構建云平臺安全的防護體系與手段

王愛彬

摘要：通過構建云平臺網絡安全的防護支撐構架，以及利用現有的安全防護手段和防護設備；提出對整個云平臺的安全防護的工作思路與框架；為探討云計算的安全防護的具體實施提供一定的分析和解決方案。

關鍵詞：云平臺；安全；防護

引言：云計算模式通過將數據統一存儲在云計算服務器中，加強對核心數據的集中管控，比傳統分別在大量終端上的數據行為更安全。由于數據的集中，使得安全審計、安全評估、安全運維等行為更加簡單易行，同時更容易實現系統容錯、高可用性和冗余及災備恢復。但云計算模式是在傳統 IT 技術的基礎上發展起來的，其本質上是增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調配，高可靠等特點。因此，傳統的安全威脅種類依然存在，傳統的安全防護方案依然可以發揮一定的作用。綜合考慮云計算所帶來的變化、風險，從保障系統整體安全出發，云計算在帶來方便快捷的同時也帶來新的風險和挑戰，其面臨的主要挑戰和需求如下：法律和合規，動態、虛擬化網絡邊界安全，虛擬化主機安全、數據保密和防泄漏、安全運維和管理等；所以構建整體云安全防護的技術支撐體系顯得越來越重要。

一、云安全防護支撐體系框架

云平臺及網絡安全防護是在專用業務網與互聯網安全保障體系中的一部分，需要在總體安全保障戰略的統一指引下，以構建可視、可管、可配置、智能化、可擴展的安全能力為目標，結合云平臺及網絡架構和技術特性，利用傳統和虛擬化、NFV安全防護手段，從基礎設施、虛擬化、網絡、系統、應用、數據及管理支撐等多層面采取相應的安全支撐手段，構建軟件定義的安全防護支撐體系，提供安全檢測與識別、安全防護、安全審計與備份三大能力，滿足云平臺業務發展的要求。

云安全防護框架是依托于安全操作（簡稱SOC）一體化平臺及各類安全子系統能力，提供云安全防護，固化落實云平臺全生命周期安全管理的要求和作業流程。其中云安全集中管理平臺作為SOC一體化平臺的模塊，復用、調度各個安全子系統的安全能力對云平臺提供集中可視化、一點管控、配置自動化、策略智能化、彈性可擴展的全面云安全防護。

1.1安全防護集中可視化。傳統的安全防護主要依賴專業的安全人員進行安全防護策略添加及部署，對最終用戶而言并不可視，用戶需要根據自己的實際業務需求自助訂閱相關安全防護內容，比如：用戶可自行通過簡單配置生成安全防護實例并下發防護策略，提供安全防護自助化能力，能自行開通安全服務并進行管理，結合安全防護日志可實時查看攻擊威脅情況并輸出報告。

1.2集中安全一點管控。云環境下安全設備種類繁多，包括過濾轉發類如IPS、WAF、FW等、旁路監聽類如IDS、主動掃描類如主機漏掃及Web漏掃等，需要提供整體集約化的安全管控措施，對云環境下所有的安全設備進行統一管理，實現快速分發部署安全實例并形成安全防護策略。云安全管理平臺實現多維度信息采集和威脅分析，能夠在一個界面，對云環境的安全態勢進行監控，對云環境的資產進行集中化、智能化和可視化管理，準確呈現安全態勢。

1.3安全配置自動化。提供可視化的安全防護手段，可按需開啟相應的安全防護（如Web防護、入侵防護、掃描服務等）；運維管理人員可通過運維門戶界面對全網安全設備進行集中管控，實現快捷運維（如安全設備狀態監控、安全策略集中管控、設備升級授權等等）。提供安全能力自助配置手段，基于安全業務需求按需提供安全能力，可實現用戶自動部署安全防護實例并配置安全防護策略。

1.4安全策略智能化。安全防護策略可以根據多維度、海量的安全數據分析，自適應學習，迭代更新，體現安全策略的智能化。

1.5彈性可擴展。服務能力可以快速和彈性的提供，可自動實現快速擴展、釋放和回收?？膳c工單系統打通，實現自動化派單。用戶可按需訂閱或購買安全服務能力。以資源池的方式，提供過濾轉發、旁路監聽、檢測評估等安全能力。通過控制中心實現安全即服務的按需分配和自動化部署。

多種安全支撐手段在云安全管理平臺的統一管理下，可提供可視、可管、可配置、智能的安全管理能力，按需、彈性、快速的可擴展安全防護能力，集中化的安全運維能力。

云平臺技術及網絡的技術實現架構由生產場景、安全一體化安全能力平臺、采集對象組成。如下圖所示：

生產場景：在云平臺全生命周期安全防護中，包括安全驗收、安全事件及故障處理、策略動態調整、定期風險評估、通行字管理與審計、應急預案和應急演練這幾大應用場景。這些場景中靈活的調用SOC一體化安全能力平臺的能力，提供對云平臺的可視、可管、可配置、智能化、可擴展的安全防護。

SOC一體化安全能力平臺：集中調用云安全子系統的安全能力，封裝成微服務等綜合安全能力，通過云安全集中管理模塊，將能力與服務整合在一起，對云平臺集中展現安全態勢，處理安全威脅，收集所有云安全基礎設施的日志，智能分析日志并制定安全配置，達到集中可視化、一點管控、配置自動化、策略智能化、彈性可擴展的支撐要求。

采集對象：包括了IT設備、網絡設備、應用系統、安全設備、虛擬化系統等對象，供云安全子系統進行采集日志及安全信息，并接收執行SOC一體化安全能力平臺下發的處置配置。

二、云安全防護手段部署概述

根據防護設備對流量的處理方式，可將安全設備分為防護類、檢測類、評估類。防護類設備主要對流量進行過濾和轉發，如FW、WAF、ADS等；檢測類只對流量進行檢測和分析，不轉發，如NIDS、審計類產品等；評估類是主動發包探測，如系統漏洞掃描、Web漏洞掃描等。根據云平臺防護的流量類型和對象的不同，安全防護手段的部署位置也不同。一般可分為大網統一防護、南北向防護、主機及東西向流量防護。

安全防護手段部署方案

說明：

大網統一防護：部署在云平臺外部網絡上，與云平臺網絡可達。主要安全防護手段包括異常流量清洗、web應用安全防護、web網站安全監控、遠程安全評估等。

南北向防護：部署在云平臺和外部網絡的接口處，通常旁掛在三層交換或出口路由器或VxLAN網關上，實現對進出云平臺流量的安全防護。主要安全防護手段包括異常流量清洗、web應用防火墻、防火墻、入侵檢測、異常行為監測等。

主機及東西向流量防護：部署在云平臺內部，實現對物理主機、虛擬主機的安全檢測和防護，以及對虛擬機之間、VPC內部各細分區域間（如web區與APP區，APP區與DB區）的安全檢測和防護。主要安全防護手段包括防火墻、網絡/主機入侵檢測、安全配置基線核查、本地安全漏洞掃描、防病毒等。