云計(jì)算環(huán)境下網(wǎng)絡(luò)信息安全技術(shù)實(shí)現(xiàn)

馬毅波

（上海紫存信息科技有限公司 上海市 200052）

越來越多的用戶業(yè)務(wù)趨向互聯(lián)網(wǎng)化，Web 應(yīng)用前端、中間件，后端數(shù)據(jù)庫等均存在或多或少的安全漏洞，成為互聯(lián)網(wǎng)攻擊的主要對象，主要呈現(xiàn)DDOS 攻擊流量越來越大，黑客數(shù)據(jù)竊取和敲詐越來越多，攻擊越來越傾向于偷竊數(shù)據(jù)，在地下市場變現(xiàn)，或者直接進(jìn)行敲詐，APT 攻擊隱藏性較高，并且危害嚴(yán)重，屬于特性目標(biāo)攻擊，其通常采用多種攻擊手段和方法，持續(xù)對特性目標(biāo)進(jìn)行攻擊，成功率高。

針對復(fù)雜多變的攻擊手段和方式，該如何保證信息系統(tǒng)安全，減少攻擊對業(yè)務(wù)造成的影響呢？下文將主要針對云計(jì)算環(huán)境下，企業(yè)如何構(gòu)建網(wǎng)絡(luò)信息安全防護(hù)，防御來自網(wǎng)絡(luò)攻擊、主機(jī)攻擊，保護(hù)應(yīng)用以及數(shù)據(jù)安全。

1 云安全技術(shù)實(shí)現(xiàn)框架

云安全首先要解決平臺的安全防護(hù)，防護(hù)對象涵蓋物理基礎(chǔ)設(shè)施、服務(wù)器、網(wǎng)絡(luò)和安全設(shè)備、虛擬化平臺系統(tǒng)、資源池、云管平臺，以及為租戶提供的鏡像、模板等。一個(gè)安全穩(wěn)定的云平臺，是其上業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。

其次，在云環(huán)境下，除了云平臺本身的基礎(chǔ)安全保障以外，虛擬化平臺、虛擬化網(wǎng)絡(luò)、虛擬化主機(jī)這些云環(huán)境引入的特殊對象以及租戶業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)，其安全也必須得到安全保障。

云安全技術(shù)實(shí)現(xiàn)建議從云平臺邊界安全防護(hù)、宿主機(jī)及虛擬化安全及云管理平臺安全入手，保障云平臺自身安全，然后在此基礎(chǔ)上建立池化安全資源，保障 IAASPAASSAAS 多層面業(yè)務(wù)的安全，提供云租戶安全能力。

2 云安全基礎(chǔ)技術(shù)實(shí)現(xiàn)

每一個(gè)安全邊界所包含的區(qū)域都形成了一個(gè)安全域，不同安全域具有不同的功能，分域分區(qū)管理，有效的提升信息安全防護(hù)能力，對數(shù)據(jù)流在區(qū)域流轉(zhuǎn)提供安全保障。

以某衛(wèi)健委醫(yī)療云為例（圖1），基于業(yè)務(wù)功能區(qū)域討論基礎(chǔ)安全技術(shù)實(shí)現(xiàn)。

行業(yè)專網(wǎng)接入：租戶通過該區(qū)域連接到網(wǎng)絡(luò)核心區(qū)，使用部署在云環(huán)境的業(yè)務(wù)系統(tǒng)，存在非法越權(quán)訪問、網(wǎng)絡(luò)攻擊、病毒傳播，以及帶寬資源擁塞等風(fēng)險(xiǎn)，建議在行業(yè)網(wǎng)絡(luò)出口采用雙機(jī)熱備、串行部署鏈路負(fù)載均衡設(shè)備和下一代防火墻等技術(shù)實(shí)現(xiàn)安全防護(hù)。

互聯(lián)網(wǎng)出口：為各租戶提供統(tǒng)一互聯(lián)網(wǎng)出口，互聯(lián)網(wǎng)訪問服務(wù)，因眾多用戶通過該出口進(jìn)行互聯(lián)網(wǎng)訪問，可能會遭受DDoS 攻擊、網(wǎng)絡(luò)攻擊等風(fēng)險(xiǎn)。建議在互聯(lián)網(wǎng)出口采取安全掃描與監(jiān)測實(shí)現(xiàn)北向防護(hù)，在互聯(lián)網(wǎng)和行業(yè)專網(wǎng)網(wǎng)絡(luò)核心交換機(jī)之間，采用下一代防火墻和上網(wǎng)行為等技術(shù)實(shí)現(xiàn)東西向的安全防護(hù)。

