基于服務(wù)鏈的安全編排技術(shù)及其應(yīng)用

嚴亞萍 馮中華 王雪 管澤方 許光利

一、引言

隨著企業(yè)、機構(gòu)業(yè)務(wù)規(guī)模的不斷擴大，大量信息系統(tǒng)被部署在云平臺上。云平臺中各類資源以虛擬化的形式存在，資產(chǎn)信息動態(tài)高頻發(fā)生變化、內(nèi)部網(wǎng)絡(luò)形成多個邏輯隔離分區(qū)、傳統(tǒng)網(wǎng)絡(luò)邊界定義相對模糊，這些特點都為安全防護的開展提出了更高要求。相比傳統(tǒng)環(huán)境，云平臺內(nèi)部東西向流量激增、流量和威脅對外不可視，傳統(tǒng)安全防護措施逐漸失效，物理網(wǎng)絡(luò)安全設(shè)備很難感知云內(nèi)發(fā)生的安全事件，無法對云內(nèi)攻擊行為進行有效攔截，可能導(dǎo)致威脅范圍快速擴大并進一步蔓延。

目前，云平臺內(nèi)部主要通過以虛擬化鏡像存在的虛擬化安全資源（如vFW、vIDS、vIPS，也稱為安全網(wǎng)元）形式進行防護，如何對這些虛擬化安全資源進行調(diào)度編排，合理高效地使用有限資源池，滿足動態(tài)變化的云平臺安全防護需求，是運維人員面臨的一道難題。

同時，一項全球調(diào)研顯示，超過70%的安全運營團隊認為受到了事件過載帶來的嚴重影響，已經(jīng)被大量的事件淹沒，并承認他們沒有信息能夠確定事件優(yōu)先級并及時作出響應(yīng)。

針對運維過程中時常遇到的事件爆發(fā)式激增場景，現(xiàn)有的安全工具難以解決眾多安全系統(tǒng)產(chǎn)生的海量數(shù)據(jù)，需要引入服務(wù)鏈編排技術(shù)，通過預(yù)設(shè)專家規(guī)則庫和智能自學習相結(jié)合的方式，對預(yù)設(shè)編排鏈的執(zhí)行過程、事件處置效果等進行反復(fù)的歸納和學習，不斷積累經(jīng)驗和更新編排鏈，以實現(xiàn)對重大安全威脅和突發(fā)事件的高效處置，實現(xiàn)更加智能化的安防運維。

二、相關(guān)概念

（一）服務(wù)功能鏈

服務(wù)功能鏈（Service Function Chain， SFC）是一種網(wǎng)絡(luò)服務(wù)構(gòu)建技術(shù)，通過將業(yè)務(wù)流量所請求的網(wǎng)絡(luò)服務(wù)抽象為一系列有序的網(wǎng)絡(luò)功能單元，進而由網(wǎng)絡(luò)根據(jù)業(yè)務(wù)的服務(wù)策略引導(dǎo)特定流量按序穿過特定的網(wǎng)絡(luò)節(jié)點上對應(yīng)的服務(wù)功能處理，從而完成業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)請求，可由管理員靜態(tài)配置或動態(tài)編排

（二）SOAR

安全編排與自動化響應(yīng)（Security Orchestration Automation and Response，SOAR）由Gartner于2015年提出，理念是聯(lián)動不同安全工具和技術(shù)，通過創(chuàng)建手動和自動協(xié)同操作的工作流步驟，對安全事件的智能化編排和自動化響應(yīng)，對安全威脅進行高效處置閉環(huán)，實現(xiàn)由人工低效的手動處置向高效自動的智能響應(yīng)轉(zhuǎn)變。

（三）ATT&CK

ATT&CK（Adversarial Tactics Techniques， and Common Knowledge）由MITRE于2015年提出，目前已經(jīng)發(fā)布13個版本，該框架以“戰(zhàn)術(shù)-技術(shù)”的矩陣形式描述，提供了一種用于入侵行為描述的通用語言和知識圖譜，對于威脅情報、檢測分析、模擬攻擊和評估改進方面有很好應(yīng)用價值。

三、編排模型

安全服務(wù)編排模型采用基于SOAR的服務(wù)鏈編排技術(shù)路線，針對云平臺中各類安全資源的動態(tài)配置管理和網(wǎng)絡(luò)安全事件的快速響應(yīng)處置需求，實現(xiàn)基于軟件定義的智能化、靈活化、精準化安全防控，提升安全運營效率、減少運營人員工作壓力。

（一）作用用途

服務(wù)鏈編排可以與SOAR結(jié)合，以提供更強大的自動化和響應(yīng)能力。

1. 自動化響應(yīng)

