基于服務鏈的安全編排技術及其應用

嚴亞萍 馮中華 王雪 管澤方 許光利

一、引言

隨著企業、機構業務規模的不斷擴大，大量信息系統被部署在云平臺上。云平臺中各類資源以虛擬化的形式存在，資產信息動態高頻發生變化、內部網絡形成多個邏輯隔離分區、傳統網絡邊界定義相對模糊，這些特點都為安全防護的開展提出了更高要求。相比傳統環境，云平臺內部東西向流量激增、流量和威脅對外不可視，傳統安全防護措施逐漸失效，物理網絡安全設備很難感知云內發生的安全事件，無法對云內攻擊行為進行有效攔截，可能導致威脅范圍快速擴大并進一步蔓延。

目前，云平臺內部主要通過以虛擬化鏡像存在的虛擬化安全資源（如vFW、vIDS、vIPS，也稱為安全網元）形式進行防護，如何對這些虛擬化安全資源進行調度編排，合理高效地使用有限資源池，滿足動態變化的云平臺安全防護需求，是運維人員面臨的一道難題。

同時，一項全球調研顯示，超過70%的安全運營團隊認為受到了事件過載帶來的嚴重影響，已經被大量的事件淹沒，并承認他們沒有信息能夠確定事件優先級并及時作出響應。

針對運維過程中時常遇到的事件爆發式激增場景，現有的安全工具難以解決眾多安全系統產生的海量數據，需要引入服務鏈編排技術，通過預設專家規則庫和智能自學習相結合的方式，對預設編排鏈的執行過程、事件處置效果等進行反復的歸納和學習，不斷積累經驗和更新編排鏈，以實現對重大安全威脅和突發事件的高效處置，實現更加智能化的安防運維。

二、相關概念

（一）服務功能鏈

服務功能鏈（Service Function Chain， SFC）是一種網絡服務構建技術，通過將業務流量所請求的網絡服務抽象為一系列有序的網絡功能單元，進而由網絡根據業務的服務策略引導特定流量按序穿過特定的網絡節點上對應的服務功能處理，從而完成業務的網絡服務請求，可由管理員靜態配置或動態編排

（二）SOAR

安全編排與自動化響應（Security Orchestration Automation and Response，SOAR）由Gartner于2015年提出，理念是聯動不同安全工具和技術，通過創建手動和自動協同操作的工作流步驟，對安全事件的智能化編排和自動化響應，對安全威脅進行高效處置閉環，實現由人工低效的手動處置向高效自動的智能響應轉變。

（三）ATT&CK

ATT&CK（Adversarial Tactics Techniques， and Common Knowledge）由MITRE于2015年提出，目前已經發布13個版本，該框架以“戰術-技術”的矩陣形式描述，提供了一種用于入侵行為描述的通用語言和知識圖譜，對于威脅情報、檢測分析、模擬攻擊和評估改進方面有很好應用價值。

三、編排模型

安全服務編排模型采用基于SOAR的服務鏈編排技術路線，針對云平臺中各類安全資源的動態配置管理和網絡安全事件的快速響應處置需求，實現基于軟件定義的智能化、靈活化、精準化安全防控，提升安全運營效率、減少運營人員工作壓力。

（一）作用用途

服務鏈編排可以與SOAR結合，以提供更強大的自動化和響應能力。

1. 自動化響應

服務鏈編排模型可以用于自動化響應安全事件和威脅。當SOAR系統檢測到安全事件或威脅時，它可以觸發服務鏈編排模型來自動調度和協調一系列安全相關的服務，例如日志分析、威脅情報查詢、事件響應和修復操作等。

2. 安全工作流程管理

服務鏈編排模型可以用于管理和執行復雜的安全工作流程。通過結合SOAR系統的自動化和協調能力，服務鏈編排模型可以實現對安全工作流程的定義、調度、執行和監控，從而提高安全操作的效率和準確性。

3. 安全事件響應編排

服務鏈編排模型可以在安全事件響應中起到關鍵作用。當發生安全事件時，SOAR系統可以觸發服務鏈編排模型來協調不同的安全服務和工具，例如威脅情報收集、惡意代碼分析、事件溯源和修復操作等，以快速、自動化地響應和解決安全問題。

