企業級公有云上業務集約安全防護實踐

李國良，尹 娜，李秋陽

（天翼物聯科技有限公司，江蘇 南京 210003）

0 引 言

自2006 年Google 首席執行官埃里克·施密特（Eric Schmidt）首次提出“云計算”以來，經過近20 年的發展，我國云計算行業整體市場規模和滲透率不斷增長，并且已經成為新型基礎設施的重要組成部分。云計算是可配置計算資源的共享基礎服務池，服務模式按照實際使用付費，并提供方便快捷的網絡訪問。云計算根據使用類型分為公有云、私有云、專有云和混合云四類，用戶根據自身的行業特性選擇使用不同類型的云服務。

企業在數字化進程中，不斷平衡投入與回報。數據中心前期需要投入巨大的采購和維護成本，資源利用率卻很低，企業有緊急業務擴容需求時，服務器的交付時間周期也較長。大中型企業要求企業數據不出門，通常將自有機房改造成私有云，但是需要投入不菲的人力、維護成本，容易出現業務穩定性和交付體驗差等問題。

基于價值與戰略因素，為了持續降本增效，加快迭代業務架構，提高服務交付效率，越來越多的企業選擇公有云承載業務。公有云對于租戶就是一張白紙，企業需要在白紙上開展網絡和信息安全規劃，其中資源類規劃包括網絡分區、存儲控制、權限控制、安全產品、資源生命周期流程等；架構類規劃包括服務遷移、數據安全等。

在公有云市場，主流云供應商基本能夠根據網絡安全等級保護要求，提供全場景目錄清單的公有云網絡和信息安全防護能力服務，但是云供應商為了其效益，一般不會提供適應企業級的集約安全防護方案，或者提供的方案傾向于大而全，無法降低企業網絡安全防護成本，也不會適應用戶業務分散、架構多變的現狀，因此企業亟需提供一種通用、集約、高效、合規的安全防護方案。

1 企業級公有云典型安全防護技術方案

公有云的特點之一是云供應商提供IaaS 服務，因此云供應商能夠優先獲得企業云業務的防護需求，主動向企業提供云化的安全防護能力，這些能力主要以SaaS 的形式呈現出直觀的安全數據。圖1 是云供應商提供的SaaS 式安全防護部署結構。企業按照教程配置策略，入門門檻降低，企業流程和技術儲備也得到簡化。

圖1 云供應商SaaS 式安全防護部署

首先，SaaS 安全防護部署模式弊端明顯，企業配置門檻的降低致使員工能力提升和技術儲備產生影響。其次，SaaS防護模式是面向公眾的、普遍的、標準的模式，無法貼合企業的定制化需求模式。最重要的是，SaaS 防護模式導致數據機及其價值無法掌握在自己手上，控制權限在云供應商，對于企業的數據安全及基于數據的業務發展造成阻礙。

部分選擇公有云的企業部署如圖2 所示的垂直分布式平臺安全防護架構，即“煙囪式”安全防護，針對企業不同的IT 應用系統分別實施同一套安全防護體系。垂直分布式安全防護通常由企業自行建設，云供應商僅提供必要的云資源等相關服務，具體的安裝部署、策略更新、數據分析等由企業側維護。

圖2 垂直分布式平臺安全防護部署架構

垂直分布式安全防護能夠促進“安全型企業”的建設和人員安全能力的提升，尤其是對于IT 系統部署分散、安全防護要求高、遵守“三同步”建設指南的企業尤為適合。企業每當需要建設新的IT 業務系統時，按照安全防護的指南同步建設一套安全防護能力，具有可復制性、部署簡單、架構清晰等優勢。垂直分布式安全防護也存在弊端，首先，分布式防護提高了企業的安全成本投入，治理、風險、合規等因素驅動著企業動態增加安全投入，如果業務無限橫向拓展，其縱向安全防護投入也接近“無底洞”；其次，每套分布式安全防護能力都需要人員維護，人力成本投入高。

基于上述兩種架構模式的弊端，較多企業在業務上云時為了將安全數據掌握在自己手中，集中建設安全防護能力成了上云的主流。但是，企業上云的時機早晚不定，云計算安全解決方案成熟度欠缺，導致企業在上云安全方案中走彎路。圖3 是典型的未規劃安全防護架構，主要體現在以下兩個方面：首先，企業堆疊各項安全能力，導致未能有效規劃分層，形成安全域的概念；其次，能力雖然集中，但是缺少串聯各項安全能力的有效手段，難以將安全能力轉化為企業的安全運營動能。

圖3 典型的未規劃安全防護架構

中大型企業業務復雜，在公有云中會啟用多個虛擬隔離網絡最小單元VPC，每個VPC 是獨立的，一般占用一個專用網段，VPC 間通過云虛擬化技術實現有控制的網絡連接。以天翼物聯科技有限公司為例，在天翼云中大約有200+個VPC，業務的邊界安全、運維安全、安全管理等基礎安全防護能力是企業安全防護的迫切需求。隨著業務VPC 的不斷拓展，企業需要綜合考慮安全防護部署架構，安全能力支持快速復制迭代，形成合理的VPC 分域，構建成層次分明、便捷高效、穩定可靠、安全可視的集約安全防護能力體系架構。