服務(wù)鏈編排模型可以用于自動化響應(yīng)安全事件和威脅。當SOAR系統(tǒng)檢測到安全事件或威脅時，它可以觸發(fā)服務(wù)鏈編排模型來自動調(diào)度和協(xié)調(diào)一系列安全相關(guān)的服務(wù)，例如日志分析、威脅情報查詢、事件響應(yīng)和修復(fù)操作等。

2. 安全工作流程管理

服務(wù)鏈編排模型可以用于管理和執(zhí)行復(fù)雜的安全工作流程。通過結(jié)合SOAR系統(tǒng)的自動化和協(xié)調(diào)能力，服務(wù)鏈編排模型可以實現(xiàn)對安全工作流程的定義、調(diào)度、執(zhí)行和監(jiān)控，從而提高安全操作的效率和準確性。

3. 安全事件響應(yīng)編排

服務(wù)鏈編排模型可以在安全事件響應(yīng)中起到關(guān)鍵作用。當發(fā)生安全事件時，SOAR系統(tǒng)可以觸發(fā)服務(wù)鏈編排模型來協(xié)調(diào)不同的安全服務(wù)和工具，例如威脅情報收集、惡意代碼分析、事件溯源和修復(fù)操作等，以快速、自動化地響應(yīng)和解決安全問題。

4. 整體安全自動化

通過結(jié)合服務(wù)鏈編排模型和SOAR系統(tǒng)，可以實現(xiàn)整體的安全自動化。安全操作和流程可以通過編排模型進行自動化、標準化和可重復(fù)的執(zhí)行，提高安全團隊的工作效率，同時減少人為錯誤和響應(yīng)時間。

綜上，服務(wù)鏈編排模型和SOAR系統(tǒng)可以相互結(jié)合，以實現(xiàn)自動化、協(xié)調(diào)和優(yōu)化安全操作和響應(yīng)。這種結(jié)合可以提供更強大的安全自動化和響應(yīng)能力，幫助組織更有效地應(yīng)對安全威脅和事件。

（二）相關(guān)工作

在服務(wù)鏈編排手段方面，學術(shù)界已經(jīng)進行了較深入的研究，并提出了一些SFC編排部署系統(tǒng)設(shè)計，包括Stratos、NFV-RT、Apple、Hyper、MicroNF和Daisy。

Stratos是一個支持SFC水平擴展的SFC編排部署系統(tǒng)，平均編排速度大約為每秒67條SFC，不足以滿足大規(guī)模數(shù)據(jù)中心的秒級編排需求；NFV-RT是為數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計的SFC編排部署系統(tǒng)，其不支持對可編程設(shè)備的網(wǎng)絡(luò)功能進行擴容編排，同時其單編排器的設(shè)計導(dǎo)致NFV-RT缺乏在大規(guī)模拓撲下實現(xiàn)秒級擴容編排部署的能力；Apple是為軟件定義網(wǎng)絡(luò)（SDN， software defined network）設(shè)計的SFC編排部署系統(tǒng)，其優(yōu)化引擎通過運行求解器計算最優(yōu)的編排部署方案，但其編排時間復(fù)雜度是非多項式的，無法滿足數(shù)據(jù)中心內(nèi)的快速彈性擴容編排需求；Hyper是一個異構(gòu)SFC編排部署系統(tǒng)，其單編排器設(shè)計無法支持大規(guī)模數(shù)據(jù)中心的秒級彈性擴容編排； MicroNF是一種異構(gòu)SFC建鏈系統(tǒng)，其并未對大規(guī)模的數(shù)據(jù)中心編排進行設(shè)計，導(dǎo)致其缺乏擴展性；Daisy是一個高可擴展的異構(gòu)SFC編排部署系統(tǒng)，但其SFC編排時間在分鐘級，難以滿足大規(guī)模數(shù)據(jù)中心場景下的秒級彈性擴容編排需求。

（三）典型流程

在安全運維管理過程中，安全事件的處置流程往往具有依賴關(guān)系。服務(wù)鏈編排模型通過可視化配置實現(xiàn)安全事件分析，為安全事件自動處置提供上下文，降低事件處置復(fù)雜度。系統(tǒng)通過簡單的拖拽方式對事件處置流程中涉及到的數(shù)據(jù)源、安全規(guī)則、響應(yīng)方式進行選擇，降低運維人員的配置工作量。服務(wù)鏈編排流程是對預(yù)先確定的有限操作、操作流程和操作對象進行排序、調(diào)度和管理，利用服務(wù)鏈編排自動化執(zhí)行過程提升事件響應(yīng)效率，利用智能自學習技術(shù)不斷提升事件響應(yīng)的準確率。服務(wù)鏈可視化編排的流程如圖1所示。

