新形勢下云安全建設研究

趙立農 曹 莉 鄧秘密

(中國移動通信集團重慶有限公司 重慶 401121)

(zhaolinong@cq.chinamobile.com)

1 引 言

1.1 研究背景

云計算是21世紀10年代一種很熱門的技術，并且得到了非常快速的發展.而虛擬化技術作為云計算的關鍵技術之一，在云計算蓬勃發展這個外因的驅動下也正迅速地發展.虛擬化技術在資源的動態調配、有效利用以及高可靠性這3個方面比直接使用物理平臺具有非常大的優勢[1].

近年來網絡安全問題呈現日益嚴重的趨勢，因為信息泄露、信息遭受破壞等帶來的損失越來越令人觸目驚心，在這種大的形勢下，網絡安全的重要性被提到了前所未有的高度.

安全設備的投入代價通常是較高的，而大企業隨著安全建設的要求不斷提高，企業為了保護IT資產，通常投入很多資源采購安全設備，建立安全防護體系，但是安全防護設備獨立部署，能力分散，無法形成合力.

目前采用傳統的安全防護手段提供出口南北向的安全防護，缺失虛擬化特有安全防護能力.云計算引入了新的風險，東西向流量的安全問題成為主要威脅[2].

1.2 研究現狀分析

1) 云安全產品缺乏統一管理

與傳統環境下安全防護都由硬件設備組成不同，云環境下由傳統硬件和虛擬化產品組成；傳統環境中可以通過運維管理系統、安全管理中心等對安全設備進行統一管理，但是仍沒法解決不同廠家安全設備的策略、管理統一調度的問題，多數的安全設備還需要各自登錄設備進行操作管理.而云環境下面臨虛擬化、物理安全設備，如何進行統一的管理也成為新的問題[3].

2) 安全責任邊界界定不清

傳統環境中網絡邊界明確，對于安全責任的界定可以通過運維合同中的條款進行描述，一般遵循誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚.云計算環境下，不同的服務和部署模式增加了租戶和平臺交互的復雜性，同時也增加了云上信息系統與云計算平臺的責任界定難度.

3) 用戶與平臺安全邊界不清

傳統環境中由平臺整體提供了從物理網絡到應用層的安全防護能力；但隨著云計算技術和應用的不斷發展，伴隨著業務需要，客戶需要定制化的、自主可控的安全服務，實時了解掌握自身業務系統運行的安全狀態，并根據自身需要和安全風險調整安全策略.

網絡信息安全等級保護、云計算安全服務能力等相關制度規范也明確用戶和平臺都需要承擔相應的安全風險和責任.

4) 云安全缺乏有效監督

云計算環境下，用戶業務系統、數據、操作行為等都存放于云端；云計算平臺安全也由云平臺負責；那么如何保障這些海量數據在云平臺上的安全也成為新的問題[4].

5) 云計算不可避免的虛擬化安全

部署在物理網絡中的安全設備無法察覺虛擬化主機之間的交互，自然也無法提供相應的防護能力；虛擬主機之間、虛擬主機與宿主機之間以及虛擬網絡自身都面臨外部和內部層出不窮的攻擊；傳統的網絡安全設備無法解決虛擬化安全問題.虛擬化形式的安全防護能力已成為云計算安全的當務之急[5].

2 設計思路

為配合云項目的建設，在云內搭建一套符合企業云環境的安全解決方案.云安全解決方案要能匹配云環境，并能適應以后云環境的發展的基礎上適當獨立.

因此，針對安全防護體系建設需求，本文提出的云安全管理平臺的設計思路如下：

1) 與云環境的適配.云安全資源池方案能夠很好地與已有的云環境兼容，無需過多改動.解決傳統云安全解決方案落地難的問題，保證項目的準時交付.

2) 平臺可運營.所有安全設備部署在安全資源池內，按照用戶的訂購關系進行增減、擴容、續費,而無需擔心安全設備的具體位置.云平臺建設方可以對租戶的購買行為進行管理.雙方安全責任清晰.

3) 提供立體的防護能力.安全資源池能夠提供的組件其豐富程度決定了租戶網絡安全系數，只有提供從邊界安全到主機內部安全整體的防御能力才能補足安全的短板.

