彭先敏，楊 顯

（中通服咨詢設計研究院有限公司，江蘇 南京 210019）

0 引 言

云計算通過統(tǒng)一網絡靈活調用各類信息資源，實現(xiàn)資源的按需獲取、彈性擴容，并提供統(tǒng)一的運維管理等服務。隨著產業(yè)互聯(lián)網的快速發(fā)展和云計算相關技術的愈發(fā)成熟，各類企事業(yè)單位更多選擇將相關業(yè)務上云。云計算逐步成為企業(yè)、政務數(shù)字化轉型的基礎設施，為數(shù)字經濟發(fā)展提供技術底座。由于云計算的復雜性、開放性以及可伸縮性等特點，傳統(tǒng)的網絡安全技術無法完全保證云端業(yè)務系統(tǒng)的安全性。云計算的大量應用帶來了新的安全風險，并成為影響云平臺后續(xù)發(fā)展的挑戰(zhàn)之一[1]。

云安全的發(fā)展不同于云計算的“云-網-端”，而是以“端-網-云”的模式發(fā)展。從單機安全開始，最初以主機殺毒軟件為主。隨著互聯(lián)網的快速發(fā)展，網絡安全逐漸成為用戶關注的重點，同時出現(xiàn)了網關類安全產品，使網絡安全往縱深處發(fā)展，從局域網擴展到廣域網。在云計算的初期，云安全的發(fā)展相對滯后，依然以傳統(tǒng)網絡安全硬件產品為主，依賴其升級來適配云平臺的安全需求。在產業(yè)互聯(lián)網發(fā)展時期，云計算廣泛應用，促使云安全成為企事業(yè)單位業(yè)務上云關注的焦點[2]。云安全基于云計算的特性，同時匹配行業(yè)特征和業(yè)務屬性，提供定制化的安全服務[3]。

中國網絡安全的制度建設從1994 年國務院147號令到2019 年“等級保護2.0”標準的出臺逐步發(fā)展和完善。“等級保護2.0”將云計算作為新技術、新應用場景納入安全擴展要求，對云計算安全體系的建設、安全能力測評、安全管理等各方面都提出明確、規(guī)范且全面的要求[4]。由于政策導向、安全事件頻發(fā)、市場引導等多種因素影響，云服務提供商在云平臺安全防護方面加大投入，并構建安全服務生態(tài)圈，向用戶提供更加豐富、個性化的安全服務產品。

1 云平臺面臨的安全風險

1.1 云平臺自身安全風險

虛擬化技術是云計算區(qū)別于傳統(tǒng)互聯(lián)網技術（Internet Technology，IT）架構的技術之一。虛擬化的出現(xiàn)使很多傳統(tǒng)安全防護措施失效，如無法監(jiān)測與審計虛擬機之間的東西向流量[5]。若平臺本身存在安全漏洞，虛擬機可作為跳板發(fā)起網絡攻擊，或虛擬機通過平臺漏洞直接攻擊底層云平臺，導致出現(xiàn)信息泄露或者業(yè)務不可用的情況。云平臺的虛擬機會共享統(tǒng)一的硬件資源，出現(xiàn)某些虛擬機惡意搶占資源，影響云平臺正常提供服務。

1.2 虛擬化網絡安全風險

虛擬化的網絡結構使傳統(tǒng)的網絡邊界消失，如為實現(xiàn)云平臺業(yè)務的負載均衡，利用虛擬機漂移技術導致虛擬機的真實主機位置改變，造成邊界安全防護策略隨之變動[6]。若安全防護策略不能隨之漂移，則會出現(xiàn)安全漏洞。云平臺承載多租戶的業(yè)務系統(tǒng)，每個業(yè)務系統(tǒng)的安全防護等級和需求各不相同。常規(guī)的安全措施采用統(tǒng)一防護策略，導致高安全等級的業(yè)務系統(tǒng)無法得到安全保障。虛擬機之間未做到通信隔離，存在惡意虛擬機監(jiān)聽其他虛擬機運行狀態(tài)，實施拒絕服務（Denial of Service，DoS）攻擊，惡意占用資源等[7]。