服務(wù)鏈編排將多個安全網(wǎng)元分別組成串接鏈和旁路鏈，并被引流策略引用，不同的安全網(wǎng)元提供不同的安全防護能力，可配置不同的安全策略。服務(wù)鏈中的串接鏈按照配置指定的排列順序組合成一條網(wǎng)絡(luò)鏈，引入的流量也會按照這個順序依次進入各安全網(wǎng)元進行處理；旁路鏈中的各安全網(wǎng)元之間沒有任何聯(lián)系和影響，云平臺只是簡單的把流量復(fù)制并鏡像到各安全網(wǎng)元，不影響正常流量的轉(zhuǎn)發(fā)。

服務(wù)鏈編排通過為安全事件構(gòu)建即時上下文，加速通常需要手動執(zhí)行的事件處置操作，簡化了分析人員的工作流程。通過安全服務(wù)鏈編排、流量編排和安全策略配置，聯(lián)動各安全網(wǎng)元實現(xiàn)事件的自動化處置，為安全運營過程節(jié)省時間，提升安全運營效率。通過使用安全服務(wù)鏈編排流程，安全分析人員可以將工作重點放在高優(yōu)先級威脅活動分析、融合分析、深入調(diào)查等環(huán)節(jié)，使得組織針對安全威脅能夠更好地進行閉環(huán)響應(yīng)。

（四）系統(tǒng)設(shè)計

系統(tǒng)模型設(shè)計如圖2所示，由服務(wù)鏈編排、引流策略、工作流引擎、安全服務(wù)資源庫等部分組成。

1.服務(wù)鏈編排

模型采用基于流程定義的可視化編排技術(shù)，即服務(wù)鏈編排，為安全運維人員提供一種集成化、可視化的流程設(shè)計以及管理手段，將流程配置數(shù)據(jù)從靜態(tài)轉(zhuǎn)為動態(tài)，依托豐富的可視化模板實現(xiàn)個性化、自定義的流程編排設(shè)計，輔助運維人員快速、高效地完成服務(wù)鏈編排。服務(wù)鏈編排提供圖形化操作界面，支持以拖拽或勾選的方式選擇安全網(wǎng)元、操作內(nèi)容和調(diào)整排序等內(nèi)容，并以圖形化的方式對其編排內(nèi)容進行可視化展示，管理員通過服務(wù)鏈編排界面，創(chuàng)建服務(wù)鏈編排模板。

需要進一步指出的是，服務(wù)鏈編排模板將業(yè)務(wù)轉(zhuǎn)義為工作流引擎可以執(zhí)行的安全策略后，就成為了服務(wù)編排模板，也稱之為工作流。這時候，每個節(jié)點過程都轉(zhuǎn)義為具體的網(wǎng)元和動作。

管理員按照業(yè)務(wù)需求將安全網(wǎng)元編排到服務(wù)鏈中，通過分組、勾選、拖拽等方式選擇操作對象和實施動作，調(diào)整執(zhí)行順序，實現(xiàn)對各安全網(wǎng)元（包括攻擊檢測、接入管控、訪問控制等）的規(guī)則配置、策略配置、功能配置。服務(wù)鏈編排在編排過程中，可同時提供對云平臺中安全網(wǎng)元的統(tǒng)一管理，可通過配置管理界面進行安全網(wǎng)元的新建、刪除、啟動、重啟、停止等操作。

若需要的安全功能在云平臺中不存在相關(guān)安全網(wǎng)元，管理員可將虛擬的安全網(wǎng)元鏡像上傳至云平臺，由云平臺進行加載和啟動；若不需要某個安全功能，管理員可選擇刪除、停止某個安全網(wǎng)元。

系統(tǒng)將管理運維人員通過可視化服務(wù)鏈編輯器創(chuàng)作的服務(wù)鏈進行存庫、列表展示和管理維護，其中管理維護操作包括服務(wù)鏈的添加、編輯、刪除等功能。服務(wù)鏈模板以列表的形式進行展示，展示內(nèi)容包括服務(wù)鏈名稱、創(chuàng)建時間、串行鏈、并行鏈等，服務(wù)鏈模板為后續(xù)安全響應(yīng)提供數(shù)據(jù)支撐，系統(tǒng)通過預(yù)置服務(wù)鏈模板可實現(xiàn)安全基線、安全場景的一鍵式切換。

