余啟明/YU Qiming，吳爽/WU Shuang，黃帥/HUANG Shuai，劉紫千/LIU Ziqian

（天翼安全科技有限公司，中國(guó) 北京 100020 ）

互聯(lián)網(wǎng)信息技術(shù)發(fā)展日新月異，大數(shù)據(jù)、云計(jì)算等新興技術(shù)加快了進(jìn)入政務(wù)、金融、醫(yī)療、教育等行業(yè)的步伐[1-2]。與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日漸凸顯，如何高效滿(mǎn)足各行業(yè)企業(yè)對(duì)網(wǎng)絡(luò)安全防護(hù)的多種需求成為產(chǎn)業(yè)界亟待解決的問(wèn)題。傳統(tǒng)企業(yè)具有相對(duì)固定的網(wǎng)絡(luò)安全邊界，因此安全廠(chǎng)商常采用串接或者并接硬件設(shè)備的方式為用戶(hù)提供安全解決方案。此種方式的弊端日益凸顯，例如：部署繁瑣，功能單一，可維護(hù)性差等[3-4]。隨著網(wǎng)絡(luò)安全威脅的持續(xù)變化和企業(yè)自身數(shù)字化轉(zhuǎn)型的深入，企業(yè)對(duì)安全防護(hù)手段的多樣化需求與日俱增，對(duì)各種手段的綜合防護(hù)能力和效果的要求也不斷提高。傳統(tǒng)的依靠堆疊安全硬件的方法已經(jīng)無(wú)法滿(mǎn)足用戶(hù)對(duì)安全能力按需快速組合和防護(hù)能力彈性擴(kuò)容的需求。因此，通過(guò)可運(yùn)營(yíng)升級(jí)的云化軟件即服務(wù)（SaaS）安全防護(hù)方案來(lái)解決各類(lèi)網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為了行業(yè)新的重要趨勢(shì)[5-6]。

為滿(mǎn)足企業(yè)用戶(hù)對(duì)安全防護(hù)能力多層次可定制的需求，在運(yùn)營(yíng)商云網(wǎng)融合的技術(shù)驅(qū)動(dòng)下，云資源池應(yīng)運(yùn)而生[7-10]。本文提出了一種云網(wǎng)安一體化的安全能力池技術(shù)方案，提高了網(wǎng)絡(luò)安全防護(hù)的靈活定制和可編排能力，滿(mǎn)足網(wǎng)絡(luò)安全能力的可快速擴(kuò)展的要求。安全能力池技術(shù)方案主要基于邊緣云技術(shù)、自動(dòng)化云端部署安全防護(hù)能力，通過(guò)軟件化、服務(wù)化的安全能力為用戶(hù)提供實(shí)時(shí)安全保障，并可直接借助安全管理平臺(tái)對(duì)所需安全能力進(jìn)行統(tǒng)一管理與配置，極大地提升了安全能力的使用效率，降低了使用成本。

1 系統(tǒng)整體設(shè)計(jì)方案

根據(jù)中國(guó)電信網(wǎng)絡(luò)安全統(tǒng)一規(guī)劃，安全能力池計(jì)劃覆蓋中國(guó)電信所有主要的城域網(wǎng)，為客戶(hù)提供復(fù)合安全防護(hù)能力。這些安全能力可分為流量型和非流量型兩類(lèi)：流量型指基于業(yè)務(wù)流量行為進(jìn)行實(shí)時(shí)檢測(cè)阻斷的安全能力，這類(lèi)能力往往需要在業(yè)務(wù)流量流經(jīng)路徑中進(jìn)行干預(yù)才能起到效果，例如：防火墻、入侵檢測(cè)和Web 應(yīng)用防護(hù)等；非流量型指不依賴(lài)業(yè)務(wù)流量路徑干預(yù)也能發(fā)揮作用的安全能力，例如：漏洞掃描、日志審計(jì)等。安全能力池系統(tǒng)需要解決復(fù)雜流量調(diào)度、多業(yè)務(wù)場(chǎng)景編排、跨廠(chǎng)商應(yīng)用維護(hù)等技術(shù)問(wèn)題。此外，安全能力池需要作為多生態(tài)能力的承載平臺(tái)，與上層應(yīng)用低耦合，并具備高擴(kuò)展能力。安全能力池分為上、中、下3層架構(gòu)，如圖1所示，分別為安全能力管理平臺(tái)層、安全業(yè)務(wù)中臺(tái)層和資源池層。