3 架 構

3.1 技術架構

云安全管理平臺技術架構將采用軟件定義安全(SDS)的架構，其原理是通過將安全數據與控制平面的分離，對物理及虛擬的網絡安全設備與其接入模式、部署方式、實現功能進行解耦，底層抽象為安全資源池里的資源，頂層統一通過軟件編程的方式進行智能化、自動化的業務編排和管理，以完成相應的安全功能，從而實現一種靈活的安全防護.

整個架構主要分為3層，分別是資源層、平臺層、安全應用層：

1) 資源層

資源層包括計算、存儲、網絡等基礎物理資源，通過一系列的虛擬化技術，在該物理基礎設施的基礎上，提供給統一安全架構進行資源使用.該物理基礎設施又按照統一的規格標準來部署[6].

為適應項目的實際需求，安全資源池內的安全設備采用虛擬化技術按需生成相應的安全設備實例.

① 安全資源池

提供安全資源獨占的物理安全節點，通過虛擬化技術，每個安全節點運行代理軟件，通過在該節點上生成虛擬安全設備實例并獨立進行管理，形成安全資源池.安全資源池通過引流與流量復制系統來獲取到云平臺中計算節點的流量[7].

圖1 功能架構

② 硬件資源

要求對接硬件資源對整個云環境邊界進行安全防護，實現南北向流量的整體防護，實現資源的靈活調度.

2) 平臺層

安全服務平臺要求部署2個模塊：一是安全運營管理平臺，實現安全設備實例管理以及安全業務管理；二是云管理平臺和SDN網絡控制器.云管理平臺主要實現對云計算環境的管理.SDN網絡控制器主要實現業務網絡、管理網絡等相關網絡功能設計.

3) 安全應用層

安全應用層由模塊化、可擴展的安全應用組成，安全應用利用控制層提供的北向接口，以及安全運營管理平臺存儲的相關數據，提供一系列安全管理控制功能供租戶使用.可以構成安全服務由租戶來選擇和訂購.

3.2 功能架構

云安全管理平臺通過安全資源池為云環境提供統一的云安全服務，云安全管理平臺統一管理部署在安全資源池內的各種安全設備，并面向云計算的租戶和管理員提供租戶管理、自服務、訂單審批、安全策略配置等功能.其功能架構如圖1所示.

云安全管理平臺為云租戶和云運維管理人員提供一個服務平臺，實現租戶在線安全服務申請、自定義安全策略配置、統一設備管理、統一日志收集展現的功能.同時可以為平臺運營人員實現安全服務的服務目錄配置、服務申請審批、租戶創建等功能.

安全資源池為所有租戶申請的安全服務提供運行環境，安全資源池建立在獨立硬件環境上與已有的云平臺完全解耦，可以與多種云平臺實現共存.租戶申請的安全服務以虛擬化NFV設備的形式運行在安全資源池內，不同的租戶之間通過2層vlan實現邏輯的隔離.安全資源池集成豐富的安全組件供用戶使用.

主要組件及其功能：

1) 安全資源池.對接各種已有的虛擬化的安全設備，本期主要實現虛擬化下一代防火墻、虛擬化Web應用防火墻、入侵檢測等，各種安全設備根據用戶的請求創建，并由云安全管理平臺統一管理.

圖2 流量可視化編排技術

2) 云安全管理平臺.運行在云環境之上，可實現對各種安全組件創建、刪除、授權激活、日志收集,實現自動化的管理.并為系統用戶提供諸如租戶管理、自服務等功能.

3) 管理門戶.云安全管理平臺的門戶，根據不同的角色登錄后展示不同的管理界面.支持系統管理角色和租戶角色.

4 功能介紹

1) 云安全管理平臺

運行在云環境中，可實現對各種安全組件創建、刪除、授權激活、日志收集，實現自動化的管理，并為系統用戶提供諸如租戶管理、訂單審批、自服務等功能.云安全管理平臺門戶，根據不同的角色登錄后展示不同的管理界面，支持系統管理角色和租戶角色，通過賬號的隔離實現權限的最小化管理.

