云平臺的網絡安全建設

彭先敏，楊 顯

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

云計算通過統一網絡靈活調用各類信息資源，實現資源的按需獲取、彈性擴容，并提供統一的運維管理等服務。隨著產業互聯網的快速發展和云計算相關技術的愈發成熟，各類企事業單位更多選擇將相關業務上云。云計算逐步成為企業、政務數字化轉型的基礎設施，為數字經濟發展提供技術底座。由于云計算的復雜性、開放性以及可伸縮性等特點，傳統的網絡安全技術無法完全保證云端業務系統的安全性。云計算的大量應用帶來了新的安全風險，并成為影響云平臺后續發展的挑戰之一[1]。

云安全的發展不同于云計算的“云-網-端”，而是以“端-網-云”的模式發展。從單機安全開始，最初以主機殺毒軟件為主。隨著互聯網的快速發展，網絡安全逐漸成為用戶關注的重點，同時出現了網關類安全產品，使網絡安全往縱深處發展，從局域網擴展到廣域網。在云計算的初期，云安全的發展相對滯后，依然以傳統網絡安全硬件產品為主，依賴其升級來適配云平臺的安全需求。在產業互聯網發展時期，云計算廣泛應用，促使云安全成為企事業單位業務上云關注的焦點[2]。云安全基于云計算的特性，同時匹配行業特征和業務屬性，提供定制化的安全服務[3]。

中國網絡安全的制度建設從1994 年國務院147號令到2019 年“等級保護2.0”標準的出臺逐步發展和完善?！暗燃壉Ｗo2.0”將云計算作為新技術、新應用場景納入安全擴展要求，對云計算安全體系的建設、安全能力測評、安全管理等各方面都提出明確、規范且全面的要求[4]。由于政策導向、安全事件頻發、市場引導等多種因素影響，云服務提供商在云平臺安全防護方面加大投入，并構建安全服務生態圈，向用戶提供更加豐富、個性化的安全服務產品。

1 云平臺面臨的安全風險

1.1 云平臺自身安全風險

虛擬化技術是云計算區別于傳統互聯網技術（Internet Technology，IT）架構的技術之一。虛擬化的出現使很多傳統安全防護措施失效，如無法監測與審計虛擬機之間的東西向流量[5]。若平臺本身存在安全漏洞，虛擬機可作為跳板發起網絡攻擊，或虛擬機通過平臺漏洞直接攻擊底層云平臺，導致出現信息泄露或者業務不可用的情況。云平臺的虛擬機會共享統一的硬件資源，出現某些虛擬機惡意搶占資源，影響云平臺正常提供服務。

1.2 虛擬化網絡安全風險

虛擬化的網絡結構使傳統的網絡邊界消失，如為實現云平臺業務的負載均衡，利用虛擬機漂移技術導致虛擬機的真實主機位置改變，造成邊界安全防護策略隨之變動[6]。若安全防護策略不能隨之漂移，則會出現安全漏洞。云平臺承載多租戶的業務系統，每個業務系統的安全防護等級和需求各不相同。常規的安全措施采用統一防護策略，導致高安全等級的業務系統無法得到安全保障。虛擬機之間未做到通信隔離，存在惡意虛擬機監聽其他虛擬機運行狀態，實施拒絕服務（Denial of Service，DoS）攻擊，惡意占用資源等[7]。

1.3 虛擬機安全風險

云平臺的虛擬機由用戶控制。若虛擬機被惡意分子控制，則會出現搶占云平臺的計算、存儲、網絡資源，導致云平臺資源耗盡，整體癱瘓[7,8]。云平臺承載多個虛擬機，但對虛擬機進行操作的人員安全防范意識不一，若缺乏安全審計導致虛擬機感染病毒后進行非法操作，會利用云平臺漏洞獲得更高權限實施攻擊[7]。相比物理機，虛擬機鏡像以文件形式存在，但缺乏文件控制系統，存在易被篡改、鏡像回滾的風險。

1.4 數據安全風險

云計算應用普遍，各企事業單位選擇將關鍵業務上云，如政府涉及民生的信訪業務系統、企業涉及客戶信息的客戶關系管理（Customer Relationship Management，CRM）系統等。這些系統都包含一些敏感、不宜公開的數據，會面臨非法竊取和篡改，帶來數據完整性和保密性的風險。當數據完整性遭到破壞時，數據失真，其可用性將存在風險。在云計算環境下，數據都是碎片化存儲在不同的地方，在數據完整性遭到破化時無法進行整合，導致應用服務中斷，進而導致應用可用性風險[7]。為防止云端數據泄露、租戶越權違規數據操作、保持多版本數據一致性和完整性等，需要采取數據審計。但是，數據審計需要復制鏡像流量，存在敏感信息泄露風險[9]。

