的安全設(shè)備來保障，最基本的配置是由2臺防火墻和1臺入侵檢測設(shè)備組成，在管控網(wǎng)路由器前端以及虛實互聯(lián)接口處各部署1臺防火墻，在管控網(wǎng)內(nèi)部部署1臺入侵檢測系統(tǒng)，實現(xiàn)與外部網(wǎng)絡(luò)的隔離以及對網(wǎng)絡(luò)異常狀況的檢測。虛擬機與宿主機之間的安全隔離主要由操作系統(tǒng)內(nèi)核進行原生支持，配合硬件虛擬化共同完成虛擬化的安全隔離。

安全服務(wù)平臺從服務(wù)對象網(wǎng)絡(luò)的安全接入以及平臺自身安全管理措施兩個方面來保障用戶安全服務(wù)業(yè)務(wù)的安全。

4 應(yīng)用模式

安全服務(wù)平臺可以為用戶提供虛實互聯(lián)、智能隨需的安全服務(wù)。云租戶的安全服務(wù)在平臺內(nèi)搭建安全防護網(wǎng)絡(luò)即可，本文將描述一個非云租戶的某企業(yè)的安全服務(wù)應(yīng)用場景。

某企業(yè)信息系統(tǒng)分為核心服務(wù)區(qū)、用戶辦公區(qū)和分支單位接入?yún)^(qū)3個區(qū)域，核心服務(wù)區(qū)布置郵件系統(tǒng)、ERP系統(tǒng)、OA系統(tǒng)等服務(wù)器，用戶辦公區(qū)布置計算機終端，分支單位接入?yún)^(qū)提供外單位服務(wù)器接入接口。3個區(qū)域的防護要求不同，核心服務(wù)區(qū)要求部署防火墻、IPS和專用數(shù)據(jù)庫審計產(chǎn)品，用戶辦公區(qū)要求部署防火墻和網(wǎng)絡(luò)審計系統(tǒng)，分支單位接入?yún)^(qū)要求部署隔離網(wǎng)閘。

安全服務(wù)平臺可按該企業(yè)需求提供專屬安全服務(wù)，安全服務(wù)應(yīng)用場景如圖3所示。

圖3 某企業(yè)云安全服務(wù)應(yīng)用場景

安全服務(wù)平臺與用戶信息系統(tǒng)之間采用VPN連接，在平臺內(nèi)創(chuàng)建安全服務(wù)項目，任務(wù)管理模塊根據(jù)需求創(chuàng)建3個子網(wǎng)，分別為用戶3個區(qū)域提供安全防護服務(wù)。子網(wǎng)中的安全產(chǎn)品根據(jù)虛擬化成熟度采用虛實結(jié)合的方式部署，防火墻、IPS、網(wǎng)絡(luò)審計產(chǎn)品使用虛擬安全產(chǎn)品，網(wǎng)閘和數(shù)據(jù)庫審計系統(tǒng)使用實物安全產(chǎn)品。目標(biāo)網(wǎng)絡(luò)生成后，服務(wù)平臺再進行安全產(chǎn)品的配置以及安全策略的生成與下發(fā)后，即可為用戶提供所需的安全服務(wù)了。

5 結(jié)論

本文針對基于云計算環(huán)境的安全服務(wù)這一新的業(yè)務(wù)模式，分析了傳統(tǒng)信息安全防護方式以及現(xiàn)有云服務(wù)平臺的不足之處，設(shè)計了一種虛實融合、智能隨需的安全服務(wù)平臺，從安全產(chǎn)品虛擬化及虛實互聯(lián)技術(shù)、安全資源按需保障的措施以及服務(wù)平臺安全保障的手段等幾個方面介紹了服務(wù)平臺的實現(xiàn)路徑，實現(xiàn)了安全服務(wù)平臺在滿足用戶安全防護產(chǎn)品多樣性需求以及服務(wù)對象廣適性需求方面的功能，為安全服務(wù)新業(yè)務(wù)模式的推廣應(yīng)用提供了支撐。由于云服務(wù)場景下，檢測和防護都需要大量數(shù)據(jù)的傳輸，容易形成瓶頸，后續(xù)將在提高平臺性能和平臺安全性方面繼續(xù)開展研究。