移动云安全体系探索

王立军

【摘要】在传统IT架构、单一云架构向多云架构方向发展演进过程中，由于多云架构结构复杂，各类云混杂部署致使安全管理与网络管理碎片化，云安全的内外部威胁及国家网络安全法的实施，云安全等级保护变得非常重要和紧迫。

【关键词】网络安全法;多云架构;云安全体系;DDOS攻击;Web全栈防护;云安全中心

中圖分类号：TN929                    文献标识码：A                    DOI：10.12246/j.issn.1673-0348.2022.02.021

1. 云安全背景介绍

由于原传统IT架构、单一云架构向多云架构方向发展演进，多云架构结构复杂，公用云、私有云、物理机、容器混杂部署，安全管理与网络管理进一步分离致使安全管理变得碎片化。流向模型改变致使东西向流量大，甚至是南北向流量的数十倍。

云安全来自外部的威胁：DDOS攻击、网络扫描、监听、木马、蠕虫、病毒入侵、挂马、SQL注入、非授权访问，虚拟化平台、共享弹性资源、租户传统网络边界消失、业务自动化等新增外部威胁：接入终端更多样，各种移动终端、VDI终端;新的针对Hypervisor漏洞攻击等。

来自内部的威胁：越权访问&操作、内网IP、ARP欺骗、病毒二次扩散、非法终端接入、关键信息泄密。VM存在相互攻击、流量不可视，取证困难;VM动态迁移需要安全策略保持一致性;存储数据物理位置不可知，用户担心数据隐私泄露;云IDC的管理集中带来管理员的权限滥用风险等。

由于《中华人民共和国网络安全法》出台，实行等级安全保护已成为法律制度。信息安全等级保护是对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中发生的信息安全事件分等级响应、处置。

“等保2.0”时代已经到来，新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围，这也是网络安全与等级保护合规性的要求。

2. 移动云安全体系浅析

移动云安全服务覆盖业务边界安全，终端安全，应用安全，安全管理等，通过统一对接云安全管理平台提供安全能力，用户通过可视化门户，及时了解和评估安全威胁，实施安全检测和防护，管理安全资产。如图1

3. 抗DDOS优势

采用业界领先的攻击识别清洗技术，轻松应对大流量攻击、连接耗尽攻击、脉冲攻击，保证客户业务正常运行。

聚集多名CCIE、CCSP认证且具备多年行业经验的网络安全专家，对攻击防护全程监控、跟踪建议，对客户提供安全咨询服务。

针对种类繁多的DDoS攻击，既具备通用化模板配置，又具备安全专家根据不同特点、不同技术制定的个性化防护策略，提高防护效果。

客户购买服务后通过简单配置即可开通防护，登录自助服务平台可查看攻击告警、防护状态、防护报告。

4. Web全栈防护优势

高效防御，智能安全分析为中心的主动性对抗防御架构，支持40大类上千种Web攻击防护，快速迭代“攻击样本”提升防御效果。

弹性防护，基础防护+弹性防护按需搭配，支持常态化基础防护包月服务及应对突发的高流量弹性防护，触发弹性防护按天计费，防护成本灵活可控。

稳定可靠。运营商级云资源池架构，集群+冗余高可用模式，消除单点故障，彻底解决大规模应用层防御的性能瓶颈问题。

网站隐身，通过修改CNAME方式引流，不再对外暴露用户源站服务器地址、避免攻击者绕过Web防护直接攻击用户业务站点。如图2

5. 漏洞扫描

5.1 系统漏洞扫描

1）支持CVE、CNVE、CNVD等主流漏洞库

2）扫描系统层面多种脆弱性：安全漏洞、安全配置漏洞、应用系统安全漏洞、弱口令等，发现可利用的漏洞

3）支持自定义扫描策略、扫描范围

5.2 WEB漏洞扫描

1）支持主流Web容器，包括IIS、Tomcat、Apache等

2）支持SQL注入、cookie校验、跨站脚本攻击、伪造跨站请求、网页挂马、隐藏字段检测等漏洞

3）提供专业的漏洞扫描报告，指导租户简单快捷的修复漏洞。为用户提供针对公网IP的漏洞扫描服务，使用范围更加灵活。支持资产所有权认证，防止漏扫产品被恶意使用，保障用户资产安全。

提供漏洞详情页面和漏洞对比分析，方便用户通过对比结果中的新增漏洞、已修复漏洞、未修复漏洞等清晰掌握资产的安全变化状况。

6. 态势感知

态势感知采用先进的大数据架构，通过采集系统的网络安全数据信息，对所有安全数据进行统一处理分析，实现对网络攻击行为、安全威胁事件、日志、流量等网络安全问题的发现和告警，打造安全可监控、攻击可防护、威胁可感知、事件可控制的安全能力。

7. 云堡垒机

云堡垒机是一个云资源集中管理平台，它能实现对云上资产运维过程的事前规划、事中控制和事后审计。同时，云堡垒机还支持自动化运维、资产拓扑发现、工单审批等功能，帮助用户建立完善的运维管理与内控体系，建立安全、高效、可控的运维管理机制。

8. 云安全中心

云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要求，图4所示：

9. 云安全中心优势

9.1 安全可靠

提供服务器资产的漏洞检测、基线检查及云平台配置功能，并提供详细的修复建议，形成安全运营闭环，帮助您加固系统安全。

9.2 资产管控

整合用户全局资产的威胁信息进行安全评分，并收集资产指纹等相关信息，帮助用户对资产进行统一的安全管控。

9.3 实时监控

可实时监控您移动云上所有资产的安全事件并提供封禁处理，可开启实时通知告警事件功能，及时抵御恶意入侵。及时发现异常登陆、暴力破解等安全问题，保护云上安全并满足监管合规要求。

参考文献：

[1]《云计算架构技术与实践》顾炯炯编著—北京：清华大学出版社.2016

[2]《中国移动集团政企产品白皮书》[EB/OL].2020