云资源池数据安全生命周期研究与实践

黎新川, 林强, 方艺, 方涛

（中国移动通信集团新疆有限公司，乌鲁木齐 830063）

近些年，云计算的快速发展，云资源池的大量使用，因此带来的云资源池下的数据安全风险与日俱增。如何规范数据管理，保护虚拟资产，防范泄密，杜绝数据灾难，促进管理效率。实现对云资源池下的，敏感信息统一管理、统一分类、统一分级、统一分析、统一审计、统一授权的目标。

1 成果背景

信息时代，信息具有越来越大的价值，移动互联网的到来，促进了信息交流沟通的灵活便捷，也带来了敏感数据、隐私信息泄露的风险。面对较高价值的数据，较多的信息获取通道，而相对较低的获取成本，非法活动无孔不入。

通过研究云资源池下数据安全的生命周期，实现对敏感数据的全生命周期的安全管理、监控、防护。本文以云资源池敏感数据为出发点，通过敏感数据的扫描识别技术，实时发现云资源池中存在的敏感数据，对敏感数据根据新疆移动的实际情况进行分类、分级并标识。通过对敏感数据文件和数据的监控与管理，结合对敏感数据宿主的网络互联、数据传输等各种访问和读取敏感数据的监控与分析，实现对云资源池敏感数据的全生命周期安全管控。

2 云计算安全防护体系

如图1所示，参考云等保三级要求及工信部云计算标准体系建设，其对云安全的防护总体体系规划。依照数据安全、应用安全、主机安全、网络安全以及运维安全，制定了云计算安全防护体系，并逐步完善云计算安全防护体系。

图1 云安全总体防护体系图

3 系统架构

云资源池数据安全建设方案，针对云资源池中虚拟主机敏感数据进行发现和安全防护，通过对云资源池的引流实现对敏感数据的传输和信息流监控，通过将敏感数据识别能力和虚拟化威胁管理平台的结合，实现敏感数据全生命周期的有效管控；实现策略、告警和敏感数据资产集中管理；SDN虚拟化引流方案解决物理机内部流量无法分离的技术难点，集中的虚拟化安全域为安全管控能力的扩展奠定基础。

4 功能架构

云资源池敏感数据安全管控平台，功能架构采用底层数据采集层，通过使用虚拟导流器对云资源池流量导出至SDN交换机，将导出数据交于独立硬件的数据处理层进行扫描、监控、分析。数据处理层、识别监控层、管理分析层由上层的控制展现曾进行策略匹配和下发。整体功能架构如图2所示。

图2 系统架构图

4.1 数据自动聚类算法

使用数据梳理自动聚类算法，利用人工智能算法分析语义，针对海量数据进行自动分析，解决数据初步分类，辅助进行数据分类标准的划定。

自动聚类是一种典型的无指导机器学习方法：使用特定算法将不同文档分别映射成特征向量空间中不同的点，然后根据这些点的聚集程度，将对应文件聚集成某些特定类别。在一个特征空间中，同一类文本对应点的集合，往往集聚在一个空间区域中，机器即可通过计算点与点的相似度，将属于同一类的文档寻找出来。

4.2 云资源池流量牵引（如图3所示）

通过虚拟导流系统将需要监控的流量从虚拟网络环境中导出到物理安全设备中，具体的安全业务逻辑由物理安全设备来处理。这种方式对业务和网络影响小。

4.3 敏感数据管理

对现有云资源池虚拟主机模板变更，嵌入敏感数据扫描账号进行自动发现新增、新建的虚拟主机。

图3 云资源池流量牵引图

服务端通过多种方式（文件签名、敏感词识别与权重分析、正则表达式过滤）识别敏感机密信息，并入库存档。

敏感数据涉密识别技术采用关键字、正则表达式、文件指纹、文件MD5对敏感文件进行识别。

4.4 敏感数据监控与审计

4.4.1 敏感数据宿主虚拟机监控

通过对虚拟导流器引流出来的流量，抓取云资源池环境中敏感数据宿主虚拟，在安全域内部各子域、安全域与其它企业自有安全域的数据交互、传输、业务信息流，形成可视化的互连关系视图。实现虚拟机的发现和实时流量监测。

4.4.2 敏感数据审计

网络层可审计主流公开协议，支持对非公开协议的解析能力，以及不同编码格式的协议。

4.4.3 分析与告警

管理平台与各组件之间建立资产同步、日志转发、策略下发和流量查询接口，按照敏感数据的场景对存储敏感数据的虚拟设备进行网络流量和数据库的监控和审计，及时发现对敏感数据的异常操作行为。

4.5 数据脱敏

可以对多种类型数据库的敏感数据进行自动识别发现，按预设规则屏蔽敏感信息，并使屏蔽的信息保留其原始数据格式和属性，以确保应用程序可在使用脱敏后的数据进行开发与测试。

功能支持B/S应用模式，开放的、可扩展的产品设计可满足用户各种企业级数据提取、发现、脱敏应用场景的使用需求。产品提供了统一的管理界面和丰富脱敏转换算法以及可扩展的数据库类型及接口，目前支持Oracle、DB2等数据库系统而且易于扩展支持其它任何类型的数据库。