4. 整體安全自動化

通過結合服務鏈編排模型和SOAR系統，可以實現整體的安全自動化。安全操作和流程可以通過編排模型進行自動化、標準化和可重復的執行，提高安全團隊的工作效率，同時減少人為錯誤和響應時間。

綜上，服務鏈編排模型和SOAR系統可以相互結合，以實現自動化、協調和優化安全操作和響應。這種結合可以提供更強大的安全自動化和響應能力，幫助組織更有效地應對安全威脅和事件。

（二）相關工作

在服務鏈編排手段方面，學術界已經進行了較深入的研究，并提出了一些SFC編排部署系統設計，包括Stratos、NFV-RT、Apple、Hyper、MicroNF和Daisy。

Stratos是一個支持SFC水平擴展的SFC編排部署系統，平均編排速度大約為每秒67條SFC，不足以滿足大規模數據中心的秒級編排需求；NFV-RT是為數據中心網絡設計的SFC編排部署系統，其不支持對可編程設備的網絡功能進行擴容編排，同時其單編排器的設計導致NFV-RT缺乏在大規模拓撲下實現秒級擴容編排部署的能力；Apple是為軟件定義網絡（SDN， software defined network）設計的SFC編排部署系統，其優化引擎通過運行求解器計算最優的編排部署方案，但其編排時間復雜度是非多項式的，無法滿足數據中心內的快速彈性擴容編排需求；Hyper是一個異構SFC編排部署系統，其單編排器設計無法支持大規模數據中心的秒級彈性擴容編排； MicroNF是一種異構SFC建鏈系統，其并未對大規模的數據中心編排進行設計，導致其缺乏擴展性；Daisy是一個高可擴展的異構SFC編排部署系統，但其SFC編排時間在分鐘級，難以滿足大規模數據中心場景下的秒級彈性擴容編排需求。

（三）典型流程

在安全運維管理過程中，安全事件的處置流程往往具有依賴關系。服務鏈編排模型通過可視化配置實現安全事件分析，為安全事件自動處置提供上下文，降低事件處置復雜度。系統通過簡單的拖拽方式對事件處置流程中涉及到的數據源、安全規則、響應方式進行選擇，降低運維人員的配置工作量。服務鏈編排流程是對預先確定的有限操作、操作流程和操作對象進行排序、調度和管理，利用服務鏈編排自動化執行過程提升事件響應效率，利用智能自學習技術不斷提升事件響應的準確率。服務鏈可視化編排的流程如圖1所示。

服務鏈編排將多個安全網元分別組成串接鏈和旁路鏈，并被引流策略引用，不同的安全網元提供不同的安全防護能力，可配置不同的安全策略。服務鏈中的串接鏈按照配置指定的排列順序組合成一條網絡鏈，引入的流量也會按照這個順序依次進入各安全網元進行處理；旁路鏈中的各安全網元之間沒有任何聯系和影響，云平臺只是簡單的把流量復制并鏡像到各安全網元，不影響正常流量的轉發。

服務鏈編排通過為安全事件構建即時上下文，加速通常需要手動執行的事件處置操作，簡化了分析人員的工作流程。通過安全服務鏈編排、流量編排和安全策略配置，聯動各安全網元實現事件的自動化處置，為安全運營過程節省時間，提升安全運營效率。通過使用安全服務鏈編排流程，安全分析人員可以將工作重點放在高優先級威脅活動分析、融合分析、深入調查等環節，使得組織針對安全威脅能夠更好地進行閉環響應。

（四）系統設計

系統模型設計如圖2所示，由服務鏈編排、引流策略、工作流引擎、安全服務資源庫等部分組成。

1.服務鏈編排

模型采用基于流程定義的可視化編排技術，即服務鏈編排，為安全運維人員提供一種集成化、可視化的流程設計以及管理手段，將流程配置數據從靜態轉為動態，依托豐富的可視化模板實現個性化、自定義的流程編排設計，輔助運維人員快速、高效地完成服務鏈編排。服務鏈編排提供圖形化操作界面，支持以拖拽或勾選的方式選擇安全網元、操作內容和調整排序等內容，并以圖形化的方式對其編排內容進行可視化展示，管理員通過服務鏈編排界面，創建服務鏈編排模板。