▲圖1 安全能力池整體架構(gòu)圖

上層安全能力管理平臺(tái)（后文簡(jiǎn)稱(chēng)為安管平臺(tái)）在多租戶(hù)場(chǎng)景中為角色和權(quán)限各異的用戶(hù)提供統(tǒng)一的管理訪(fǎng)問(wèn)入口；中間層為安全業(yè)務(wù)中臺(tái)，主要實(shí)現(xiàn)對(duì)資源池的納管、原子能力的適配和服務(wù)之間的安全認(rèn)證。從圖1 中可以看到，業(yè)務(wù)中臺(tái)將安管平臺(tái)與底層資源池分割開(kāi)來(lái)，并將復(fù)雜的安全業(yè)務(wù)場(chǎng)景逐步拆分，這樣降低了系統(tǒng)耦合度，同時(shí)提高了系統(tǒng)的高擴(kuò)展性。最下層為資源池層，具備多種安全原子能力、流量調(diào)度與服務(wù)鏈編排能力和大規(guī)模數(shù)據(jù)存儲(chǔ)能力，解決了核心的安全防護(hù)和大規(guī)模流量安全調(diào)度問(wèn)題。資源池層的流量調(diào)度與服務(wù)編排技術(shù)解決大流量傳輸效率和自動(dòng)化編排問(wèn)題。業(yè)務(wù)中臺(tái)層的原子能力統(tǒng)一納管解決多廠(chǎng)商原子能力適配問(wèn)題，以及整體的系統(tǒng)性能優(yōu)化升級(jí)。

安全能力池的系統(tǒng)架構(gòu)具有集中、近源、共享等特點(diǎn)：

1）集中。安全能力池通過(guò)安管平臺(tái)對(duì)所有線(xiàn)上資源池集中統(tǒng)一納管，提供SaaS 化服務(wù)，提高運(yùn)維效率。

2）近源。資源池結(jié)合邊緣云技術(shù)與電信運(yùn)營(yíng)商的大網(wǎng)優(yōu)勢(shì)實(shí)現(xiàn)了近源流量安全防護(hù)，將需要防護(hù)的業(yè)務(wù)流量引導(dǎo)到距離防護(hù)目標(biāo)最近的資源池內(nèi)，經(jīng)過(guò)多種安全防護(hù)能力檢測(cè)、網(wǎng)絡(luò)安全威脅清除后將流量回注給被防護(hù)對(duì)象。此種方式為用戶(hù)提供更加實(shí)時(shí)、高效的防護(hù)。

3）共享。SaaS 化的原子能力的共享模式實(shí)現(xiàn)了同一服務(wù)點(diǎn)下多租戶(hù)共享虛擬機(jī)（VM）集群。每個(gè)VM集群部署一類(lèi)服務(wù)，不同租戶(hù)間通過(guò)邏輯隔離，共享模式具有成本低、效率高和資源利用最大化等優(yōu)勢(shì)。

1.1 管理平臺(tái)層設(shè)計(jì)

安管平臺(tái)層重點(diǎn)解決資源池分布廣、管理難度大、運(yùn)維難度高等問(wèn)題。作為整個(gè)系統(tǒng)架構(gòu)的最頂層，安管平臺(tái)為租戶(hù)門(mén)戶(hù)、運(yùn)維門(mén)戶(hù)、運(yùn)營(yíng)門(mén)戶(hù)提供三位一體的管理功能，其整體結(jié)構(gòu)如圖2所示。

▲圖2 安全能力管理平臺(tái)整體結(jié)構(gòu)圖

安全原子能力服務(wù)管理模塊提供原子能力的統(tǒng)一配置、管理及安全策略下發(fā)服務(wù)，通過(guò)原子能力編排服務(wù)，實(shí)現(xiàn)資源池內(nèi)安全原子能力的整合與聯(lián)動(dòng)。訂單管理服務(wù)組、用戶(hù)/租戶(hù)管理服務(wù)組、主機(jī)管理服務(wù)組等為租戶(hù)提供了良好的用戶(hù)體驗(yàn)。告警監(jiān)控服務(wù)組可以實(shí)時(shí)查看資源池健康狀態(tài)、內(nèi)存使用率，提升了系統(tǒng)整體透明度，增強(qiáng)了網(wǎng)絡(luò)故障定位能力。安管平臺(tái)作為資源池的集中管理入口，通過(guò)三大門(mén)戶(hù)實(shí)現(xiàn)資源集中配置，從而降低產(chǎn)品集成風(fēng)險(xiǎn)，提升工作效率。管理層平臺(tái)三大門(mén)戶(hù)的具體功能如下：