核心交換區(qū)：為整個(gè)網(wǎng)絡(luò)提供數(shù)據(jù)交換服務(wù)，面臨突發(fā)業(yè)務(wù)造成過的網(wǎng)絡(luò)擁塞，來自內(nèi)部、外部蓄意攻擊破壞，缺少審計(jì)手段而出現(xiàn)安全事件后無法審計(jì)取證和追責(zé)，建議在核心交換機(jī)上采用雙機(jī)旁掛應(yīng)用負(fù)載均衡、威脅探針和網(wǎng)絡(luò)行為審計(jì)等技術(shù)實(shí)現(xiàn)安全防護(hù)。

業(yè)務(wù)區(qū)：利用虛擬化、資源池技術(shù)向租戶提供包括計(jì)算、網(wǎng)絡(luò)、數(shù)據(jù)庫和安全等IaaS、PaaS 資源，存在的主要安全風(fēng)險(xiǎn)：

（1）行業(yè)專區(qū)：租戶/虛擬機(jī)間安全隔離、安全防護(hù)、資源控制和保障措施不足，從而導(dǎo)致租戶間或一個(gè)租戶的多個(gè)虛擬機(jī)間的越權(quán)訪問、資源爭奪，以及某一虛機(jī)感染病毒、木馬后跳板攻擊和病毒蔓延。

（2）互聯(lián)網(wǎng)業(yè)務(wù)區(qū)：是面向互聯(lián)網(wǎng)業(yè)務(wù)，云主機(jī)存在被攻擊、中毒、植入木馬的風(fēng)險(xiǎn)，以及應(yīng)用層攻擊和篡改風(fēng)險(xiǎn)。

（3）公共網(wǎng)絡(luò)業(yè)務(wù)區(qū)：為多個(gè)租戶提供數(shù)據(jù)庫中間件形態(tài)的PaaS 服務(wù)，由于多個(gè)租戶共用該數(shù)據(jù)庫系統(tǒng)構(gòu)建數(shù)據(jù)庫實(shí)例，存在惡意SQL 操作、SQL 攻擊，且難以實(shí)時(shí)發(fā)現(xiàn)和預(yù)警風(fēng)險(xiǎn)，以及難以事后審計(jì)、取證和追責(zé)風(fēng)險(xiǎn)。

建議在租戶各VPC 網(wǎng)絡(luò)出口采用負(fù)載均衡、下一代防火墻等虛擬化安全組件（虛擬機(jī)形態(tài)）；在資源池宿主機(jī)上部署，深入到Hypervisor 的下一代防火墻組件（需虛擬化平臺開放Hypervisor 層網(wǎng)絡(luò)API，虛擬機(jī)形態(tài)）；在租戶的虛擬機(jī)上部署主機(jī)加固agent。在數(shù)據(jù)庫服務(wù)器集群前，旁掛部署數(shù)據(jù)審計(jì)設(shè)備。

帶外管理運(yùn)維：作為整個(gè)云平臺的管理運(yùn)維“心臟”，通過管理網(wǎng)絡(luò)和管理交換機(jī)進(jìn)行云平臺、安全設(shè)備、SDN控制，以及防病毒、補(bǔ)丁升級等管理和漏洞掃描服務(wù)。存在來自業(yè)務(wù)網(wǎng)絡(luò)攻擊的影響，存在運(yùn)維管理人員權(quán)限集中、誤操作和蓄意破壞操作風(fēng)險(xiǎn)。建議構(gòu)架獨(dú)立的管理網(wǎng)絡(luò)，與業(yè)務(wù)網(wǎng)絡(luò)分離，在運(yùn)維管理區(qū)邊界，采用下一代防火墻，運(yùn)維審計(jì)等技術(shù)，加強(qiáng)邊界安全防御，以及對云平臺運(yùn)維人員的操作審計(jì)。

3 云安全邊界技術(shù)實(shí)現(xiàn)

