企業(yè)級公有云上業(yè)務(wù)集約安全防護實踐

李國良，尹 娜，李秋陽

（天翼物聯(lián)科技有限公司，江蘇 南京 210003）

0 引 言

自2006 年Google 首席執(zhí)行官埃里克·施密特（Eric Schmidt）首次提出“云計算”以來，經(jīng)過近20 年的發(fā)展，我國云計算行業(yè)整體市場規(guī)模和滲透率不斷增長，并且已經(jīng)成為新型基礎(chǔ)設(shè)施的重要組成部分。云計算是可配置計算資源的共享基礎(chǔ)服務(wù)池，服務(wù)模式按照實際使用付費，并提供方便快捷的網(wǎng)絡(luò)訪問。云計算根據(jù)使用類型分為公有云、私有云、專有云和混合云四類，用戶根據(jù)自身的行業(yè)特性選擇使用不同類型的云服務(wù)。

企業(yè)在數(shù)字化進程中，不斷平衡投入與回報。數(shù)據(jù)中心前期需要投入巨大的采購和維護成本，資源利用率卻很低，企業(yè)有緊急業(yè)務(wù)擴容需求時，服務(wù)器的交付時間周期也較長。大中型企業(yè)要求企業(yè)數(shù)據(jù)不出門，通常將自有機房改造成私有云，但是需要投入不菲的人力、維護成本，容易出現(xiàn)業(yè)務(wù)穩(wěn)定性和交付體驗差等問題。

基于價值與戰(zhàn)略因素，為了持續(xù)降本增效，加快迭代業(yè)務(wù)架構(gòu)，提高服務(wù)交付效率，越來越多的企業(yè)選擇公有云承載業(yè)務(wù)。公有云對于租戶就是一張白紙，企業(yè)需要在白紙上開展網(wǎng)絡(luò)和信息安全規(guī)劃，其中資源類規(guī)劃包括網(wǎng)絡(luò)分區(qū)、存儲控制、權(quán)限控制、安全產(chǎn)品、資源生命周期流程等；架構(gòu)類規(guī)劃包括服務(wù)遷移、數(shù)據(jù)安全等。

在公有云市場，主流云供應(yīng)商基本能夠根據(jù)網(wǎng)絡(luò)安全等級保護要求，提供全場景目錄清單的公有云網(wǎng)絡(luò)和信息安全防護能力服務(wù)，但是云供應(yīng)商為了其效益，一般不會提供適應(yīng)企業(yè)級的集約安全防護方案，或者提供的方案傾向于大而全，無法降低企業(yè)網(wǎng)絡(luò)安全防護成本，也不會適應(yīng)用戶業(yè)務(wù)分散、架構(gòu)多變的現(xiàn)狀，因此企業(yè)亟需提供一種通用、集約、高效、合規(guī)的安全防護方案。

1 企業(yè)級公有云典型安全防護技術(shù)方案

公有云的特點之一是云供應(yīng)商提供IaaS 服務(wù)，因此云供應(yīng)商能夠優(yōu)先獲得企業(yè)云業(yè)務(wù)的防護需求，主動向企業(yè)提供云化的安全防護能力，這些能力主要以SaaS 的形式呈現(xiàn)出直觀的安全數(shù)據(jù)。圖1 是云供應(yīng)商提供的SaaS 式安全防護部署結(jié)構(gòu)。企業(yè)按照教程配置策略，入門門檻降低，企業(yè)流程和技術(shù)儲備也得到簡化。

圖1 云供應(yīng)商SaaS 式安全防護部署

首先，SaaS 安全防護部署模式弊端明顯，企業(yè)配置門檻的降低致使員工能力提升和技術(shù)儲備產(chǎn)生影響。其次，SaaS防護模式是面向公眾的、普遍的、標準的模式，無法貼合企業(yè)的定制化需求模式。最重要的是，SaaS 防護模式導(dǎo)致數(shù)據(jù)機及其價值無法掌握在自己手上，控制權(quán)限在云供應(yīng)商，對于企業(yè)的數(shù)據(jù)安全及基于數(shù)據(jù)的業(yè)務(wù)發(fā)展造成阻礙。

