浅谈如何构建云平台安全的防护体系

◆李 磊



浅谈如何构建云平台安全的防护体系

◆李 磊

（山西广播电视传媒（集团）有限责任公司 山西 030006）

本文从云平台安全防护支撑体系的基本概念入手，分析了云平台安全防护支撑体系的四大特点：（1）集中可视化；（2）单点管控；（3）自动化配置；（4）灵活扩展。这也在一定程度上说明了构建云平台网络安全的防护体系的重要性和重大意义，除此之外还分析了云平台安全防护手段部署的一些情况，说明了在云平台安全防护支撑体系构建过程中需要注意的一些问题。

云平台；安全；防护

1 云平台安全防护支撑体系框架

在专用服务网络和互联网安全屏障保护系统中，比较重要的环节就是云平台和网络安全保护。这需要在确保具备整体的安全保护策略的基础上，从基础的设备、网络的虚拟化处理、网络的构建、系统的应用以及数据的管理方面实施一定的安全防护措施。并且还需要结合云平台和网络架构的技术特点，采用传统意义上和虚拟化的NFV安全保护措施，旨在构建可查看、管理、配置、智能化和扩展的安全平台。一般而言安全保护支持系统为了达到云平台业务发展的要求，就需要具备识别、检测、保护、审计安全的功能。云平台安全保护框架是在集成平台和各种安全运行子系统的基础上，可以在很大程度上提供稳定的云平台安全保护能力，并实现对于整个生命周期内实施云平台安全管理的目的。云平台安全集中管理平台是一种SOC集成的平台模块，各安全子系统重用和调度的安全能力可以在一定程度上为云平台提供良好的云平台安全保护，具有集中可视化、单点管控、自动化配置、智能策略和灵活扩展等特点。

1.1 安全防护集中可视化

传统意义上实行安全保护的方式是通过专业的安全人员来添加和部署安全保护措施，最终用户是看不到这些措施的。用户首先可以充分了解自身的业务需求，然后选择订阅相关度比较强的安全保护措施和内容。例如，用户可以自身进行一些简单的设备配置，产生一定的保护方式和实例，实现自助化的安全保护功能，这在很大程度上可以方便用户自行打开安全服务进行检查，并且实施一定的管理措施，还可以结合安全保护记录随时了解系统受到攻击的情况并及时输出报告。

1.2 集中安全一点管控

云环境中有多种安全设备，包括过滤器和转发器（类似于入侵防御系统(IPS)、晶片(WAF)、固件(FW)、旁路监控类如入侵检测系统(IDS)、主动扫描类中包含的主机泄漏扫描和网络泄漏扫描等）。这些设备均需要得到集成和密集的安全控制措施的管理，保证云环境中的所有设备都可以安全稳定的运行，实现安全案例的快速部署和分发，进而形成良好的安全保护方式。云平台安全管理平台可以收集多维信息，并分析出潜在的威胁信息，能够在单个操作界面上监控云环境的安全状况，集中、智能、可视化地管理云环境的整体资产，达到准确展示云环境的安全状况的目的。

1.3 安全配置自动化

在安全自动化方面，云环境可以通过使用一定程度的视觉安全保护方法直接对于相应的安全保护进行启动(如网络保护、入侵保护、扫描服务等)。通过运维门户界面，运维管理人员可以根据实际操作的需要集中控制整个网络的安全设备，实现对于各个设备和环境的快速运维(如监控安全设备运营状况、集中控制安全方式、授权升级设备等)。云环境可以通过提供自助化的安全功能，及时的根据安全业务的各项需求提供相应的安全保护，达到帮助用户自动挑选安全保护实例和定制安全保护方式的目的。从安全保护策略可以分析多维的数据、实现自动化的学习和不断地自我更新，我们可以看出安全保护策略具备强大的智能性。

