藺旋，王宏鼎，徐寶辰（.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京 00048；.中國聯(lián)通智網(wǎng)創(chuàng)新中心，北京 00048）

1 概述

私有云是為一個(gè)客戶單獨(dú)使用而構(gòu)建的云計(jì)算平臺(tái)，一般部署在客戶自有網(wǎng)絡(luò)、計(jì)算基礎(chǔ)設(shè)施之中，也可通過“托管式專用”的委托管理模式，由云計(jì)算服務(wù)供應(yīng)商提供建設(shè)、維護(hù)和管理服務(wù)［1］。

私有云為企業(yè)數(shù)據(jù)安全和資源利用效率做出了巨大貢獻(xiàn)，但是由于云計(jì)算技術(shù)的復(fù)雜性、用戶動(dòng)態(tài)性等特點(diǎn)，私有云本身仍存在一些安全風(fēng)險(xiǎn)，包括訪問權(quán)限風(fēng)險(xiǎn)、邊界風(fēng)險(xiǎn)、內(nèi)部流量不可視、數(shù)據(jù)隔離風(fēng)險(xiǎn)等（見圖1）。

圖1 私有云安全風(fēng)險(xiǎn)

企業(yè)用戶使用互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)訪問私有云業(yè)務(wù)時(shí)，無法保障數(shù)據(jù)的安全性和訪問行為的合規(guī)性、合法性。私有云內(nèi)部流量交互不可視，無法發(fā)現(xiàn)內(nèi)部的流量變動(dòng)和安全威脅，更無法實(shí)現(xiàn)對(duì)威脅的控制［2］，黑客一旦攻入私有云內(nèi)部，這種開放性為攻擊的橫向拓展提供了便利［3］。而傳統(tǒng)安全防護(hù)方式無法有效解決上述的私有云安全風(fēng)險(xiǎn)，因此需要設(shè)計(jì)一套更理想的安全解決方案。

2 零信任理念及核心技術(shù)

零信任概念最早由Forrester Research 的John Kindervag 所提出，其核心思想是“從不信任，始終驗(yàn)證”［4］。零信任架構(gòu)中的SDP 和MSG 分別作為解決南北向和東西向流量控制問題的理想方案。

2.1 軟件定義邊界SDP

SDP技術(shù)是通過軟件的方式，在“移動(dòng)+云”的背景下構(gòu)建起虛擬邊界，利用基于身份的訪問控制及完備的權(quán)限認(rèn)證機(jī)制提供有效的隱身保護(hù)，其技術(shù)架構(gòu)如圖2所示。

圖2 SDP技術(shù)架構(gòu)

SDP 可隱藏所有資源，非法用戶無法獲取資源入口，而合法用戶訪問流量均通過加密方式傳輸，其具備的持續(xù)認(rèn)證、細(xì)粒度訪問權(quán)限控制等主動(dòng)防御理念可有效解決企業(yè)業(yè)務(wù)拓展中的安全問題，是解決南北向流量安全防護(hù)問題的有效途徑［5］。

2.2 微隔離MSG

微隔離技術(shù)是細(xì)粒度更小的網(wǎng)絡(luò)隔離技術(shù)，能夠應(yīng)對(duì)傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對(duì)于東西向流量隔離的需求，旨在為企業(yè)提供流量的可見性和監(jiān)控能力。微隔離有多種技術(shù)路線，主機(jī)代理路線的微隔離更加適應(yīng)新興技術(shù)的更迭及應(yīng)用帶來的多變用戶業(yè)務(wù)環(huán)境，技術(shù)架構(gòu)如圖3所示。

圖3 代理模式微隔離架構(gòu)

微隔離通過細(xì)粒度的策略控制及可視技術(shù)，讓東西向流量可視可控，在此基礎(chǔ)上實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)內(nèi)外部主機(jī)與主機(jī)的隔離，從而更加有效地防御黑客或病毒持續(xù)性大面積的滲透和破壞［6］。