部分選擇公有云的企業(yè)部署如圖2 所示的垂直分布式平臺安全防護架構(gòu)，即“煙囪式”安全防護，針對企業(yè)不同的IT 應(yīng)用系統(tǒng)分別實施同一套安全防護體系。垂直分布式安全防護通常由企業(yè)自行建設(shè)，云供應(yīng)商僅提供必要的云資源等相關(guān)服務(wù)，具體的安裝部署、策略更新、數(shù)據(jù)分析等由企業(yè)側(cè)維護。

圖2 垂直分布式平臺安全防護部署架構(gòu)

垂直分布式安全防護能夠促進“安全型企業(yè)”的建設(shè)和人員安全能力的提升，尤其是對于IT 系統(tǒng)部署分散、安全防護要求高、遵守“三同步”建設(shè)指南的企業(yè)尤為適合。企業(yè)每當需要建設(shè)新的IT 業(yè)務(wù)系統(tǒng)時，按照安全防護的指南同步建設(shè)一套安全防護能力，具有可復(fù)制性、部署簡單、架構(gòu)清晰等優(yōu)勢。垂直分布式安全防護也存在弊端，首先，分布式防護提高了企業(yè)的安全成本投入，治理、風(fēng)險、合規(guī)等因素驅(qū)動著企業(yè)動態(tài)增加安全投入，如果業(yè)務(wù)無限橫向拓展，其縱向安全防護投入也接近“無底洞”；其次，每套分布式安全防護能力都需要人員維護，人力成本投入高。

基于上述兩種架構(gòu)模式的弊端，較多企業(yè)在業(yè)務(wù)上云時為了將安全數(shù)據(jù)掌握在自己手中，集中建設(shè)安全防護能力成了上云的主流。但是，企業(yè)上云的時機早晚不定，云計算安全解決方案成熟度欠缺，導(dǎo)致企業(yè)在上云安全方案中走彎路。圖3 是典型的未規(guī)劃安全防護架構(gòu)，主要體現(xiàn)在以下兩個方面：首先，企業(yè)堆疊各項安全能力，導(dǎo)致未能有效規(guī)劃分層，形成安全域的概念；其次，能力雖然集中，但是缺少串聯(lián)各項安全能力的有效手段，難以將安全能力轉(zhuǎn)化為企業(yè)的安全運營動能。

圖3 典型的未規(guī)劃安全防護架構(gòu)

中大型企業(yè)業(yè)務(wù)復(fù)雜，在公有云中會啟用多個虛擬隔離網(wǎng)絡(luò)最小單元VPC，每個VPC 是獨立的，一般占用一個專用網(wǎng)段，VPC 間通過云虛擬化技術(shù)實現(xiàn)有控制的網(wǎng)絡(luò)連接。以天翼物聯(lián)科技有限公司為例，在天翼云中大約有200+個VPC，業(yè)務(wù)的邊界安全、運維安全、安全管理等基礎(chǔ)安全防護能力是企業(yè)安全防護的迫切需求。隨著業(yè)務(wù)VPC 的不斷拓展，企業(yè)需要綜合考慮安全防護部署架構(gòu)，安全能力支持快速復(fù)制迭代，形成合理的VPC 分域，構(gòu)建成層次分明、便捷高效、穩(wěn)定可靠、安全可視的集約安全防護能力體系架構(gòu)。

2 公有云集約安全防護能力方案與架構(gòu)

2.1 公有云安全防護能力要求概述

在安全治理、風(fēng)險、合規(guī)三要素驅(qū)動下，公有云不是企業(yè)避免信息安全責(zé)任的“法外之地”。安全治理源自企業(yè)的戰(zhàn)略需求，對于大中型企業(yè)，安全生產(chǎn)與業(yè)務(wù)是緊密相連的，信息安全支出占企業(yè)全年成本或投資費用比例不斷提高。安全風(fēng)險即企業(yè)信息化中面臨威脅的可能性，企業(yè)需要平衡風(fēng)險與業(yè)務(wù)二者關(guān)系，提出應(yīng)對風(fēng)險的措施。安全合規(guī)是企業(yè)在經(jīng)營中所面對的環(huán)境因素，合規(guī)是企業(yè)生存發(fā)展的基石，確保符合當?shù)氐姆煞ㄒ?guī)、滿足各類經(jīng)營規(guī)范和標準才能支持企業(yè)長遠發(fā)展。

