馬毅波

（上海紫存信息科技有限公司 上海市 200052）

越來越多的用戶業(yè)務趨向互聯(lián)網(wǎng)化，Web 應用前端、中間件，后端數(shù)據(jù)庫等均存在或多或少的安全漏洞，成為互聯(lián)網(wǎng)攻擊的主要對象，主要呈現(xiàn)DDOS 攻擊流量越來越大，黑客數(shù)據(jù)竊取和敲詐越來越多，攻擊越來越傾向于偷竊數(shù)據(jù)，在地下市場變現(xiàn)，或者直接進行敲詐，APT 攻擊隱藏性較高，并且危害嚴重，屬于特性目標攻擊，其通常采用多種攻擊手段和方法，持續(xù)對特性目標進行攻擊，成功率高。

針對復雜多變的攻擊手段和方式，該如何保證信息系統(tǒng)安全，減少攻擊對業(yè)務造成的影響呢？下文將主要針對云計算環(huán)境下，企業(yè)如何構建網(wǎng)絡信息安全防護，防御來自網(wǎng)絡攻擊、主機攻擊，保護應用以及數(shù)據(jù)安全。

1 云安全技術實現(xiàn)框架

云安全首先要解決平臺的安全防護，防護對象涵蓋物理基礎設施、服務器、網(wǎng)絡和安全設備、虛擬化平臺系統(tǒng)、資源池、云管平臺，以及為租戶提供的鏡像、模板等。一個安全穩(wěn)定的云平臺，是其上業(yè)務系統(tǒng)穩(wěn)定運行的基礎。

其次，在云環(huán)境下，除了云平臺本身的基礎安全保障以外，虛擬化平臺、虛擬化網(wǎng)絡、虛擬化主機這些云環(huán)境引入的特殊對象以及租戶業(yè)務應用系統(tǒng)和數(shù)據(jù)，其安全也必須得到安全保障。

云安全技術實現(xiàn)建議從云平臺邊界安全防護、宿主機及虛擬化安全及云管理平臺安全入手，保障云平臺自身安全，然后在此基礎上建立池化安全資源，保障 IAASPAASSAAS 多層面業(yè)務的安全，提供云租戶安全能力。

2 云安全基礎技術實現(xiàn)

每一個安全邊界所包含的區(qū)域都形成了一個安全域，不同安全域具有不同的功能，分域分區(qū)管理，有效的提升信息安全防護能力，對數(shù)據(jù)流在區(qū)域流轉(zhuǎn)提供安全保障。

以某衛(wèi)健委醫(yī)療云為例（圖1），基于業(yè)務功能區(qū)域討論基礎安全技術實現(xiàn)。

行業(yè)專網(wǎng)接入：租戶通過該區(qū)域連接到網(wǎng)絡核心區(qū)，使用部署在云環(huán)境的業(yè)務系統(tǒng)，存在非法越權訪問、網(wǎng)絡攻擊、病毒傳播，以及帶寬資源擁塞等風險，建議在行業(yè)網(wǎng)絡出口采用雙機熱備、串行部署鏈路負載均衡設備和下一代防火墻等技術實現(xiàn)安全防護。

互聯(lián)網(wǎng)出口：為各租戶提供統(tǒng)一互聯(lián)網(wǎng)出口，互聯(lián)網(wǎng)訪問服務，因眾多用戶通過該出口進行互聯(lián)網(wǎng)訪問，可能會遭受DDoS 攻擊、網(wǎng)絡攻擊等風險。建議在互聯(lián)網(wǎng)出口采取安全掃描與監(jiān)測實現(xiàn)北向防護，在互聯(lián)網(wǎng)和行業(yè)專網(wǎng)網(wǎng)絡核心交換機之間，采用下一代防火墻和上網(wǎng)行為等技術實現(xiàn)東西向的安全防護。

核心交換區(qū)：為整個網(wǎng)絡提供數(shù)據(jù)交換服務，面臨突發(fā)業(yè)務造成過的網(wǎng)絡擁塞，來自內(nèi)部、外部蓄意攻擊破壞，缺少審計手段而出現(xiàn)安全事件后無法審計取證和追責，建議在核心交換機上采用雙機旁掛應用負載均衡、威脅探針和網(wǎng)絡行為審計等技術實現(xiàn)安全防護。

業(yè)務區(qū)：利用虛擬化、資源池技術向租戶提供包括計算、網(wǎng)絡、數(shù)據(jù)庫和安全等IaaS、PaaS 資源，存在的主要安全風險：

