面向城軌云的安全資源池設計方案與實踐

王偉，牛昌平，張超，趙媛媛，羅銘，王璐

（1.交控科技股份有限公司，北京 100070；2.北京市地鐵運營有限公司，北京 100044）

0 引言

隨著城市軌道交通云平臺（簡稱城軌云）在我國各城市的普及，越來越多的城市將城軌云作為智慧城軌的統一基礎平臺。城軌云作為一種新型的系統架構，為城軌業務提供統一部署承載、資源動態分配等服務的同時，打破了城軌業務各自為政、獨立組網的局面，其智能化的提升又使各系統之間交互更為頻繁，而傳統架構以網絡邊界為防護核心的網絡安全方案已不完全適用城軌云架構。目前我國已交付的城軌云項目，同樣以網間邊界安全作為研究重點，對租戶內虛擬機間安全、云內安全個性化支持有所欠缺，且云內云外安全方案割裂，整體方案存在網絡安全風險［1］。

針對城軌云的安全需求，研究安全能力服務化，并提出面向城軌云的安全資源池方案。以網絡安全服務化為基礎，合理設計跨租戶、租戶內安全防護方案，搭配傳統邊界防護方案，形成“橫向到邊、縱向到底”的多重安全防護體系，并借助“超大城市軌道交通高效運輸與安全服務集成平臺研發項目工程化示范實施”項目，對研究成果進行實踐驗證，總結其應用效果。

1 城軌云網絡安全挑戰

城軌云在統一承載城軌全業務、打破“煙囪式”建設模式的同時，數據與應用大集中也帶來了新的網絡安全問題與挑戰［2］。首先，專業間物理邊界消失，傳統網絡安全防護方案不能完全滿足安全防護需求；其次，傳統網絡安全方案缺少對虛擬機間流量進行防護的能力；最后，城軌業務向智能化、智慧化加速演進，業務需求多樣，傳統防護措施不能快速響應。

1.1 專業間物理邊界消失

傳統城軌架構中各系統獨立建設、獨立組網形成相對封閉的IT 環境，各專業邊界清晰、交互內容固定且范圍有限。以信號系統為例，通過配置防火墻、入侵檢測、日志審計、數據庫審計、殺毒軟件等設備用于本專業安全防護，專業間通信采用“一專業一網口”的點對點連接方式，僅進行必要的跨專業通信（見圖1）［3］。業務系統遷移上云后，各系統共享底層硬件資源、專業間物理邊界消失，一方面增加了受攻擊入侵的可能性，另一方面軟硬件復雜性增加帶來了更多的漏洞和安全隱患。

圖1 傳統架構下物理邊界防護

1.2 虛擬機間網絡防護

城軌云場景下平臺內虛擬機間流量逐漸成為主導，大量的數據交換發生在平臺內部，而城軌云存在多中心、多網域、多資源池的特點，業務方無法感知平臺內部實現與底層網絡架構［4］。面對大型業務系統，存在子模塊與子模塊之間、模塊內采用不同的安全等級防護控制策略，傳統主機間安全防護方案很難在云平臺場景下復用。業務系統需要能夠針對云內系統全面可控的安全防護解決方案。

1.3 業務需求多樣化

傳統網絡安全防護策略在上線運營前基本固定、運維期間較少發生修改。隨著智慧城軌的理念興起，城軌業務呈現多樣化、靈活化等特點，業務上線周期顯著縮短、業務需求變化更為頻繁。業務應用的變化調整往往影響網絡安全策略調整，在云平臺場景下，業務租戶期望有更大的安全管理自主性，以及較小的變更影響范圍，租戶內自助式安全管理的訴求增強。

1.4 既有城軌云的局限

中國城市軌道交通協會（簡稱中城協）于2020 年3 月12 日發布了《中國城市軌道交通智慧城軌發展綱要》［5］，陸續涌現出呼和浩特城軌云、太原城軌云等成功案例，將綜合監控系統（ISCS）、視頻監控系統（CCTV）、門禁系統（ACS）、信號系統（ATS）、乘客資訊系統（PIS）、自動售檢票系統（AFC）、廣播系統（PA）、通信集中網管及各子系統網管、企業信息化系統等遷移上云，其主要方式是以遷移中心級服務器、工作站入云為主，未對業務網絡安全設備進行整合，部分業務也由于上云不充分保留了物理設備。既有城軌云由于多種限制因素，在網絡安全防護方面以業務網間邊界、互聯網與內網邊界防護為主，業務安全沿用自購專用設備進行網絡安全防護，造成云內云外網絡安全方案割裂、租戶內網絡安全服務能力不足等問題。

