新形势下云安全建设研究

赵立农 曹 莉 邓秘密

(中国移动通信集团重庆有限公司 重庆 401121)

(zhaolinong@cq.chinamobile.com)

1 引 言

1.1 研究背景

云计算是21世纪10年代一种很热门的技术，并且得到了非常快速的发展.而虚拟化技术作为云计算的关键技术之一，在云计算蓬勃发展这个外因的驱动下也正迅速地发展.虚拟化技术在资源的动态调配、有效利用以及高可靠性这3个方面比直接使用物理平台具有非常大的优势[1].

近年来网络安全问题呈现日益严重的趋势，因为信息泄露、信息遭受破坏等带来的损失越来越令人触目惊心，在这种大的形势下，网络安全的重要性被提到了前所未有的高度.

安全设备的投入代价通常是较高的，而大企业随着安全建设的要求不断提高，企业为了保护IT资产，通常投入很多资源采购安全设备，建立安全防护体系，但是安全防护设备独立部署，能力分散，无法形成合力.

目前采用传统的安全防护手段提供出口南北向的安全防护，缺失虚拟化特有安全防护能力.云计算引入了新的风险，东西向流量的安全问题成为主要威胁[2].

1.2 研究现状分析

1) 云安全产品缺乏统一管理

与传统环境下安全防护都由硬件设备组成不同，云环境下由传统硬件和虚拟化产品组成；传统环境中可以通过运维管理系统、安全管理中心等对安全设备进行统一管理，但是仍没法解决不同厂家安全设备的策略、管理统一调度的问题，多数的安全设备还需要各自登录设备进行操作管理.而云环境下面临虚拟化、物理安全设备，如何进行统一的管理也成为新的问题[3].

2) 安全责任边界界定不清

传统环境中网络边界明确，对于安全责任的界定可以通过运维合同中的条款进行描述，一般遵循谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清楚.云计算环境下，不同的服务和部署模式增加了租户和平台交互的复杂性，同时也增加了云上信息系统与云计算平台的责任界定难度.

3) 用户与平台安全边界不清

传统环境中由平台整体提供了从物理网络到应用层的安全防护能力；但随着云计算技术和应用的不断发展，伴随着业务需要，客户需要定制化的、自主可控的安全服务，实时了解掌握自身业务系统运行的安全状态，并根据自身需要和安全风险调整安全策略.

网络信息安全等级保护、云计算安全服务能力等相关制度规范也明确用户和平台都需要承担相应的安全风险和责任.

4) 云安全缺乏有效监督

云计算环境下，用户业务系统、数据、操作行为等都存放于云端；云计算平台安全也由云平台负责；那么如何保障这些海量数据在云平台上的安全也成为新的问题[4].

5) 云计算不可避免的虚拟化安全

部署在物理网络中的安全设备无法察觉虚拟化主机之间的交互，自然也无法提供相应的防护能力；虚拟主机之间、虚拟主机与宿主机之间以及虚拟网络自身都面临外部和内部层出不穷的攻击；传统的网络安全设备无法解决虚拟化安全问题.虚拟化形式的安全防护能力已成为云计算安全的当务之急[5].

2 设计思路

为配合云项目的建设，在云内搭建一套符合企业云环境的安全解决方案.云安全解决方案要能匹配云环境，并能适应以后云环境的发展的基础上适当独立.

因此，针对安全防护体系建设需求，本文提出的云安全管理平台的设计思路如下：

1) 与云环境的适配.云安全资源池方案能够很好地与已有的云环境兼容，无需过多改动.解决传统云安全解决方案落地难的问题，保证项目的准时交付.

2) 平台可运营.所有安全设备部署在安全资源池内，按照用户的订购关系进行增减、扩容、续费,而无需担心安全设备的具体位置.云平台建设方可以对租户的购买行为进行管理.双方安全责任清晰.

3) 提供立体的防护能力.安全资源池能够提供的组件其丰富程度决定了租户网络安全系数，只有提供从边界安全到主机内部安全整体的防御能力才能补足安全的短板.

3 架 构

3.1 技术架构

云安全管理平台技术架构将采用软件定义安全(SDS)的架构，其原理是通过将安全数据与控制平面的分离，对物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护.

整个架构主要分为3层，分别是资源层、平台层、安全应用层：

1) 资源层

资源层包括计算、存储、网络等基础物理资源，通过一系列的虚拟化技术，在该物理基础设施的基础上，提供给统一安全架构进行资源使用.该物理基础设施又按照统一的规格标准来部署[6].

为适应项目的实际需求，安全资源池内的安全设备采用虚拟化技术按需生成相应的安全设备实例.

① 安全资源池

提供安全资源独占的物理安全节点，通过虚拟化技术，每个安全节点运行代理软件，通过在该节点上生成虚拟安全设备实例并独立进行管理，形成安全资源池.安全资源池通过引流与流量复制系统来获取到云平台中计算节点的流量[7].

图1 功能架构

② 硬件资源

要求对接硬件资源对整个云环境边界进行安全防护，实现南北向流量的整体防护，实现资源的灵活调度.

2) 平台层

安全服务平台要求部署2个模块：一是安全运营管理平台，实现安全设备实例管理以及安全业务管理；二是云管理平台和SDN网络控制器.云管理平台主要实现对云计算环境的管理.SDN网络控制器主要实现业务网络、管理网络等相关网络功能设计.

3) 安全应用层

安全应用层由模块化、可扩展的安全应用组成，安全应用利用控制层提供的北向接口，以及安全运营管理平台存储的相关数据，提供一系列安全管理控制功能供租户使用.可以构成安全服务由租户来选择和订购.

