鐵路企業(yè)多地多中心多云安全防護體系研究

楊顏忠，馬 騰，吳昱亭，梅思遠(yuǎn)

（1.中國鐵路昆明局集團公司 信息技術(shù)所，昆明 510610；2.中國鐵路信息科技集團有限公司，北京 100844）

《“十四五”鐵路網(wǎng)絡(luò)安全和信息化規(guī)劃》明確提出，鐵路行業(yè)數(shù)據(jù)中心采用多地多中心總體布局，建成由主數(shù)據(jù)中心、同城雙活數(shù)據(jù)中心、異地數(shù)據(jù)中心構(gòu)成國鐵集團級數(shù)據(jù)中心，優(yōu)化調(diào)整鐵路局既有信息基礎(chǔ)設(shè)施，積極推進(jìn)綠色數(shù)據(jù)中心建設(shè)和資源合理利用[1]。中國國家鐵路集團有限公司（簡稱：國鐵集團）在主數(shù)據(jù)中心利用鐵信云和VMware建設(shè)了雙云IaaS平臺，為國鐵集團企業(yè)級應(yīng)用系統(tǒng)提供信息化基礎(chǔ)平臺。與此同時，按照國鐵集團的總體要求，各鐵路局集團公司結(jié)合自身實際情況和發(fā)展需要，在虛擬化、云計算方面進(jìn)行了規(guī)模化建設(shè)，基于VMware和不同廠家的云計算產(chǎn)品建設(shè)鐵路局IaaS平臺。目前，18個鐵路局集團公司均擁有各自的云計算平臺，實現(xiàn)了鐵路局集團公司級信息系統(tǒng)初步上云。

目前，各個數(shù)據(jù)中心的云計算資源、虛擬化資源等都是通過各自的云管平臺軟件、虛擬化管理軟件實現(xiàn)資源池的管理。由于缺乏支持跨地域、跨數(shù)據(jù)中心、跨云的管理平臺，且沒有遵循統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和技術(shù)架構(gòu)，這些數(shù)據(jù)中心的運維和安全管理工作分散而繁雜，不利于資源整合，且容易造成管理低效和安全隱患。為此，亟需研究開發(fā)統(tǒng)一的多地多中心多云管理平臺，滿足跨數(shù)據(jù)中心的資源統(tǒng)一管理、統(tǒng)一運維需求。多地多中心多云管理平臺是指能夠同時管理跨地域的多個公有云、多個私有云、混合云以及各種異構(gòu)資源的統(tǒng)一管理平臺[2]；在該平臺跨云管理能力的支撐下，實現(xiàn)各類資源統(tǒng)一納管、多地域統(tǒng)一權(quán)限、多服務(wù)統(tǒng)一入口，有效解決多地域分布資源池的統(tǒng)一管理問題，降低企業(yè)云管理操作的復(fù)雜度，提升資源利用率和運維效率，降低了運營成本[3]。

多地多中心多云管理平臺（簡稱：平臺）給鐵路企業(yè)信息系統(tǒng)運維人員帶來資源統(tǒng)一靈活調(diào)度這一巨大便利，同時也帶來了新的安全風(fēng)險。在開發(fā)建設(shè)該平臺的過程中，需要重視網(wǎng)絡(luò)安全，對多地多中心多云環(huán)境下的網(wǎng)絡(luò)安全風(fēng)險進(jìn)行系統(tǒng)分析，研究完善、高效的安全防護體系，以指導(dǎo)該平臺的信息安全建設(shè)。

1 多地多中心多云環(huán)境下安全風(fēng)險分析

目前，鐵路級應(yīng)用運行中心共24個，承載云上信息系統(tǒng)2 851個，涉及VMware、鐵信云、華為云、深信服、容器云等多種云環(huán)境。這些數(shù)據(jù)中心分布在全國各地，規(guī)模龐大，資源種類繁多。

在鐵路多地多中心多云環(huán)境下，安全防護邊界更加模糊，云原生服務(wù)特有的攻擊暴露面面臨著特有的安全風(fēng)險，難以利用傳統(tǒng)的安全思路和產(chǎn)品有效地識別和應(yīng)對這些新的風(fēng)險和攻擊手段，給多地多中心安全管理帶來新的挑戰(zhàn)。

1.1 安全攻防風(fēng)險

（1）云服務(wù)配置安全風(fēng)險：云數(shù)據(jù)庫、對象存儲等云服務(wù)的大量使用，為惡意攻擊者提供了新的攻擊面，如果運維人員沒有深入理解云服務(wù)內(nèi)部工作原理及具體實現(xiàn)，容易因錯誤配置帶來風(fēng)險，埋下重大安全隱患。