2 云安全資源池設計方案

“云安全”是云計算時代產生的安全概念，是一個體系化、多維度的安全防護架構，在傳統安全防護基礎上增加了云計算特性的安全防護［6］。GB/T 22239—2019《信息安全技術：網絡安全等級保護基本要求》中明確要求：應根據云服務客戶業務需求自主設置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略［7］。中城協規范也提到：“云平臺應具備針對云內各業務系統需求提供安全資源池的能力”“安全資源池由獨立設置的安全組件組成，安全組件可采用X86 物理服務器、虛擬機或一體機形態部署”［8］。

云安全資源池解決方案是利用虛擬化技術和軟件定義安全，將傳統架構下專用的安全硬件設備以軟件方式部署在虛擬化資源池，實現部署拓撲與安全能力解耦，配合軟件定義網絡（SDN）完成自動化的編排和管理。通過將安全管理平臺與云資源管理平臺打通，云租戶可通過門戶按需在云安全資源池部署安全組件，平臺自動完成組件編排及流量管理，實現云租戶的個性化防護需求。以新華三安全資源池方案為例，主要包括虛擬化平臺、云安全組件、安全資源池管理平臺3個部分（見圖2）。

圖2 新華三安全資源池方案

（1）虛擬化平臺構建在X86 服務器之上的計算虛擬化環境中，通過軟件定義安全將傳統硬件安全能力解耦部署至彈性云服務器內。根據業務負載及租戶數量，按需調整資源池規模及安全組件性能配置。

（2）云安全組件是將安全能力服務化，提供如虛擬防火墻、虛擬負載均衡、虛擬堡壘機、虛擬日志審計、虛擬漏洞掃描、虛擬數據庫審計等組件，用戶可通過門戶按需申請。

（3）安全資源池管理平臺是平臺管理類軟件，用于集中管理各類軟硬件安全產品（包括安全資源池、邊界安全物理設備等），實現云安全產品的集中配置、策略管理、態勢呈現等功能。

2.1 物理部署架構

安全資源池基于虛擬化資源池構建，底層虛擬化系統提供基礎計算資源，可根據業務負載靈活調整分配的資源配置，快速適應不同租戶的擴容需求，實現“彈性”資源分配能力。安全資源池部署時，通常作為與業務虛擬化資源池平級的資源池接入核心交換機，通過SDN+虛擬擴展局域網（VxLAN），實現資源池組件與業務虛擬機之間網絡互通及自動引流［9］。根據工程規模及實際配置安全資源池與業務虛擬化資源池，可獨立設置接入交換機也可合設，但安全資源池內不建議運行業務虛擬機。安全資源池物理部署架構見圖3。

圖3 安全資源池物理部署架構

2.2 跨租戶安全防護

在實踐應用項目中，跨租戶流量的特點是流量會到達租戶出口地址，其防護方案是在傳統邊界防護的基礎上增加基于核心防火墻的虛擬防火墻能力。同時，在虛擬防火墻開啟實時病毒防護、入侵檢測、數據防泄漏、未知威脅防御等能力。

城軌云中的租戶間流量主要包括2 種場景（見圖4）：一是云內業務與云外設備互訪，如車站工作站訪問中心云內應用服務器；二是云內租戶1與云內租戶2互訪，如信號通信前置機訪問綜合監控通信前置機。

（1）場景1 流量路徑：如圖4 中路徑①所示，該場景主要為租戶與云平臺外流量訪問。訪問流量從租戶內發起，經過服務器內虛擬交換機到達物理網口，再由物理網口到達接入交換機、核心交換機，通過引流技術，流量到達旁掛于核心交換機的核心防火墻，核心防火墻內為各租戶啟用相應的虛擬防火墻，流量經過虛擬防火墻策略后再回到核心交換機，到達出口交換機，經過邊界物理防護設備完成與云平臺之外的設備通信。

（2）場景2 流量路徑：如圖4 中路徑②所示，該場景主要為云平臺內2 個租戶之間訪問。區別于場景1，業務流量在回到核心交換機后，返回被訪問的租戶內虛擬路由器，再到相應租戶網絡內云主機。