5 应用成果

新疆移动云资源池数据安全管理项目的上线，实现了对资源池下的主机敏感数据安全管理，由虚拟化安全管理平台集中实现敏感数据的发现、监控、标识、分类分级、访问与传输全流程贯通，可驱动组件依据敏感数据生命周期进行针对性的审计，引入安全流量审计模块对承载敏感数据虚拟机的网络行为进行全方位监控，发现可能造成数据安全威胁的异常行为。

6 技术创新点

6.1 创新点1：云资源池环境下的数据安全生命周期管理

通过以下几个阶段实现数据安全生命周期的管理。

数据创建阶段，对敏感数据扫描识别和分类分级。

数据变更阶段，实时监控，发现敏感数据的变动。

数据使用阶段，自动发现系统层和网络层的敏感数据违规访问及读取。

数据销毁阶段，进行标签化管理，实现数据的脱敏和擦除。

通过从数据创建阶段的敏感数据扫描识别和分类分级。到数据修改和变更阶段的实时监控，发现敏感数据的变动。在数据读取使用阶段，自动发现系统层和网络层的敏感数据违规访问及读取。在数据销毁阶段，进行标签化管理，实现数据的脱敏和擦除。通过这几个阶段实现数据安全生命周期的管理。

6.2 创新点2：实现敏感数据虚拟机南北向、东西向全流量监控

6.2.1 传统方式

（1） 入侵检测系统（IDS）、审计系统等。

（2） 连接网络核心交换机镜像端口。

（3） 通过采集网络流量分析主机上下行交互信息。

（4） 在虚拟环境下。

（5） 虚拟机之间的数据交互。

（6） 不通过网络核心交换机进行转发。

缺点：只能抓取南北向流量，不能获取东西向流量。

6.2.2 创新之后

针对传统方式只能监控南北向流程，不能检测东西向流量的问题，创新采用虚拟化VTAP导流技术，VTAP虚机是一台具有特殊功能的虚拟机，VTAP接收来自策略控制中心下发的虚拟安全域策略；从虚拟交换机中抓取网络报文，依据策略对报文进行过滤，并将报文转发到指定的目标位置；转发的报文可根据环境和需求，选择对流量进行GRE或VxLAN封装，实现虚拟化流量监控、虚拟化入侵检测。同时，对云资源池的未来扩展支持多种虚拟化安全产品的扩容，还可扩容虚拟化WAF、虚拟业务审计等针对云资源池的虚拟安全防护。

6.3 创新点3：实现云资源池数据的自动脱敏

6.3.1 传统方式

只对实体网络测试数据库进行脱敏。

需要手工编写脱敏语句进行脱敏，并且脱敏内容存在不彻底、脱敏数据范围小，以及数据库信息泄露等风险。

数据库脱敏内容识别单一，只能实现针对性的个别信息进行脱敏，比如手机号。

数据库脱敏任务人工执行，不能实现事件触发自动执行脱敏任务。

云资源池数据库未实现自动脱敏。

缺乏对脱敏识别类型的广泛性，例如单位组织机构代码证、家庭住址等扩展信息；缺乏自动触发脱敏任务的自动执行效果，增加了人工的工作量，降低工作效率。

6.3.2 创新后

实现云资源池的数据脱敏，可以对多种类型数据库的敏感数据进行自动识别发现，按预设规则屏蔽敏感信息，并使屏蔽的信息保留其原始数据格式和属性，以确保应用程序可在使用脱敏后的数据进行开发与测试。

（1） 通过管理理解面可直接将待脱敏数据库和脱敏后数据库信息填写完善。

（2） 通过预定义数据脱敏信息，对数据库、数据表通过前台界面即可自动完成数据脱敏任务。

（3） 避免了人为直接接触生产数据库，规避了信息泄露的风险。

（4） 自动化预定义脱敏适用生产库向测试库导出脱敏后数据。

7 结束语

云资源池的数据安全研究是前瞻性较强的技术，安全行业内及各省都还未开展该技术的研究。传统数据安全更多的是基于终端和网络测的数据防泄漏检测，但云资源池环境下传统技术无法使用，不能识别资源池内虚拟机间数据泄露等风险。我们创新性的通过将敏感数据识别能力和虚拟化威胁管理的结合，实现敏感数据全生命周期的有效管控。通过虚拟化引流方案解决物理机内部流量无法分离的技术难点，集中的虚拟化安全域为安全管控能力的扩展奠定基础。项目技术的兼容性、前沿性对云计算技术的发展更新有一定与冗余和接口支撑，适用多种虚拟化环境建设，包括VMware、华为等主流厂商，可满足新疆移动未来几年虚拟化资源池建设的安全需求，可对新建扩容的资源池环境无缝融合，并对云资源池数据安全未来的技术演进提供了有效的支撑。

本成果及时发现在云资源池中的敏感数据，并实现监控与防护，避免非法人员通过技术手段获取新疆移动敏感数据，造成信息泄露等风险，同时维护了新疆移动行业形象。对新疆移动信息安全防护实现了由传统到云化，由实体到虚拟的安全技术过度和提升，对敏感数据信息安全防护技术延伸的跨越式发展。