服務(wù)鏈編排過程中需包含任務(wù)執(zhí)行的主體、客體以及行為，需要抽取和分類處理的信息。安全運營任務(wù)中的各類要素信息經(jīng)過定向抽取之后，被分類儲存在為當前任務(wù)創(chuàng)建的設(shè)備資源要素庫以及安全業(yè)務(wù)要素庫。為安全運營任務(wù)的編排提供支持。服務(wù)鏈要素抽取如圖3所示。

編排組件是安全運營任務(wù)的主體。針對編排組件主體的解析，主要是針對事件中涉及的網(wǎng)絡(luò)配置以及安全網(wǎng)元、IP地址、管理關(guān)系進行抽取，明確服務(wù)鏈及策略下發(fā)的目標。

安全網(wǎng)元是安全運營任務(wù)執(zhí)行的客體，是安全運營任務(wù)執(zhí)行時操作的安全裝備、安全資源相關(guān)信息的描述。針對安全運營客體的解析，主要是針對可調(diào)度網(wǎng)元信息、安全通聯(lián)信息、資源信息以及力量編組信息進行抽取。安全裝備信息是指安全運營任務(wù)執(zhí)行中所使用的安全網(wǎng)元類型、功能特點的描述，用于篩選符合響應(yīng)任務(wù)要求的虛擬安全設(shè)備；安全資源信息是提升各類系統(tǒng)安全防護能力的補丁、軟件升級包、漏洞庫、病毒庫、規(guī)則庫等各類安全資源的描述，用于協(xié)助安全設(shè)備進行安全資源的加載；安全通聯(lián)信息是信息系統(tǒng)中各類業(yè)務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)、終端與業(yè)務(wù)系統(tǒng)之間連接關(guān)系，用于協(xié)助規(guī)劃安全防護的對象；力量編組信息是指本次安全運營所依賴的安全運維保障力量，用于確定安全運維和管理的服務(wù)提供方。

響應(yīng)策略是安全運營任務(wù)下發(fā)的行為信息，是指對安全運營任務(wù)在各類安全運營場景下業(yè)務(wù)處理的描述。即不同任務(wù)場景下對于安全裝備、安全資源以及安全運維策略、引流策略的配置，例如攻擊阻斷、病毒查殺、漏洞修復(fù)等。

2.引流策略

系統(tǒng)支持對受管安全網(wǎng)元進行集中引流策略管理，包括引流策略的添加、刪除、調(diào)序、啟動、停止等管理功能。管理員可以根據(jù)多個維度設(shè)置不同條件的引流策略，將命中不同引流策略的流量引入與之對應(yīng)的服務(wù)鏈，其中維度包括源安全域、目的安全域、源用戶、源地址、目的地址、服務(wù)、VLAN、流量方向等。系統(tǒng)將引流策略通過數(shù)據(jù)交換模塊下發(fā)到云平臺中的安全管控基座，基座通過在核心虛擬路由上配置策略路由或者其他引流方式，將流量牽引到其各個安全網(wǎng)元中。引流策略的命中原則為從上往下順序匹配，如果命中則根據(jù)服務(wù)鏈進行引流，如果命中的策略未設(shè)置任何服務(wù)鏈則不引流，命中后則不再匹配后續(xù)策略，未命中策略默認不引流。

3.工作流引擎

為保證服務(wù)鏈中每個策略被正確的執(zhí)行，需要工作流引擎按照編排模板對流程進行自動化或手動化執(zhí)行，當需要人工手動執(zhí)行時，系統(tǒng)會自動發(fā)布工單并通知相關(guān)的人員進行手動操作，在手動操作完成以后為該步驟打上標簽標記為已完成后，可繼續(xù)執(zhí)行下一步的工作流程。工作流引擎對服務(wù)鏈中每一步的執(zhí)行狀態(tài)進行監(jiān)控和記錄，以此實現(xiàn)對執(zhí)行流程的控制。

4.安全服務(wù)資源庫

安全資源庫作為系統(tǒng)的基礎(chǔ)知識庫，包括了安全策略、安全規(guī)則庫、系統(tǒng)升級包、病毒庫升級包、規(guī)則庫升級包等資源，供服務(wù)編排引擎調(diào)用，以完成安全服務(wù)的編排。通過各安全網(wǎng)元的安全服務(wù)功能進行細化拆分，實現(xiàn)對安全服務(wù)能力的細粒度管控，建立安全運營任務(wù)與服務(wù)鏈的映射關(guān)系，為安全編排服務(wù)提供支撐。