2.3 租戶內安全防護

租戶內流量的特點是其發生在租戶內部，如子網與子網之間、子網內主機與主機之間［10］。在傳統網絡安全拓撲中，往往將網絡出口作為安全邊界重點防護，而對于內部模塊之間很少采用訪問控制策略進行約束，操作系統防火墻能力也不夠全面。云安全資源池方案中租戶可按需申請虛擬化部署的安全組件用于業務定制管理，例如，通過虛擬防火墻和安全組件配合的方式實現隔離與互訪，實現更精細安全區域的管控。租戶內安全防護流量路徑見圖5，租戶內子網1 發起訪問，流量到達虛擬路由器后引流至相應租戶安全組件（如虛擬防火墻），符合防護策略后到達子網3內對應目標云主機，完成互訪。

圖5 租戶內安全防護流量路徑

3 應用效果

安全資源池方案從硬件資源、網絡管控、安全能力、一體化管控等各方面進行有機整合，打破了傳統業務系統“煙囪式”的建設模式，從計算、網絡、存儲、安全等維度全面實現業務遷移入云，在平臺統保的基礎上，給租戶一定的自主性以達到安全自保的差異化配置需要，平臺與租戶最終實現等保達標、安全確保的防護效果。同時，基于資源池的部署模式，可輕松應對業務擴充帶來的網絡能力擴展、調整等需求。

“超大城市軌道交通高效運輸與安全服務集成平臺研發項目工程化示范實施”項目中，通過在安全域、管理域、服務域部署新華三安全資源池，將傳統架構下分散在各系統的網絡安全能力進行整合，與云管理平臺、SDN 深度融合后實現“云-網-安”聯動。項目內各業務應用程序全部上云部署，云平臺對各業務的計算、存儲、安全、網絡設備全部進行整合，統一管控。云平臺在確保平臺自身安全的基礎上，為租戶提供云化的網絡安全服務，以云安全資源池的方案，將屬于云租戶負責的安全交由云租戶自行運維管理，云租戶在統一的門戶下自助式申請安全能力，同時平臺提供“等保二級”“等保三級”等標準化套餐，極大地降低了業務構建云上安全體系的難度［11］。對于業主單位而言，通過引入安全資源池方案，各上云專業不需要再分別采購專用的網絡安全設備，有效降低了硬件成本，節省了機房空間，簡化了系統維護。對云安全資源池方案應用效果總結如下：

（1）資源池化，高可靠性。云安全資源池將安全能力變為資源池，利用通用的計算硬件承載安全能力，對于底層計算資源池而言可在云資源管理平臺的管理下穩定運行，充分享受虛擬化資源池的高可靠性特性。當主機發生故障時，運行在主機上的虛擬機將自動遷移至資源池內其他主機，以此減少安全組件服務中斷時間，同時面對計劃性維護場景，平臺管理員可手動將安全虛擬機遷移出目標主機，實現計劃維修安全能力零中斷，滿足運營生產類系統高可靠性需求。

（2）按需擴展，靈活自定義。安全能力與硬件部署解耦后，安全組件可按需申請部署，組件規模也可隨著業務量增加而逐步擴展。同時，云安全方案將平臺安全之外的業務安全管控權歸還業務應用，租戶可根據自身業務需要定制化添加安全服務并配置安全策略，更好地貫徹安全共擔理念。

（3）云-網-安聯動，統一管理。云安全資源池接受云安全管理平臺統一管理，可實現安全集中管控。安全管理平臺通過對接云管理平臺、SDN 管理平臺，可實現運維平臺、運營平臺的大統一。平臺管理員通過統一的運維平臺可實現云資源、安全資源的維修維護，租戶管理員通過統一的運營門戶可實現對租戶資源的集中管理、自主配置。

4 結論

針對城軌云建設模式帶來的網絡安全挑戰進行研究分析，通過對安全能力整合提出云安全資源池解決方案。該方案在硬件邊界安全方案基礎上，以虛擬化資源池方式承載租戶網絡安全能力。云安全資源池方案實現了安全能力與部署架構解耦，通過云管理平臺統一編排調度，能有效填補租戶內安全防護空白，實現云內租戶按需部署安全組件、靈活調整、可知可控，解決了多租戶場景下的多重防護需求，實現了安全能力服務化、安全防護差異化、資源部署自動化。