（1）行業(yè)專區(qū)：租戶/虛擬機間安全隔離、安全防護、資源控制和保障措施不足，從而導致租戶間或一個租戶的多個虛擬機間的越權訪問、資源爭奪，以及某一虛機感染病毒、木馬后跳板攻擊和病毒蔓延。

（2）互聯(lián)網(wǎng)業(yè)務區(qū)：是面向互聯(lián)網(wǎng)業(yè)務，云主機存在被攻擊、中毒、植入木馬的風險，以及應用層攻擊和篡改風險。

（3）公共網(wǎng)絡業(yè)務區(qū)：為多個租戶提供數(shù)據(jù)庫中間件形態(tài)的PaaS 服務，由于多個租戶共用該數(shù)據(jù)庫系統(tǒng)構建數(shù)據(jù)庫實例，存在惡意SQL 操作、SQL 攻擊，且難以實時發(fā)現(xiàn)和預警風險，以及難以事后審計、取證和追責風險。

建議在租戶各VPC 網(wǎng)絡出口采用負載均衡、下一代防火墻等虛擬化安全組件（虛擬機形態(tài)）；在資源池宿主機上部署，深入到Hypervisor 的下一代防火墻組件（需虛擬化平臺開放Hypervisor 層網(wǎng)絡API，虛擬機形態(tài)）；在租戶的虛擬機上部署主機加固agent。在數(shù)據(jù)庫服務器集群前，旁掛部署數(shù)據(jù)審計設備。

帶外管理運維：作為整個云平臺的管理運維“心臟”，通過管理網(wǎng)絡和管理交換機進行云平臺、安全設備、SDN控制，以及防病毒、補丁升級等管理和漏洞掃描服務。存在來自業(yè)務網(wǎng)絡攻擊的影響，存在運維管理人員權限集中、誤操作和蓄意破壞操作風險。建議構架獨立的管理網(wǎng)絡，與業(yè)務網(wǎng)絡分離，在運維管理區(qū)邊界，采用下一代防火墻，運維審計等技術，加強邊界安全防御，以及對云平臺運維人員的操作審計。

3 云安全邊界技術實現(xiàn)

抗DDOS/流量清洗：網(wǎng)絡出口承擔著保障網(wǎng)絡正常訪問、業(yè)務平臺正常運行，網(wǎng)絡出口安全防護壓力巨大，不僅需要防護網(wǎng)絡病毒的攻擊，也需要防護外來各類flood 攻擊、CC 攻擊等，需具備檢測、分析、引流、阻擋、記錄等能力。建議在此互聯(lián)網(wǎng)出口采用抗DDOS/流量清洗技術，保證整個云平臺業(yè)務網(wǎng)絡帶寬的可用和業(yè)務的可訪問。

IPS 入侵防御：面對偽裝成合法攻擊行為，采用流量分析技術，可對高級、復雜的網(wǎng)絡攻擊行為進行識別、檢測、阻斷。建議在網(wǎng)絡接入?yún)^(qū)域，采用入侵防御技術對木馬、漏洞等復雜攻擊行為進行攻擊源阻斷，保障正常流量的業(yè)務訪問。

防病毒網(wǎng)關：目前傳統(tǒng)的病毒防護能力缺乏網(wǎng)絡化、縱深化的防護能力，無法從最薄弱點進行有效防護。建議在互聯(lián)網(wǎng)接入?yún)^(qū)的入口采用防病毒網(wǎng)關的技術對網(wǎng)絡病毒、木馬、垃圾郵件等威脅進行攔截。

下一代防火墻：網(wǎng)絡出口、區(qū)域之間訪問控制是安全防護的基礎，嚴格的訪問控制手段、細?；脑L問控制策略都是杜絕非法及越權訪問的基礎。建議在網(wǎng)絡出口采用下一代防火墻技術對訪問行為進行細?；L問控制，及時發(fā)現(xiàn)、阻斷非授權訪問，確保授權訪問的正常進行，確保業(yè)務訪問安全。

4 云租戶安全技術實現(xiàn)

