◆王歡

云上實(shí)戰(zhàn)化安全運(yùn)營和常態(tài)安全監(jiān)管研究

◆王歡

（中國移動(dòng)通信集團(tuán)安徽有限公司 安徽 230000）

云計(jì)算對(duì)IT基礎(chǔ)設(shè)施建設(shè)帶來了巨大的沖擊，如今云對(duì)電信行業(yè)應(yīng)用、國計(jì)民生甚至是國家安全都有著巨大的影響。面對(duì)這種情況，必須要積極預(yù)防云上風(fēng)險(xiǎn)，加強(qiáng)監(jiān)管。本文主要對(duì)云上實(shí)戰(zhàn)化安全運(yùn)營和常態(tài)安全監(jiān)管進(jìn)行了探討，供相關(guān)讀者參考。

云計(jì)算；安全運(yùn)營；安全監(jiān)管

云計(jì)算的引入，使得IT基礎(chǔ)設(shè)施發(fā)生了革命性的轉(zhuǎn)變。作為關(guān)鍵基礎(chǔ)設(shè)施，云直接影響電信行業(yè)應(yīng)用、國計(jì)民生，甚至是國家安全。對(duì)于云上風(fēng)險(xiǎn)，漏洞監(jiān)管將變得異常重要，掛圖作戰(zhàn)，構(gòu)建三化六防體系已經(jīng)箭在弦上。當(dāng)前的云安全解決方案多以傳統(tǒng)安全方案為主或根據(jù)云計(jì)算特性改造傳統(tǒng)安全方案以應(yīng)用在云計(jì)算架構(gòu)中，在應(yīng)對(duì)云化式的基礎(chǔ)設(shè)施架構(gòu)時(shí)凸顯其不足：

（1）云上對(duì)于資產(chǎn)的創(chuàng)建和管理已經(jīng)完全由租戶掌控，云上漏洞、不當(dāng)配置等資產(chǎn)指紋信息甚至資產(chǎn)信息本身完全黑盒；

（2）云上業(yè)務(wù)的復(fù)雜化導(dǎo)致更多暴露面，無文件攻擊、供應(yīng)鏈攻擊等新型攻擊方式出現(xiàn)，豎井式的安全設(shè)備無法及時(shí)發(fā)現(xiàn)問題；

（3）云計(jì)算導(dǎo)致傳統(tǒng)安全域劃分不可用，東西向的內(nèi)部流量不可見、橫向移動(dòng)無法及時(shí)發(fā)現(xiàn)；安全廠商在設(shè)計(jì)實(shí)現(xiàn)云安全解決方案時(shí)未能基于資產(chǎn)維度充分考慮云內(nèi)已存在的安全隱患及東西向流量場景的安全風(fēng)險(xiǎn)，導(dǎo)致目前市面上主流的云安全解決方案都無法解決云內(nèi)主機(jī)存在的安全隱患與東西向流量的安全問題。

整體來看，傳統(tǒng)的云安全解決方案只是滿足了客戶的云上基本需求，但眾多安全能力作用并未得到充分發(fā)揮，大量安全數(shù)據(jù)并未充分利用。而圍繞用戶云上業(yè)務(wù)開展實(shí)戰(zhàn)化的安全運(yùn)營、常態(tài)化的安全監(jiān)控、體系化安全服務(wù)能力建設(shè)，才能發(fā)揮云安全能力的更大價(jià)值、為用戶提供更多增值服務(wù)。

1 云內(nèi)資產(chǎn)的風(fēng)險(xiǎn)管理

云環(huán)境下，云內(nèi)資產(chǎn)錯(cuò)綜復(fù)雜，不僅僅對(duì)用戶來說是片迷霧，云廠商對(duì)內(nèi)部資產(chǎn)的分布同樣一片模糊。構(gòu)建云內(nèi)資產(chǎn)管理平臺(tái)，主動(dòng)自動(dòng)同步云租戶、云主機(jī)等云內(nèi)資產(chǎn)信息，發(fā)現(xiàn)云租戶動(dòng)態(tài)創(chuàng)建的虛擬機(jī)、浮動(dòng)IP，以及被遺忘、未被防護(hù)的主機(jī)。同時(shí)資產(chǎn)管理平臺(tái)依托大數(shù)據(jù)架構(gòu)，兼容多數(shù)據(jù)源處理，從第三方系統(tǒng)內(nèi)汲取資產(chǎn)與問題數(shù)據(jù)，通過數(shù)據(jù)預(yù)處理中心進(jìn)行數(shù)據(jù)的清洗、富化、聚合，最終得出企業(yè)所需要管理的資產(chǎn)與問題（圖1）。