2) 安全組件

各種虛擬化的安全產品,包括:虛擬化防火墻、虛擬化Web應用防火墻、虛擬化防病毒網關、虛擬化上網行為管理、虛擬化主機安全防護、態勢感知、日志審計等，各種安全產品根據用戶的請求創建，并由云安全管理平臺統一管理.

3) 安全資源池

主要部署在裸金屬X86硬件上，提供部署各種虛擬化的安全虛擬機.通過云安全管理平臺，可以在安全資源池上創建虛擬機，同時編排安全服務鏈.安全資源池支持一體機形式部署，同時支持通過增加擴展節點的方式形成集群.

4) 第三方平臺(外部系統)

云安全管理平臺保持開放、兼容的策略，可以與第三方的云管理平臺對接，實現統一的用戶認證，租戶、賬號、資產數據同步.能夠通過統一的用戶登錄和數據同步，優化用戶使用流程.

5)情報中心(外部系統)

從安全共享體系獲取的攻擊者信息、攻擊方法手段、攻擊目標等重要信譽信息，通過情報中心可以將信譽情報下發到用戶安全防御設備.

5 關鍵技術

5.1 流量可視編排技術

系統支持根據不同安全等級需求進行安全域劃分，同時針對不同安全域間的防護創建不同的服務鏈.

如圖2所示，互聯網域與互聯網接入域之間創建vWAF,vFW和vIPS的防護服務鏈1，與此同時安全域2與安全域3之間則可以創建與防護服務鏈1不沖突且不同的防護服務鏈2，其中防護服務鏈2包括vFW和vIPS，以此實現不同安全需求的互相隔離的安全環境與防護策略[8].

5.2 安全資源池技術

將傳統IPS、WAF等防護設備虛擬化，通過策略路由、SDN引流等方式將流量牽引至云安全資源池，并依照能力運營中心的管理要求提供安全服務管理接口，如服務注冊、服務目錄、租戶管理、統一認證等，在能力運用中心上提供面向租戶的服務市場，供租戶訂購與使用，實現基于租戶的產品化、自助式的安全按需自服務，如圖3所示[9].

5.3 SDN分流技術

目前云安全資源池實現落地的最為核心關鍵主要為如何實現流量牽引，采用引流方案主要有2種：基于云管平臺SDN控制器引流和傳統交換機策略路由，如圖4所示.

1) 基于SDN的策略路由和服務鏈組網方案

在針對有SDN網絡的云環境時(如華為云、H3C云等)，可以通過調用SDN網絡的接口API實現基于安全域的策略路由引流，引出的流量與云安全資源池進行雙向的數據交換，從而實現基于SDN的策略路由和服務鏈組網方案[10].

圖3 安全資源池

圖4 SDN分流技術

2) 基于傳統交換機的策略路由服務鏈方案

在針對有物理交換機網絡的云環境時(如純OpenStack,VMWare等)，可以通過在核心交換機處配置策略路由實現引流，引出的流量與云安全資源池進行雙向的數據交換，從而實現基于傳統交換機的策略路由和服務鏈組網方案[11].

6 總 結

云安全管理平臺通過云計算、微服務、自動化編排等技術，幫助企業降低了安全建設門檻.通過云安全管理平臺，能夠使云上業務更加安全，運維人員能夠更快速、準確地查看到網絡安全能力的調用情況以及發生的安全事件，對云上整體安全狀態做到實時掌控，對于安全事件可以做到快速響應、準確定位，提高企業整體網絡安全的運維水平.

云安全管理平臺致力于打造一個一站式云安全生態平臺.依托于云原生安全、彈性、可擴展、多租戶、池化、自助等特點.為用戶實現安全能力的服務化.有效提升用戶的安全運維效率，簡化運維成本.不僅可以滿足私有云政企云資源池客戶多場景下的安全痛點需求，還可以滿足多業務的等保合規建設.在等保、護網、安全運營建設等場景下均可按需滿足用戶需求.通過高效易用的申請、審批、編排、配置安全組件等關鍵模塊，有效解決客戶在主機、網絡、應用、數據、管理、創新等方面的安全訴求.