企業上云后的安全關切及解決之道

山東 張雨

國家實施云戰略，主要是克服各單位信息化設施和人員大而全、小而全，設備利用率低下、數據無法共享、軟件重復開發、安全沒有保障、企業的信息化成本愈來愈高的問題。

基于此，各級政府部門、企業集團等紛紛推出云計劃、云方案等。由上級部門建設或統一租用云服務平臺面向本級和下屬企事業單位提供按需的云計算服務，以提高政府資產利用率，降低政府信息化投入成本。但是企業上云決不是一蹴而就的，尤其是其安全保障問題是不得不認真考慮的。

云租戶擔心什么

云平臺建設完成后，多家單位的多個業務系統遷移上云。但作為業務系統擁有單位始終對自己的系統能否在云上安全穩定運行存在顧慮，并且一些上云的業務也確實陸續出現了一些這樣那樣的問題，用戶關心的問題概括起來主要有以下方面：

一是認為自己的業務系統很重要，安全要求很高，不想和其他單位的系統混在一起。

二是認為云平臺無法提供滿足自己安全需求的安全產品，不能讓其了解業務系統的防御狀態、安全日志等。

三是想知道自己的系統在云上是如何部署的以及業務流量如何。

四是擔心業務系統數據被云服務商非法竊取。

云安全存在的現實問題

用戶的擔心并非杞人憂天，確實有云平臺上就有業務系統遭受到了黑客攻擊的情況發生。這使得租戶上云的積極性受到影響。通過分析評估，認為云的安全風險主要在以下幾個方面：

一是安全責任邊界不清晰：業務系統上云后沒有明確各參與方的安全職責，云租戶認為運營商會總體負責，而運營商則認為租戶會自行負責。另一方面，運營商還負責部分運維和運營，導致雙方的安全職責劃分不清。

二是缺乏完善的云安全解決方案：由于虛擬化和大數據等新型技術的應用，云上的網絡安全和自主保障時候的網絡安全情況差別很大，對云上的安全措施心里沒底。部分業務系統在云上基本沒有單獨定制防護措施，如果虛擬機之間的安全隔離防護不當，則可能導致一個租戶的信息系統出現故障會影響其他租戶信息系統的安全運行。

三是運營商運維壓力巨大：運營商投入了大量資源配合租戶遷移業務系統的同時，也間接承擔了部分的運維工作，上云結束后這部分工作再如何順利地移交到租戶那里成了難題。

四是缺乏全網態勢感知能力：大量的業務系統在云運行，在業務集中的同時也導致了風險的集中。而且部分云運營商缺乏技術手段，無法及時發現安全漏洞和安全事件，只能在發生安全事件時被動地進行應急補救措施。

五是國家等級保護制度推行不到位：網絡安全法己明確規定信息系統需要滿足等級保護要求，云上業務系統也不例外。而上云以后無法有效地進行業務系統邊界界定，云安全的等級保護無法推行。

解決方案探討

為了解決云的安全問題，促進業務系統安全上云，經過多方對比論證認為，云提供商應該用一個統一的安全管理平臺，打開這樣的控制平臺，就可以一目了然的看到云上整個安全策略的運行情況和資產情況，可以對威脅進行及時的響應和處理，而不需要登錄到不同的平臺上去管理安全。如果能夠讓企業內部的安全產品相互協同工作，這能在很大程度上節省企業的IT 開支，這種開支既包括人力成本，也包括產品成本。這就是為什么說統一的安全管理平臺才是企業最好的安全方案。

這種安全管理平臺主要是通過虛擬化技術將眾多安全產品能力集成起來，以服務的方式將各種安全能力提供給云租戶。既可通過一個層面解決不同的安全問題，滿足業務系統的多個安全需求，又能夠緊密結合服務鏈技術，實現安全資源靈活調度、動態擴展和按需交付，從而全面滿足上云業務對安全部署的要求。

該方案以“SaaS（安全即服務）+NFV（網絡功能虛擬化）”技術為依托，聚焦業務安全，靈活調度安全資源，具備可視、可控、安全資源自動化部署、彈性擴展等特點，可較好地滿足云平臺的安全防護需求。目前國內網絡安全提供商已經有類似方案，但不盡相同，購買時要注意從多方面進行比較選擇。該防護方案具有以下特點：

