企業(yè)上云后的安全關(guān)切及解決之道

山東 張雨

國家實(shí)施云戰(zhàn)略，主要是克服各單位信息化設(shè)施和人員大而全、小而全，設(shè)備利用率低下、數(shù)據(jù)無法共享、軟件重復(fù)開發(fā)、安全沒有保障、企業(yè)的信息化成本愈來愈高的問題。

基于此，各級(jí)政府部門、企業(yè)集團(tuán)等紛紛推出云計(jì)劃、云方案等。由上級(jí)部門建設(shè)或統(tǒng)一租用云服務(wù)平臺(tái)面向本級(jí)和下屬企事業(yè)單位提供按需的云計(jì)算服務(wù)，以提高政府資產(chǎn)利用率，降低政府信息化投入成本。但是企業(yè)上云決不是一蹴而就的，尤其是其安全保障問題是不得不認(rèn)真考慮的。

云租戶擔(dān)心什么

云平臺(tái)建設(shè)完成后，多家單位的多個(gè)業(yè)務(wù)系統(tǒng)遷移上云。但作為業(yè)務(wù)系統(tǒng)擁有單位始終對(duì)自己的系統(tǒng)能否在云上安全穩(wěn)定運(yùn)行存在顧慮，并且一些上云的業(yè)務(wù)也確實(shí)陸續(xù)出現(xiàn)了一些這樣那樣的問題，用戶關(guān)心的問題概括起來主要有以下方面：

一是認(rèn)為自己的業(yè)務(wù)系統(tǒng)很重要，安全要求很高，不想和其他單位的系統(tǒng)混在一起。

二是認(rèn)為云平臺(tái)無法提供滿足自己安全需求的安全產(chǎn)品，不能讓其了解業(yè)務(wù)系統(tǒng)的防御狀態(tài)、安全日志等。

三是想知道自己的系統(tǒng)在云上是如何部署的以及業(yè)務(wù)流量如何。

四是擔(dān)心業(yè)務(wù)系統(tǒng)數(shù)據(jù)被云服務(wù)商非法竊取。

云安全存在的現(xiàn)實(shí)問題

用戶的擔(dān)心并非杞人憂天，確實(shí)有云平臺(tái)上就有業(yè)務(wù)系統(tǒng)遭受到了黑客攻擊的情況發(fā)生。這使得租戶上云的積極性受到影響。通過分析評(píng)估，認(rèn)為云的安全風(fēng)險(xiǎn)主要在以下幾個(gè)方面：

一是安全責(zé)任邊界不清晰：業(yè)務(wù)系統(tǒng)上云后沒有明確各參與方的安全職責(zé)，云租戶認(rèn)為運(yùn)營商會(huì)總體負(fù)責(zé)，而運(yùn)營商則認(rèn)為租戶會(huì)自行負(fù)責(zé)。另一方面，運(yùn)營商還負(fù)責(zé)部分運(yùn)維和運(yùn)營，導(dǎo)致雙方的安全職責(zé)劃分不清。

二是缺乏完善的云安全解決方案：由于虛擬化和大數(shù)據(jù)等新型技術(shù)的應(yīng)用，云上的網(wǎng)絡(luò)安全和自主保障時(shí)候的網(wǎng)絡(luò)安全情況差別很大，對(duì)云上的安全措施心里沒底。部分業(yè)務(wù)系統(tǒng)在云上基本沒有單獨(dú)定制防護(hù)措施，如果虛擬機(jī)之間的安全隔離防護(hù)不當(dāng)，則可能導(dǎo)致一個(gè)租戶的信息系統(tǒng)出現(xiàn)故障會(huì)影響其他租戶信息系統(tǒng)的安全運(yùn)行。

三是運(yùn)營商運(yùn)維壓力巨大：運(yùn)營商投入了大量資源配合租戶遷移業(yè)務(wù)系統(tǒng)的同時(shí)，也間接承擔(dān)了部分的運(yùn)維工作，上云結(jié)束后這部分工作再如何順利地移交到租戶那里成了難題。

四是缺乏全網(wǎng)態(tài)勢(shì)感知能力：大量的業(yè)務(wù)系統(tǒng)在云運(yùn)行，在業(yè)務(wù)集中的同時(shí)也導(dǎo)致了風(fēng)險(xiǎn)的集中。而且部分云運(yùn)營商缺乏技術(shù)手段，無法及時(shí)發(fā)現(xiàn)安全漏洞和安全事件，只能在發(fā)生安全事件時(shí)被動(dòng)地進(jìn)行應(yīng)急補(bǔ)救措施。

五是國家等級(jí)保護(hù)制度推行不到位：網(wǎng)絡(luò)安全法己明確規(guī)定信息系統(tǒng)需要滿足等級(jí)保護(hù)要求，云上業(yè)務(wù)系統(tǒng)也不例外。而上云以后無法有效地進(jìn)行業(yè)務(wù)系統(tǒng)邊界界定，云安全的等級(jí)保護(hù)無法推行。