1.3 虛擬機安全風險

云平臺的虛擬機由用戶控制。若虛擬機被惡意分子控制，則會出現(xiàn)搶占云平臺的計算、存儲、網絡資源，導致云平臺資源耗盡，整體癱瘓[7,8]。云平臺承載多個虛擬機，但對虛擬機進行操作的人員安全防范意識不一，若缺乏安全審計導致虛擬機感染病毒后進行非法操作，會利用云平臺漏洞獲得更高權限實施攻擊[7]。相比物理機，虛擬機鏡像以文件形式存在，但缺乏文件控制系統(tǒng)，存在易被篡改、鏡像回滾的風險。

1.4 數(shù)據(jù)安全風險

云計算應用普遍，各企事業(yè)單位選擇將關鍵業(yè)務上云，如政府涉及民生的信訪業(yè)務系統(tǒng)、企業(yè)涉及客戶信息的客戶關系管理（Customer Relationship Management，CRM）系統(tǒng)等。這些系統(tǒng)都包含一些敏感、不宜公開的數(shù)據(jù)，會面臨非法竊取和篡改，帶來數(shù)據(jù)完整性和保密性的風險。當數(shù)據(jù)完整性遭到破壞時，數(shù)據(jù)失真，其可用性將存在風險。在云計算環(huán)境下，數(shù)據(jù)都是碎片化存儲在不同的地方，在數(shù)據(jù)完整性遭到破化時無法進行整合，導致應用服務中斷，進而導致應用可用性風險[7]。為防止云端數(shù)據(jù)泄露、租戶越權違規(guī)數(shù)據(jù)操作、保持多版本數(shù)據(jù)一致性和完整性等，需要采取數(shù)據(jù)審計。但是，數(shù)據(jù)審計需要復制鏡像流量，存在敏感信息泄露風險[9]。

1.5 應用安全風險

應用上云后能夠實現(xiàn)資源共享，同時存在信息泄露風險。由于應用面對眾多使用者，每個用戶的使用需求和權限不同，需要對其身份進行統(tǒng)一認證和授權。若出現(xiàn)攻擊者竊取用戶身份信息，假冒合法用戶，則會出現(xiàn)篡改、竊取用戶數(shù)據(jù)的情況[6]。因此，身份竊取是應用上云的首要風險。云計算環(huán)境下，由于應用集中部署和邊界模糊，可能會出現(xiàn)單臺主機不可用，影響云平臺整體業(yè)務系統(tǒng)的可用性?？梢姡朴嬎悱h(huán)境帶來的可用性風險相比傳統(tǒng)物理機更大。云平臺部署各類Web 服務應用，易遭受惡意代碼攻擊，若不針對此類攻擊采取專門的防護措施，則易造成攻擊者利用Web服務作為跳板來攻擊云平臺其他業(yè)務系統(tǒng)的情況。

2 云平臺安全建設內容

針對當前云平臺面臨的安全風險和所處的復雜網絡環(huán)境，基于軟件定義安全的云安全管理平臺，通過底層虛擬化技術將安全組件進行軟件化，并以池化方式將各類安全組件進行集中化管控[10]。通過軟件定義網絡（Software Defined Network，SDN）技術實現(xiàn)對安全組件的服務編排能力，從而實現(xiàn)軟件定義安全[11]。云安全管理平臺包含云安全資源池、運營管理系統(tǒng)和安全運營中心（Security Operations Center，SOC）。

安全資源池可以為云上業(yè)務租戶提供彈性、靈活的云上安全服務。安全組件能力涉及租戶主干鏈路防護、旁路檢測防護以及安全運維管理等多個方面，防護范圍覆蓋網絡安全、主機安全、應用安全、數(shù)據(jù)安全，全面滿足云上租戶業(yè)務防護和安全等保合規(guī)的需求。

