基于容器化微服務(wù)的安全中臺(tái)架構(gòu)設(shè)計(jì)

趙予汐

（國(guó)家廣播電視總局廣播電視衛(wèi)星直播管理中心，北京 100866）

1 引言

目前廣電傳統(tǒng)播出機(jī)構(gòu)逐步開(kāi)展廣播電視系統(tǒng)IP化改造，并對(duì)配套的管理系統(tǒng)進(jìn)行云化改造，同時(shí)陸續(xù)誕生了多個(gè)廣電大數(shù)據(jù)平臺(tái)。伴隨新技術(shù)、新應(yīng)用的落地，廣播電視系統(tǒng)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形勢(shì)愈加嚴(yán)峻。由于廣播電視系統(tǒng)重要的宣傳屬性，更容易吸引高級(jí)別、規(guī)模化、組織化甚至國(guó)家級(jí)的網(wǎng)絡(luò)攻擊，所面臨的安全風(fēng)險(xiǎn)和威脅更加復(fù)雜和多樣性。另外，隨著廣電行業(yè)業(yè)務(wù)形態(tài)更新迭代，廣播電視系統(tǒng)對(duì)外暴露面不斷擴(kuò)大，進(jìn)一步增加了遭受網(wǎng)絡(luò)攻擊的可能性。因此，加強(qiáng)廣播電視系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力勢(shì)在必行。

現(xiàn)有的廣播電視系統(tǒng)通常已經(jīng)滿(mǎn)足了等級(jí)保護(hù)的有關(guān)要求，配備了常規(guī)的網(wǎng)絡(luò)安全軟硬件設(shè)施。但是在業(yè)務(wù)系統(tǒng)升級(jí)改造的同時(shí)，傳統(tǒng)的安全防護(hù)架構(gòu)已經(jīng)出現(xiàn)不適配新型業(yè)務(wù)架構(gòu)的情況。并且廣播電視系統(tǒng)中存在子系統(tǒng)獨(dú)自規(guī)劃、獨(dú)立建設(shè)的情況，配套安全設(shè)施獨(dú)自建設(shè)，安全能力無(wú)法復(fù)用。安全中臺(tái)能夠?qū)⒎稚⒌陌踩芰M(jìn)行融合，以統(tǒng)一框架和規(guī)范來(lái)快速集成新建的安全設(shè)施，快速響應(yīng)業(yè)務(wù)發(fā)展對(duì)安全能力的彈性化需求。

2 安全中臺(tái)建設(shè)的意義

在傳統(tǒng)的廣電系統(tǒng)升級(jí)迭代的過(guò)程中，出現(xiàn)了一系列的網(wǎng)絡(luò)安全問(wèn)題。本文列舉其中部分問(wèn)題，并探索利用安全中臺(tái)解決該問(wèn)題的方案。

（1）業(yè)務(wù)架構(gòu)變更導(dǎo)致安全設(shè)施不適配

越來(lái)越多的廣播電視系統(tǒng)在開(kāi)展業(yè)務(wù)云化建設(shè)，以公有云、私有云、混合云等方式促進(jìn)業(yè)務(wù)靈活擴(kuò)展、提升資源利用效率。容器化、微服務(wù)等技術(shù)逐步落地應(yīng)用。業(yè)務(wù)架構(gòu)的變更，導(dǎo)致原有的安全設(shè)備不能很好的適配新型業(yè)務(wù)架構(gòu)。這時(shí)可能會(huì)在原有的安全體系之外新建一套基于云環(huán)境的安全設(shè)施，不僅一定程度上造成了資源浪費(fèi)，還使安全管理工作更為復(fù)雜。

（2）新的業(yè)務(wù)系統(tǒng)獨(dú)立建設(shè)導(dǎo)致安全資源浪費(fèi)

廣播電視系統(tǒng)的建設(shè)是一個(gè)長(zhǎng)期的過(guò)程。各個(gè)子系統(tǒng)在規(guī)劃和建設(shè)時(shí)，為了減少不必要的系統(tǒng)外聯(lián)，經(jīng)常獨(dú)立規(guī)劃并建設(shè)配套的安全設(shè)施。例如為新建系統(tǒng)配備獨(dú)立的入侵檢測(cè)、運(yùn)維審計(jì)、日志審計(jì)、訪問(wèn)控制等安全設(shè)施。子系統(tǒng)建成后，新舊安全設(shè)備并行運(yùn)行。這種建設(shè)思路下，每套安全設(shè)備可能并未發(fā)揮最大的價(jià)值。