3 私有云安全解決方案

3.1 零信任安全方案

針對(duì)私有云存在的安全風(fēng)險(xiǎn)，傳統(tǒng)的基于邊界的安全解決方案在私有云外側(cè)部署防火墻、IPS、IDS、WAF 等安全能力，構(gòu)建私有云的安全防線，抵御來自外部的網(wǎng)絡(luò)攻擊，但傳統(tǒng)安全能力可能存在安全策略冗余、防護(hù)效率低等問題。私有云內(nèi)部使用VPC、VLAN 等機(jī)制隔離內(nèi)部資源，但私有云內(nèi)部仍存在可視化缺乏、運(yùn)維難度大、隔離策略過于精細(xì)化等問題。針對(duì)采用VPN 訪問私有云內(nèi)網(wǎng)資源的方式在準(zhǔn)入權(quán)限控制方面過于粗放的安全隱患［7］，基于傳統(tǒng)的私有云安全解決方案，引入SDP 和MSG 技術(shù)，對(duì)原有方案進(jìn)行升級(jí)和優(yōu)化。

圖4展示了引入零信任理念及核心技術(shù)的私有云安全解決方案，基于傳統(tǒng)的安全解決方案，仍在私有云入口防火墻外部署安全防護(hù)能力棧，用于防護(hù)來自互聯(lián)網(wǎng)的攻擊；零信任方案在防火墻外部署SDP 軟件，用于內(nèi)部人員的訪問需求；而在防火墻內(nèi)的物理機(jī)、虛擬機(jī)、容器等服務(wù)資源部署MSG Agnet，實(shí)現(xiàn)云內(nèi)東西向流量的可視和管控。SDP、安全能力棧和MSG 在統(tǒng)一管控平臺(tái)的管理之下，實(shí)現(xiàn)對(duì)私有云南北向和東西向流量的安全防護(hù)。

圖4 零信任安全防護(hù)方案

3.1.1 針對(duì)南北向的防護(hù)

私有云的南北向訪問可分為內(nèi)網(wǎng)用戶接入訪問、外網(wǎng)訪問2 個(gè)場景，而私有云的第1 道防護(hù)部署在訪問者和云防護(hù)墻之間，其中內(nèi)網(wǎng)用戶通過SDP 實(shí)現(xiàn)資源接入，SDP 相較于傳統(tǒng)的VPN 更加安全，核心技術(shù)包括SPA 單包認(rèn)證和動(dòng)態(tài)防火墻等，具體的訪問過程如下（見圖5）。

圖5 私有云內(nèi)網(wǎng)資源訪問過程

a）內(nèi)網(wǎng)用戶使用SDP 客戶端先發(fā)送包含用戶身份和設(shè)備信息的SPA認(rèn)證包。

b）安全管控平臺(tái)捕獲認(rèn)證包對(duì)內(nèi)部信息進(jìn)行認(rèn)證，不通過即不回復(fù)，認(rèn)證通過后則反向與客戶端建立TLS加密隧道，并返回用戶授權(quán)信息和網(wǎng)關(guān)信息，此過程結(jié)合動(dòng)態(tài)防火墻技術(shù)實(shí)現(xiàn)了安全管控平臺(tái)的網(wǎng)絡(luò)隱身。

c）客戶端獲得授權(quán)票據(jù)信息和網(wǎng)關(guān)信息之后向網(wǎng)關(guān)發(fā)送，進(jìn)行單包敲門認(rèn)證，網(wǎng)關(guān)從管控平臺(tái)獲取用戶身份和授權(quán)信息后與客戶端建立加密傳輸通道，實(shí)現(xiàn)先認(rèn)證再連接，并對(duì)用戶訪問進(jìn)行策略控制。

私有云的互聯(lián)網(wǎng)用戶接入訪問過程與傳統(tǒng)方案類似，用戶流量通過互聯(lián)網(wǎng)鏈路到達(dá)私有云前端的安全防護(hù)能力棧，其中DDoS、IPS、WAF 等傳統(tǒng)安全能力在統(tǒng)一安全管理平臺(tái)的協(xié)調(diào)之下，針對(duì)來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)層、應(yīng)用層攻擊進(jìn)行流量過濾，此后用戶流量經(jīng)過防火墻可進(jìn)入私有云內(nèi)部。