1）租戶(hù)門(mén)戶(hù)系統(tǒng)主要為租戶(hù)提供安全服務(wù)訂閱功能；

2）運(yùn)維門(mén)戶(hù)系統(tǒng)采用自動(dòng)一體化形式，可自動(dòng)部署、啟動(dòng)安全原子能力服務(wù)并完成資源池內(nèi)服務(wù)自動(dòng)化編排；

3）運(yùn)營(yíng)門(mén)戶(hù)系統(tǒng)負(fù)責(zé)自定義安全服務(wù)策略、資源池運(yùn)營(yíng)等服務(wù)。

1.2 業(yè)務(wù)中臺(tái)層設(shè)計(jì)

業(yè)務(wù)中臺(tái)層重點(diǎn)解決兩大問(wèn)題：適配性問(wèn)題和安全性問(wèn)題。適配性問(wèn)題聚焦于如何納管各種廠(chǎng)商的多種安全原子能力，如何適配不同的云上資源池；安全型問(wèn)題重點(diǎn)考慮平臺(tái)直接調(diào)用底層原子能力對(duì)資源池的較高侵入性，以及未經(jīng)監(jiān)管的流量所帶來(lái)的安全隱患。能力池系統(tǒng)在安全能力管理平臺(tái)與底層資源池之間引入了安全業(yè)務(wù)中臺(tái)層，功能如圖3所示。

▲圖3 安全業(yè)務(wù)中臺(tái)功能圖

安全業(yè)務(wù)中臺(tái)主要具備4 個(gè)方面能力：1）通過(guò)制定安全組件接口規(guī)范，實(shí)現(xiàn)對(duì)多云底座的納管和對(duì)多個(gè)廠(chǎng)家異構(gòu)資源的統(tǒng)一納管，并對(duì)第三方安全平臺(tái)中間件、云管中間件進(jìn)行統(tǒng)一管理；2）作為南北向通信的橋梁，將南北向解耦；3）作為業(yè)務(wù)信息、運(yùn)維、運(yùn)營(yíng)信息的管控入口，承擔(dān)著應(yīng)用程序編程接口（API）統(tǒng)一管理的職責(zé)，通過(guò)一套標(biāo)準(zhǔn)化的接口規(guī)范，支持多種業(yè)務(wù)的水平擴(kuò)展，提高了系統(tǒng)的可用性；4）承擔(dān)整個(gè)系統(tǒng)架構(gòu)的安全訪(fǎng)問(wèn)認(rèn)證職責(zé)，實(shí)現(xiàn)整個(gè)系統(tǒng)的自主可控，提升了云網(wǎng)安全運(yùn)營(yíng)的自動(dòng)化、智能化。

1.3 資源池層設(shè)計(jì)

安全能力池底層是基于輕量化邊緣云技術(shù)的資源池底座實(shí)現(xiàn)的，其結(jié)構(gòu)如圖4所示。資源池封裝了多廠(chǎng)商優(yōu)勢(shì)產(chǎn)品的安全能力，極大地提升了安全防護(hù)能力的多樣性，而且安全場(chǎng)景覆蓋性高，已覆蓋10 多類(lèi)共計(jì)30 項(xiàng)安全原子能力。資源池中的物理設(shè)備資源主要為安全能力提供底層的路由交換、流量調(diào)用以及數(shù)據(jù)存儲(chǔ)。其中，安全流量調(diào)度網(wǎng)關(guān)具有虛擬化管理和網(wǎng)絡(luò)流量編排功能，承擔(dān)整體調(diào)度職責(zé)，分別和新型城域網(wǎng)控制器、安全能力池控制器對(duì)接，完成用戶(hù)流量的路徑編排。目前，資源池的部署方式有兩種：一是采用安全能力集中部署的方法，同時(shí)在云平臺(tái)核心網(wǎng)絡(luò)設(shè)備上部署近源安全能力，主輔雙線(xiàn)并行共同滿(mǎn)足用戶(hù)需求；二是在專(zhuān)線(xiàn)用戶(hù)網(wǎng)絡(luò)中部署近源安全能力，滿(mǎn)足專(zhuān)線(xiàn)用戶(hù)需求，充分利用運(yùn)營(yíng)商大網(wǎng)優(yōu)勢(shì)，將集中能力復(fù)用給專(zhuān)線(xiàn)客戶(hù)，減少專(zhuān)線(xiàn)用戶(hù)安全能力的部署工作。