企業(yè)在公有云不同的服務(wù)類型中面臨的安全責(zé)任也不盡相同。IaaS 服務(wù)模式重心在于操作系統(tǒng)以上各層服務(wù)與應(yīng)用的安全，以及操作系統(tǒng)之間的網(wǎng)絡(luò)架構(gòu)安全，物理層、數(shù)據(jù)鏈路層、部分網(wǎng)絡(luò)層的安全防護由云供應(yīng)商提供。針對PaaS 服務(wù)模式，企業(yè)更關(guān)注原生應(yīng)用的安全，尤其是面向微服務(wù)框架的敏捷開發(fā)安全；針對SaaS 服務(wù)模式，很少有企業(yè)脫離IaaS 和PaaS，單獨在公有云購買并經(jīng)營SaaS應(yīng)用。

結(jié)合企業(yè)安全需求三要素，公有云安全防護是基于法律法規(guī)和行業(yè)標準的，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等是國家在信息安全專業(yè)方面的基本法，《等級保護條例》《關(guān)基保護條例》等給出了安全防護的具體細則，企業(yè)受行業(yè)部門監(jiān)管的還應(yīng)該滿足行業(yè)相關(guān)安全管理要求與標準。在等級保護2.0 要求中，云上承載的三級等保護應(yīng)用在安全防護中需要從身份驗證、訪問控制、安全審計、入侵防范、惡意防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性等多重技術(shù)點著手，配套與之對應(yīng)的安全防護能力。在關(guān)基保護要求中，關(guān)基平臺要在等級保護基礎(chǔ)上重點防護，按照分析識別、安全防護、檢測評估、檢測預(yù)警、主動防御、事件防御等六個維度保護應(yīng)用。除此以外，云上業(yè)務(wù)還需要滿足行業(yè)監(jiān)管要求，如工業(yè)和信息化體系、銀保監(jiān)會體系相關(guān)的網(wǎng)絡(luò)安全防護的標準。

2.2 公有云集約安全防護能力方案與架構(gòu)

企業(yè)基于云上安全防護責(zé)任，需要對平臺的云主機、云網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、中間件和數(shù)據(jù)庫等各類可控資源進行安全管理與防護。除第1 節(jié)提到的技術(shù)方案問題外，云上安全防護能力的建設(shè)主要源自以下挑戰(zhàn)：

（1）沒有明確的物理網(wǎng)絡(luò)邊界，虛擬網(wǎng)絡(luò)和云計算技術(shù)使得傳統(tǒng)的物理網(wǎng)絡(luò)邊界模糊。

（2）云內(nèi)部流量、威脅等不可視，虛擬機間網(wǎng)絡(luò)通信均由虛擬交換機實現(xiàn)，傳統(tǒng)技術(shù)手段無能為力。

（3）云內(nèi)業(yè)務(wù)復(fù)雜，中大型企業(yè)在公有云虛擬機的數(shù)量往往是千甚至萬量級的，由于云計算的彈性擴展收縮的便捷性，導(dǎo)致安全防護配置復(fù)雜，防護工作量巨大。

結(jié)合上述公有云典型安全防護技術(shù)方案，集約安全防護能力體系是企業(yè)降本增效、解決用戶安全挑戰(zhàn)的最佳實踐，立足于滿足云上平臺的安全等級保護要求，從網(wǎng)絡(luò)邊界、應(yīng)用安全、運維安全、數(shù)據(jù)安全、內(nèi)容安全、安全審計等多方面進行安全防護，構(gòu)建通用、集約、高效、合規(guī)的公有云業(yè)務(wù)環(huán)境。

企業(yè)云應(yīng)用集中部署于云上節(jié)點，針對企業(yè)在云上節(jié)點的服務(wù)，將企業(yè)云劃分成以下主要區(qū)域：企業(yè)業(yè)務(wù)區(qū)、公網(wǎng)流量防護區(qū)、內(nèi)網(wǎng)流量防護區(qū)、運行維護安全區(qū)、東西向流量防護及安全管理區(qū)，如圖4 所示。企業(yè)業(yè)務(wù)區(qū)包含服務(wù)于企業(yè)內(nèi)外部客戶的各類應(yīng)用，如Web 門戶、APP、小程序等；公網(wǎng)流量防護區(qū)包含用于公網(wǎng)出入網(wǎng)服務(wù)的邊界和流量防護，如防火墻、IPS、IDS、Web 應(yīng)用防火墻、動態(tài)安全防護、零信任VPN 等；內(nèi)網(wǎng)流量防護區(qū)包含用于企業(yè)內(nèi)網(wǎng)出入網(wǎng)服務(wù)的邊界和流量防護，與公網(wǎng)接近；東西向流量防護區(qū)針對公有云應(yīng)用間數(shù)據(jù)的交換防護，無需通過防火墻等邊界設(shè)備。