（3）安全數(shù)據(jù)無(wú)法有效整合

在當(dāng)前嚴(yán)峻的安全形勢(shì)下，網(wǎng)絡(luò)安全管理和防護(hù)必須具有越來(lái)越高的水平。目前網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)標(biāo)準(zhǔn)規(guī)定要建設(shè)態(tài)勢(shì)感知、自動(dòng)化編排、流量分析等具備一定統(tǒng)計(jì)分析能力的安全設(shè)施。此類(lèi)分析平臺(tái)種類(lèi)繁多，功能各異。在建設(shè)過(guò)程中，需要與原有的、以安全管理中心為核心的安全體系進(jìn)行充分融合。可能由于定制化程度不高、兼容性不夠等問(wèn)題，導(dǎo)致融合效果不佳。不僅使得安全數(shù)據(jù)不能有效整合，也不利于未來(lái)建設(shè)新的安全設(shè)施融合應(yīng)用。

安全中臺(tái)能夠基于標(biāo)準(zhǔn)的協(xié)議和流程，將現(xiàn)有的安全資源和安全能力進(jìn)行整合，為業(yè)務(wù)應(yīng)用提供靈活的、快速響應(yīng)的安全服務(wù)，能夠降低安全集成成本、提高安全資源利用率。安全中臺(tái)的建設(shè)能夠有針對(duì)性的解決上述問(wèn)題，能夠?qū)崿F(xiàn)從“安全運(yùn)維”到“安全運(yùn)營(yíng)”的轉(zhuǎn)變。

3 安全中臺(tái)架構(gòu)設(shè)計(jì)

安全中臺(tái)與業(yè)務(wù)中臺(tái)、數(shù)據(jù)中臺(tái)相類(lèi)似，是將安全能力進(jìn)行整合并提供標(biāo)準(zhǔn)化、規(guī)范化的安全能力的一種形式。微服務(wù)和容器是現(xiàn)在系統(tǒng)建設(shè)經(jīng)常使用的技術(shù)［1］。微服務(wù)能夠獨(dú)立發(fā)布和跨平臺(tái)獨(dú)立部署，而容器也是跨平臺(tái)、可以獨(dú)立運(yùn)行的執(zhí)行單元，所以微服務(wù)可以將容器作為自己的運(yùn)行載體［2］。利用微服務(wù)的高內(nèi)聚、松耦合、強(qiáng)自治性的特點(diǎn)，將安全功能解耦后分散到微服務(wù)之中，降低安全系統(tǒng)的耦合性，實(shí)現(xiàn)解耦上云和容器化，構(gòu)建容器化安全中臺(tái)。

基于中臺(tái)化思想，將安全中臺(tái)作為構(gòu)建安全能力體系的能力中樞，對(duì)接并整合存量的多種安全能力，同時(shí)基于安全中臺(tái)以安全即服務(wù)的方式為新應(yīng)用按需提供安全能力，實(shí)現(xiàn)智能決策、自動(dòng)化處置和集中管控［3］。

本文設(shè)計(jì)的安全中臺(tái)架構(gòu)包括基礎(chǔ)設(shè)施、安全中臺(tái)、安全應(yīng)用等三個(gè)層面，總體架構(gòu)如圖1。

圖1 安全中臺(tái)架構(gòu)設(shè)計(jì)

其中，安全基礎(chǔ)設(shè)施層包含資產(chǎn)庫(kù)、網(wǎng)絡(luò)流量、安全設(shè)備、威脅情報(bào)庫(kù)等安全基礎(chǔ)設(shè)施資源，通過(guò)容器化安全能力池實(shí)現(xiàn)安全能力云化、池化。基礎(chǔ)設(shè)施層產(chǎn)生的與安全相關(guān)的數(shù)據(jù)按需上傳至安全數(shù)據(jù)中心。

