王爱彬

摘要：通过构建云平台网络安全的防护支撑构架，以及利用现有的安全防护手段和防护设备；提出对整个云平台的安全防护的工作思路与框架；为探讨云计算的安全防护的具体实施提供一定的分析和解决方案。

关键词：云平台；安全；防护

引言：云计算模式通过将数据统一存储在云计算服务器中，加强对核心数据的集中管控，比传统分别在大量终端上的数据行为更安全。由于数据的集中，使得安全审计、安全评估、安全运维等行为更加简单易行，同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算模式是在传统 IT 技术的基础上发展起来的，其本质上是增加了一个虚拟化层，并且具有了资源池化、按需分配，弹性调配，高可靠等特点。因此，传统的安全威胁种类依然存在，传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险，从保障系统整体安全出发，云计算在带来方便快捷的同时也带来新的风险和挑战，其面临的主要挑战和需求如下：法律和合规，动态、虚拟化网络边界安全，虚拟化主机安全、数据保密和防泄漏、安全运维和管理等；所以构建整体云安全防护的技术支撑体系显得越来越重要。

一、云安全防护支撑体系框架

云平台及网络安全防护是在专用业务网与互联网安全保障体系中的一部分，需要在总体安全保障战略的统一指引下，以构建可视、可管、可配置、智能化、可扩展的安全能力为目标，结合云平台及网络架构和技术特性，利用传统和虚拟化、NFV安全防护手段，从基础设施、虚拟化、网络、系统、应用、数据及管理支撑等多层面采取相应的安全支撑手段，构建软件定义的安全防护支撑体系，提供安全检测与识别、安全防护、安全审计与备份三大能力，满足云平台业务发展的要求。

云安全防护框架是依托于安全操作（简称SOC）一体化平台及各类安全子系统能力，提供云安全防护，固化落实云平台全生命周期安全管理的要求和作业流程。其中云安全集中管理平台作为SOC一体化平台的模块，复用、调度各个安全子系统的安全能力对云平台提供集中可视化、一点管控、配置自动化、策略智能化、弹性可扩展的全面云安全防护。

1.1安全防护集中可视化。传统的安全防护主要依赖专业的安全人员进行安全防护策略添加及部署，对最终用户而言并不可视，用户需要根据自己的实际业务需求自助订阅相关安全防护内容，比如：用户可自行通过简单配置生成安全防护实例并下发防护策略，提供安全防护自助化能力，能自行开通安全服务并进行管理，结合安全防护日志可实时查看攻击威胁情况并输出报告。

1.2集中安全一点管控。云环境下安全设备种类繁多，包括过滤转发类如IPS、WAF、FW等、旁路监听类如IDS、主动扫描类如主机漏扫及Web漏扫等，需要提供整体集约化的安全管控措施，对云环境下所有的安全设备进行统一管理，实现快速分发部署安全实例并形成安全防护策略。云安全管理平台实现多维度信息采集和威胁分析，能够在一个界面，对云环境的安全态势进行监控，对云环境的资产进行集中化、智能化和可视化管理，准确呈现安全态势。

1.3安全配置自动化。提供可视化的安全防护手段，可按需开启相应的安全防护（如Web防护、入侵防护、扫描服务等）；运维管理人员可通过运维门户界面对全网安全设备进行集中管控，实现快捷运维（如安全设备状态监控、安全策略集中管控、设备升级授权等等）。提供安全能力自助配置手段，基于安全业务需求按需提供安全能力，可实现用户自动部署安全防护实例并配置安全防护策略。

1.4安全策略智能化。安全防护策略可以根据多维度、海量的安全数据分析，自适应学习，迭代更新，体现安全策略的智能化。

1.5弹性可扩展。服务能力可以快速和弹性的提供，可自动实现快速扩展、释放和回收。可与工单系统打通，实现自动化派单。用户可按需订阅或购买安全服务能力。以资源池的方式，提供过滤转发、旁路监听、检测评估等安全能力。通过控制中心实现安全即服务的按需分配和自动化部署。

多种安全支撑手段在云安全管理平台的统一管理下，可提供可视、可管、可配置、智能的安全管理能力，按需、弹性、快速的可扩展安全防护能力，集中化的安全运维能力。

云平台技术及网络的技术实现架构由生产场景、安全一体化安全能力平台、采集对象组成。如下图所示：

生产场景：在云平台全生命周期安全防护中，包括安全验收、安全事件及故障处理、策略动态调整、定期风险评估、通行字管理与审计、应急预案和应急演练这几大应用场景。这些场景中灵活的调用SOC一体化安全能力平台的能力，提供对云平台的可视、可管、可配置、智能化、可扩展的安全防护。

SOC一体化安全能力平台：集中调用云安全子系统的安全能力，封装成微服务等综合安全能力，通过云安全集中管理模块，将能力与服务整合在一起，对云平台集中展现安全态势，处理安全威胁，收集所有云安全基础设施的日志，智能分析日志并制定安全配置，达到集中可视化、一点管控、配置自动化、策略智能化、弹性可扩展的支撑要求。

采集对象：包括了IT设备、网络设备、应用系统、安全设备、虚拟化系统等对象，供云安全子系统进行采集日志及安全信息，并接收执行SOC一体化安全能力平台下发的处置配置。

二、云安全防护手段部署概述

根据防护设备对流量的处理方式，可将安全设备分为防护类、检测类、评估类。防护类设备主要对流量进行过滤和转发，如FW、WAF、ADS等；检测类只对流量进行检测和分析，不转发，如NIDS、审计类产品等；评估类是主动发包探测，如系统漏洞扫描、Web漏洞扫描等。根据云平台防护的流量类型和对象的不同，安全防護手段的部署位置也不同。一般可分为大网统一防护、南北向防护、主机及东西向流量防护。

安全防护手段部署方案

说明：

大网统一防护：部署在云平台外部网络上，与云平台网络可达。主要安全防护手段包括异常流量清洗、web应用安全防护、web网站安全监控、远程安全评估等。

南北向防护：部署在云平台和外部网络的接口处，通常旁挂在三层交换或出口路由器或VxLAN网关上，实现对进出云平台流量的安全防护。主要安全防护手段包括异常流量清洗、web应用防火墙、防火墙、入侵检测、异常行为监测等。

主机及东西向流量防护：部署在云平台内部，实现对物理主机、虚拟主机的安全检测和防护，以及对虚拟机之间、VPC内部各细分区域间（如web区与APP区，APP区与DB区）的安全检测和防护。主要安全防护手段包括防火墙、网络/主机入侵检测、安全配置基线核查、本地安全漏洞扫描、防病毒等。