▲圖4 安全能力池底層整體結(jié)構(gòu)圖

安全能力池采用統(tǒng)一的SaaS 化架構(gòu)來(lái)提供安全服務(wù)，具有按需組合、彈性擴(kuò)張的特點(diǎn)。用戶(hù)在使用安全服務(wù)時(shí)，在租戶(hù)平臺(tái)輸入所需的安全能力和需防護(hù)的目標(biāo)資產(chǎn)。根據(jù)運(yùn)營(yíng)人員的配置情況，資源池會(huì)通過(guò)Flowspec控制器將流量從IP承載網(wǎng)核心路由器（CR）牽引至離用戶(hù)最近的資源池，在資源池內(nèi)為用戶(hù)流量進(jìn)行安全防護(hù)，之后會(huì)將處理后的流量通過(guò)路由原址送回給用戶(hù)。用戶(hù)可以實(shí)時(shí)自主選擇所需的安全能力。這種方式更加靈活、方便。

2 關(guān)鍵問(wèn)題與技術(shù)

2.1 流量調(diào)度與服務(wù)編排

傳統(tǒng)資源池使用基于策略的路由（PBR）進(jìn)行流量調(diào)度。針對(duì)運(yùn)營(yíng)商級(jí)別的大網(wǎng)流量牽引調(diào)度，該方式會(huì)占用路由條目項(xiàng)，配置繁瑣，速度慢，規(guī)模部署將難以維護(hù)。為使網(wǎng)絡(luò)與云池有機(jī)融合和統(tǒng)一調(diào)度，安全能力池采用了一種新穎的流量調(diào)度與服務(wù)鏈編排技術(shù)。在系統(tǒng)需要流量調(diào)度的情況下，資源池通過(guò)自主研發(fā)的Flowspec控制器來(lái)修改路由的下一跳地址，從而將流量牽引至距用戶(hù)最近的池子，進(jìn)而提供安全防護(hù)。流量進(jìn)入云池后，針對(duì)云資源池內(nèi)的原子能力編排，安全能力池使用基于IPv6 的段路由（SRv6）的端到端引流方案。資源池將原子能力所在虛擬機(jī)的IPv6 地址定義成實(shí)例化的段標(biāo)識(shí)（SID），通過(guò)操作不同的SID，實(shí)現(xiàn)路徑規(guī)劃。SRv6將128 bit的IPv6地址作為SID。如果段路由擴(kuò)展報(bào)文頭（SRH）封裝較多的SID，則會(huì)造成SRv6報(bào)文頭開(kāi)銷(xiāo)過(guò)大、傳輸效率低。針對(duì)該問(wèn)題，資源池利用SID包頭壓縮技術(shù)，在保持對(duì)128 bit SID 兼容的同時(shí)，刪除SID的冗余信息并將其壓縮為32 bit。壓縮后的方案中引入了SI字段來(lái)控制32 bit SID的目的地址更新。32 bit的壓縮方案在支持原有硬件設(shè)備的同時(shí)具有更高的傳輸效率和轉(zhuǎn)發(fā)性能。基于SRv6的服務(wù)鏈動(dòng)態(tài)編排技術(shù)效率是傳統(tǒng)編排方式的3倍。在傳遞相同大小的數(shù)據(jù)塊時(shí)，優(yōu)化后的編排相比于原SRv6，流量傳輸效率能提高約30%。

