鐵路企業多地多中心多云安全防護體系研究

楊顏忠，馬 騰，吳昱亭，梅思遠

（1.中國鐵路昆明局集團公司 信息技術所，昆明 510610；2.中國鐵路信息科技集團有限公司，北京 100844）

《“十四五”鐵路網絡安全和信息化規劃》明確提出，鐵路行業數據中心采用多地多中心總體布局，建成由主數據中心、同城雙活數據中心、異地數據中心構成國鐵集團級數據中心，優化調整鐵路局既有信息基礎設施，積極推進綠色數據中心建設和資源合理利用[1]。中國國家鐵路集團有限公司（簡稱：國鐵集團）在主數據中心利用鐵信云和VMware建設了雙云IaaS平臺，為國鐵集團企業級應用系統提供信息化基礎平臺。與此同時，按照國鐵集團的總體要求，各鐵路局集團公司結合自身實際情況和發展需要，在虛擬化、云計算方面進行了規模化建設，基于VMware和不同廠家的云計算產品建設鐵路局IaaS平臺。目前，18個鐵路局集團公司均擁有各自的云計算平臺，實現了鐵路局集團公司級信息系統初步上云。

目前，各個數據中心的云計算資源、虛擬化資源等都是通過各自的云管平臺軟件、虛擬化管理軟件實現資源池的管理。由于缺乏支持跨地域、跨數據中心、跨云的管理平臺，且沒有遵循統一的技術標準和技術架構，這些數據中心的運維和安全管理工作分散而繁雜，不利于資源整合，且容易造成管理低效和安全隱患。為此，亟需研究開發統一的多地多中心多云管理平臺，滿足跨數據中心的資源統一管理、統一運維需求。多地多中心多云管理平臺是指能夠同時管理跨地域的多個公有云、多個私有云、混合云以及各種異構資源的統一管理平臺[2]；在該平臺跨云管理能力的支撐下，實現各類資源統一納管、多地域統一權限、多服務統一入口，有效解決多地域分布資源池的統一管理問題，降低企業云管理操作的復雜度，提升資源利用率和運維效率，降低了運營成本[3]。

多地多中心多云管理平臺（簡稱：平臺）給鐵路企業信息系統運維人員帶來資源統一靈活調度這一巨大便利，同時也帶來了新的安全風險。在開發建設該平臺的過程中，需要重視網絡安全，對多地多中心多云環境下的網絡安全風險進行系統分析，研究完善、高效的安全防護體系，以指導該平臺的信息安全建設。

1 多地多中心多云環境下安全風險分析

目前，鐵路級應用運行中心共24個，承載云上信息系統2 851個，涉及VMware、鐵信云、華為云、深信服、容器云等多種云環境。這些數據中心分布在全國各地，規模龐大，資源種類繁多。

在鐵路多地多中心多云環境下，安全防護邊界更加模糊，云原生服務特有的攻擊暴露面面臨著特有的安全風險，難以利用傳統的安全思路和產品有效地識別和應對這些新的風險和攻擊手段，給多地多中心安全管理帶來新的挑戰。

1.1 安全攻防風險

（1）云服務配置安全風險：云數據庫、對象存儲等云服務的大量使用，為惡意攻擊者提供了新的攻擊面，如果運維人員沒有深入理解云服務內部工作原理及具體實現，容易因錯誤配置帶來風險，埋下重大安全隱患。

（2）云賬號安全風險：云賬號是云上資產和服務的入口，在多云環境下，云賬號擁有遠超傳統數據中心的賬戶權限。一旦云服務賬號、身份被惡意利用，攻擊者可發起權限提升、數據竊取等攻擊，導致嚴重的云上安全事件。

（3）API安全風險：云原生應用大部分基于微服務架構，應用程序接口（API，Application Programming Interface）是主要的對外服務接口，這些API可能分布在不同的數據中心，大量使用API可能帶來云API Access Key泄漏、API權限超配、API惡意調用等花樣繁多的的云上攻擊手段和安全事件。