安全中臺(tái)層：基于標(biāo)準(zhǔn)的協(xié)議和流程，將安全數(shù)據(jù)和安全能力等專(zhuān)業(yè)服務(wù)，按需開(kāi)放共享給前臺(tái)的各個(gè)業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)對(duì)前臺(tái)業(yè)務(wù)變化及創(chuàng)新的快速響應(yīng)，具備新的安全能力的快速集成與開(kāi)放、按需編排與調(diào)度、安全數(shù)據(jù)集約化采集與處理等能力。安全中臺(tái)層包括安全數(shù)據(jù)中臺(tái)、安全能力中臺(tái)和容器化安全能力池三部分，兩個(gè)中臺(tái)之間通過(guò)開(kāi)放式接口實(shí)現(xiàn)安全數(shù)據(jù)傳輸、數(shù)據(jù)服務(wù)與任務(wù)調(diào)度。容器化安全能力池，通過(guò)制定安全組件接口標(biāo)準(zhǔn)規(guī)范，要求接入安全資源池的安全組件進(jìn)行主動(dòng)適配，推動(dòng)安全中臺(tái)對(duì)能力池異構(gòu)安全能力的統(tǒng)一納管。

安全應(yīng)用層：基于安全能力中心北向接口提供安全應(yīng)用，可以基于場(chǎng)景的劇本化編排調(diào)用安全應(yīng)用。安全應(yīng)用主要包括態(tài)勢(shì)感知、攻防演練、重要保障等等。

4 安全中臺(tái)主要功能模塊設(shè)計(jì)

4.1 安全數(shù)據(jù)中臺(tái)

安全數(shù)據(jù)中臺(tái)是安全中臺(tái)的數(shù)據(jù)底座，通過(guò)標(biāo)準(zhǔn)化數(shù)據(jù)接口對(duì)基礎(chǔ)設(shè)施層、容器化安全能力池和安全能力中臺(tái)的各類(lèi)安全能力、組件、設(shè)備、引擎的異構(gòu)、異源安全數(shù)據(jù)提供集中化采集、數(shù)據(jù)標(biāo)準(zhǔn)化以及數(shù)據(jù)的關(guān)聯(lián)補(bǔ)齊能力，通過(guò)數(shù)據(jù)共享提供標(biāo)準(zhǔn)化的安全數(shù)據(jù)和安全分析結(jié)果的存儲(chǔ)與檢索服務(wù)。安全數(shù)據(jù)中臺(tái)可以集成大數(shù)據(jù)分析引擎、智能化分析引擎等功能，并能基于底層大數(shù)據(jù)分析能力和安全大數(shù)據(jù)實(shí)現(xiàn)全方位的態(tài)勢(shì)感知、差異化精準(zhǔn)攻擊溯源等功能。

4.2 安全能力中臺(tái)

安全能力中臺(tái)將安全共性基礎(chǔ)能力下沉，形成安全中臺(tái)的能力中臺(tái)，實(shí)現(xiàn)安全設(shè)備功能復(fù)用。在安全能力中心通過(guò)異構(gòu)組件接口對(duì)資源池內(nèi)的安全能力進(jìn)行統(tǒng)一納管，底層安全能力注冊(cè)到中臺(tái)，形成標(biāo)準(zhǔn)、規(guī)范的安全服務(wù)目錄，通過(guò)標(biāo)準(zhǔn)API被內(nèi)外部應(yīng)用調(diào)用。現(xiàn)有安全系統(tǒng)模塊解耦，可復(fù)用的基礎(chǔ)能力下沉至安全能力中臺(tái)。同時(shí)按照?qǐng)鼍盎瘎”驹O(shè)計(jì)，對(duì)安全能力進(jìn)行自動(dòng)化組合、編排、調(diào)度。結(jié)合下沉到安全數(shù)據(jù)中臺(tái)的安全檢測(cè)分析能力，最終在安全中臺(tái)形成涵蓋安全識(shí)別、安全防護(hù)、安全檢測(cè)分析和安全響應(yīng)于一體的網(wǎng)絡(luò)和安全服務(wù)能力體系，通過(guò)安全能力中臺(tái)北向接口，以服務(wù)化的方式面向上層應(yīng)用按需提供安全服務(wù)，實(shí)現(xiàn)安全服務(wù)的統(tǒng)一開(kāi)放共享。

4.3 容器化安全能力池

容器化安全能力池將不同類(lèi)型的安全組件抽象成原子能力，通過(guò)開(kāi)放北向接口與安全能力管理平臺(tái)互通，實(shí)現(xiàn)原子能力注冊(cè)、接口授權(quán)、策略調(diào)度、配置與升級(jí)管理等功能［4］。安全組件的接口主要包括：