安全能力池通過(guò)實(shí)驗(yàn)驗(yàn)證了SRv6 端到端引流方案的有效性。在城域網(wǎng)某支持SRv6 的多服務(wù)邊緣設(shè)備（MSE）的節(jié)點(diǎn)上部署了1臺(tái)服務(wù)器并將其作為靶機(jī)。另外，在云安全池內(nèi)部署了2臺(tái)服務(wù)器，每臺(tái)服務(wù)器各虛擬化部署2臺(tái)虛機(jī)、1臺(tái)防火墻（FW）和1臺(tái)入侵防御系統(tǒng)（IPS）。每臺(tái)服務(wù)器宿主機(jī)系統(tǒng)采用開(kāi)源虛擬化路由器（VR），并接入所有虛擬FW和IPS。VR作為池內(nèi)與池外流量的錨點(diǎn)，也是SRv6路由調(diào)度策略的實(shí)施點(diǎn)。靶機(jī)與互聯(lián)網(wǎng)的流量交互通過(guò)MSE 與VR之間規(guī)劃的SRv6策略實(shí)現(xiàn)引流，實(shí)驗(yàn)環(huán)境如圖5所示。

▲圖5 引流測(cè)試環(huán)境

實(shí)驗(yàn)首先對(duì)SRv6 SID進(jìn)行規(guī)劃，每一個(gè)SID代表一個(gè)引流行為，如表1 所示。由于SRv6 的流量策略在頭端生效，因此將靶機(jī)的流量引入FW1 時(shí)，只需頭端多服務(wù)邊緣（MSE）設(shè)備通過(guò)SRv6策略將流量引入靶機(jī)，并將上行流量segment list 設(shè)置為A::1__C::1，下行流量segment list 設(shè)置為A::1__B::1。如需將流量引入IPS1，上行segment list 則設(shè)置為A::2__C::1，下行segment list 設(shè)置為A::2__B::1；如需將流量依次引入FW1、IPS1，上行segment list則設(shè)置為A::1__A::2__C::1，下行segment list設(shè)置為A::2__A::1__B::1。

▼表1 SID規(guī)劃

實(shí)驗(yàn)測(cè)試了流量編排能否按需穿過(guò)不同安全網(wǎng)元以及安全網(wǎng)元功能是否正常的情況。通過(guò)在FW1、IPS1 處進(jìn)行抓包，我們發(fā)現(xiàn)本方案可以實(shí)現(xiàn)基于SRv6 的云網(wǎng)融合的流量編排。通過(guò)防火墻訪(fǎng)問(wèn)控制技術(shù)（ACL）功能測(cè)試，我們發(fā)現(xiàn)安全網(wǎng)元可以在該場(chǎng)景下正常工作。

2.2 系統(tǒng)性能優(yōu)化升級(jí)

安全能力池將10余款安全能力的核心引擎、平臺(tái)管理、數(shù)據(jù)分析進(jìn)行解耦，融合微服務(wù)化、容器化等云原生技術(shù)，實(shí)現(xiàn)了從威脅監(jiān)測(cè)、威脅分析到威脅處置，以及威脅審計(jì)等全流程自動(dòng)化秒級(jí)聯(lián)動(dòng)?；贚ambda 大數(shù)據(jù)技術(shù)架構(gòu)，建立了統(tǒng)一的安全數(shù)據(jù)采集、分析、存儲(chǔ)、查詢(xún)和可視化能力，在保障平臺(tái)健壯性、易于水平擴(kuò)展等特性的同時(shí)，又滿(mǎn)足查詢(xún)的便利性，以及海量數(shù)據(jù)查詢(xún)的低時(shí)延。