1.2 安全管理風險

（1）多云安全能力與策略不一致：不同的云具有不同的安全能力，所配置的安全產品也各不相同，安全策略難統一，導致安全能力和配置策略的割裂。多云賬號相比單云環境更加分散，分散的賬號阻礙了用戶對多云的統一管理，難以及時跟蹤資產變化，給運維帶來很大的安全風險。

（2）多云審計日志數據分散，分析割裂：不同廠商管理平臺的審計日志存放在不同位置，因審計日志分散、不統一，導致分析模型和過程割裂，無法實現全局統一分析，審計日志分析工作量繁雜，且分析結果缺乏通用性，給鐵路企業帶來安全管理和審計的風險。

（3）多云安全合規性測評復雜，效率低下：合規性在云服務中是一種共享責任模式，云用戶應始終對自己的合規性負責。為了滿足多云合規的要求，必須在不同云上分別進行等保定級、安全測評，以及采購和交付安全產品（主機安全、云防火墻、WAF等）。由于不同云的合規配置、合規基線無法統一，導致安全合規性測評整體流程冗長繁瑣，費時費力，造成多云環境風險識別不及時、反饋不及時、處理不及時的問題。

2 多地多中心多云環境下安全防護體系建設思路

針對多地多中心多云環境下新的安全攻防挑戰和安全管理風險，在安全建設思路上也必須進行創新，應充分發揮云計算的優勢，采取針對性思路和技術框架來提供安全防護。以安全左移為基本前提，數據驅動為基本要求，建設以自動化為基本手段的云安全防護體系。

Gartner基于云原生思維，提出云原生安全金字塔，其中最底層是基礎設施配置、身份和訪問管理，也是最重要的安全能力[4]。在Gartner的定義中，這部分的能力應由云服務商提供基礎能力，用戶只需正確使用和配置這些基礎能力即可達到較為滿意的安全防御效果，這正是安全左移理念的有力佐證。在此之上，客戶采用安全產品來構建各種增強安全能力，作為基礎安全能力的補充。以往的安全體系建設過于注重各種安全產品的堆疊，往往忽略了云工作負載和云服務本身的安全加固，導致業務本身存在大量的攻擊暴露面。一旦攻擊者繞過外部的安全產品，業務本身將沒有任何保護措施。為此，數據中心安全管理員應將安全建設的重心從事中防御轉變為事前預防措施。

MITRE針對云環境的ATT&CK攻擊矩陣。與傳統的攻擊手法不同，MITRE聚焦于云上特有的攻擊形式，例如云上的攻擊入口從利用Web應用，轉變為利用開放的云服務、云控制臺和API[5]。在橫向擴散階段，攻擊者不但會利用各種協議的漏洞，還可能采取云賬號竊取和虛擬機逃逸等新興攻擊手法。在MITRE給出的云環境攻擊矩陣中，云賬號安全風險、API安全風險是最為普遍風險。因此，分析這些攻擊方式，據此制定針對性的防護方案和措施，是云原生環境和混合多云環境下安全建設的重要路徑。

多云安全管理風險的根本問題是不同云平臺服務標準的不一致，通過研發和實施多地多中心多云管理平臺，統一不同云平臺的服務標準，消除差異，為用戶提供一致的云安全能力、一致的云安全配置、一致云安全分析和一致云響應處置，使得多云環境對用戶透明。

為此，結合Gartner云原生安全金字塔和MITRE ATT&CK云端攻擊矩陣的云安全防護思路，通過全棧安全能力，覆蓋云上業務生命周期的每一個瞬間，覆蓋各類形態資產、覆蓋應用全生命周期、覆蓋云上各類安全風險、覆蓋云上各類攻擊手段，實現多地多中心多云的安全防護。

3 多地多中心多云環境下安全防護架構

傳統安全防護以網絡為中心，在數據中心出口處形成第一層網絡邊界防護。在云環境中，安全防護包含云平臺自身的防護和租戶側虛擬化環境的防護。云平臺防護主要實現物理網絡邊界、云管理平臺、云操作系統、虛擬資源池等多層防護，而租戶側縱深防護應實現虛擬網絡邊界、虛擬網段間、虛擬網段內和虛擬機環境的多層縱深防護。