1.4 弹性可扩展

云平台安全防护体系支撑框架可以快速灵活地提供服务能力，并能实现快速的自动化扩展、释放和恢复。还可以通过票务系统实现自动调度，提供给用户根据自己的实际需求订阅或购买安全策略的服务，极大地调动了用户的使用积极性。除此之外，云平台安全防护体系支撑框架通过使用资源池，可以通过过滤器和转发器、监控器和检测体系实现良好的安全功能，并且通过合理的控制实现用户的按需分配和资源的自动分配功能。在云平台安全管理平台的支撑和管理下，多种安全支持手段就可以实施可视化、可管理性、可配置性和智能性的安全保护管理，提供用户按照自我需求灵活高效进行功能扩展的安全保护服务和高度集中操作和维护服务。生产场景、统一的安全能力平台和获取对象共同决定着云平台技术和网络技术实施架构。

云平台生命周期的安全保护进程中包含很多的生产场景，比如安全检查和收集、统一管理安全事件和处理安全故障、动态的调整和改进策略、定期对于平台的防护系统进行风险评估、管理和审核密码的有效性、准备应急预案并进行应急的训练。这些场景都需要操作人员具备灵活调用SOC集成安全功能平台的能力，这可以在很大程度上提供给云平台良好的管理模式、智能化的保护措施以及可以自我调配的设施。

SOC集成安全能力平台中需要应用的就是子系统的强大安全防护能力，还可以将这种防护能力封装到微服务器中进行处理。使用云平台安全集中管理器就可以整合防护能力和防护服务，最大化的显示出云平台在安全防护方面的巨大潜力，比如说云平台在应对安全威胁时的操作、对于基础设施安全工作的详尽处理、智能化的分析其中存在的问题、制定足够安全的设施配置、实现良好控制的集中可视化智能策略以及灵活扩展支持需求等。

信息技术设备、网络中的设施、所使用的系统、安全设施的配置以及虚拟化系统都属于采集对象，这些信息的采集可以帮助云平台安全子系统更快捷收集到日志和安全方面的信息，实现高效配置SOC综合安全能力平台的目的。

2 云平台安全防护手段部署概述

从防护设备使用不同方式处理流量的角度出发，可以将安全设备分为三种类型：（1）保护型、检测型和评价型。保护型的设备的作用就是过滤和传输流量，保护型的设备有FW、WAF、ADS等。检测型的设备负责检测和分析流量，但是检测型设备不用对于流量进行转发，常用的检测型设备有NID和处理审计工作需要的产品等。评估型的设备主要作用就是实现主动的检测，常用的系统有网络漏洞扫描系统和普通漏洞扫描系统等。一旦云平台保护的流量类型和对象发生改变，就需要改变使用不同的配置安全保护手段的方法。一般配制方法有三种：（1）大型网络统一保护策略；（2）南北保护策略；（3）主机保护和东西流保护策略。大型网络的统一保护策略一般用在云平台较外层的网络上，可接入云平台网络。实现安全保护的主要手法有四种：流量异常清洗法、保护网络中相关应用安全、安全监控特定网站、实行远距离安全评估等。南北保护(North-South protection)一般用于云平台与外部网络连接的地方，放置的方式也比较随意，一般会放在VxLAN网关旁边或者三层交换机处或者出口路由器上，对于云平台流量实行稳定的安全保护。主机和东西向流量保护策略主要用于云平台内部，作用就是检测和保护物理现实主机和虚拟主机之间的安全连接，检测和保护资源分配虚拟机和VPC(比如分配出网络区域和应用区域、应用区域和数据库区域)之间的安全。应用比较广泛的有对于病毒的防护、对于本机的本地安全进行完整的漏洞扫描、实现实时的网络或者主机入侵检测、验证安全配置基线的问题等。

3 结束语

总而言之，云平台安全防护支撑体系的构建在很大程度上可以为云平台安全平台提供良好的安全保障，所以需要加大在这方面的投入力度。在构建过程中需要注意，一旦云平台保护的流量类型和对象发生改变，就需要改变使用不同的配置安全保护手段的方法。

[1]李仕鹏.数字化测绘技术在工程测量中的运用探析[J].工程技术研究, 2018(16):253-254.

[2]胡进娟.高校虚拟化平台建设方案研究[J].电子元器件与信息技术, 2018(10):27-29.

[3]王爱彬.构建云平台安全的防护体系与手段[J].通讯世界, 2018(09):35-36.

[4]何玉莹,梁志强,陆月莹,唐福林.多维度构建立体化业务平台安全防护体系[J].广西通信技术, 2016(04):53-56.