（2）云賬號安全風(fēng)險：云賬號是云上資產(chǎn)和服務(wù)的入口，在多云環(huán)境下，云賬號擁有遠(yuǎn)超傳統(tǒng)數(shù)據(jù)中心的賬戶權(quán)限。一旦云服務(wù)賬號、身份被惡意利用，攻擊者可發(fā)起權(quán)限提升、數(shù)據(jù)竊取等攻擊，導(dǎo)致嚴(yán)重的云上安全事件。

（3）API安全風(fēng)險：云原生應(yīng)用大部分基于微服務(wù)架構(gòu)，應(yīng)用程序接口（API，Application Programming Interface）是主要的對外服務(wù)接口，這些API可能分布在不同的數(shù)據(jù)中心，大量使用API可能帶來云API Access Key泄漏、API權(quán)限超配、API惡意調(diào)用等花樣繁多的的云上攻擊手段和安全事件。

1.2 安全管理風(fēng)險

（1）多云安全能力與策略不一致：不同的云具有不同的安全能力，所配置的安全產(chǎn)品也各不相同，安全策略難統(tǒng)一，導(dǎo)致安全能力和配置策略的割裂。多云賬號相比單云環(huán)境更加分散，分散的賬號阻礙了用戶對多云的統(tǒng)一管理，難以及時跟蹤資產(chǎn)變化，給運維帶來很大的安全風(fēng)險。

（2）多云審計日志數(shù)據(jù)分散，分析割裂：不同廠商管理平臺的審計日志存放在不同位置，因?qū)徲嬋罩痉稚?、不統(tǒng)一，導(dǎo)致分析模型和過程割裂，無法實現(xiàn)全局統(tǒng)一分析，審計日志分析工作量繁雜，且分析結(jié)果缺乏通用性，給鐵路企業(yè)帶來安全管理和審計的風(fēng)險。

（3）多云安全合規(guī)性測評復(fù)雜，效率低下：合規(guī)性在云服務(wù)中是一種共享責(zé)任模式，云用戶應(yīng)始終對自己的合規(guī)性負(fù)責(zé)。為了滿足多云合規(guī)的要求，必須在不同云上分別進(jìn)行等保定級、安全測評，以及采購和交付安全產(chǎn)品（主機安全、云防火墻、WAF等）。由于不同云的合規(guī)配置、合規(guī)基線無法統(tǒng)一，導(dǎo)致安全合規(guī)性測評整體流程冗長繁瑣，費時費力，造成多云環(huán)境風(fēng)險識別不及時、反饋不及時、處理不及時的問題。

2 多地多中心多云環(huán)境下安全防護體系建設(shè)思路

針對多地多中心多云環(huán)境下新的安全攻防挑戰(zhàn)和安全管理風(fēng)險，在安全建設(shè)思路上也必須進(jìn)行創(chuàng)新，應(yīng)充分發(fā)揮云計算的優(yōu)勢，采取針對性思路和技術(shù)框架來提供安全防護。以安全左移為基本前提，數(shù)據(jù)驅(qū)動為基本要求，建設(shè)以自動化為基本手段的云安全防護體系。

Gartner基于云原生思維，提出云原生安全金字塔，其中最底層是基礎(chǔ)設(shè)施配置、身份和訪問管理，也是最重要的安全能力[4]。在Gartner的定義中，這部分的能力應(yīng)由云服務(wù)商提供基礎(chǔ)能力，用戶只需正確使用和配置這些基礎(chǔ)能力即可達(dá)到較為滿意的安全防御效果，這正是安全左移理念的有力佐證。在此之上，客戶采用安全產(chǎn)品來構(gòu)建各種增強安全能力，作為基礎(chǔ)安全能力的補充。以往的安全體系建設(shè)過于注重各種安全產(chǎn)品的堆疊，往往忽略了云工作負(fù)載和云服務(wù)本身的安全加固，導(dǎo)致業(yè)務(wù)本身存在大量的攻擊暴露面。一旦攻擊者繞過外部的安全產(chǎn)品，業(yè)務(wù)本身將沒有任何保護措施。為此，數(shù)據(jù)中心安全管理員應(yīng)將安全建設(shè)的重心從事中防御轉(zhuǎn)變?yōu)槭虑邦A(yù)防措施。