多地多中心多云安全系統應能全面連接 VMware、OpenStack及Kubernetes等各類公有云、私有云和容器云，通過云平臺開放的API接口，基于用戶的云賬號Access Key授權許可獲取用戶云上資產、云原生服務配置和云安全產品日志等信息。

安全系統將各個云平臺的API接口數據進行歸一化和標準化處理，然后將多云的資產信息進行統一呈現，對配置進行統一評估。多地多中心多云安全防護架構劃分為上中下3層，如圖1所示。

圖1 多地多中心多云安全防護架構

上層為服務呈現層，由安全系統提供平臺管理相關功能模塊組件，安全管理員可以進行自助管理和安全策略配置。

中間層對外提供云安全可視、云資產中心、云安全配置評估、云合規管理、云事件中心等云安全服務等，實現混合多云統一的云原生安全防護。另外，平臺通過調用API，實現云主機安全、云WAF、云防火墻、云日志審計等各類云安全組件在各個云環境中按需分發、集中授權和自動部署，并以平臺作為各類云安全組件的管理入口，實現各中心云資產的集中管理和按需分配使用。

下層為對接的不同種類的云環境和云安全產品，通過API接口為多云安全平臺提供數據，也可接受來自中間層的指令，執行安全組件創建、網絡配置和安全配置調整等指令，協同處置安全風險問題。

4 多地多中心多云安全防護策略

多地多中心多云的安全防護應以應用和資產為中心，構建新的安全控制點，通過“平臺+組件+服務”的模式如圖2所示，采取“洞察風險、動態加固、智能建模、跟隨保護”防護策略，充分洞察云上攻擊面和云內風險，通過云環境安全策略調優與加固有效應對威脅攻擊，為業務系統提供完善周全的安全保護。

圖2 多地多中心多云安全防護策略

4.1 洞察風險

洞察風險的前提是建立在識別攻擊暴露面的基礎之上，而識別攻擊暴露面的前提是識別需要保護的資產。相對于傳統數據中心，多地多中心多云環境下的資產類型種類更多、變化更加頻繁、管理更為復雜、責任人也更為廣泛，梳理權限的難度較大。為此，宜采取“主動+被動”的方式，通過云資產主動探測、云流量識別、云主機端側和云API對接采集等多種手段，來識別多地多中心多云環境中的各類資產。多云環境中資產梳理主要從云服務商、云賬號、云服務、云工作負載、云應用等多方面入手，識別有哪些不同種類的云平臺、各個云平臺上開設的云賬號、各個云賬號所創建的云工作負載，開通的各種云服務及其工作負載類型（如虛擬機、鏡像、容器等），以及部署的具體應用類型（如Web應用、API應用）等。在此基礎上，進一步識別資產的暴露面、脆弱性、資產洼地等，通過“多云環境+云上應用”的漏洞探測開展全面的風險梳理，并結合資產的重要性、脆弱性危害、上下文關聯、攻擊鏈映射、對風險的優先級進行系統分析，確保安全防護策略能夠聚焦各種高危風險。

4.2 動態加固

在完成資產有效梳理后，需要思考如何完善安全策略來達到安全標準。在多云環境下，應以資產為核心，隨風險變化來動態加固安全防護。因此，主動識別多云環境中待保護對象的安全脆弱性，及時預警并采取有效措施來減小風險暴露面，并提供安全建議指導用戶快速進行安全加固，降低安全事件發生概率，將安全風險應對措施從傳統的隔離與控制轉變為提升自身免疫力和持續檢測。原先主要通過防火墻、防病毒等技術手段，把攻擊阻擋在系統之外，現在主要是依據主機的配置、漏洞等風險評估，對系統和應用進行安全防護加固，以及持續進行入侵檢測來不斷提升主機側自身安全能力。

針對環境安全策略，根據風險場景，設置多種防護場景，例如常態保護場景，實戰保護場景，病毒防御場景等，自動梳理安全加固策略，自動策略下發，實現云內網絡安全、云工作負載、云平臺安全等的加固。