另外，針對(duì)實(shí)際的業(yè)務(wù)中斷、運(yùn)行速度慢等問(wèn)題，本文給出以下兩個(gè)典型解決方案：

1）在對(duì)資源池進(jìn)行多線(xiàn)程壓力測(cè)試時(shí)，我們發(fā)現(xiàn)程序運(yùn)行速度遠(yuǎn)低于單線(xiàn)程。該問(wèn)題導(dǎo)致系統(tǒng)無(wú)法滿(mǎn)足實(shí)時(shí)性需求，用戶(hù)體驗(yàn)下降。通過(guò)分析發(fā)現(xiàn)，流量型原子能力存在內(nèi)存消耗大且訪(fǎng)問(wèn)具有隨機(jī)性的問(wèn)題。為了保證資源池系統(tǒng)穩(wěn)定同時(shí)提升用戶(hù)整體體驗(yàn)，方案引入大頁(yè)內(nèi)存技術(shù)。原始的小頁(yè)內(nèi)存通過(guò)頁(yè)表來(lái)定位真實(shí)的物理內(nèi)存空間，這使得中央處理器（CPU）在存取一個(gè)數(shù)據(jù)時(shí)，需要2 次訪(fǎng)問(wèn)內(nèi)存空間：第1 次訪(fǎng)問(wèn)頁(yè)表，然后根據(jù)頁(yè)表計(jì)算出物理內(nèi)存地址；第2次訪(fǎng)問(wèn)物理內(nèi)存地址。為了提高地址變換速度，操作系統(tǒng)會(huì)在高速緩沖存儲(chǔ)器中增設(shè)一個(gè)快表，來(lái)緩存部分經(jīng)常使用的頁(yè)表。這樣通過(guò)訪(fǎng)問(wèn)一次高速緩沖存儲(chǔ)器和一次內(nèi)存就可以完成地址映射，實(shí)現(xiàn)速度的提升。但對(duì)于資源池來(lái)說(shuō)，快表通常只能緩存幾百頁(yè)。如果頁(yè)很小而程序占用內(nèi)存很大，那么快表無(wú)法命中某頁(yè)表的概率很大，緩存功能就失去了效果。因此，資源池根據(jù)實(shí)際運(yùn)行情況，調(diào)整了頁(yè)的大小從而減少頁(yè)表項(xiàng)，這使得快表盡可能完全緩存頁(yè)表，從而提高程序性能。實(shí)驗(yàn)測(cè)得，大頁(yè)內(nèi)存在配置時(shí)采用對(duì)半配置原則效果較好。如果總內(nèi)存為512 GB，則分配256 GB 的大頁(yè)內(nèi)存。而當(dāng)每一頁(yè)大小為1 GB 時(shí)，系統(tǒng)性能最佳。經(jīng)過(guò)測(cè)試，當(dāng)安全能力池配置16 核32 GB 內(nèi)存的Web 應(yīng)用防火墻（WAF）時(shí)，大頁(yè)技術(shù)可將程序性能提升50%左右。

2）在安全能力池多類(lèi)型防護(hù)網(wǎng)元編排測(cè)試過(guò)程中，會(huì)出現(xiàn)某些業(yè)務(wù)中斷的現(xiàn)象。例如，下一代防火墻（NGFW）和WAF進(jìn)行流量編排時(shí)，出現(xiàn)流量經(jīng)過(guò)WAF后業(yè)務(wù)中斷的情況，如圖6 所示。客戶(hù)端將與傳輸控制協(xié)議（TCP）3 次握手的1 號(hào)包同步包（SYN）引流至NGFW，NGFW 再將SYN包轉(zhuǎn)發(fā)給WAF（如圖6中黑色箭頭），WAF接收到客戶(hù)端的SYN 后，直接向客戶(hù)端響應(yīng)同步包-確認(rèn)包（SYNACK）（TCP握手2號(hào)包，如紅色箭頭所示），客戶(hù)端接收到SYN-ACK后，發(fā)起ACK（TCP握手3號(hào)包）。當(dāng)ACK數(shù)據(jù)轉(zhuǎn)發(fā)到NGFW 時(shí)，此前NGFW 只轉(zhuǎn)發(fā)了1 號(hào)包SYN，而2 號(hào)包即WAF 代理響應(yīng)客戶(hù)端的ACK未經(jīng)過(guò)NGFW 轉(zhuǎn)發(fā)，因此當(dāng)客戶(hù)端發(fā)起的3號(hào)包到NGFW后，NGFW默認(rèn)不放行（如藍(lán)色箭頭所示）。這導(dǎo)致客戶(hù)端與服務(wù)器3 次握手無(wú)法建立，業(yè)務(wù)異常。因此，通過(guò)優(yōu)化TCP 握手的數(shù)據(jù)傳輸驗(yàn)證機(jī)制，解決了此業(yè)務(wù)中斷問(wèn)題。

▲圖6 多網(wǎng)元流量編排異常問(wèn)題示意圖

針對(duì)某些安全原子能力，例如堡壘機(jī)只能單租戶(hù)獨(dú)享問(wèn)題，安全能力池會(huì)深入其內(nèi)部結(jié)構(gòu)，實(shí)現(xiàn)了堡壘機(jī)SaaS化。

