企業云平臺安全防護的探索與實踐

◆陳飛 楊秋紅

行業與應用安全

企業云平臺安全防護的探索與實踐

◆陳飛1楊秋紅2

（1.中國電子科技集團公司第四十一研究所 安徽 233010；2.陸軍裝甲兵學院 安徽 233000）

基于企業數據的快速增長、業務范圍的日益拓展，借助互聯網建設和使用云平臺已是大勢所趨，但是企業云平臺卻面臨諸多實際應用問題，其中安全防護問題就是一個亟待解決的核心和關鍵問題。本文從企業云平臺安全現狀進行分析，立足網絡安全等級保護制度及其相關標準，重點從技術和管理兩個方面闡述了安全防護實踐，提出了一種云平臺技術防護辦法，對企業云平臺安全防護工作具有重要借鑒意義。

云平臺；安全管理中心；安全域

當前，信息技術快速發展，云計算技術更是日新月異。隨著中國“互聯網+”戰略的提出和深化，越來越多的企業擁抱互聯網，建設滿足自身需要的云平臺，打通了企業內外部壁壘，擴展了業務范圍，提質增效的同時更好地面向社會、面向世界實現企業可持續性發展。但是，企業云平臺為企業帶來諸多好處的同時，因其置身互聯網環境中，更面臨著嚴峻的安全問題，訪問安全、數據安全等成為制約其充分發揮作用的瓶頸。

在互聯網中雖沒有絕對的安全，但可以最大限度減少安全風險，合理規避風險，有效防范風險。本文立足網絡安全等級保護制度及其相關標準，結合工作實踐，考慮集團企業的業務需求，從技術和管理兩個方面論述如何開展企業云平臺安全防護，以期通過技術防護、管理防護等手段能夠在云平臺和互聯網之間建立堅實屏障，保障云平臺的安全。

1 企業云平臺存在的安全問題

企業在大面積“上云”的同時，一方面享受了云平臺帶來的巨大經濟效益，另一方也在承受著云平臺帶來的安全隱患，安全事故層出不窮。據統計，在各類型網絡安全事件中，云平臺的分布式拒絕服務攻擊次數占比超過50%，國內主流云平臺承載的惡意程序種類數量占境內互聯網承載的惡意程序種類數量的53.7%，各種數據表明云平臺已成為攻擊者的主要攻擊目標。觀其現象，究其根源，主要凸顯在以下兩個方面：

1.1 “裸奔”現象屢見不鮮

每戶人家都會為自己的家配備一把鎖，這是常識。但是，沒有安全防護的企業云平臺運行在互聯網上，卻又司空見慣、見怪不怪！這無異于“裸奔”。大量的云平臺安全事件表明，“裸奔”成為攻擊重點，因為攻擊它不需要耗費很多資源，所以成為攻擊者的首選。“裸奔”帶給企業的損失無法計量，數據泄露、網絡攻擊等等都成為企業不能承受之重。

“裸奔”的原因是多方面的、較為復雜，一方面是不知道如何不“裸奔”，云平臺對于很多企業來說是陌生的，它相對傳統的服務器平臺有較大差別，它需要的不僅是技防手段的更新換代，更需要知識的更新換代；另一方面是明知道“裸奔”卻心存僥幸，安全防護的投入是需要資金的，對于一部分企業來說，安全投入有別于經營投入，它難以有回報，讓經營者產生“打水漂”的錯覺，再加上“數據是資產”的意識不強，會產生對安全的無視，大有“互聯網這么多數據怎會偏偏就是我中招”的“僥幸心理”。

1.2 “敵人”來自內部

很多事例表明內部的“敵人”也是恐怖，形勢之嚴峻也是令人側目，永恒之藍等勒索病毒的肆虐無忌就是一個很好的例子。技防手段建立了、安全策略制定了、管理措施健全了……然而，這些一旦成為擺設、成為應付交差、成為面子工程，內部的“敵人”也就出現了，產生的危害無異于敞開大門任由小偷想來就來、想走就走。

究其原因也是多方面的，企業投入不夠、運維隊伍不完整、運維技術不具備、技防手段不掌握、安全策略不配置、管理措施不執行……安全防護是一個系統工程，它有短板效應，千里之堤、毀于蟻穴，絕非危言聳聽！

2 企業云平臺安全防護實踐

基于企業云平臺的重要性以及存在的問題，按照等保2.0相關標準和要求，結合云平臺的安全防護工作實踐，本文重點從技術防護實踐和管理防護實踐兩方面進行闡述。

2.1 云平臺安全防護技術實踐

通過研究GB/T 25070-2019中云計算等級保護安全技術設計框架，結合業務管理實際，建立了如圖1所示的云平臺技術防護模型，基于該模型建立了企業云平臺，為各層級企業提供服務。該模型主要有安全管理中心、各企業服務器區域和用戶區域等組成，建立了監管、預警、審計和追溯的有效機制，最大限度地實現了資源共享、網絡獨立、安全統管等目標。

