陳高輝 王小軍

隨著新一輪科技革命和產業(yè)變革興起，5G、人工智能、大數(shù)據(jù)、物聯(lián)網等新一代信息技術產業(yè)迅速崛起，當前企業(yè)都在以各種方式積極推進數(shù)字化轉型智能化發(fā)展，以強化信息化應用水平，提升智能化能力，促進管理運行自動化。云計算中心是信息化基礎設施，是支撐企業(yè)實現(xiàn)智能化發(fā)展的有效保障，而安全防護又是云計算中心建設運行的重要組成部分。本文分析軟件定義的安全技術在云計算中心安全防護中的作用，期待對企業(yè)云計算中心的安全建設起到借鑒作用。

一、云計算中心安全需求

云計算中心安全技術聚焦在計算資源池、網絡資源池和云管理平臺三個層面。云計算引入了虛擬化技術、云計算引擎、容器技術和云計算管理平臺，給主機和網絡帶來新的安全挑戰(zhàn)。

計算資源池安全保障：圍繞物理服務器、虛擬機化底層及虛擬機系統(tǒng)三個維度開展安全防護工作，首先實現(xiàn)主機層的惡意代碼防范。其次，需要關注上述三個維度的漏洞檢測及防護，避免類似虛擬機逃逸攻擊等惡性安全事件發(fā)生。同時，還應該在操作系統(tǒng)層面通過安全基線加固、安全漏洞加固、防暴力破解、防弱口令等各類安全手段實現(xiàn)防護效果。

網絡資源池安全保障：首先需要圍繞物理網絡和虛擬網絡實現(xiàn)惡意代碼的防范，其次需要關注在東西向流量和南北向流量的安全防護，即保障入云業(yè)務或VPC內部（東西向流量）及外部（南北向流量）的安全隔離、訪問控制、業(yè)務安全等，還需要實現(xiàn)在虛擬化環(huán)境下的安全策略跟隨。

云管理平臺安全保障：主要關注平臺安全，將云管理平臺當作平臺應用進行安全防護，即做好云平臺的訪問認證及授權控制，并對平臺設置安全基線。安全人員可通過漏洞的檢測和防護技術，從多維度對云平臺進行日志收集及審計操作，保障云平臺本身的安全。

容器安全防護：包括容器殺毒、容器配置核查等。

另外，考慮到全業(yè)務數(shù)據(jù)中心涉及自建云平臺，及后續(xù)混合云平臺，需要考慮多云環(huán)境下的統(tǒng)一云安全策略管理與執(zhí)行。

二、數(shù)據(jù)中心安全建設

（一）架構安全

按照數(shù)據(jù)中心網絡、主機和終端方面的情況，結合網絡安全等級保護2.0標準要求和數(shù)據(jù)中心數(shù)據(jù)安全防護要求，列出數(shù)據(jù)中心相關的架構安全風險差距分析表如表1。

（二）總體思路

數(shù)據(jù)中心面臨諸多安全問題，很難通過一般安全產品將數(shù)據(jù)中心面臨的所有風險解決。安全風險也是動態(tài)發(fā)展變化的，因此，解決方案也需要隨著數(shù)據(jù)中心的安全需求變化不斷完善和發(fā)展。與傳統(tǒng)模式相較，云計算的網絡安全需求并沒有什么變化，無論是信息的保密性、完整性、可用性，還是根據(jù)網絡層次劃分的從物理層到應用層安全，仍然都需要考慮。但云計算也帶來了新特點，制訂云計算數(shù)據(jù)中心信息安全方案時，應該充分考慮虛擬化的特點，系統(tǒng)地進行規(guī)劃，解決思路如下：

1.對數(shù)據(jù)中心進行安全域劃分，根據(jù)各區(qū)域的業(yè)務特性、技術特性以及安全需求進行對應的安全防護設計；

2.要充分考慮網絡層、操作系統(tǒng)層、虛擬化層、應用層以及數(shù)據(jù)層的安全防護需求，特別是虛擬化等新技術帶來的問題；

3.強調安全價值，實現(xiàn)預警、檢測、響應、溯源的閉環(huán)流程。

（三）軟件定義安全資源池

云環(huán)境的軟件定義云計算安全建設主要包括如下四個維度：

統(tǒng)一的云安全服務平臺：從云內、云的邊界、云的外部提供統(tǒng)一的安全威脅管理界面，打通威脅防護體系，建立一個面向威脅的快速服務平臺。實現(xiàn)安全產品分配、部署，以及安全策略、安全日志的統(tǒng)一管理。

可控可視的云內安全：著眼云內，提供云內安全可視、可控能力，圍繞業(yè)務系統(tǒng)建立云內安全邊界。從云內業(yè)務系統(tǒng)視角出發(fā)，構筑圍繞云內業(yè)務系統(tǒng)的“動態(tài)邊界”。

軟件定義的安全邊界：充分利用軟件定義安全，將安全資源池化、服務化能力，提供彈性、與原有安全互補的安全能力?？梢愿鶕?jù)業(yè)務需求，增加和擴容安全能力，打通各個安全組件的管理、日志，為安全服務平臺統(tǒng)一的威脅管理、安全態(tài)勢感知提供決策依據(jù)。

外部視角的云端能力：充分利用態(tài)勢感知云端安全能力，結合大數(shù)據(jù)、人工智能，提供安全監(jiān)測、預警。對云上部署的業(yè)務系統(tǒng)，從外部攻擊者視角出發(fā)，提供持續(xù)的安全響應和安全預警。

三、系統(tǒng)優(yōu)勢

軟件定義的云安全資源池應用X86服務器集群與計算、存儲、網絡虛擬化技術，構建軟件定義的安全能力中心。軟件定義安全能力由軟件定義的云邊界安全能力、安全應用市場、安全資源自助編排、安全區(qū)域劃分、所畫即所得的安全能力、統(tǒng)一安全運維、基于單業(yè)務系統(tǒng)的安全視角、統(tǒng)一的安全運營等組件構成。通過統(tǒng)一的門戶為云租戶提供可選擇的安全服務包，如：下一代防火墻安全應用、上網行為管理安全應用等，云租戶可按需申請并獲取這些應用。云租戶僅需要關注環(huán)境中安全資源池之上的業(yè)務安全，云服務商則負責安全設備的分配、各類安全信息源的收集和分析。安全應用能夠以鏡像的形式上傳到安全資源池管理平臺，然后被部署、驗證、運行和升級。安全設備的交付形態(tài)有很多，但邏輯上都會在安全控制平臺的管理下，形成各類資源池，具備相應的安全能力。

四、結束語

數(shù)據(jù)中心安全方案架構設計采用軟件定義安全的架構設計理念，從安全需求的角度出發(fā)匹配的云安全基礎架構，確保云安全資源池架構的可擴展性、靈活性和可演進性。同時，實現(xiàn)云安全設計和IT基礎架構松耦合，確保IT基礎架構對安全多樣性的支持和業(yè)務快速上線的支持。

作者單位：陳高輝 中國石油長慶油田公司數(shù)字和智能化事業(yè)部

王小軍 中國石油川慶鉆探工程有限公司長慶井下技術作業(yè)公司