解決方案探討

為了解決云的安全問題，促進(jìn)業(yè)務(wù)系統(tǒng)安全上云，經(jīng)過多方對(duì)比論證認(rèn)為，云提供商應(yīng)該用一個(gè)統(tǒng)一的安全管理平臺(tái)，打開這樣的控制平臺(tái)，就可以一目了然的看到云上整個(gè)安全策略的運(yùn)行情況和資產(chǎn)情況，可以對(duì)威脅進(jìn)行及時(shí)的響應(yīng)和處理，而不需要登錄到不同的平臺(tái)上去管理安全。如果能夠讓企業(yè)內(nèi)部的安全產(chǎn)品相互協(xié)同工作，這能在很大程度上節(jié)省企業(yè)的IT 開支，這種開支既包括人力成本，也包括產(chǎn)品成本。這就是為什么說統(tǒng)一的安全管理平臺(tái)才是企業(yè)最好的安全方案。

這種安全管理平臺(tái)主要是通過虛擬化技術(shù)將眾多安全產(chǎn)品能力集成起來，以服務(wù)的方式將各種安全能力提供給云租戶。既可通過一個(gè)層面解決不同的安全問題，滿足業(yè)務(wù)系統(tǒng)的多個(gè)安全需求，又能夠緊密結(jié)合服務(wù)鏈技術(shù)，實(shí)現(xiàn)安全資源靈活調(diào)度、動(dòng)態(tài)擴(kuò)展和按需交付，從而全面滿足上云業(yè)務(wù)對(duì)安全部署的要求。

該方案以“SaaS（安全即服務(wù)）+NFV（網(wǎng)絡(luò)功能虛擬化）”技術(shù)為依托，聚焦業(yè)務(wù)安全，靈活調(diào)度安全資源，具備可視、可控、安全資源自動(dòng)化部署、彈性擴(kuò)展等特點(diǎn)，可較好地滿足云平臺(tái)的安全防護(hù)需求。目前國內(nèi)網(wǎng)絡(luò)安全提供商已經(jīng)有類似方案，但不盡相同，購買時(shí)要注意從多方面進(jìn)行比較選擇。該防護(hù)方案具有以下特點(diǎn)：

一是彈性可擴(kuò)展安全平臺(tái)。通過服務(wù)鏈技術(shù)按需靈活調(diào)度業(yè)務(wù)流量，使安全資源的部署與物理網(wǎng)絡(luò)位置無關(guān)。基于硬件虛擬化技術(shù)，為虛擬設(shè)備獨(dú)立運(yùn)行提供資源保障，結(jié)合集群堆疊技術(shù)提供安全可靠的安全服務(wù)。系統(tǒng)全面兼容硬件和NFV 方式的安全平臺(tái)，安全資源可在線擴(kuò)容，業(yè)務(wù)運(yùn)行不受影響。

二是全面的安全防護(hù)服務(wù)能力。除防火墻、負(fù)載均衡、VPN 等基礎(chǔ)網(wǎng)絡(luò)安全服務(wù)，該平臺(tái)還具備云監(jiān)測功能，主要包括：網(wǎng)站的7×24小時(shí)監(jiān)測，如網(wǎng)站的漏洞、安全事件等，可實(shí)現(xiàn)對(duì)已上云和未上云網(wǎng)站的監(jiān)測；云防御，主要包括：Web 應(yīng)用防火墻、虛擬防火墻、虛擬IPS 等，可為云應(yīng)用系統(tǒng)提供完善的防護(hù)能力；云審計(jì)，主要包括：全網(wǎng)的流量審計(jì)和日志審計(jì)，通過大數(shù)據(jù)方法進(jìn)行安全分析；云合規(guī)，主要包括等級(jí)保護(hù)預(yù)測評(píng)服務(wù)，以及網(wǎng)頁防篡改、云數(shù)據(jù)庫審計(jì)、云堡壘機(jī)等服務(wù)，結(jié)合虛擬網(wǎng)絡(luò)隔離技術(shù)，全面滿足用戶安全等保合規(guī)建設(shè)需求。

三是安全可視化管理。可實(shí)現(xiàn)安全拓?fù)洹I(yè)務(wù)風(fēng)險(xiǎn)、安全合規(guī)等可視化管理，使安全運(yùn)維管理變得簡單。

四是安全業(yè)務(wù)自動(dòng)化編排部署。通過SDN（軟件定義網(wǎng)絡(luò)）與服務(wù)鏈技術(shù)的結(jié)合，可實(shí)現(xiàn)網(wǎng)絡(luò)和安全資源的一體化管理與調(diào)度。云數(shù)據(jù)中心安全業(yè)務(wù)部署所需的安全資源分配、業(yè)務(wù)流量調(diào)度和安全策略部署得以集中交付，實(shí)現(xiàn)安全業(yè)務(wù)的自動(dòng)化部署。