圖1 云內(nèi)資產(chǎn)錯(cuò)綜復(fù)雜

依托工作編排架構(gòu)，該系統(tǒng)可與第三方系統(tǒng)進(jìn)行互操，實(shí)現(xiàn)問題的處置閉環(huán)，資產(chǎn)的漏洞、配置、補(bǔ)丁的第三方驗(yàn)證。

通過云內(nèi)探針或流量分析將對(duì)所有在線設(shè)備進(jìn)行網(wǎng)絡(luò)掃描和深入識(shí)別，獲取終端的網(wǎng)絡(luò)地址、系統(tǒng)網(wǎng)絡(luò)指紋、系統(tǒng)開放端口和服務(wù)指紋，并根據(jù)積累和運(yùn)營的指紋庫裁定每個(gè)終端的類型、操作系統(tǒng)、廠商信息（圖2）。

并根據(jù)所獲取的設(shè)備指紋信息，采用智能識(shí)別和唯一性算法為每個(gè)資產(chǎn)建議指紋身份信息，作為資產(chǎn)生命周期管理的唯一性依據(jù)（圖3）。

通過云網(wǎng)綜合漏掃發(fā)現(xiàn)內(nèi)網(wǎng)資產(chǎn)的漏洞、弱口令和配置核查弱點(diǎn)，實(shí)現(xiàn)全生命周期的脆弱性管理，通過周期性對(duì)比原有脆弱性信息，展示各脆弱性項(xiàng)目的處置進(jìn)展和歷史狀態(tài)，確保對(duì)資產(chǎn)脆弱性實(shí)現(xiàn)生命周期閉環(huán)管理。

圖2 終端資產(chǎn)與其他資源互聯(lián)

圖3 設(shè)備指紋信息

2 云平臺(tái)的流量采集與分析

云網(wǎng)流量采集及安全分析的整體方案實(shí)現(xiàn)可采用純軟件交付模式，并可與企業(yè)的云管理平臺(tái)、云安全管理平臺(tái)深度集成，由云安全管理平臺(tái)實(shí)現(xiàn)統(tǒng)一管理和呈現(xiàn)。

（1）云內(nèi)流量采集分析能力：通過在云內(nèi)自動(dòng)化部署流量采集節(jié)點(diǎn)，實(shí)現(xiàn)對(duì)全云場景下的流量采集，完整覆蓋東西向、南北向云流量業(yè)務(wù)場景。與傳統(tǒng)在核心交換機(jī)上鏡像流量的方案不同的是，該建設(shè)能力能夠采集云內(nèi)東西向流量，并且匹配云平臺(tái)多租戶業(yè)務(wù)（圖4）。

圖4 云內(nèi)流量采集分析能力

（1）流量可視化分析：區(qū)別于傳統(tǒng)的表格、餅圖、柱狀圖、曲線圖展示靜態(tài)的結(jié)果，云網(wǎng)流量安全分析將訪問關(guān)系進(jìn)行深度關(guān)聯(lián)分析，繪制關(guān)系圖、流向圖、分布圖，由客戶根據(jù)需要進(jìn)行任意鉆取和多維度分析，真正意義上實(shí)現(xiàn)流量可視交互化（圖5）。

3 基于威脅情報(bào)的安全識(shí)別

通過資產(chǎn)的梳理與流量的采集與分析，為提升整體安全的可用性、實(shí)戰(zhàn)性，需結(jié)合威脅情報(bào)檢測引擎，從云網(wǎng)流量中提取源IP、目的IP、DNS解析信息、HOSTS等信息，并進(jìn)行威脅情報(bào)碰撞。根據(jù)威脅情報(bào)檢測云網(wǎng)中的風(fēng)險(xiǎn)連接、惡意訪問、失陷IP等信息，能夠直接提升云內(nèi)資產(chǎn)指紋分析能力、漏洞分析能力、內(nèi)部流量采集分析能力以及在云內(nèi)特別是東西向流量場景下的安全威脅檢測能力，增強(qiáng)云環(huán)境的安全發(fā)現(xiàn)和威脅態(tài)勢(shì)感知能力，實(shí)現(xiàn)常態(tài)化安全監(jiān)管，實(shí)戰(zhàn)化安全運(yùn)營。提升云識(shí)別和應(yīng)對(duì)安全風(fēng)險(xiǎn)的能力，減少安全空窗期，盡可能減少云內(nèi)威脅傳播和橫向攻擊，增強(qiáng)云平臺(tái)整體的抗風(fēng)險(xiǎn)能力。安全分析人員可直接通過云安全運(yùn)營中心，快速研判分析安全事件，減少人工進(jìn)行日志分析所帶來的大量的分析成本和誤識(shí)別成本，同時(shí)解決云內(nèi)資產(chǎn)運(yùn)維運(yùn)營困難問題，落地實(shí)戰(zhàn)化（圖6）。