3.1.2 針對(duì)于東西向的防護(hù)

用戶訪問流量通過私有云前端的第1道安全防線后進(jìn)入私有云內(nèi)部，無論是內(nèi)網(wǎng)用戶還是互聯(lián)網(wǎng)用戶，其流量均可在內(nèi)部資源間進(jìn)行橫向擴(kuò)展。雖然SDP 可對(duì)內(nèi)網(wǎng)用戶身份、資源、行為進(jìn)行安全保障，但無法杜絕社會(huì)學(xué)攻擊；而安全能力?？蛇^濾絕大部分的網(wǎng)絡(luò)攻擊威脅，但是對(duì)0day 等漏洞的攻擊則束手無策。而私有云內(nèi)部的MSG 則搭建了第2 道防線，其防護(hù)過程如下（見圖6）。

圖6 私有云內(nèi)部防護(hù)過程

a）云內(nèi)虛擬機(jī)實(shí)例、物理機(jī)實(shí)例、容器節(jié)點(diǎn)部署的MSG Agent 收集機(jī)器流量數(shù)據(jù)信息，并上傳到管控平臺(tái)，管控平臺(tái)的可視化模塊將私有云內(nèi)部的資源、流量信息繪制業(yè)務(wù)拓?fù)鋱D，對(duì)云內(nèi)流量進(jìn)行監(jiān)控。

b）安全管控平臺(tái)通過一段時(shí)間的資源間流量監(jiān)控和學(xué)習(xí)，制定了資源（IP、端口、訪問時(shí)間、訪問頻率）的安全基線，并自動(dòng)生成資源的安全訪問策略下發(fā)至各個(gè)資源實(shí)例Agent。

c）各個(gè)資源實(shí)例根據(jù)下發(fā)的安全訪問策略控制出入方向的流量，防止進(jìn)入私有云內(nèi)部的攻擊流量橫向擴(kuò)展。

3.2 方案對(duì)比分析

基于邊界的私有云傳統(tǒng)安全解決方案通過使用VPN、防火墻、IPS 等安全能力和VPC 等網(wǎng)絡(luò)方案實(shí)現(xiàn)私有云初步安全防護(hù)，而引入零信任理念的私有云安全解決方案則基于身份概念和軟件定義安全等技術(shù)進(jìn)一步保障私有云數(shù)據(jù)安全，針對(duì)傳統(tǒng)方案無法解決的風(fēng)險(xiǎn)進(jìn)行安全措施優(yōu)化和加固。

3.2.1 訪問行為可信

傳統(tǒng)的私有云內(nèi)網(wǎng)資源訪問接入采用VPN，在實(shí)現(xiàn)用戶與資源間打通網(wǎng)絡(luò)的同時(shí)無法實(shí)現(xiàn)用戶訪問的最小化權(quán)限控制，對(duì)私有云的數(shù)據(jù)安全帶來較大威脅。

零信任方案中的SDP 利用基于用戶身份的權(quán)限控制保障了用戶訪問資源的合法性，用戶只能訪問權(quán)限列表內(nèi)的資源，無權(quán)限外資源的訪問入口，嘗試進(jìn)行端口掃描和探測會(huì)被視為越權(quán)訪問和攻擊行為，保障了用戶認(rèn)證接入后訪問行為的可信合規(guī)。

3.2.2 網(wǎng)絡(luò)資源隱身

傳統(tǒng)安全解決方案的VPN 等工具提供內(nèi)網(wǎng)資源服務(wù)訪問入口，私有云存在公網(wǎng)暴露面，無法應(yīng)對(duì)0day 漏洞等安全威脅，使得私有云針對(duì)內(nèi)網(wǎng)接入工具也需要進(jìn)行持續(xù)的網(wǎng)絡(luò)安全加固，并始終處于被動(dòng)防御狀態(tài)。