運營管理系統(tǒng)作為云安全管理員和租戶的統(tǒng)一管理入口，可為用戶提供安全資源的集中生產、管理、運維、策略控制以及服務鏈編排等服務。平臺采用微服務架構，功能模塊可彈性擴展，各模塊之間互相隔離、互不影響。各模塊之間的重啟和重載不影響主進程的活動，各類安全功能通過平臺服務目錄形式為租戶進行展現(xiàn)，租戶可以按需選擇自己在云中需要的安全資源。云安全管理平臺開放南向接口，可將第三方安全網元接入資源池，打造良好的云平臺安全生態(tài)圈，為用戶提供更具個性化、貼合實際需求的安全建設內容。

云平臺SOC 能夠收集、過濾、格式化、歸并、存儲各種多源異構數(shù)據(jù)源產生的信息，并提供諸如模式匹配、風險分析、異常檢測等能力，使用戶實時監(jiān)控和管理整個云平臺的運行狀態(tài)，對各種資產（主機、服務器、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、Web 應用防護系統(tǒng)（Web Application Firewall System，WAF）等）進行脆弱性評估，分析、統(tǒng)計和關聯(lián)各種安全事件，從多維度安全分析和評估云平臺的網內資產，并流程化處理安全運維工作，提高發(fā)現(xiàn)安全事件并及時處理響應的能力。同時，通過知識積累和完善系統(tǒng)運維，不斷加強和完善網絡的安全防護能力、攻擊發(fā)現(xiàn)及應急響應能力。

在實際建設過程中，云安全管理平臺的安全資源池組件和云SOC 可根據(jù)用戶需求選建。

3 云平臺安全建設方案

以某市政務云平臺安全建設為例，該市的政務云是多云混合的建設模式，云平臺承載近40 家委辦局的200 多個業(yè)務系統(tǒng)。各類云租戶和業(yè)務系統(tǒng)的安全建設需求不同，因此云平臺的安全建設從邊界安全防護、主機安全及云管理平臺安全等方面入手。平臺需要保障云平臺自身安全，在此基礎上為多云混合建設政務云，集約化建設池化安全資源，保障基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service，PaaS）、軟件即服務（Software as a Service，SaaS）等主要業(yè)務的安全性，形成為云租戶按需提供安全服務的能力。具體云平臺安全建設架構如圖1 所示。

圖1 云安全架構設計

3.1 云安全基礎平臺

根據(jù)業(yè)務系統(tǒng)特點，將云平臺邏輯上劃分為多個安全區(qū)域，并為每個區(qū)域部署相應的邊界防護措施。針對云管理平臺，需強化云管理安全和虛擬平臺安全。邊界防護重點落實訪問控制、入侵防范、惡意代碼防范等技術措施。虛擬平臺安全重點實現(xiàn)平臺操作審計，防止虛擬機逃逸。云管理安全實現(xiàn)管理端的訪問控制、身份認證和安全審計，確保平臺管理流量與云服務用戶業(yè)務流量分離[12]。

3.2 云安全資源池

云安全資源池底層基于虛擬化技術將物理服務器整合形成邏輯資源池，從而提供各類安全能力來滿足云上業(yè)務系統(tǒng)的安全需求。頂層統(tǒng)一通過軟件編程的方式進行智能化、自動化的業(yè)務編排和管理，在完成相應安全功能的同時，實現(xiàn)靈活的安全防護。

通過云安全資源池，可為各委辦局提供安全接入服務、基礎防御服務、Web 防御服務、應用交付服務以及運維審計服務等安全組件，以服務化的形式交付給租戶，幫助租戶滿足等保合規(guī)要求和業(yè)務安全需求。云安全資源池建設如圖2 所示。

圖2 云平臺安全建設示意

4 結 論

針對目前云平臺的網絡安全建設現(xiàn)狀、特性和安全需求，提出集約化建設云安全管理平臺，可對單一云平臺和多云混合建設的云平臺提供有效的云上安全防護。但是，網絡安全建設的實踐性較強，新的安全風險層出不窮，網絡安全防護技術也在不斷更新迭代。因此，云平臺的安全防護手段需要在實際應用過程中不斷驗證和加強，確保為業(yè)務系統(tǒng)穩(wěn)定運行構建一個安全可控的云平臺。