需要進一步指出的是，服務鏈編排模板將業務轉義為工作流引擎可以執行的安全策略后，就成為了服務編排模板，也稱之為工作流。這時候，每個節點過程都轉義為具體的網元和動作。

管理員按照業務需求將安全網元編排到服務鏈中，通過分組、勾選、拖拽等方式選擇操作對象和實施動作，調整執行順序，實現對各安全網元（包括攻擊檢測、接入管控、訪問控制等）的規則配置、策略配置、功能配置。服務鏈編排在編排過程中，可同時提供對云平臺中安全網元的統一管理，可通過配置管理界面進行安全網元的新建、刪除、啟動、重啟、停止等操作。

若需要的安全功能在云平臺中不存在相關安全網元，管理員可將虛擬的安全網元鏡像上傳至云平臺，由云平臺進行加載和啟動；若不需要某個安全功能，管理員可選擇刪除、停止某個安全網元。

系統將管理運維人員通過可視化服務鏈編輯器創作的服務鏈進行存庫、列表展示和管理維護，其中管理維護操作包括服務鏈的添加、編輯、刪除等功能。服務鏈模板以列表的形式進行展示，展示內容包括服務鏈名稱、創建時間、串行鏈、并行鏈等，服務鏈模板為后續安全響應提供數據支撐，系統通過預置服務鏈模板可實現安全基線、安全場景的一鍵式切換。

服務鏈編排過程中需包含任務執行的主體、客體以及行為，需要抽取和分類處理的信息。安全運營任務中的各類要素信息經過定向抽取之后，被分類儲存在為當前任務創建的設備資源要素庫以及安全業務要素庫。為安全運營任務的編排提供支持。服務鏈要素抽取如圖3所示。

編排組件是安全運營任務的主體。針對編排組件主體的解析，主要是針對事件中涉及的網絡配置以及安全網元、IP地址、管理關系進行抽取，明確服務鏈及策略下發的目標。

安全網元是安全運營任務執行的客體，是安全運營任務執行時操作的安全裝備、安全資源相關信息的描述。針對安全運營客體的解析，主要是針對可調度網元信息、安全通聯信息、資源信息以及力量編組信息進行抽取。安全裝備信息是指安全運營任務執行中所使用的安全網元類型、功能特點的描述，用于篩選符合響應任務要求的虛擬安全設備；安全資源信息是提升各類系統安全防護能力的補丁、軟件升級包、漏洞庫、病毒庫、規則庫等各類安全資源的描述，用于協助安全設備進行安全資源的加載；安全通聯信息是信息系統中各類業務系統與業務系統、終端與業務系統之間連接關系，用于協助規劃安全防護的對象；力量編組信息是指本次安全運營所依賴的安全運維保障力量，用于確定安全運維和管理的服務提供方。

響應策略是安全運營任務下發的行為信息，是指對安全運營任務在各類安全運營場景下業務處理的描述。即不同任務場景下對于安全裝備、安全資源以及安全運維策略、引流策略的配置，例如攻擊阻斷、病毒查殺、漏洞修復等。

2.引流策略

系統支持對受管安全網元進行集中引流策略管理，包括引流策略的添加、刪除、調序、啟動、停止等管理功能。管理員可以根據多個維度設置不同條件的引流策略，將命中不同引流策略的流量引入與之對應的服務鏈，其中維度包括源安全域、目的安全域、源用戶、源地址、目的地址、服務、VLAN、流量方向等。系統將引流策略通過數據交換模塊下發到云平臺中的安全管控基座，基座通過在核心虛擬路由上配置策略路由或者其他引流方式，將流量牽引到其各個安全網元中。引流策略的命中原則為從上往下順序匹配，如果命中則根據服務鏈進行引流，如果命中的策略未設置任何服務鏈則不引流，命中后則不再匹配后續策略，未命中策略默認不引流。

3.工作流引擎

為保證服務鏈中每個策略被正確的執行，需要工作流引擎按照編排模板對流程進行自動化或手動化執行，當需要人工手動執行時，系統會自動發布工單并通知相關的人員進行手動操作，在手動操作完成以后為該步驟打上標簽標記為已完成后，可繼續執行下一步的工作流程。工作流引擎對服務鏈中每一步的執行狀態進行監控和記錄，以此實現對執行流程的控制。