MITRE針對云環(huán)境的ATT&CK攻擊矩陣。與傳統(tǒng)的攻擊手法不同，MITRE聚焦于云上特有的攻擊形式，例如云上的攻擊入口從利用Web應(yīng)用，轉(zhuǎn)變?yōu)槔瞄_放的云服務(wù)、云控制臺和API[5]。在橫向擴散階段，攻擊者不但會利用各種協(xié)議的漏洞，還可能采取云賬號竊取和虛擬機逃逸等新興攻擊手法。在MITRE給出的云環(huán)境攻擊矩陣中，云賬號安全風(fēng)險、API安全風(fēng)險是最為普遍風(fēng)險。因此，分析這些攻擊方式，據(jù)此制定針對性的防護方案和措施，是云原生環(huán)境和混合多云環(huán)境下安全建設(shè)的重要路徑。

多云安全管理風(fēng)險的根本問題是不同云平臺服務(wù)標(biāo)準(zhǔn)的不一致，通過研發(fā)和實施多地多中心多云管理平臺，統(tǒng)一不同云平臺的服務(wù)標(biāo)準(zhǔn)，消除差異，為用戶提供一致的云安全能力、一致的云安全配置、一致云安全分析和一致云響應(yīng)處置，使得多云環(huán)境對用戶透明。

為此，結(jié)合Gartner云原生安全金字塔和MITRE ATT&CK云端攻擊矩陣的云安全防護思路，通過全棧安全能力，覆蓋云上業(yè)務(wù)生命周期的每一個瞬間，覆蓋各類形態(tài)資產(chǎn)、覆蓋應(yīng)用全生命周期、覆蓋云上各類安全風(fēng)險、覆蓋云上各類攻擊手段，實現(xiàn)多地多中心多云的安全防護。

3 多地多中心多云環(huán)境下安全防護架構(gòu)

傳統(tǒng)安全防護以網(wǎng)絡(luò)為中心，在數(shù)據(jù)中心出口處形成第一層網(wǎng)絡(luò)邊界防護。在云環(huán)境中，安全防護包含云平臺自身的防護和租戶側(cè)虛擬化環(huán)境的防護。云平臺防護主要實現(xiàn)物理網(wǎng)絡(luò)邊界、云管理平臺、云操作系統(tǒng)、虛擬資源池等多層防護，而租戶側(cè)縱深防護應(yīng)實現(xiàn)虛擬網(wǎng)絡(luò)邊界、虛擬網(wǎng)段間、虛擬網(wǎng)段內(nèi)和虛擬機環(huán)境的多層縱深防護。

多地多中心多云安全系統(tǒng)應(yīng)能全面連接 VMware、OpenStack及Kubernetes等各類公有云、私有云和容器云，通過云平臺開放的API接口，基于用戶的云賬號Access Key授權(quán)許可獲取用戶云上資產(chǎn)、云原生服務(wù)配置和云安全產(chǎn)品日志等信息。

安全系統(tǒng)將各個云平臺的API接口數(shù)據(jù)進(jìn)行歸一化和標(biāo)準(zhǔn)化處理，然后將多云的資產(chǎn)信息進(jìn)行統(tǒng)一呈現(xiàn)，對配置進(jìn)行統(tǒng)一評估。多地多中心多云安全防護架構(gòu)劃分為上中下3層，如圖1所示。

圖1 多地多中心多云安全防護架構(gòu)

上層為服務(wù)呈現(xiàn)層，由安全系統(tǒng)提供平臺管理相關(guān)功能模塊組件，安全管理員可以進(jìn)行自助管理和安全策略配置。

中間層對外提供云安全可視、云資產(chǎn)中心、云安全配置評估、云合規(guī)管理、云事件中心等云安全服務(wù)等，實現(xiàn)混合多云統(tǒng)一的云原生安全防護。另外，平臺通過調(diào)用API，實現(xiàn)云主機安全、云WAF、云防火墻、云日志審計等各類云安全組件在各個云環(huán)境中按需分發(fā)、集中授權(quán)和自動部署，并以平臺作為各類云安全組件的管理入口，實現(xiàn)各中心云資產(chǎn)的集中管理和按需分配使用。

下層為對接的不同種類的云環(huán)境和云安全產(chǎn)品，通過API接口為多云安全平臺提供數(shù)據(jù)，也可接受來自中間層的指令，執(zhí)行安全組件創(chuàng)建、網(wǎng)絡(luò)配置和安全配置調(diào)整等指令，協(xié)同處置安全風(fēng)險問題。

4 多地多中心多云安全防護策略

多地多中心多云的安全防護應(yīng)以應(yīng)用和資產(chǎn)為中心，構(gòu)建新的安全控制點，通過“平臺+組件+服務(wù)”的模式如圖2所示，采取“洞察風(fēng)險、動態(tài)加固、智能建模、跟隨保護”防護策略，充分洞察云上攻擊面和云內(nèi)風(fēng)險，通過云環(huán)境安全策略調(diào)優(yōu)與加固有效應(yīng)對威脅攻擊，為業(yè)務(wù)系統(tǒng)提供完善周全的安全保護。