3.2 功能架构

云安全管理平台通过安全资源池为云环境提供统一的云安全服务，云安全管理平台统一管理部署在安全资源池内的各种安全设备，并面向云计算的租户和管理员提供租户管理、自服务、订单审批、安全策略配置等功能.其功能架构如图1所示.

云安全管理平台为云租户和云运维管理人员提供一个服务平台，实现租户在线安全服务申请、自定义安全策略配置、统一设备管理、统一日志收集展现的功能.同时可以为平台运营人员实现安全服务的服务目录配置、服务申请审批、租户创建等功能.

安全资源池为所有租户申请的安全服务提供运行环境，安全资源池建立在独立硬件环境上与已有的云平台完全解耦，可以与多种云平台实现共存.租户申请的安全服务以虚拟化NFV设备的形式运行在安全资源池内，不同的租户之间通过2层vlan实现逻辑的隔离.安全资源池集成丰富的安全组件供用户使用.

主要组件及其功能：

1) 安全资源池.对接各种已有的虚拟化的安全设备，本期主要实现虚拟化下一代防火墙、虚拟化Web应用防火墙、入侵检测等，各种安全设备根据用户的请求创建，并由云安全管理平台统一管理.

图2 流量可视化编排技术

2) 云安全管理平台.运行在云环境之上，可实现对各种安全组件创建、删除、授权激活、日志收集,实现自动化的管理.并为系统用户提供诸如租户管理、自服务等功能.

3) 管理门户.云安全管理平台的门户，根据不同的角色登录后展示不同的管理界面.支持系统管理角色和租户角色.

4 功能介绍

1) 云安全管理平台

运行在云环境中，可实现对各种安全组件创建、删除、授权激活、日志收集，实现自动化的管理，并为系统用户提供诸如租户管理、订单审批、自服务等功能.云安全管理平台门户，根据不同的角色登录后展示不同的管理界面，支持系统管理角色和租户角色，通过账号的隔离实现权限的最小化管理.

2) 安全组件

各种虚拟化的安全产品,包括:虚拟化防火墙、虚拟化Web应用防火墙、虚拟化防病毒网关、虚拟化上网行为管理、虚拟化主机安全防护、态势感知、日志审计等，各种安全产品根据用户的请求创建，并由云安全管理平台统一管理.

3) 安全资源池

主要部署在裸金属X86硬件上，提供部署各种虚拟化的安全虚拟机.通过云安全管理平台，可以在安全资源池上创建虚拟机，同时编排安全服务链.安全资源池支持一体机形式部署，同时支持通过增加扩展节点的方式形成集群.

4) 第三方平台(外部系统)

云安全管理平台保持开放、兼容的策略，可以与第三方的云管理平台对接，实现统一的用户认证，租户、账号、资产数据同步.能够通过统一的用户登录和数据同步，优化用户使用流程.

5)情报中心(外部系统)

从安全共享体系获取的攻击者信息、攻击方法手段、攻击目标等重要信誉信息，通过情报中心可以将信誉情报下发到用户安全防御设备.

5 关键技术

5.1 流量可视编排技术

系统支持根据不同安全等级需求进行安全域划分，同时针对不同安全域间的防护创建不同的服务链.

如图2所示，互联网域与互联网接入域之间创建vWAF,vFW和vIPS的防护服务链1，与此同时安全域2与安全域3之间则可以创建与防护服务链1不冲突且不同的防护服务链2，其中防护服务链2包括vFW和vIPS，以此实现不同安全需求的互相隔离的安全环境与防护策略[8].

5.2 安全资源池技术

将传统IPS、WAF等防护设备虚拟化，通过策略路由、SDN引流等方式将流量牵引至云安全资源池，并依照能力运营中心的管理要求提供安全服务管理接口，如服务注册、服务目录、租户管理、统一认证等，在能力运用中心上提供面向租户的服务市场，供租户订购与使用，实现基于租户的产品化、自助式的安全按需自服务，如图3所示[9].

5.3 SDN分流技术

目前云安全资源池实现落地的最为核心关键主要为如何实现流量牵引，采用引流方案主要有2种：基于云管平台SDN控制器引流和传统交换机策略路由，如图4所示.

1) 基于SDN的策略路由和服务链组网方案

在针对有SDN网络的云环境时(如华为云、H3C云等)，可以通过调用SDN网络的接口API实现基于安全域的策略路由引流，引出的流量与云安全资源池进行双向的数据交换，从而实现基于SDN的策略路由和服务链组网方案[10].

图3 安全资源池

图4 SDN分流技术

2) 基于传统交换机的策略路由服务链方案

在针对有物理交换机网络的云环境时(如纯OpenStack,VMWare等)，可以通过在核心交换机处配置策略路由实现引流，引出的流量与云安全资源池进行双向的数据交换，从而实现基于传统交换机的策略路由和服务链组网方案[11].

6 总 结

云安全管理平台通过云计算、微服务、自动化编排等技术，帮助企业降低了安全建设门槛.通过云安全管理平台，能够使云上业务更加安全，运维人员能够更快速、准确地查看到网络安全能力的调用情况以及发生的安全事件，对云上整体安全状态做到实时掌控，对于安全事件可以做到快速响应、准确定位，提高企业整体网络安全的运维水平.

云安全管理平台致力于打造一个一站式云安全生态平台.依托于云原生安全、弹性、可扩展、多租户、池化、自助等特点.为用户实现安全能力的服务化.有效提升用户的安全运维效率，简化运维成本.不仅可以满足私有云政企云资源池客户多场景下的安全痛点需求，还可以满足多业务的等保合规建设.在等保、护网、安全运营建设等场景下均可按需满足用户需求.通过高效易用的申请、审批、编排、配置安全组件等关键模块，有效解决客户在主机、网络、应用、数据、管理、创新等方面的安全诉求.