抗DDOS/流量清洗：網(wǎng)絡(luò)出口承擔(dān)著保障網(wǎng)絡(luò)正常訪問、業(yè)務(wù)平臺正常運(yùn)行，網(wǎng)絡(luò)出口安全防護(hù)壓力巨大，不僅需要防護(hù)網(wǎng)絡(luò)病毒的攻擊，也需要防護(hù)外來各類flood 攻擊、CC 攻擊等，需具備檢測、分析、引流、阻擋、記錄等能力。建議在此互聯(lián)網(wǎng)出口采用抗DDOS/流量清洗技術(shù)，保證整個(gè)云平臺業(yè)務(wù)網(wǎng)絡(luò)帶寬的可用和業(yè)務(wù)的可訪問。

IPS 入侵防御：面對偽裝成合法攻擊行為，采用流量分析技術(shù)，可對高級、復(fù)雜的網(wǎng)絡(luò)攻擊行為進(jìn)行識別、檢測、阻斷。建議在網(wǎng)絡(luò)接入?yún)^(qū)域，采用入侵防御技術(shù)對木馬、漏洞等復(fù)雜攻擊行為進(jìn)行攻擊源阻斷，保障正常流量的業(yè)務(wù)訪問。

防病毒網(wǎng)關(guān)：目前傳統(tǒng)的病毒防護(hù)能力缺乏網(wǎng)絡(luò)化、縱深化的防護(hù)能力，無法從最薄弱點(diǎn)進(jìn)行有效防護(hù)。建議在互聯(lián)網(wǎng)接入?yún)^(qū)的入口采用防病毒網(wǎng)關(guān)的技術(shù)對網(wǎng)絡(luò)病毒、木馬、垃圾郵件等威脅進(jìn)行攔截。

下一代防火墻：網(wǎng)絡(luò)出口、區(qū)域之間訪問控制是安全防護(hù)的基礎(chǔ)，嚴(yán)格的訪問控制手段、細(xì)粒化的訪問控制策略都是杜絕非法及越權(quán)訪問的基礎(chǔ)。建議在網(wǎng)絡(luò)出口采用下一代防火墻技術(shù)對訪問行為進(jìn)行細(xì)粒化訪問控制，及時(shí)發(fā)現(xiàn)、阻斷非授權(quán)訪問，確保授權(quán)訪問的正常進(jìn)行，確保業(yè)務(wù)訪問安全。

4 云租戶安全技術(shù)實(shí)現(xiàn)

4.1 技術(shù)實(shí)現(xiàn)架構(gòu)

通過在核心交換機(jī)上采用物理旁路，邏輯串聯(lián)的方式部署安全資源池，采取SND 網(wǎng)絡(luò)的方式將核心交換機(jī)的業(yè)務(wù)流量引流進(jìn)安全資源池引擎模塊，通過其云Web 防護(hù)系統(tǒng)、云DDOS、云堡壘機(jī)、云數(shù)據(jù)庫審計(jì)、云防火墻、云IPS、云VPN、云防病毒、云APT 檢測、云安全態(tài)勢感知等技術(shù)對業(yè)務(wù)數(shù)據(jù)量進(jìn)行安全檢測，檢測完成后再返回給交換機(jī)到出口。實(shí)際效果主要體現(xiàn)在兩個(gè)方面：一是為租戶提供了合規(guī)安全保障體系，二是實(shí)現(xiàn)了安全需求服務(wù)化交付，具體如下：

（1）實(shí)現(xiàn)租戶VPC 邊界防護(hù)，虛擬機(jī)間的邊界防護(hù)，形成了縱深多維度防護(hù)體系；

（2）實(shí)現(xiàn)了租戶安全需求按需服務(wù)，根據(jù)租戶需求實(shí)現(xiàn)彈性擴(kuò)展，提供WAF、IPS、FW、APT、VPN、APT 等豐富的增值服務(wù)內(nèi)容，滿足租戶合規(guī)需求；

（3）實(shí)現(xiàn)未知威脅發(fā)現(xiàn)、Web 業(yè)務(wù)系統(tǒng)漏洞掃描和安全監(jiān)測，動(dòng)態(tài)感知安全威脅，提前預(yù)警和防護(hù)。

4.2 南北向安全技術(shù)實(shí)現(xiàn)