2 公有云集約安全防護能力方案與架構

2.1 公有云安全防護能力要求概述

在安全治理、風險、合規三要素驅動下，公有云不是企業避免信息安全責任的“法外之地”。安全治理源自企業的戰略需求，對于大中型企業，安全生產與業務是緊密相連的，信息安全支出占企業全年成本或投資費用比例不斷提高。安全風險即企業信息化中面臨威脅的可能性，企業需要平衡風險與業務二者關系，提出應對風險的措施。安全合規是企業在經營中所面對的環境因素，合規是企業生存發展的基石，確保符合當地的法律法規、滿足各類經營規范和標準才能支持企業長遠發展。

企業在公有云不同的服務類型中面臨的安全責任也不盡相同。IaaS 服務模式重心在于操作系統以上各層服務與應用的安全，以及操作系統之間的網絡架構安全，物理層、數據鏈路層、部分網絡層的安全防護由云供應商提供。針對PaaS 服務模式，企業更關注原生應用的安全，尤其是面向微服務框架的敏捷開發安全；針對SaaS 服務模式，很少有企業脫離IaaS 和PaaS，單獨在公有云購買并經營SaaS應用。

結合企業安全需求三要素，公有云安全防護是基于法律法規和行業標準的，《網絡安全法》《數據安全法》等是國家在信息安全專業方面的基本法，《等級保護條例》《關基保護條例》等給出了安全防護的具體細則，企業受行業部門監管的還應該滿足行業相關安全管理要求與標準。在等級保護2.0 要求中，云上承載的三級等保護應用在安全防護中需要從身份驗證、訪問控制、安全審計、入侵防范、惡意防范、數據完整性、數據保密性等多重技術點著手，配套與之對應的安全防護能力。在關基保護要求中，關基平臺要在等級保護基礎上重點防護，按照分析識別、安全防護、檢測評估、檢測預警、主動防御、事件防御等六個維度保護應用。除此以外，云上業務還需要滿足行業監管要求，如工業和信息化體系、銀保監會體系相關的網絡安全防護的標準。

2.2 公有云集約安全防護能力方案與架構

企業基于云上安全防護責任，需要對平臺的云主機、云網絡、業務系統、中間件和數據庫等各類可控資源進行安全管理與防護。除第1 節提到的技術方案問題外，云上安全防護能力的建設主要源自以下挑戰：

（1）沒有明確的物理網絡邊界，虛擬網絡和云計算技術使得傳統的物理網絡邊界模糊。

（2）云內部流量、威脅等不可視，虛擬機間網絡通信均由虛擬交換機實現，傳統技術手段無能為力。

（3）云內業務復雜，中大型企業在公有云虛擬機的數量往往是千甚至萬量級的，由于云計算的彈性擴展收縮的便捷性，導致安全防護配置復雜，防護工作量巨大。

結合上述公有云典型安全防護技術方案，集約安全防護能力體系是企業降本增效、解決用戶安全挑戰的最佳實踐，立足于滿足云上平臺的安全等級保護要求，從網絡邊界、應用安全、運維安全、數據安全、內容安全、安全審計等多方面進行安全防護，構建通用、集約、高效、合規的公有云業務環境。

企業云應用集中部署于云上節點，針對企業在云上節點的服務，將企業云劃分成以下主要區域：企業業務區、公網流量防護區、內網流量防護區、運行維護安全區、東西向流量防護及安全管理區，如圖4 所示。企業業務區包含服務于企業內外部客戶的各類應用，如Web 門戶、APP、小程序等；公網流量防護區包含用于公網出入網服務的邊界和流量防護，如防火墻、IPS、IDS、Web 應用防火墻、動態安全防護、零信任VPN 等；內網流量防護區包含用于企業內網出入網服務的邊界和流量防護，與公網接近；東西向流量防護區針對公有云應用間數據的交換防護，無需通過防火墻等邊界設備。

圖4 集約安全分域防護總覽

3 公有云集約安全防護能力實踐

在公有云市場，天翼云牢牢占據行業領先位置，天翼物聯是中國電信提供物聯網端到端能力的專業公司，物聯網平臺業務均承載于天翼云公有云。為貫徹建設安全型企業的初衷使命，保障業務安全穩定可靠，天翼物聯聯合啟明星辰、綠盟、天融信、信通院、天翼安全等行業網絡安全頂尖力量，在公有云集約安全防護方面付出諸多實踐。

企業互聯網應用是網絡攻擊的入口，需滿足邊界安全防護能力的達標率與覆蓋率。圖5 展示了公網流量安全防護的集約部署架構。企業公網應用分散在多個獨立的VPC 上，建立公網邊界安全集約防護VPC 用于公網引流，部署負載均衡、下一代防火墻、Web 應用防火墻等虛擬化網絡邊界安全設備。

