云上實戰化安全運營和常態安全監管研究

◆王歡

云上實戰化安全運營和常態安全監管研究

◆王歡

（中國移動通信集團安徽有限公司 安徽 230000）

云計算對IT基礎設施建設帶來了巨大的沖擊，如今云對電信行業應用、國計民生甚至是國家安全都有著巨大的影響。面對這種情況，必須要積極預防云上風險，加強監管。本文主要對云上實戰化安全運營和常態安全監管進行了探討，供相關讀者參考。

云計算；安全運營；安全監管

云計算的引入，使得IT基礎設施發生了革命性的轉變。作為關鍵基礎設施，云直接影響電信行業應用、國計民生，甚至是國家安全。對于云上風險，漏洞監管將變得異常重要，掛圖作戰，構建三化六防體系已經箭在弦上。當前的云安全解決方案多以傳統安全方案為主或根據云計算特性改造傳統安全方案以應用在云計算架構中，在應對云化式的基礎設施架構時凸顯其不足：

（1）云上對于資產的創建和管理已經完全由租戶掌控，云上漏洞、不當配置等資產指紋信息甚至資產信息本身完全黑盒；

（2）云上業務的復雜化導致更多暴露面，無文件攻擊、供應鏈攻擊等新型攻擊方式出現，豎井式的安全設備無法及時發現問題；

（3）云計算導致傳統安全域劃分不可用，東西向的內部流量不可見、橫向移動無法及時發現；安全廠商在設計實現云安全解決方案時未能基于資產維度充分考慮云內已存在的安全隱患及東西向流量場景的安全風險，導致目前市面上主流的云安全解決方案都無法解決云內主機存在的安全隱患與東西向流量的安全問題。

整體來看，傳統的云安全解決方案只是滿足了客戶的云上基本需求，但眾多安全能力作用并未得到充分發揮，大量安全數據并未充分利用。而圍繞用戶云上業務開展實戰化的安全運營、常態化的安全監控、體系化安全服務能力建設，才能發揮云安全能力的更大價值、為用戶提供更多增值服務。

1 云內資產的風險管理

云環境下，云內資產錯綜復雜，不僅僅對用戶來說是片迷霧，云廠商對內部資產的分布同樣一片模糊。構建云內資產管理平臺，主動自動同步云租戶、云主機等云內資產信息，發現云租戶動態創建的虛擬機、浮動IP，以及被遺忘、未被防護的主機。同時資產管理平臺依托大數據架構，兼容多數據源處理，從第三方系統內汲取資產與問題數據，通過數據預處理中心進行數據的清洗、富化、聚合，最終得出企業所需要管理的資產與問題（圖1）。

圖1 云內資產錯綜復雜

依托工作編排架構，該系統可與第三方系統進行互操，實現問題的處置閉環，資產的漏洞、配置、補丁的第三方驗證。

通過云內探針或流量分析將對所有在線設備進行網絡掃描和深入識別，獲取終端的網絡地址、系統網絡指紋、系統開放端口和服務指紋，并根據積累和運營的指紋庫裁定每個終端的類型、操作系統、廠商信息（圖2）。

并根據所獲取的設備指紋信息，采用智能識別和唯一性算法為每個資產建議指紋身份信息，作為資產生命周期管理的唯一性依據（圖3）。

通過云網綜合漏掃發現內網資產的漏洞、弱口令和配置核查弱點，實現全生命周期的脆弱性管理，通過周期性對比原有脆弱性信息，展示各脆弱性項目的處置進展和歷史狀態，確保對資產脆弱性實現生命周期閉環管理。

圖2 終端資產與其他資源互聯

圖3 設備指紋信息

2 云平臺的流量采集與分析

云網流量采集及安全分析的整體方案實現可采用純軟件交付模式，并可與企業的云管理平臺、云安全管理平臺深度集成，由云安全管理平臺實現統一管理和呈現。

（1）云內流量采集分析能力：通過在云內自動化部署流量采集節點，實現對全云場景下的流量采集，完整覆蓋東西向、南北向云流量業務場景。與傳統在核心交換機上鏡像流量的方案不同的是，該建設能力能夠采集云內東西向流量，并且匹配云平臺多租戶業務（圖4）。