一是彈性可擴展安全平臺。通過服務鏈技術按需靈活調度業務流量，使安全資源的部署與物理網絡位置無關。基于硬件虛擬化技術，為虛擬設備獨立運行提供資源保障，結合集群堆疊技術提供安全可靠的安全服務。系統全面兼容硬件和NFV 方式的安全平臺，安全資源可在線擴容，業務運行不受影響。

二是全面的安全防護服務能力。除防火墻、負載均衡、VPN 等基礎網絡安全服務，該平臺還具備云監測功能，主要包括：網站的7×24小時監測，如網站的漏洞、安全事件等，可實現對已上云和未上云網站的監測；云防御，主要包括：Web 應用防火墻、虛擬防火墻、虛擬IPS 等，可為云應用系統提供完善的防護能力；云審計，主要包括：全網的流量審計和日志審計，通過大數據方法進行安全分析；云合規，主要包括等級保護預測評服務，以及網頁防篡改、云數據庫審計、云堡壘機等服務，結合虛擬網絡隔離技術，全面滿足用戶安全等保合規建設需求。

三是安全可視化管理。可實現安全拓撲、業務風險、安全合規等可視化管理，使安全運維管理變得簡單。

四是安全業務自動化編排部署。通過SDN（軟件定義網絡）與服務鏈技術的結合，可實現網絡和安全資源的一體化管理與調度。云數據中心安全業務部署所需的安全資源分配、業務流量調度和安全策略部署得以集中交付，實現安全業務的自動化部署。

滿足運營商的利益關切

該云安全方案充分考慮了云平臺和云租戶雙方的利益關切。可以做到：

一是及時掌握所有租戶業務的可用性。通過云安全管理平臺的大數據分析系統和可視化功能，展示了整個云平臺的所有租戶的網站應用概況。通過此視圖可以讓云平臺建設方和運營商了解整個云平臺到底有多少網站業務存活，有多少網站出現訪問異常。云運營商可以針對網站出現的訪問異常情況進行跟蹤，提供增值服務。

二是形成豐富的增值服務產品。采用云檢測、云防御、云審計方式，根據不同的要求提供不同的個性化服務，可按網站數、數據庫數、并發用戶數等指標作為收費依據，可以幫助云平臺的運營商獲得豐富的增值服務產品，一方面可以讓云租戶有更豐富的安全產品選擇，另一方面也可以幫助云平臺盡快收回成本實現盈利。

三是可隨時了解所有租戶的業務安全狀況。通過平臺視圖可以了解整個云平臺所有租戶的業務安全狀態。例如：整個云平臺的安全漏洞類型和高危端口分布情況、有多少業務存在安全漏洞和安全事件、最新的安全事件取證分析、0day 漏洞的分布情況等，大大提升云平臺的應急響應能力。

四是云平臺防御動態展示。通過云安全平臺的防御動態展示功能，可以幫助云平臺了解自身的安全防御狀態。例如，云平臺建立了Web應用防護清洗能力，通過此視圖就可以了解目前有多少用戶啟用了Web 防護，整個云平臺受到了哪些類型、哪些地方和哪些IP 的攻擊，提示云平臺及時采取有效措施。

五是高危漏洞影響快速評估。信息安全態勢瞬息萬變，每天都會有很多漏洞被發現、被利用，平臺可以幫助云平臺運營商快速完成0day漏洞的分布情況等。

滿足云租戶安全關切

主要為云租戶提供定義安全策略，自助分析安全日志，自助部署安全產品的能力。

一是應用防護效果一目了然。通過云安全運營平臺的網站防御監測視圖可以了解租戶已經開通Web 防護的業務應用狀態，也可以了解最新的攻擊動態，包括攻擊國家排行、攻擊IP 排行和攻擊URL 排行等；還可以實時展現出網站的攻擊流量比例，隨時知道網站在全國各省的狀態。

二是運行狀態清晰可控。通過提煉形成每個租戶的業務防護結構圖，展示租戶相關應用設備的運行狀態，方便租戶查看和管理。

三是方便云租戶定制安全方案。在云平臺上傳統的安全防護設備都無法按照原始模式交付，如傳統的防火墻、IPS、WAF、日志審計等都無法在云平臺安裝。即使廠家按照軟件方式交付，也會存在日志和流量采集困難，無法達到防護策略的最佳效果、無法關聯分析等。本方案可以幫助云租戶以最小的成本和最便捷的方式開啟云上安全防護方案。