（1）安全識(shí)別：包括主機(jī)資產(chǎn)發(fā)現(xiàn)、軟件資產(chǎn)識(shí)別、基線配置檢查、Web漏洞掃描、代碼審計(jì)、敏感數(shù)據(jù)識(shí)別、主機(jī)漏洞掃描、空間資產(chǎn)測(cè)繪等。

（2）安全防護(hù)：包括數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)隔離交換、終端訪問(wèn)控制、VPN 接入、網(wǎng)絡(luò)入侵防御、惡意代碼防護(hù)、補(bǔ)丁管理、配置加固、網(wǎng)頁(yè)防篡改、拒絕服務(wù)防護(hù)、敏感數(shù)據(jù)防泄漏、垃圾郵件防護(hù)、Web應(yīng)用防護(hù)、黑白名單管理等。

（3）安全檢測(cè)：包括網(wǎng)絡(luò)威脅檢測(cè)、惡意文件檢測(cè)、終端數(shù)據(jù)泄露檢測(cè)、網(wǎng)絡(luò)數(shù)據(jù)泄露檢測(cè)、終端威脅檢測(cè)、用戶(hù)異常行為檢測(cè)等。

（4）安全響應(yīng)：包括網(wǎng)絡(luò)攻擊抑制、主機(jī)入侵抑制、網(wǎng)絡(luò)攻擊誘捕、備份恢復(fù)、主機(jī)取證等。

5 基于容器化微服務(wù)設(shè)計(jì)安全中臺(tái)架構(gòu)的優(yōu)勢(shì)

5.1 組件化靈活部署

在新形勢(shì)下，網(wǎng)絡(luò)安全要做到動(dòng)態(tài)防御、主動(dòng)防御，安全設(shè)備、安全配置以及業(yè)務(wù)數(shù)據(jù)隨時(shí)可能發(fā)生變化。安全數(shù)據(jù)集中化處理是安全建設(shè)的必經(jīng)之路。容器化微服務(wù)架構(gòu)在應(yīng)對(duì)網(wǎng)絡(luò)安全狀態(tài)變化方面具有先天優(yōu)勢(shì)。微服務(wù)架構(gòu)可以將單體式的應(yīng)用分解為多個(gè)微服務(wù)，服務(wù)之間相對(duì)獨(dú)立且松耦合。通過(guò)組件化、模塊化的方式將復(fù)雜的應(yīng)用進(jìn)行服務(wù)化呈現(xiàn)，使得單一功能的改變只需要重新構(gòu)建部署相應(yīng)的服務(wù)即可實(shí)現(xiàn)。

5.2 避免單個(gè)系統(tǒng)導(dǎo)致整體系統(tǒng)失效

隨著網(wǎng)絡(luò)安全防護(hù)系統(tǒng)不斷擴(kuò)容，安全架構(gòu)愈趨龐大，易出現(xiàn)牽一發(fā)動(dòng)全身的架構(gòu)性調(diào)整問(wèn)題。而在微服務(wù)架構(gòu)下，當(dāng)某一組件發(fā)生故障時(shí)，故障會(huì)被隔離在單個(gè)微服務(wù)中，可以有效避免出現(xiàn)故障在進(jìn)程內(nèi)擴(kuò)散等弊端和風(fēng)險(xiǎn)，提高系統(tǒng)整體韌性。

6 結(jié)論

本文主要分析了傳統(tǒng)廣播電視系統(tǒng)在業(yè)務(wù)架構(gòu)升級(jí)過(guò)程中面臨的安全問(wèn)題，并探索使用安全中臺(tái)解決上述問(wèn)題的思路。本文提出了基于容器化微服務(wù)架構(gòu)的安全中臺(tái)設(shè)計(jì)思路，能夠融合存量安全能力并以統(tǒng)一框架規(guī)范來(lái)對(duì)接和集成新建安全能力，提高安全體系建設(shè)的靈活性和便利性。安全中臺(tái)是適配未來(lái)新業(yè)務(wù)發(fā)展的有效技術(shù)措施，能夠成為業(yè)務(wù)與安全更好協(xié)同發(fā)展的橋梁紐帶。