從應用的角度出發，根據業務信息安全和系統服務安全的要求，動態下發安全策略，實現主機層、應用層和網絡層的安全防護，兼顧安全和可用性，實現業務訪問安全、云應用安全、云主機安全等的加固。

4.3 智能建模

鑒于人工智能在安全方面的優勢[6-7]，發揮持續威脅對抗能力構建業界領先威脅情報中心，威脅情報經數據整合、預處理與正則化存儲后，再由過濾引擎、分析引擎與校驗引擎進行鑒定，生成諸如僵尸網絡、惡意鏈接URL、攻擊者IP、高級可持續威脅組織行為等戰術情報與事件情報，并賦予豐富的上下文信息[8]。基于多種異常行為分析建模工具，從用戶行為、流量行為、操作行為、云應用、云網絡、云工作負載，云配置等多個方面，通過專家規則進行建模，同時結合實時更新的威脅情報，精確發現云內高級威脅和異常行為[9]。

4.4 跟隨保護

當云上新增業務時，進行可信畫像模型更新，評估資產風險及保護狀態，自動進行風險加固和云上安全能力部署，實現安全保護自動跟隨，自動化精準防護。業務的變更、更新、遷移也都會帶來業務資產變化，應自動跟隨這些變化，進行風險加固、安全組件遷移跟隨及云上安全組件策略更新下發。此外，實時感知云上攻防態勢變化，自動跟隨進行攻擊阻斷和事件響應，實時自動化防護云上攻擊態勢持續變化，事后實現全面攻擊鏈調查溯源。

5 多地多中心多云安全服務部署模式

構建面向用戶的按需申請、按需交付的服務平臺是多地多中心多云安全服務建設的重點任務。目前，業界安全服務主要通過安全資源池建設，安全資源池主要支持解耦合和緊耦合2種模式。

（1）解耦合模式：通過在多地多中心多云管理平臺外獨立部署安全資源池，多云安全系統構成一朵獨立的“安全云”，如圖3所示。

圖3 多云安全系統與多地多中心多云管理平臺的解耦合模式

在解耦合模式中，多云安全系統與多地多中心多云管理平臺通過API對接租戶賬號和業務信息、云網絡信息等同步到云安全服務平臺，便于云安全服務平臺及時獲知有新的租戶或新的業務上線，然后根據業務情況獨立部署安全能力。在多云安全系統中，各類安全組件以虛擬機的形式部署在安全資源池上。云安全服務管理通過用戶管理、設備管理、工單管理、日志管理、安全分析和安全監測實現多方面多角度的安全加固，保障多地多中心多云環境的安全。此模式適用于具有單獨安全團隊、安全團隊自閉環管理的場景，各個中心云各自進行安全管理和運營，多地多中心多云管理平臺的云安全服務在管理其自身安全的同時，面向各中心提供安全管理協同。鐵路企業適合采用這種模式進行建設。

（2）緊耦合模式：安全組件以虛擬化形態部署在云平臺的用戶VPC內部，直接由云平臺的虛擬化底層和虛擬化網絡承載和管理，分布在多朵云上的安全組件統一接受同一個多云安全系統管理，由同一個賬號進行管理，實現多云無縫連接。云管平臺在云服務管理中提供云安全專區，并提供與其他云服務同樣的管理服務，如服務申請、開通、計費、部署等，云安全服務平臺通過API接口被云管平臺調用，當有租戶在云管平臺操作時，調用云安全服務提供相應服務能力，此模式更適用于租戶云資源和云安全均自管理場景。

對于緊耦合、解耦合同時存在的多安全資源池節點場景，可構建起云安全集中管理平臺，統一管理所有的二級云安全管理平臺。

6 結束語

本文基于Gartner云原生安全金字塔和MITRE ATT&CK云端攻擊矩陣的云安全防護思路，提出了構建以應用和資產為中心的多地多中心多云安全防護體系，采取“洞察風險、動態加固、智能建模、跟隨保護”策略，解決云上攻擊面和云內風險可視，云環境安全策略調優與加固，完善并提升企業多地多中心安全防護能力，提升安全效果和運維效率，健全安全體系。