圖2 多地多中心多云安全防護策略

4.1 洞察風(fēng)險

洞察風(fēng)險的前提是建立在識別攻擊暴露面的基礎(chǔ)之上，而識別攻擊暴露面的前提是識別需要保護的資產(chǎn)。相對于傳統(tǒng)數(shù)據(jù)中心，多地多中心多云環(huán)境下的資產(chǎn)類型種類更多、變化更加頻繁、管理更為復(fù)雜、責(zé)任人也更為廣泛，梳理權(quán)限的難度較大。為此，宜采取“主動+被動”的方式，通過云資產(chǎn)主動探測、云流量識別、云主機端側(cè)和云API對接采集等多種手段，來識別多地多中心多云環(huán)境中的各類資產(chǎn)。多云環(huán)境中資產(chǎn)梳理主要從云服務(wù)商、云賬號、云服務(wù)、云工作負(fù)載、云應(yīng)用等多方面入手，識別有哪些不同種類的云平臺、各個云平臺上開設(shè)的云賬號、各個云賬號所創(chuàng)建的云工作負(fù)載，開通的各種云服務(wù)及其工作負(fù)載類型（如虛擬機、鏡像、容器等），以及部署的具體應(yīng)用類型（如Web應(yīng)用、API應(yīng)用）等。在此基礎(chǔ)上，進(jìn)一步識別資產(chǎn)的暴露面、脆弱性、資產(chǎn)洼地等，通過“多云環(huán)境+云上應(yīng)用”的漏洞探測開展全面的風(fēng)險梳理，并結(jié)合資產(chǎn)的重要性、脆弱性危害、上下文關(guān)聯(lián)、攻擊鏈映射、對風(fēng)險的優(yōu)先級進(jìn)行系統(tǒng)分析，確保安全防護策略能夠聚焦各種高危風(fēng)險。

4.2 動態(tài)加固

在完成資產(chǎn)有效梳理后，需要思考如何完善安全策略來達(dá)到安全標(biāo)準(zhǔn)。在多云環(huán)境下，應(yīng)以資產(chǎn)為核心，隨風(fēng)險變化來動態(tài)加固安全防護。因此，主動識別多云環(huán)境中待保護對象的安全脆弱性，及時預(yù)警并采取有效措施來減小風(fēng)險暴露面，并提供安全建議指導(dǎo)用戶快速進(jìn)行安全加固，降低安全事件發(fā)生概率，將安全風(fēng)險應(yīng)對措施從傳統(tǒng)的隔離與控制轉(zhuǎn)變?yōu)樘嵘陨砻庖吡统掷m(xù)檢測。原先主要通過防火墻、防病毒等技術(shù)手段，把攻擊阻擋在系統(tǒng)之外，現(xiàn)在主要是依據(jù)主機的配置、漏洞等風(fēng)險評估，對系統(tǒng)和應(yīng)用進(jìn)行安全防護加固，以及持續(xù)進(jìn)行入侵檢測來不斷提升主機側(cè)自身安全能力。

針對環(huán)境安全策略，根據(jù)風(fēng)險場景，設(shè)置多種防護場景，例如常態(tài)保護場景，實戰(zhàn)保護場景，病毒防御場景等，自動梳理安全加固策略，自動策略下發(fā)，實現(xiàn)云內(nèi)網(wǎng)絡(luò)安全、云工作負(fù)載、云平臺安全等的加固。

從應(yīng)用的角度出發(fā)，根據(jù)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全的要求，動態(tài)下發(fā)安全策略，實現(xiàn)主機層、應(yīng)用層和網(wǎng)絡(luò)層的安全防護，兼顧安全和可用性，實現(xiàn)業(yè)務(wù)訪問安全、云應(yīng)用安全、云主機安全等的加固。

4.3 智能建模

鑒于人工智能在安全方面的優(yōu)勢[6-7]，發(fā)揮持續(xù)威脅對抗能力構(gòu)建業(yè)界領(lǐng)先威脅情報中心，威脅情報經(jīng)數(shù)據(jù)整合、預(yù)處理與正則化存儲后，再由過濾引擎、分析引擎與校驗引擎進(jìn)行鑒定，生成諸如僵尸網(wǎng)絡(luò)、惡意鏈接URL、攻擊者IP、高級可持續(xù)威脅組織行為等戰(zhàn)術(shù)情報與事件情報，并賦予豐富的上下文信息[8]?；诙喾N異常行為分析建模工具，從用戶行為、流量行為、操作行為、云應(yīng)用、云網(wǎng)絡(luò)、云工作負(fù)載，云配置等多個方面，通過專家規(guī)則進(jìn)行建模，同時結(jié)合實時更新的威脅情報，精確發(fā)現(xiàn)云內(nèi)高級威脅和異常行為[9]。