2.3 原子能力統(tǒng)一納管

安全能力池通常涵蓋大量資源池底座與多種原子能力。傳統(tǒng)資源池每引入一種新型原子能力都需要大幅度改動(dòng)系統(tǒng)，因此存在交付效率低、系統(tǒng)維護(hù)困難等問(wèn)題。安全能力池有上百個(gè)資源池、數(shù)千臺(tái)硬件服務(wù)器，原子化后的安全能力組合方式呈指數(shù)級(jí)增長(zhǎng)，因此如何快速納管安全原子能力以及不同云下的資源池成為系統(tǒng)能否高效運(yùn)行的關(guān)鍵。

針對(duì)以上問(wèn)題，安全能力池在安全能力管理平臺(tái)和底層資源池之間引入分布式高可用的安全業(yè)務(wù)中臺(tái)。中臺(tái)通過(guò)統(tǒng)一規(guī)范的接口為上層平臺(tái)側(cè)的擴(kuò)展提供便利，并面向多安全廠(chǎng)商異構(gòu)設(shè)備提供標(biāo)準(zhǔn)化接口，例如：《中國(guó)電信原子能力組件接口規(guī)范》將私有協(xié)議解耦，對(duì)南北向接口進(jìn)行標(biāo)準(zhǔn)化。建立這種網(wǎng)絡(luò)安全產(chǎn)品互聯(lián)互通的標(biāo)準(zhǔn)，使得安全能力池能夠?qū)崿F(xiàn)跨廠(chǎng)商安全原子能力的統(tǒng)一納管。所有廠(chǎng)商安全原子能力只要符合該標(biāo)準(zhǔn)，均可接入安全業(yè)務(wù)中臺(tái)。統(tǒng)一納管使得用戶(hù)無(wú)須關(guān)注底層架構(gòu)，這提升了業(yè)務(wù)的靈活性和高效性，打破了各廠(chǎng)商間安全設(shè)備難以互通的孤島形態(tài)，建立了可信任的安全聯(lián)動(dòng)體系。標(biāo)準(zhǔn)化接口規(guī)范的推進(jìn)和安全能力的適配，為云上安全可信生態(tài)的構(gòu)建奠定了基礎(chǔ)。接口規(guī)范目前已迭代至第5版。

3 安全能力池應(yīng)用

3.1 典型應(yīng)用場(chǎng)景

1）等級(jí)保護(hù)二級(jí)、三級(jí)認(rèn)證應(yīng)用場(chǎng)景

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)（后簡(jiǎn)稱(chēng)為等保）制度的要求，履行相應(yīng)的安全保護(hù)義務(wù)。中國(guó)各行業(yè)大量重要信息系統(tǒng)已經(jīng)或正在按照規(guī)定進(jìn)行等保定級(jí)備案并定期接受測(cè)評(píng)，等保合規(guī)應(yīng)用場(chǎng)景的需求不斷增多。針對(duì)上述情況，安全能力池通過(guò)提供“等保二級(jí)套餐”“等保三級(jí)套餐”等產(chǎn)品解決方案，為各個(gè)政企用戶(hù)提供安全咨詢(xún)、定級(jí)、備案、建設(shè)、測(cè)評(píng)和監(jiān)督檢查。例如：通過(guò)安全管理中心和NGFW、端點(diǎn)檢測(cè)響應(yīng)（EDR）、日志審計(jì)、堡壘機(jī)等安全原子能力，滿(mǎn)足用戶(hù)等保二級(jí)認(rèn)證的需求，并達(dá)到基礎(chǔ)安全防護(hù)的效果；在上述基礎(chǔ)上增加WAF、數(shù)據(jù)庫(kù)審計(jì)、漏洞掃描3項(xiàng)原子能力可滿(mǎn)足用戶(hù)等保三級(jí)認(rèn)證的需求。