四、技術(shù)應(yīng)用

服務(wù)鏈編排技術(shù)與ATT&CK模型天然具備良好相性，通過將兩者結(jié)合，服務(wù)鏈編排模型能夠更好地理解和應(yīng)對攻擊者可能使用的技術(shù)手段，并實現(xiàn)更有效的威脅檢測、響應(yīng)與防御，通過兩項技術(shù)的綜合應(yīng)用，能夠進一步提高安全團隊的能力，幫助組織更好地應(yīng)對云環(huán)境中復(fù)雜的網(wǎng)絡(luò)攻擊和威脅。

具體地講，兩者可以從以下角度結(jié)合開展進一步技術(shù)應(yīng)用：

1.威脅檢測和識別。服務(wù)鏈編排模型可以與ATT&CK模型集成，從實時收集的安全日志、事件和威脅情報中分析并識別與ATT&CK中描述的攻擊技術(shù)有關(guān)的模型和指標，這有助于快速檢測和識別潛在的攻擊行為。具體流程為：

（1）服務(wù)鏈編排模型監(jiān)控實時的安全日志和事件數(shù)據(jù)；

（2）使用ATT&CK模型作為參考，分析日志和事件數(shù)據(jù)以識別潛在的攻擊行為；

（3）根據(jù)ATT&CK模型中描述的技術(shù)手段，例如惡意軟件傳播、橫向移動、憑證盜取等，對安全事件進行分類和標記。

2.攻擊響應(yīng)和阻斷。一旦服務(wù)鏈編排模型識別到ATT&CK模型中描述的可疑技術(shù)，它可以自動觸發(fā)相應(yīng)的響應(yīng)措施，包括阻斷攻擊流量、隔離受感染系統(tǒng)、重置憑證、修復(fù)漏洞等。

例如，如果檢測到憑證盜取技術(shù)，服務(wù)鏈編排模型可以自動重置受影響用戶的憑證、通知安全團隊和相關(guān)人員，并隔離相關(guān)系統(tǒng)以防止進一步的攻擊傳播

3.威脅情報整合。服務(wù)鏈編排模型可以與威脅情報平臺集成，將來自ATT&CK模型的威脅情報與實時的安全事件數(shù)據(jù)結(jié)合起來，提高威脅檢測的準確性，并更好地了解攻擊者可能采用的技術(shù)手段。具體流程為：

（1）將來自威脅情報平臺的ATT&CK相關(guān)威脅情報與實時的安全事件數(shù)據(jù)進行整合；

（2）將威脅情報與服務(wù)鏈編排模型集成，用于增強威脅檢測和響應(yīng)能力；

（3）根據(jù)威脅情報中的ATT&CK指標和攻擊模式，優(yōu)化服務(wù)鏈編排模型的規(guī)則和邏輯，以更好地檢測和響應(yīng)新興的攻擊技術(shù)。

4.攻擊模擬和演練。通過與ATT&CK模型結(jié)合，服務(wù)鏈編排模型可以幫助組織進行攻擊模擬和演練。它可以自動編排模擬攻擊鏈，以測試和評估安全防御的有效性，并提供改進建議。具體流程為：

（1）使用ATT&CK模型作為參考，服務(wù)鏈編排模型可以自動編排模擬攻擊鏈；

（2）模擬攻擊鏈中包含ATT&CK模型中描述的攻擊技術(shù)和戰(zhàn)術(shù)；

（3）運行模擬攻擊鏈，并評估現(xiàn)有的安全防御能力和響應(yīng)機制的有效性；

（4）根據(jù)評估結(jié)果，提供改進建議和優(yōu)化措施，以提高安全防御和響應(yīng)能力。

上述僅是服務(wù)鏈編排技術(shù)與ATT&CK模型結(jié)合應(yīng)用的部分場景，服務(wù)鏈編排技術(shù)因其可編排、可擴展、自動化響應(yīng)的特性，可廣泛應(yīng)用于安全運維管理的全生命周期。

五、結(jié)語

本文從云環(huán)境下安全運維管理面臨的新特性出發(fā)，分析了服務(wù)鏈編排與事件自動響應(yīng)需求，提出了一種服務(wù)鏈編排模型及其典型流程，結(jié)合ATT&CK模型提出了服務(wù)鏈編排技術(shù)的應(yīng)用方向，能夠解決云環(huán)境安防運維場景下虛擬安防資源彈性擴容、海量事件自動響應(yīng)的問題。后續(xù)的工作主要包括規(guī)則進一步細化、提供適應(yīng)不同場景的基礎(chǔ)模型、擴充響應(yīng)能力覆蓋面、技術(shù)應(yīng)用落地驗證等方面。

作者單位：中國電子科技集團公司第三十研究所