4.安全服務資源庫

安全資源庫作為系統的基礎知識庫，包括了安全策略、安全規則庫、系統升級包、病毒庫升級包、規則庫升級包等資源，供服務編排引擎調用，以完成安全服務的編排。通過各安全網元的安全服務功能進行細化拆分，實現對安全服務能力的細粒度管控，建立安全運營任務與服務鏈的映射關系，為安全編排服務提供支撐。

四、技術應用

服務鏈編排技術與ATT&CK模型天然具備良好相性，通過將兩者結合，服務鏈編排模型能夠更好地理解和應對攻擊者可能使用的技術手段，并實現更有效的威脅檢測、響應與防御，通過兩項技術的綜合應用，能夠進一步提高安全團隊的能力，幫助組織更好地應對云環境中復雜的網絡攻擊和威脅。

具體地講，兩者可以從以下角度結合開展進一步技術應用：

1.威脅檢測和識別。服務鏈編排模型可以與ATT&CK模型集成，從實時收集的安全日志、事件和威脅情報中分析并識別與ATT&CK中描述的攻擊技術有關的模型和指標，這有助于快速檢測和識別潛在的攻擊行為。具體流程為：

（1）服務鏈編排模型監控實時的安全日志和事件數據；

（2）使用ATT&CK模型作為參考，分析日志和事件數據以識別潛在的攻擊行為；

（3）根據ATT&CK模型中描述的技術手段，例如惡意軟件傳播、橫向移動、憑證盜取等，對安全事件進行分類和標記。

2.攻擊響應和阻斷。一旦服務鏈編排模型識別到ATT&CK模型中描述的可疑技術，它可以自動觸發相應的響應措施，包括阻斷攻擊流量、隔離受感染系統、重置憑證、修復漏洞等。

例如，如果檢測到憑證盜取技術，服務鏈編排模型可以自動重置受影響用戶的憑證、通知安全團隊和相關人員，并隔離相關系統以防止進一步的攻擊傳播

3.威脅情報整合。服務鏈編排模型可以與威脅情報平臺集成，將來自ATT&CK模型的威脅情報與實時的安全事件數據結合起來，提高威脅檢測的準確性，并更好地了解攻擊者可能采用的技術手段。具體流程為：

（1）將來自威脅情報平臺的ATT&CK相關威脅情報與實時的安全事件數據進行整合；

（2）將威脅情報與服務鏈編排模型集成，用于增強威脅檢測和響應能力；

（3）根據威脅情報中的ATT&CK指標和攻擊模式，優化服務鏈編排模型的規則和邏輯，以更好地檢測和響應新興的攻擊技術。

4.攻擊模擬和演練。通過與ATT&CK模型結合，服務鏈編排模型可以幫助組織進行攻擊模擬和演練。它可以自動編排模擬攻擊鏈，以測試和評估安全防御的有效性，并提供改進建議。具體流程為：

（1）使用ATT&CK模型作為參考，服務鏈編排模型可以自動編排模擬攻擊鏈；

（2）模擬攻擊鏈中包含ATT&CK模型中描述的攻擊技術和戰術；

（3）運行模擬攻擊鏈，并評估現有的安全防御能力和響應機制的有效性；

（4）根據評估結果，提供改進建議和優化措施，以提高安全防御和響應能力。

上述僅是服務鏈編排技術與ATT&CK模型結合應用的部分場景，服務鏈編排技術因其可編排、可擴展、自動化響應的特性，可廣泛應用于安全運維管理的全生命周期。

五、結語

本文從云環境下安全運維管理面臨的新特性出發，分析了服務鏈編排與事件自動響應需求，提出了一種服務鏈編排模型及其典型流程，結合ATT&CK模型提出了服務鏈編排技術的應用方向，能夠解決云環境安防運維場景下虛擬安防資源彈性擴容、海量事件自動響應的問題。后續的工作主要包括規則進一步細化、提供適應不同場景的基礎模型、擴充響應能力覆蓋面、技術應用落地驗證等方面。

作者單位：中國電子科技集團公司第三十研究所