如圖1所示的云平臺技術防護模型主要具有以下特點：

（1）獨立的網絡

云平臺按照管理區域不同，以互聯網出入口為邊界，建立云平臺內部網絡，實現與互聯網邏輯隔離，控制內部網絡訪問互聯網絡、互聯網絡訪問內部網絡，一定程度上實現云平臺內部網絡獨立。同時，內部網絡可以達到萬兆，有效規避互聯網帶寬的占用及限制。

（2）劃分安全域和VLAN

云平臺內部網絡按照不同的企業用戶、不同的職能劃分VLAN，建立安全域，明確劃分安全域邊界，實施邊界防護，控制VLAN間的訪問和數據流向，各企業之間數據相互隔離，在可控狀態下實現共享。同時，各企業服務器能夠與安全管理中心各安全系統進行通信，實現安全管控。

（3）建立統一的安全管理中心

云平臺中建立安全管理中心，對服務器安全、網絡安全和訪問安全實施統一管理，實現監管、預警、審計和追溯。通過負載均衡配置對互聯網帶寬進行按需分配，通過對防火墻等配置實現服務器指定端口、IP的訪問，保障性能和安全。同時，所有的服務器及設備的管理均通過堡壘機實施，實現了權限最小化單元，以及行為可控，對于重要變更，更會通知相關管理員授權實施，確保安全有效。

（4）設立唯一的、可控的互聯網出入口

云平臺中安全管理中心、各企業服務器區域中對互聯網的訪問均是可管可控，原則上只有企業服務器區域中應用服務器通過指定端口、IP對互聯網提供服務，安全管理中心中各安全系統根據升級和功能需要定期定時訪問互聯網，使整個云平臺對互聯網的訪問和提供服務口是唯一并且可控的。

（5）實施“應用-文件-數據”分離的部署方式

通過對信息系統的構成分析，將信息系統分為應用、文件和數據三部分，分別部署在三類服務器，通過指定端口、IP基于萬兆網絡進行通信。信息系統中文件和數據是至關重要的，相比而言應用的重要性和被攻擊損失相對較小，信息系統中僅通過應用服務器對互聯網提供服務，互聯網不能直接訪問文件和數據服務器，減少互聯網暴露面的同時很大程度上保障了信息系統數據資產安全。

圖1 云平臺技術防護模型

2.2 企業云平臺安全防護管理實踐

三分靠軟件，七分靠管理。管理的好與壞、粗與精，直接影響云平臺安全防護的質量。在具體的管理實踐中，形成了“上中下”三層管理機構和制度、策略、規程三級管理要求，相互聯動建立了長效的工作機制，有效地保證管理落地，很好地保障了云平臺安全防護工作。主要包括以下三個方面實踐經驗：

（1）建立“上中下”三層管理機構

“上中下”三層主要是指主要領導層、業務分管領導層、運維管理員層，構建三層機構，形成安全防護決策依托、工作依據和組織保障。安全防護是犧牲工作效率的，二者不可兼得，所以在推進過程中存在阻力是必然的。如何順利及時有效地開展，“一把手”的重視和參與是必不可少的。主要領導重視了，業務分管領導才能更及時有效地推進相關業務，運維管理員也才能更好地更順利地實施具體工作。

（2）制定制度、策略、規程三級管理要求

制度是從宏觀層面對安全防護工作進行規定和要求、對資源配置進行調整和配給、對崗位職責進行確定和落實；策略是安全防護的配置內容要求和需要達到的安全狀態；規程是從操作、執行和行為層面對運維管理員進行規范。三者層層遞進、相輔相成、不可或缺，與主要領導層、業務分管領導層和運維管理員層一一對應，使得安全防護工作有“法”可依、有“法”必依、執“法”必嚴、違“法”必究。

（3）強化運維隊伍的建設

一支高素質的運維隊伍是做好安全防護的必備條件，做好運維隊伍建設是安全防護工作的重要一環。為云平臺、各企業服務器區域配置管理員隊伍，實現運維隊伍分級管理，實施“放、管、服”，使云平臺都有人員參與運維、負責運維。為云平臺配備一級管理員，設置系統管理員、安全管理員和安全審計員；為各企業服務器區域配備二級管理員，設置系統管理員和安全審計員。按照不同的技術要求配備不同層次人才，做到云平臺的每個角落、每個功能模塊、每個安全區域都有崗有人、責任到人，做到安全共管、層層壓實。

3 結束語

本文通過對企業云平臺安全問題現狀的分析，并以此為導向，立足網絡安全等級保護制度及其相關標準，結合云平臺安全防護工作實踐，從技術角度提出了一種可行的云平臺技術防護模型，并從管理角度給出了實踐經驗。基于此，技術和管理雙管齊下，有效開展企業云平臺安全防護。

[1]陳益，白鷗，石銳. 試析中小網站入云安全防護可行性[J].信息安全等級保護技術大會優秀論文，2016增刊：22-25.

[2]信息安全技術網絡安全等級保護安全設計技術要求[EB/OL]，2019-05-10.

[3]李超. 信息系統安全等級保護實務[M]. 科學出版社， 2013.