圖4 集約安全分域防護總覽

3 公有云集約安全防護能力實踐

在公有云市場，天翼云牢牢占據(jù)行業(yè)領(lǐng)先位置，天翼物聯(lián)是中國電信提供物聯(lián)網(wǎng)端到端能力的專業(yè)公司，物聯(lián)網(wǎng)平臺業(yè)務(wù)均承載于天翼云公有云。為貫徹建設(shè)安全型企業(yè)的初衷使命，保障業(yè)務(wù)安全穩(wěn)定可靠，天翼物聯(lián)聯(lián)合啟明星辰、綠盟、天融信、信通院、天翼安全等行業(yè)網(wǎng)絡(luò)安全頂尖力量，在公有云集約安全防護方面付出諸多實踐。

企業(yè)互聯(lián)網(wǎng)應(yīng)用是網(wǎng)絡(luò)攻擊的入口，需滿足邊界安全防護能力的達標率與覆蓋率。圖5 展示了公網(wǎng)流量安全防護的集約部署架構(gòu)。企業(yè)公網(wǎng)應(yīng)用分散在多個獨立的VPC 上，建立公網(wǎng)邊界安全集約防護VPC 用于公網(wǎng)引流，部署負載均衡、下一代防火墻、Web 應(yīng)用防火墻等虛擬化網(wǎng)絡(luò)邊界安全設(shè)備。

圖5 公網(wǎng)流量安全防護集約部署架構(gòu)

負載均衡是DNS 解析的入口，綁定公有云彈性公網(wǎng)EIP，用于企業(yè)內(nèi)多個公網(wǎng)應(yīng)用的路徑分發(fā)與流量統(tǒng)計；下一代防火墻相較于普通防火墻增強了網(wǎng)絡(luò)安全監(jiān)測的功能，如IDS、IPS、上網(wǎng)行為分析等；Web 應(yīng)用防火墻是HTTP/HTTPS 協(xié)議流量的專用防護設(shè)備，能夠有效阻止OWASP TOP10 的網(wǎng)絡(luò)安全攻擊，必要時還能實現(xiàn)代碼級動態(tài)安全防護功能。企業(yè)可自定義應(yīng)用在公網(wǎng)出、入訪所需的防護能力，按照經(jīng)驗，出訪由應(yīng)用VPC 主機，經(jīng)過下一代防火墻SNAT；入訪由用戶公網(wǎng)分別經(jīng)過負載均衡、下一代防火墻、Web 應(yīng)用防火墻，可較好地發(fā)揮邊界安全防護效果。

企業(yè)辦公內(nèi)網(wǎng)流量安全防護與公網(wǎng)防護類似，所需安全能力與圖5 較為接近，其部署方式如圖6 所示。值得注意的是，辦公內(nèi)網(wǎng)應(yīng)與公網(wǎng)隔離開，兩者設(shè)備均獨立部署在各自的VPC 內(nèi)，通過企業(yè)專用VPN 建立辦公終端與應(yīng)用的網(wǎng)絡(luò)聯(lián)系。為了滿足企業(yè)遠程、移動辦公運維的需要，可以在該VPC 內(nèi)部署零信任網(wǎng)關(guān)與控制器，零信任采用SDP 技術(shù)，可以有效隱藏互聯(lián)網(wǎng)攻擊面，并實現(xiàn)終端級的遠程安全接入。

圖6 運維安全防護集約部署架構(gòu)

圖6 是云上應(yīng)用集約安全運維專用VPC 及其網(wǎng)絡(luò)通道部署架構(gòu)圖，運行維護是安全防護工作不可或缺的環(huán)節(jié)，直接決定著內(nèi)網(wǎng)的安危。集約部署運行維護域可以將內(nèi)網(wǎng)終端及應(yīng)用維護的情況盡收眼底，一站解決公有云節(jié)點的安全數(shù)據(jù)采集匯聚。在該域部署數(shù)據(jù)采集服務(wù)設(shè)備，如日志審計系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、終端監(jiān)測響應(yīng)服務(wù)端、網(wǎng)頁防篡改服務(wù)端等平臺，與之對應(yīng)的數(shù)據(jù)則源自公有云主機安裝的Agent 代理客戶端，建議使用多合一功能的客戶端，避免一臺主機安裝多個Agent 的維護工作量。