1.5 應用安全風險

應用上云后能夠實現資源共享，同時存在信息泄露風險。由于應用面對眾多使用者，每個用戶的使用需求和權限不同，需要對其身份進行統一認證和授權。若出現攻擊者竊取用戶身份信息，假冒合法用戶，則會出現篡改、竊取用戶數據的情況[6]。因此，身份竊取是應用上云的首要風險。云計算環境下，由于應用集中部署和邊界模糊，可能會出現單臺主機不可用，影響云平臺整體業務系統的可用性。可見，云計算環境帶來的可用性風險相比傳統物理機更大。云平臺部署各類Web 服務應用，易遭受惡意代碼攻擊，若不針對此類攻擊采取專門的防護措施，則易造成攻擊者利用Web服務作為跳板來攻擊云平臺其他業務系統的情況。

2 云平臺安全建設內容

針對當前云平臺面臨的安全風險和所處的復雜網絡環境，基于軟件定義安全的云安全管理平臺，通過底層虛擬化技術將安全組件進行軟件化，并以池化方式將各類安全組件進行集中化管控[10]。通過軟件定義網絡（Software Defined Network，SDN）技術實現對安全組件的服務編排能力，從而實現軟件定義安全[11]。云安全管理平臺包含云安全資源池、運營管理系統和安全運營中心（Security Operations Center，SOC）。

安全資源池可以為云上業務租戶提供彈性、靈活的云上安全服務。安全組件能力涉及租戶主干鏈路防護、旁路檢測防護以及安全運維管理等多個方面，防護范圍覆蓋網絡安全、主機安全、應用安全、數據安全，全面滿足云上租戶業務防護和安全等保合規的需求。

運營管理系統作為云安全管理員和租戶的統一管理入口，可為用戶提供安全資源的集中生產、管理、運維、策略控制以及服務鏈編排等服務。平臺采用微服務架構，功能模塊可彈性擴展，各模塊之間互相隔離、互不影響。各模塊之間的重啟和重載不影響主進程的活動，各類安全功能通過平臺服務目錄形式為租戶進行展現，租戶可以按需選擇自己在云中需要的安全資源。云安全管理平臺開放南向接口，可將第三方安全網元接入資源池，打造良好的云平臺安全生態圈，為用戶提供更具個性化、貼合實際需求的安全建設內容。

云平臺SOC 能夠收集、過濾、格式化、歸并、存儲各種多源異構數據源產生的信息，并提供諸如模式匹配、風險分析、異常檢測等能力，使用戶實時監控和管理整個云平臺的運行狀態，對各種資產（主機、服務器、入侵檢測系統（Intrusion Detection System，IDS）、入侵防御系統（Intrusion Prevention System，IPS）、Web 應用防護系統（Web Application Firewall System，WAF）等）進行脆弱性評估，分析、統計和關聯各種安全事件，從多維度安全分析和評估云平臺的網內資產，并流程化處理安全運維工作，提高發現安全事件并及時處理響應的能力。同時，通過知識積累和完善系統運維，不斷加強和完善網絡的安全防護能力、攻擊發現及應急響應能力。

在實際建設過程中，云安全管理平臺的安全資源池組件和云SOC 可根據用戶需求選建。

3 云平臺安全建設方案

以某市政務云平臺安全建設為例，該市的政務云是多云混合的建設模式，云平臺承載近40 家委辦局的200 多個業務系統。各類云租戶和業務系統的安全建設需求不同，因此云平臺的安全建設從邊界安全防護、主機安全及云管理平臺安全等方面入手。平臺需要保障云平臺自身安全，在此基礎上為多云混合建設政務云，集約化建設池化安全資源，保障基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service，PaaS）、軟件即服務（Software as a Service，SaaS）等主要業務的安全性，形成為云租戶按需提供安全服務的能力。具體云平臺安全建設架構如圖1 所示。

圖1 云安全架構設計

3.1 云安全基礎平臺

根據業務系統特點，將云平臺邏輯上劃分為多個安全區域，并為每個區域部署相應的邊界防護措施。針對云管理平臺，需強化云管理安全和虛擬平臺安全。邊界防護重點落實訪問控制、入侵防范、惡意代碼防范等技術措施。虛擬平臺安全重點實現平臺操作審計，防止虛擬機逃逸。云管理安全實現管理端的訪問控制、身份認證和安全審計，確保平臺管理流量與云服務用戶業務流量分離[12]。

3.2 云安全資源池

云安全資源池底層基于虛擬化技術將物理服務器整合形成邏輯資源池，從而提供各類安全能力來滿足云上業務系統的安全需求。頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理，在完成相應安全功能的同時，實現靈活的安全防護。

通過云安全資源池，可為各委辦局提供安全接入服務、基礎防御服務、Web 防御服務、應用交付服務以及運維審計服務等安全組件，以服務化的形式交付給租戶，幫助租戶滿足等保合規要求和業務安全需求。云安全資源池建設如圖2 所示。

圖2 云平臺安全建設示意

4 結 論

針對目前云平臺的網絡安全建設現狀、特性和安全需求，提出集約化建設云安全管理平臺，可對單一云平臺和多云混合建設的云平臺提供有效的云上安全防護。但是，網絡安全建設的實踐性較強，新的安全風險層出不窮，網絡安全防護技術也在不斷更新迭代。因此，云平臺的安全防護手段需要在實際應用過程中不斷驗證和加強，確保為業務系統穩定運行構建一個安全可控的云平臺。