2）用戶(hù)增加內(nèi)部安全防護(hù)能力場(chǎng)景

企業(yè)用戶(hù)希望增強(qiáng)內(nèi)部安全防護(hù)能力，保護(hù)內(nèi)部系統(tǒng)正常安全運(yùn)轉(zhuǎn)。針對(duì)這一人群，可通過(guò)網(wǎng)絡(luò)入侵防護(hù)、主機(jī)安全檢測(cè)和綜合審計(jì)這3類(lèi)安全原子能力來(lái)滿(mǎn)足用戶(hù)需求。首先通過(guò)網(wǎng)絡(luò)引流的方式將流量牽引至網(wǎng)絡(luò)入侵防護(hù)平臺(tái)，然后通過(guò)在主機(jī)上部署EDR 客戶(hù)端，進(jìn)行漏洞掃描、基線(xiàn)檢查以及病毒查殺，最后通過(guò)日志審計(jì)原子能力對(duì)各類(lèi)設(shè)備的日志進(jìn)行收集、解析和關(guān)聯(lián)分析，從而達(dá)到全方位內(nèi)部安全防護(hù)效果。

3.2 應(yīng)用案例

目前，安全能力池已投入生產(chǎn)應(yīng)用，為政府、金融機(jī)構(gòu)和云服務(wù)提供商等政企用戶(hù)提供了可定制、全面和深層次的安全防護(hù)服務(wù)，例如：某客戶(hù)公司互聯(lián)網(wǎng)出口使用簡(jiǎn)單堆疊式硬件安全防護(hù)，面臨硬件設(shè)備升級(jí)困難、維護(hù)成本高等問(wèn)題。另外，該客戶(hù)在將本地業(yè)務(wù)系統(tǒng)遷移上云過(guò)程中也存在新的安全挑戰(zhàn)。本文所提出的新型安全架構(gòu)，通過(guò)安全管理平臺(tái)調(diào)用了電信某省級(jí)安全能力池中的10 余種能力。流量型原子能力通過(guò)Flowspec控制器將流量從客戶(hù)公司網(wǎng)絡(luò)出口牽引至資源池，流經(jīng)池內(nèi)安全檢測(cè)和服務(wù)鏈自動(dòng)化編排后，再次回注到該公司出口；非流量型原子能力則直接使用資源池內(nèi)SaaS 化能力提供安全檢測(cè)或分析。最終，該安全能力池具備按需組合、流量編排等技術(shù)優(yōu)勢(shì)，為用戶(hù)提供了全面、縱深的安全防護(hù)能力，實(shí)現(xiàn)其云上等保三級(jí)需求，現(xiàn)網(wǎng)安全攻擊防護(hù)成功率高達(dá)99%。

4 結(jié)束語(yǔ)

本文提出了云網(wǎng)安一體化的安全能力池技術(shù)架構(gòu)。該架構(gòu)基于Flowspec 控制器與SRv6 技術(shù)實(shí)現(xiàn)了大網(wǎng)與資源池內(nèi)部流量的牽引調(diào)度和服務(wù)鏈編排，增強(qiáng)了整體防護(hù)性能，提高了流量編排效率；基于多云底座、跨廠(chǎng)商安全能力統(tǒng)一納管，實(shí)現(xiàn)了服務(wù)的按需組合，靈活擴(kuò)張；基于大頁(yè)內(nèi)存等技術(shù)，實(shí)現(xiàn)了資源池系統(tǒng)的性能的優(yōu)化。安全能力池為安全行業(yè)探索出一種高效、智能、穩(wěn)定的云安全防護(hù)服務(wù)模式。

未來(lái)，安全能力池可在兩個(gè)方向上進(jìn)行升級(jí)和迭代：

1）動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)與持續(xù)安全監(jiān)測(cè)。當(dāng)各個(gè)資源池內(nèi)部網(wǎng)絡(luò)安全邊界防護(hù)逐漸模糊時(shí)，需要改變傳統(tǒng)的邊界防護(hù)模式。針對(duì)這一問(wèn)題，可研究基于零信任的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)系統(tǒng)，確保安全能力的動(dòng)態(tài)授權(quán)訪(fǎng)問(wèn)與持續(xù)安全監(jiān)測(cè)，更好保證資源池內(nèi)部的安全性[11-12]。

2）提出面向云網(wǎng)融合的新型城域網(wǎng)技術(shù)方案。通過(guò)SRv6、以太虛擬專(zhuān)用網(wǎng)絡(luò)（EVPN）等新協(xié)議的支持能力，實(shí)現(xiàn)流量的自動(dòng)化調(diào)度和網(wǎng)絡(luò)的自動(dòng)化配置，解決流量轉(zhuǎn)發(fā)遲滯的問(wèn)題。