南北向安全服務(wù)流即互聯(lián)網(wǎng)租戶側(cè)業(yè)務(wù)（比如web 業(yè)務(wù)）訪問流向，租戶側(cè)業(yè)務(wù)南北向安全風(fēng)險(xiǎn)與原有線下安全風(fēng)險(xiǎn)類似，主要通過安全資源池平臺上包含的各類安全組件來實(shí)現(xiàn)防護(hù)。

4.3 東西向安全技術(shù)實(shí)現(xiàn)

東西向安全服務(wù)流即租戶申請的云主機(jī)、數(shù)據(jù)庫之間的訪問引入的安全服務(wù)流，具體服務(wù)流可分類為：

（1）同一業(yè)務(wù)系統(tǒng)前后端訪問安全：如當(dāng)web 系統(tǒng)運(yùn)行的虛擬機(jī)訪問數(shù)據(jù)庫所在虛擬機(jī)時(shí)，通過訪問控制實(shí)現(xiàn)數(shù)據(jù)庫僅允許授權(quán)的前端Web 服務(wù)器訪問。

（2）不同業(yè)務(wù)系統(tǒng)間訪問安全：如當(dāng)租戶在云上有兩套業(yè)務(wù)系統(tǒng)，這兩套業(yè)務(wù)系統(tǒng)在物理機(jī)房是邏輯隔離的（無法直接互相訪問）。

4.4 EDR（主機(jī)安全及管理系統(tǒng)）

主機(jī)安全及管理系統(tǒng)是分析與研究常見入侵技術(shù)的基礎(chǔ)上，總結(jié)歸納大量的安全漏洞信息和攻擊方式后，形成新一代終端安全防護(hù)技術(shù)。

（1）防御已知和未知類型勒索病毒：面對使傳統(tǒng)殺毒軟件束手無策的未知類型勒索病毒，主機(jī)安全及管理系統(tǒng)采用誘餌引擎，在未知類型勒索病毒試圖加密時(shí)發(fā)現(xiàn)并阻斷其加密行為，有效守護(hù)主機(jī)安全。

（2）管控全局終端安全態(tài)勢：服務(wù)器、PC 和虛擬機(jī)等終端安裝了客戶端軟件后，上傳病毒木馬、違規(guī)外聯(lián)、安全配置等威脅信息到管理控制中心，進(jìn)行統(tǒng)一任務(wù)下發(fā)，策略配置。

（3）全方位的主機(jī)防護(hù)體系：包含傳統(tǒng)殺毒軟件的病毒查殺、漏洞管理、性能監(jiān)控功能，在系統(tǒng)防護(hù)方面還可做到主動(dòng)防御、系統(tǒng)登錄防護(hù)、系統(tǒng)進(jìn)程防護(hù)、文件監(jiān)控，還支持網(wǎng)絡(luò)防護(hù)、Web 應(yīng)用防護(hù)、勒索挖礦防御、外設(shè)管理等多個(gè)功能點(diǎn)。

（4）流量可視化，安全可見：通過流量畫像的流量全景圖，展示內(nèi)網(wǎng)所有流量和主機(jī)間通信關(guān)系，梳理通信邏輯，上帝視角對策略進(jìn)行規(guī)劃，便于用戶第一時(shí)間發(fā)現(xiàn)威脅，一鍵清除威脅。

（5）簡單配置，離線升級，補(bǔ)丁管理：將人類語言轉(zhuǎn)化為具體安全配置，支持對主程序、病毒庫、漏洞庫、補(bǔ)丁庫、Web 后門庫、違規(guī)外聯(lián)黑名單等有效的進(jìn)行主機(jī)防護(hù)。

5 結(jié)論

本文介紹了在云計(jì)算的環(huán)境下，結(jié)合實(shí)際場景中的項(xiàng)目案例，介紹網(wǎng)絡(luò)信息安全技術(shù)實(shí)現(xiàn)，采用云安全基礎(chǔ)安全、云安全邊界、云租戶安全等關(guān)鍵安全技術(shù)實(shí)現(xiàn)，從用戶業(yè)務(wù)需求角度出發(fā)，從多個(gè)維度進(jìn)行網(wǎng)絡(luò)信息安全技術(shù)防護(hù)，解決來自網(wǎng)絡(luò)和主機(jī)的安全攻擊，確保應(yīng)用以及數(shù)據(jù)信息安全。