圖5 流量可視化分析

圖6 基于威脅情報(bào)的安全識(shí)別

4 自動(dòng)化的安全運(yùn)營

云環(huán)境安全提供了面向云資源池的綜合安全監(jiān)控能力，但眾多的安全能力彼此之間缺乏有效聯(lián)動(dòng)，無法滿足高效運(yùn)作、快速響應(yīng)的需求，亟需整合人員、流程和工具的安全運(yùn)營平臺(tái)，提升安全響應(yīng)的速度和效率，降低事件響應(yīng)時(shí)間；而云環(huán)境中SDN的廣泛應(yīng)用，則為云安全能力和自動(dòng)化運(yùn)營打造了堅(jiān)實(shí)了基礎(chǔ)，采用SDN嵌入式或集中式組網(wǎng)，實(shí)現(xiàn)所有租戶東西向、南北向流量均由按需由SDN控制器調(diào)度到安全能力資源池進(jìn)行檢測和分析。再將安全資源池管理平臺(tái)與IT資源池管理平臺(tái)對(duì)接，采用先進(jìn)的安全服務(wù)及安全策略編排技術(shù)，實(shí)現(xiàn)了通過統(tǒng)一的自服務(wù)界面，實(shí)現(xiàn)了IT資源池和安全資源池及安全策略全程自動(dòng)化運(yùn)營管理。

DevSecOps是一種全新的安全理念與模式，從DevOps的概念延伸和演變而來，其核心理念安全是整個(gè)IT團(tuán)隊(duì)（包括開發(fā)、運(yùn)維及安全團(tuán)隊(duì)）每個(gè)人的責(zé)任，需要貫穿從開發(fā)和運(yùn)營整個(gè)業(yè)務(wù)生命周期每一個(gè)環(huán)節(jié)才能提供有效保障。

企業(yè)的云安全運(yùn)營中心建設(shè)項(xiàng)目，從一開始可按照DevSecOps理念，從需求分析、軟件開發(fā)、平臺(tái)上線、平臺(tái)運(yùn)行、平臺(tái)運(yùn)維和運(yùn)營等環(huán)節(jié)，全面貫徹安全是整個(gè)IT團(tuán)隊(duì)每一個(gè)人的責(zé)任的理念。首先，為開發(fā)和運(yùn)維人員提供自服務(wù)式的基礎(chǔ)安全防護(hù)運(yùn)營界面，使開發(fā)、運(yùn)維人員能更緊密與安全工作結(jié)合在一起，并且在發(fā)生疑似安全阻斷正常業(yè)務(wù)時(shí)，開發(fā)、運(yùn)維人員可以有權(quán)臨時(shí)去掉安全防護(hù)或配置白名單進(jìn)行驗(yàn)證，提高排障效率。其次，通過自動(dòng)化和DevSecOps在安全運(yùn)維/運(yùn)營方面的運(yùn)用，將安全管理員的精力從日常事務(wù)性工作中釋放出來，從而將工作重心調(diào)整到安全威脅、告警為核心，去發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)然后再運(yùn)用到軟件開發(fā)安全設(shè)計(jì)、安全編碼等需要專業(yè)安全知識(shí)和技能且可以體現(xiàn)更高價(jià)值的工作中去。逐漸向DevSecOps邁進(jìn)。

云上安全合規(guī)的日子臨近尾聲，安全實(shí)戰(zhàn)化的時(shí)代即將到來。當(dāng)前市場下，保障用戶業(yè)務(wù)安全、促進(jìn)網(wǎng)絡(luò)安全發(fā)展的同時(shí)，為用戶帶來更多的實(shí)用價(jià)值將是安全廠商為之奮斗的目標(biāo)。

[1]胡國華，孟承韻，代志兵，等.基于大數(shù)據(jù)安全保障的云安全體系研究[J].信息安全研究，2020，6（05）：404-420.

[2]胡洪賓.云平臺(tái)安全防護(hù)支撐體系及防護(hù)手段研究[J].中國新通信，2020，22（08）：50-51.

[3]溫春東，劉云華，佟玉超.大數(shù)據(jù)系統(tǒng)的安全體系建設(shè)[J].信息通信，2020（01）：181-182.