圖4 云內流量采集分析能力

（1）流量可視化分析：區別于傳統的表格、餅圖、柱狀圖、曲線圖展示靜態的結果，云網流量安全分析將訪問關系進行深度關聯分析，繪制關系圖、流向圖、分布圖，由客戶根據需要進行任意鉆取和多維度分析，真正意義上實現流量可視交互化（圖5）。

3 基于威脅情報的安全識別

通過資產的梳理與流量的采集與分析，為提升整體安全的可用性、實戰性，需結合威脅情報檢測引擎，從云網流量中提取源IP、目的IP、DNS解析信息、HOSTS等信息，并進行威脅情報碰撞。根據威脅情報檢測云網中的風險連接、惡意訪問、失陷IP等信息，能夠直接提升云內資產指紋分析能力、漏洞分析能力、內部流量采集分析能力以及在云內特別是東西向流量場景下的安全威脅檢測能力，增強云環境的安全發現和威脅態勢感知能力，實現常態化安全監管，實戰化安全運營。提升云識別和應對安全風險的能力，減少安全空窗期，盡可能減少云內威脅傳播和橫向攻擊，增強云平臺整體的抗風險能力。安全分析人員可直接通過云安全運營中心，快速研判分析安全事件，減少人工進行日志分析所帶來的大量的分析成本和誤識別成本，同時解決云內資產運維運營困難問題，落地實戰化（圖6）。

圖5 流量可視化分析

圖6 基于威脅情報的安全識別

4 自動化的安全運營

云環境安全提供了面向云資源池的綜合安全監控能力，但眾多的安全能力彼此之間缺乏有效聯動，無法滿足高效運作、快速響應的需求，亟需整合人員、流程和工具的安全運營平臺，提升安全響應的速度和效率，降低事件響應時間；而云環境中SDN的廣泛應用，則為云安全能力和自動化運營打造了堅實了基礎，采用SDN嵌入式或集中式組網，實現所有租戶東西向、南北向流量均由按需由SDN控制器調度到安全能力資源池進行檢測和分析。再將安全資源池管理平臺與IT資源池管理平臺對接，采用先進的安全服務及安全策略編排技術，實現了通過統一的自服務界面，實現了IT資源池和安全資源池及安全策略全程自動化運營管理。

DevSecOps是一種全新的安全理念與模式，從DevOps的概念延伸和演變而來，其核心理念安全是整個IT團隊（包括開發、運維及安全團隊）每個人的責任，需要貫穿從開發和運營整個業務生命周期每一個環節才能提供有效保障。

企業的云安全運營中心建設項目，從一開始可按照DevSecOps理念，從需求分析、軟件開發、平臺上線、平臺運行、平臺運維和運營等環節，全面貫徹安全是整個IT團隊每一個人的責任的理念。首先，為開發和運維人員提供自服務式的基礎安全防護運營界面，使開發、運維人員能更緊密與安全工作結合在一起，并且在發生疑似安全阻斷正常業務時，開發、運維人員可以有權臨時去掉安全防護或配置白名單進行驗證，提高排障效率。其次，通過自動化和DevSecOps在安全運維/運營方面的運用，將安全管理員的精力從日常事務性工作中釋放出來，從而將工作重心調整到安全威脅、告警為核心，去發現潛在的安全風險然后再運用到軟件開發安全設計、安全編碼等需要專業安全知識和技能且可以體現更高價值的工作中去。逐漸向DevSecOps邁進。

云上安全合規的日子臨近尾聲，安全實戰化的時代即將到來。當前市場下，保障用戶業務安全、促進網絡安全發展的同時，為用戶帶來更多的實用價值將是安全廠商為之奮斗的目標。

[1]胡國華，孟承韻，代志兵，等.基于大數據安全保障的云安全體系研究[J].信息安全研究，2020，6（05）：404-420.

[2]胡洪賓.云平臺安全防護支撐體系及防護手段研究[J].中國新通信，2020，22（08）：50-51.

[3]溫春東，劉云華，佟玉超.大數據系統的安全體系建設[J].信息通信，2020（01）：181-182.