值得注意的是，為做好內(nèi)網(wǎng)的操作記錄，便于溯源，運維中必須使用融合4A/堡壘機登錄操作服務(wù)器、數(shù)據(jù)庫以及內(nèi)網(wǎng)各類維護平臺和管理平臺。圖6 中任何內(nèi)網(wǎng)應(yīng)用、維護通道都沒有直接暴露在互聯(lián)網(wǎng)，企業(yè)云上內(nèi)網(wǎng)業(yè)務(wù)應(yīng)通過專用內(nèi)網(wǎng)防護通道供用戶訪問。圖6 還展示了云上集約安全管理VPC 的部署示意圖。

圖7 具體給出了安全管理的數(shù)字化能力架構(gòu)和業(yè)務(wù)VPC內(nèi)、VPC 間的東西向防護的架構(gòu)及數(shù)據(jù)流。內(nèi)外網(wǎng)之間的數(shù)據(jù)交換僅約占現(xiàn)代數(shù)據(jù)中心流量的20%，而更為龐大的80%流量流轉(zhuǎn)于內(nèi)網(wǎng)主機之間，也就是俗稱的東西向流量。邊界安全集約防護主要針對南北向流量實行控制，而東西向流量容易被忽視，攻擊者容易通過公網(wǎng)弱點滲透進入內(nèi)網(wǎng)，橫向穿透內(nèi)網(wǎng)防線，導(dǎo)致內(nèi)網(wǎng)權(quán)限全丟的局面。

圖7 東西向防護及安全管理集約部署架構(gòu)

主機微隔離技術(shù)能夠通過網(wǎng)絡(luò)策略控制主機的入站和出站流量，將主機之間的東西向網(wǎng)絡(luò)連接和業(yè)務(wù)邏輯可視化，是內(nèi)網(wǎng)安全防護的最后一道墻。內(nèi)網(wǎng)的安全防護數(shù)據(jù)由各類防護能力的服務(wù)端通過syslog、kafka 等對接安全管理域的數(shù)據(jù)中心，上層應(yīng)用對安全數(shù)據(jù)進行消費和二次開發(fā)利用。最終將安全事件相關(guān)的集中告警、工單、展示、接口、分析等呈現(xiàn)給安全運營人員，運營人員也能通過事件進行響應(yīng)，由安全能力中心對事件開展響應(yīng)、封堵、溯源、反制等。

4 結(jié) 語

公有云的核心是虛擬化安全，企業(yè)選擇公有云的核心是企業(yè)信息安全。企業(yè)追求降本增效，本質(zhì)上是需要一套能夠覆蓋公司所有云上信息系統(tǒng)、掌握自主運營能力、安全數(shù)據(jù)可控的集約安全防護方案。文中詳細針對企業(yè)在公有云上的業(yè)務(wù)情況，提出包括公網(wǎng)邊界安全集約防護、辦公網(wǎng)邊界安全集約防護、運行維護安全集約防護、安全管理集約防護等多方面結(jié)合的集約防護實踐，并從整體和局部介紹各自的部署結(jié)構(gòu)、作用和實踐總結(jié)。

文中提出的集約安全防護體系在實踐中已經(jīng)能夠覆蓋等級保護2.0、企業(yè)自身防護的大部分需求，但是仍然需要持續(xù)提升。針對運行維護安全集約防護，首先可以進一步細化網(wǎng)段或者VPC，分配網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全、行業(yè)安全專用等多個維護模塊，便于不同崗位職責(zé)的運維人員管理；其次，公有云是多用戶共用底層物理資源，無法將個別用戶的流量單獨引流或者鏡像，流量分析是用戶的瓶頸需求，如果要求不高可以使用圖5 中負載均衡鏡像南北向流量，如果要求嚴格可以使用圖7 中微隔離Agent 鏡像匯總所有主機流量，均能實現(xiàn)流量分析的能力。最后，企業(yè)公有云安全不能完全依靠技防，集約防護能力只是給用戶的信息資產(chǎn)安裝一道門、關(guān)上一扇窗，企業(yè)應(yīng)從運營、檢查、審計等多方面管理機制著手，強化安全管理和運營，人防、技防雙措并舉，方能實現(xiàn)企業(yè)公有云服務(wù)的長治久安。