4.4 跟隨保護

當(dāng)云上新增業(yè)務(wù)時，進(jìn)行可信畫像模型更新，評估資產(chǎn)風(fēng)險及保護狀態(tài)，自動進(jìn)行風(fēng)險加固和云上安全能力部署，實現(xiàn)安全保護自動跟隨，自動化精準(zhǔn)防護。業(yè)務(wù)的變更、更新、遷移也都會帶來業(yè)務(wù)資產(chǎn)變化，應(yīng)自動跟隨這些變化，進(jìn)行風(fēng)險加固、安全組件遷移跟隨及云上安全組件策略更新下發(fā)。此外，實時感知云上攻防態(tài)勢變化，自動跟隨進(jìn)行攻擊阻斷和事件響應(yīng)，實時自動化防護云上攻擊態(tài)勢持續(xù)變化，事后實現(xiàn)全面攻擊鏈調(diào)查溯源。

5 多地多中心多云安全服務(wù)部署模式

構(gòu)建面向用戶的按需申請、按需交付的服務(wù)平臺是多地多中心多云安全服務(wù)建設(shè)的重點任務(wù)。目前，業(yè)界安全服務(wù)主要通過安全資源池建設(shè)，安全資源池主要支持解耦合和緊耦合2種模式。

（1）解耦合模式：通過在多地多中心多云管理平臺外獨立部署安全資源池，多云安全系統(tǒng)構(gòu)成一朵獨立的“安全云”，如圖3所示。

圖3 多云安全系統(tǒng)與多地多中心多云管理平臺的解耦合模式

在解耦合模式中，多云安全系統(tǒng)與多地多中心多云管理平臺通過API對接租戶賬號和業(yè)務(wù)信息、云網(wǎng)絡(luò)信息等同步到云安全服務(wù)平臺，便于云安全服務(wù)平臺及時獲知有新的租戶或新的業(yè)務(wù)上線，然后根據(jù)業(yè)務(wù)情況獨立部署安全能力。在多云安全系統(tǒng)中，各類安全組件以虛擬機的形式部署在安全資源池上。云安全服務(wù)管理通過用戶管理、設(shè)備管理、工單管理、日志管理、安全分析和安全監(jiān)測實現(xiàn)多方面多角度的安全加固，保障多地多中心多云環(huán)境的安全。此模式適用于具有單獨安全團隊、安全團隊自閉環(huán)管理的場景，各個中心云各自進(jìn)行安全管理和運營，多地多中心多云管理平臺的云安全服務(wù)在管理其自身安全的同時，面向各中心提供安全管理協(xié)同。鐵路企業(yè)適合采用這種模式進(jìn)行建設(shè)。

（2）緊耦合模式：安全組件以虛擬化形態(tài)部署在云平臺的用戶VPC內(nèi)部，直接由云平臺的虛擬化底層和虛擬化網(wǎng)絡(luò)承載和管理，分布在多朵云上的安全組件統(tǒng)一接受同一個多云安全系統(tǒng)管理，由同一個賬號進(jìn)行管理，實現(xiàn)多云無縫連接。云管平臺在云服務(wù)管理中提供云安全專區(qū)，并提供與其他云服務(wù)同樣的管理服務(wù)，如服務(wù)申請、開通、計費、部署等，云安全服務(wù)平臺通過API接口被云管平臺調(diào)用，當(dāng)有租戶在云管平臺操作時，調(diào)用云安全服務(wù)提供相應(yīng)服務(wù)能力，此模式更適用于租戶云資源和云安全均自管理場景。

對于緊耦合、解耦合同時存在的多安全資源池節(jié)點場景，可構(gòu)建起云安全集中管理平臺，統(tǒng)一管理所有的二級云安全管理平臺。

6 結(jié)束語

本文基于Gartner云原生安全金字塔和MITRE ATT&CK云端攻擊矩陣的云安全防護思路，提出了構(gòu)建以應(yīng)用和資產(chǎn)為中心的多地多中心多云安全防護體系，采取“洞察風(fēng)險、動態(tài)加固、智能建模、跟隨保護”策略，解決云上攻擊面和云內(nèi)風(fēng)險可視，云環(huán)境安全策略調(diào)優(yōu)與加固，完善并提升企業(yè)多地多中心安全防護能力，提升安全效果和運維效率，健全安全體系。