4.1 技術實現(xiàn)架構

通過在核心交換機上采用物理旁路，邏輯串聯(lián)的方式部署安全資源池，采取SND 網(wǎng)絡的方式將核心交換機的業(yè)務流量引流進安全資源池引擎模塊，通過其云Web 防護系統(tǒng)、云DDOS、云堡壘機、云數(shù)據(jù)庫審計、云防火墻、云IPS、云VPN、云防病毒、云APT 檢測、云安全態(tài)勢感知等技術對業(yè)務數(shù)據(jù)量進行安全檢測，檢測完成后再返回給交換機到出口。實際效果主要體現(xiàn)在兩個方面：一是為租戶提供了合規(guī)安全保障體系，二是實現(xiàn)了安全需求服務化交付，具體如下：

（1）實現(xiàn)租戶VPC 邊界防護，虛擬機間的邊界防護，形成了縱深多維度防護體系；

（2）實現(xiàn)了租戶安全需求按需服務，根據(jù)租戶需求實現(xiàn)彈性擴展，提供WAF、IPS、FW、APT、VPN、APT 等豐富的增值服務內(nèi)容，滿足租戶合規(guī)需求；

（3）實現(xiàn)未知威脅發(fā)現(xiàn)、Web 業(yè)務系統(tǒng)漏洞掃描和安全監(jiān)測，動態(tài)感知安全威脅，提前預警和防護。

4.2 南北向安全技術實現(xiàn)

南北向安全服務流即互聯(lián)網(wǎng)租戶側業(yè)務（比如web 業(yè)務）訪問流向，租戶側業(yè)務南北向安全風險與原有線下安全風險類似，主要通過安全資源池平臺上包含的各類安全組件來實現(xiàn)防護。

4.3 東西向安全技術實現(xiàn)

東西向安全服務流即租戶申請的云主機、數(shù)據(jù)庫之間的訪問引入的安全服務流，具體服務流可分類為：

（1）同一業(yè)務系統(tǒng)前后端訪問安全：如當web 系統(tǒng)運行的虛擬機訪問數(shù)據(jù)庫所在虛擬機時，通過訪問控制實現(xiàn)數(shù)據(jù)庫僅允許授權的前端Web 服務器訪問。

（2）不同業(yè)務系統(tǒng)間訪問安全：如當租戶在云上有兩套業(yè)務系統(tǒng)，這兩套業(yè)務系統(tǒng)在物理機房是邏輯隔離的（無法直接互相訪問）。

4.4 EDR（主機安全及管理系統(tǒng)）

主機安全及管理系統(tǒng)是分析與研究常見入侵技術的基礎上，總結歸納大量的安全漏洞信息和攻擊方式后，形成新一代終端安全防護技術。

（1）防御已知和未知類型勒索病毒：面對使傳統(tǒng)殺毒軟件束手無策的未知類型勒索病毒，主機安全及管理系統(tǒng)采用誘餌引擎，在未知類型勒索病毒試圖加密時發(fā)現(xiàn)并阻斷其加密行為，有效守護主機安全。

（2）管控全局終端安全態(tài)勢：服務器、PC 和虛擬機等終端安裝了客戶端軟件后，上傳病毒木馬、違規(guī)外聯(lián)、安全配置等威脅信息到管理控制中心，進行統(tǒng)一任務下發(fā)，策略配置。

（3）全方位的主機防護體系：包含傳統(tǒng)殺毒軟件的病毒查殺、漏洞管理、性能監(jiān)控功能，在系統(tǒng)防護方面還可做到主動防御、系統(tǒng)登錄防護、系統(tǒng)進程防護、文件監(jiān)控，還支持網(wǎng)絡防護、Web 應用防護、勒索挖礦防御、外設管理等多個功能點。

（4）流量可視化，安全可見：通過流量畫像的流量全景圖，展示內(nèi)網(wǎng)所有流量和主機間通信關系，梳理通信邏輯，上帝視角對策略進行規(guī)劃，便于用戶第一時間發(fā)現(xiàn)威脅，一鍵清除威脅。

（5）簡單配置，離線升級，補丁管理：將人類語言轉(zhuǎn)化為具體安全配置，支持對主程序、病毒庫、漏洞庫、補丁庫、Web 后門庫、違規(guī)外聯(lián)黑名單等有效的進行主機防護。

5 結論

本文介紹了在云計算的環(huán)境下，結合實際場景中的項目案例，介紹網(wǎng)絡信息安全技術實現(xiàn)，采用云安全基礎安全、云安全邊界、云租戶安全等關鍵安全技術實現(xiàn)，從用戶業(yè)務需求角度出發(fā)，從多個維度進行網(wǎng)絡信息安全技術防護，解決來自網(wǎng)絡和主機的安全攻擊，確保應用以及數(shù)據(jù)信息安全。