滿足運(yùn)營商的利益關(guān)切

該云安全方案充分考慮了云平臺(tái)和云租戶雙方的利益關(guān)切。可以做到：

一是及時(shí)掌握所有租戶業(yè)務(wù)的可用性。通過云安全管理平臺(tái)的大數(shù)據(jù)分析系統(tǒng)和可視化功能，展示了整個(gè)云平臺(tái)的所有租戶的網(wǎng)站應(yīng)用概況。通過此視圖可以讓云平臺(tái)建設(shè)方和運(yùn)營商了解整個(gè)云平臺(tái)到底有多少網(wǎng)站業(yè)務(wù)存活，有多少網(wǎng)站出現(xiàn)訪問異常。云運(yùn)營商可以針對(duì)網(wǎng)站出現(xiàn)的訪問異常情況進(jìn)行跟蹤，提供增值服務(wù)。

二是形成豐富的增值服務(wù)產(chǎn)品。采用云檢測、云防御、云審計(jì)方式，根據(jù)不同的要求提供不同的個(gè)性化服務(wù)，可按網(wǎng)站數(shù)、數(shù)據(jù)庫數(shù)、并發(fā)用戶數(shù)等指標(biāo)作為收費(fèi)依據(jù)，可以幫助云平臺(tái)的運(yùn)營商獲得豐富的增值服務(wù)產(chǎn)品，一方面可以讓云租戶有更豐富的安全產(chǎn)品選擇，另一方面也可以幫助云平臺(tái)盡快收回成本實(shí)現(xiàn)盈利。

三是可隨時(shí)了解所有租戶的業(yè)務(wù)安全狀況。通過平臺(tái)視圖可以了解整個(gè)云平臺(tái)所有租戶的業(yè)務(wù)安全狀態(tài)。例如：整個(gè)云平臺(tái)的安全漏洞類型和高危端口分布情況、有多少業(yè)務(wù)存在安全漏洞和安全事件、最新的安全事件取證分析、0day 漏洞的分布情況等，大大提升云平臺(tái)的應(yīng)急響應(yīng)能力。

四是云平臺(tái)防御動(dòng)態(tài)展示。通過云安全平臺(tái)的防御動(dòng)態(tài)展示功能，可以幫助云平臺(tái)了解自身的安全防御狀態(tài)。例如，云平臺(tái)建立了Web應(yīng)用防護(hù)清洗能力，通過此視圖就可以了解目前有多少用戶啟用了Web 防護(hù)，整個(gè)云平臺(tái)受到了哪些類型、哪些地方和哪些IP 的攻擊，提示云平臺(tái)及時(shí)采取有效措施。

五是高危漏洞影響快速評(píng)估。信息安全態(tài)勢(shì)瞬息萬變，每天都會(huì)有很多漏洞被發(fā)現(xiàn)、被利用，平臺(tái)可以幫助云平臺(tái)運(yùn)營商快速完成0day漏洞的分布情況等。

滿足云租戶安全關(guān)切

主要為云租戶提供定義安全策略，自助分析安全日志，自助部署安全產(chǎn)品的能力。

一是應(yīng)用防護(hù)效果一目了然。通過云安全運(yùn)營平臺(tái)的網(wǎng)站防御監(jiān)測視圖可以了解租戶已經(jīng)開通Web 防護(hù)的業(yè)務(wù)應(yīng)用狀態(tài)，也可以了解最新的攻擊動(dòng)態(tài)，包括攻擊國家排行、攻擊IP 排行和攻擊URL 排行等；還可以實(shí)時(shí)展現(xiàn)出網(wǎng)站的攻擊流量比例，隨時(shí)知道網(wǎng)站在全國各省的狀態(tài)。

二是運(yùn)行狀態(tài)清晰可控。通過提煉形成每個(gè)租戶的業(yè)務(wù)防護(hù)結(jié)構(gòu)圖，展示租戶相關(guān)應(yīng)用設(shè)備的運(yùn)行狀態(tài)，方便租戶查看和管理。

三是方便云租戶定制安全方案。在云平臺(tái)上傳統(tǒng)的安全防護(hù)設(shè)備都無法按照原始模式交付，如傳統(tǒng)的防火墻、IPS、WAF、日志審計(jì)等都無法在云平臺(tái)安裝。即使廠家按照軟件方式交付，也會(huì)存在日志和流量采集困難，無法達(dá)到防護(hù)策略的最佳效果、無法關(guān)聯(lián)分析等。本方案可以幫助云租戶以最小的成本和最便捷的方式開啟云上安全防護(hù)方案。