零信任解決方案的SDP 基于主動(dòng)防護(hù)理念，通過使用SPA單包認(rèn)證和動(dòng)態(tài)防火墻技術(shù)實(shí)現(xiàn)私有云訪問入口的隱藏（見圖7），私有云業(yè)務(wù)服務(wù)器只對(duì)授權(quán)的SDP客戶端可見，對(duì)其他工具完全不可見，縮減了公網(wǎng)暴露面，是企業(yè)應(yīng)對(duì)護(hù)網(wǎng)等場景的有效防護(hù)手段［8］。

圖7 網(wǎng)絡(luò)資源隱身

3.2.3 流量態(tài)勢(shì)監(jiān)控

傳統(tǒng)安全解決方案通過防火墻、VLAN 等措施對(duì)私有云內(nèi)部的機(jī)器進(jìn)行管理，運(yùn)維人員只能通過服務(wù)器、IP、端口等進(jìn)行安全策略的定制和確認(rèn)，無法進(jìn)行云內(nèi)流量的監(jiān)控，從流量全局判斷云內(nèi)流量態(tài)勢(shì)。

零信任方案通過部署MSG 可以實(shí)現(xiàn)流量的深度可視，進(jìn)行流量態(tài)勢(shì)的展示和運(yùn)維，針對(duì)異常流量進(jìn)行監(jiān)控、發(fā)現(xiàn)、告警，為運(yùn)維人員提供了流量全局視角，提高了私有云安全運(yùn)維的靈活性和安全性［9］。

3.2.4 智能化策略配置

傳統(tǒng)安全解決方案需要在各個(gè)VPC 之間配置復(fù)雜的防火墻策略，如果云內(nèi)機(jī)器、容器等資源眾多且相互之間存在復(fù)雜的隔離和控制邏輯，將導(dǎo)致私有云內(nèi)的配置運(yùn)維工作復(fù)雜且策略靈活性差。

零信任方案中微隔離MSG 的自適應(yīng)策略特性可自動(dòng)生成云內(nèi)各個(gè)機(jī)器資源的策略安全基線，減少傳統(tǒng)方案中防火墻90%以上的安全策略，提高了隔離策略的靈活性。微隔離的自動(dòng)化策略搭配運(yùn)維人員定制的安全策略，實(shí)現(xiàn)私有云內(nèi)東西向流量的安全管控［10］。

4 結(jié)束語

隨著零信任等創(chuàng)新安全技術(shù)的誕生和發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)安全方案也得到提升和加固。本文通過將SDP、MSG 引入私有云安全解決方案，與傳統(tǒng)的防護(hù)方式相結(jié)合，升級(jí)了其安全防護(hù)方案。在私有云外部對(duì)內(nèi)網(wǎng)用戶接入進(jìn)行“先認(rèn)證再接入”，并實(shí)現(xiàn)了網(wǎng)絡(luò)暴露面的收縮，而外網(wǎng)用戶的訪問流量仍采用傳統(tǒng)的安全能力過濾再進(jìn)入私有云內(nèi)部。在私有云內(nèi)部則部署MSG 和EDR 的Agent，對(duì)云內(nèi)流量進(jìn)行拓?fù)淅L制，實(shí)現(xiàn)流量態(tài)勢(shì)的實(shí)時(shí)監(jiān)控，還可自動(dòng)生成內(nèi)部流量的流轉(zhuǎn)安全基線和策略，降低了私有云內(nèi)部的運(yùn)維成本，也防止攻擊流量在云內(nèi)肆意橫向拓展。未來可將SDP、安全能力棧、EDR、MSG 的安全信息實(shí)現(xiàn)標(biāo)準(zhǔn)化、通用化，打通多個(gè)安全能力的情報(bào)池，實(shí)現(xiàn)各個(gè)產(chǎn)品之間的策略聯(lián)動(dòng)。