圖5 公網流量安全防護集約部署架構

負載均衡是DNS 解析的入口，綁定公有云彈性公網EIP，用于企業內多個公網應用的路徑分發與流量統計；下一代防火墻相較于普通防火墻增強了網絡安全監測的功能，如IDS、IPS、上網行為分析等；Web 應用防火墻是HTTP/HTTPS 協議流量的專用防護設備，能夠有效阻止OWASP TOP10 的網絡安全攻擊，必要時還能實現代碼級動態安全防護功能。企業可自定義應用在公網出、入訪所需的防護能力，按照經驗，出訪由應用VPC 主機，經過下一代防火墻SNAT；入訪由用戶公網分別經過負載均衡、下一代防火墻、Web 應用防火墻，可較好地發揮邊界安全防護效果。

企業辦公內網流量安全防護與公網防護類似，所需安全能力與圖5 較為接近，其部署方式如圖6 所示。值得注意的是，辦公內網應與公網隔離開，兩者設備均獨立部署在各自的VPC 內，通過企業專用VPN 建立辦公終端與應用的網絡聯系。為了滿足企業遠程、移動辦公運維的需要，可以在該VPC 內部署零信任網關與控制器，零信任采用SDP 技術，可以有效隱藏互聯網攻擊面，并實現終端級的遠程安全接入。

圖6 運維安全防護集約部署架構

圖6 是云上應用集約安全運維專用VPC 及其網絡通道部署架構圖，運行維護是安全防護工作不可或缺的環節，直接決定著內網的安危。集約部署運行維護域可以將內網終端及應用維護的情況盡收眼底，一站解決公有云節點的安全數據采集匯聚。在該域部署數據采集服務設備，如日志審計系統、數據庫審計系統、終端監測響應服務端、網頁防篡改服務端等平臺，與之對應的數據則源自公有云主機安裝的Agent 代理客戶端，建議使用多合一功能的客戶端，避免一臺主機安裝多個Agent 的維護工作量。

值得注意的是，為做好內網的操作記錄，便于溯源，運維中必須使用融合4A/堡壘機登錄操作服務器、數據庫以及內網各類維護平臺和管理平臺。圖6 中任何內網應用、維護通道都沒有直接暴露在互聯網，企業云上內網業務應通過專用內網防護通道供用戶訪問。圖6 還展示了云上集約安全管理VPC 的部署示意圖。

圖7 具體給出了安全管理的數字化能力架構和業務VPC內、VPC 間的東西向防護的架構及數據流。內外網之間的數據交換僅約占現代數據中心流量的20%，而更為龐大的80%流量流轉于內網主機之間，也就是俗稱的東西向流量。邊界安全集約防護主要針對南北向流量實行控制，而東西向流量容易被忽視，攻擊者容易通過公網弱點滲透進入內網，橫向穿透內網防線，導致內網權限全丟的局面。

圖7 東西向防護及安全管理集約部署架構

主機微隔離技術能夠通過網絡策略控制主機的入站和出站流量，將主機之間的東西向網絡連接和業務邏輯可視化，是內網安全防護的最后一道墻。內網的安全防護數據由各類防護能力的服務端通過syslog、kafka 等對接安全管理域的數據中心，上層應用對安全數據進行消費和二次開發利用。最終將安全事件相關的集中告警、工單、展示、接口、分析等呈現給安全運營人員，運營人員也能通過事件進行響應，由安全能力中心對事件開展響應、封堵、溯源、反制等。

4 結 語

公有云的核心是虛擬化安全，企業選擇公有云的核心是企業信息安全。企業追求降本增效，本質上是需要一套能夠覆蓋公司所有云上信息系統、掌握自主運營能力、安全數據可控的集約安全防護方案。文中詳細針對企業在公有云上的業務情況，提出包括公網邊界安全集約防護、辦公網邊界安全集約防護、運行維護安全集約防護、安全管理集約防護等多方面結合的集約防護實踐，并從整體和局部介紹各自的部署結構、作用和實踐總結。

文中提出的集約安全防護體系在實踐中已經能夠覆蓋等級保護2.0、企業自身防護的大部分需求，但是仍然需要持續提升。針對運行維護安全集約防護，首先可以進一步細化網段或者VPC，分配網絡安全、數據安全、信息安全、行業安全專用等多個維護模塊，便于不同崗位職責的運維人員管理；其次，公有云是多用戶共用底層物理資源，無法將個別用戶的流量單獨引流或者鏡像，流量分析是用戶的瓶頸需求，如果要求不高可以使用圖5 中負載均衡鏡像南北向流量，如果要求嚴格可以使用圖7 中微隔離Agent 鏡像匯總所有主機流量，均能實現流量分析的能力。最后，企業公有云安全不能完全依靠技防，集約防護能力只是給用戶的信息資產安裝一道門、關上一扇窗，企業應從運營、檢查、審計等多方面管理機制著手，強化安全管理和運營，人防、技防雙措并舉，方能實現企業公有云服務的長治久安。