云架構下的自然資源云安全防護實踐

汪 敏，勞志修，朱 劍，黎國光，趙 磊，林 源

（1.自然資源部國土空間大數據工程技術創新中心廣西分中心，南寧 530028；2.廣西壯族自治區自然資源信息中心，南寧 530028）

0 引言

隨著以虛擬化、容器化為代表的云計算環境快速發展，越來越多的政府部門逐步將業務遷移至云端，政務信息化系統呈現傳統服務器技術、虛擬化技術、云原生技術等綜合要素構建的云環境新面貌。同時，混合的形態也帶來了區別于傳統網絡架構的安全風險。例如，云環境的邊界隔離措施失效、主機防護效率低下、云架構持續開發與運行模式不安全等問題。

廣西自然資源云在架構不斷更迭的過程中，通過引入基于軟件定義網絡（software defined network，SDN）的“東西向”流量定向檢測措施，在虛擬化環境中構建了虛擬網絡邊界，實現了虛擬主機之間的訪問控制、主機加固和應用層攻擊防護。本文從虛擬化和容器技術各自的特點出發，分別針對傳統基于虛擬機管理器（Hypervisor）的虛擬化架構及容器的云原生架構，探討存在的安全風險，提出一種行之有效、覆蓋相對完整的安全防護思路，并進行了具體實踐。

1 云架構下的安全問題分析

根據不同的應用需求，政務云往往會采用不同的云計算技術部署業務系統。例如，對于需求變更頻繁、功能迭代周期短的各類小型業務，基于容器技術的云原生架構敏捷、高彈性、資源池特點實現應用的快速開發和部署上線。基于Hypervisor 的虛擬化則可以提供完整的操作系統層[1]，方便部署與操作系統關聯性強（如.NET 需要大量調用操作系統的動態鏈接庫）、邏輯較復雜、進程關聯性強、中央處理器響應要求高的一些業務。……