政务云东西向流量监测技术研究及项目实践

2022-07-06杨优

现代信息科技 2022年6期

摘要：阐述了政务云面临的安全威胁和风险，对政务云环境下目前主流的安全技术实践进行了研究和分析，主要分析了政务云环境下东西向流量面临难以检测、检测影响性能、检测结果滞后等技术挑战，详细介绍了虚机东西向引流及大数据分析、流量策略控制、业务自熔断、安全态势感知等关键技术的设计架构和实践效果，解决了云内威胁检测存在盲区的问题，提升了政务云环境的安全性。

关键词：云计算;东西向流量;策略引流;流探针;智能威胁检测

中图分类号：TP39 文献标识码：A文章编号：2096-4706（2022）06-0110-05

Research and Project Practice of East-West Flow Monitoring Technology of Government Cloud

YANG You

（Nanjing Information Center， Nanjing 210019， China）

Abstract： This paper expounds the security threats and risks faced by the government cloud， studies and analyzes the current mainstream security technology practice in the government cloud environment， mainly analyzes the technical challenges faced by the east-west flow in the government cloud environment， such as difficult detection， detection affecting performance and lagging detection results， and introduces in detail the design architecture and practical effect of key technologies of the East-West drainage of virtual machine， big data analysis， flow strategy control， business self fusing， security situational awareness and so on. It solves the problem of blind area in cloud threat detection and improve the security of government cloud environment.

Keywords： cloud computing; east-west flow; strategic drainage; flow probe; intelligent threat detection

0 引言

城市治理数字化转型已成为打造数字政府、发展数字经济、构建数字社会的必然趋势。近年来政务云已广泛运用在电子政务的众多场景，已经成为打造数字政府的重要基础设施，政务云为各政务委办局实现跨部门、跨区域、跨层级的业务协同、数据共享等提供了便利，但同样带了数据和业务上云之后的安全风险，黑客攻击往往从内部虚拟资源入手，进而渗透到云平台的业务系统。因此，云安全监测应在边界安全的基础上重点监测VPC虚拟机内部风险。同时云计算虚拟化环境中的安全问题和策略配置方法与传统架构存在较大差异，这使得保障政务云上业务和数据的信息安全成為政务云管理运维部门需要研究的重要命题。

Gartner在《2019年七大新兴的安全和风险管理趋势》中指出：云平台安全应从威胁防御向威胁检测转变，到2022年50%安全运营中心（SOC）应具备事件响应、威胁情报和威胁检测能力，而2015年这一比例不到10%。

《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》中规定：应能检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量。设计标准中要求能够识别、监控虚拟机之间，虚拟机与物理机之间的网络流量。

因此，云安全监测重点关注VPC内部的安全风险，诸如核心资产和应用的安全防护缺失，内部主机或设备的管理员权限易被突破，网络安全防护缺乏纵深，边界突破后导致病毒无限制传播或高危权限内部漫游，弱口令、复用、老旧口令普遍存在造成系统被破解登录，已公开漏洞、高危0day等未及时修补都将成为信息安全风险和事件发生的薄弱环节。

1 项目实践

为应对上述风险，业界普遍应采用统一安全策略、威胁检测、纵深防御等安全措施。主流云计算厂商（如Azure、AWS、阿里云、华为云、H3C、浪潮云等）的SOC服务具备威胁检测能力，但普遍基于边界的威胁检测，很少涉及云平台VPC内部的威胁检测。业界安全厂商在对VPC内部的检测，主要基于在虚机终端上部署的安全检测能力，例如杀毒软件，CWPP等产品，终端安全能力可以解决一部分威胁的识别，但是仍然存在检测的盲区。

VPC内部安全监测的难点在于东西向流量没有检测手段、安全检测影响虚机业务性能，威胁识别能力不足，威胁难以取证等方面。

（1）东西向没有流量维度的检测手段，云计算内部网络为虚拟网络环境，租户的业务流量在overlay层面传输，且无法将流量检测设备接入。

（2）安全检测影响业务虚机性能：如果在租户VM上做安全检测，不仅大量占用CPU、内存等资源，而且无法检测横向渗透等攻击，影响租户业务的正常运行。F62FC92B-4285-4998-BBC1-5606D21157E3

（3）终端安全的原理主要是基于对进程和文件的检测，本质上是基于既定攻擊事实的威胁检测，只有当恶意文件已经进入到主机，或者已经启动了进程才能被检测到，实际上从攻击链方法论，发现和识别出前期的探测和扫描，才是解决安全防御的制胜之道。

（4）威胁难以取证：由于威胁类型众多且关系复杂，人工取证非常依赖专家经验，难以识别威胁的整个攻击过程并及时做出决策。

云计算威胁检测，按照纵深防御的理念进行架构设计，例如从外部进来的威胁，将经过边界防御，虚机与虚机之间的边界检测，虚机内部的防御系统等三重防御。主机与攻击载荷处于同一个维度空间，存在绕过的可能。以暴力破解为例，主机视角的暴力破解在慢速、多IP攻击以及存在主机防御盲区的情况下效果不好，应与流量视角进行结合分析，不能仅从基于文件和进程的监控作为主机异常的分析依据，基于协议层以上的统计数据作为分析依据，与原始流量检测相比，无法进行基于流量特征的分析建模，在检测精度和检测种类方面弱于流量检测，

本研究项目，将通过解决以上几个困难，以流量检测的方式，对虚机之间的东西向流量进行安全检测，并描绘出整个云网络内部的安全态势。

2 关键技术

2.1 东西向引流技术

传统的引流技术，是通过从网络设备的物理接口，使用端口镜像的方式引流至流量探针部件，如图1所示。

云计算环境下，没有物理网络的实体，无法进行端口镜像，流量无法直接引流至流探针。如果在虚拟交换机上进行流量镜像，会存在不同租户间的流量混合在一起，产生数据隐私的合规性问题。

虚机上部署的引流agent，包含流量捕获模块，如图2所示，该模块对所在主机采用非镜像方式采集网络数据包，通过预置的解析流量捕获规则，对原始报文进行封装，并发送至部署在本VPC内的检测软探针虚机进行流量检测。

2.1.1 轻量化引流部件

业界在虚机上部署的终端安全能力，以特征匹配为基础，如果特征库较大，必然需要占用更多的虚机资源，如果特征库不够，检测精度会下降。本研究项目的设计，通过简化终端引流能力，将流量引至特定的检测虚机，既解决了终端轻量化的问题，又可保证检测效果。

2.1.2 合规型检测能力

众所周知，云平台属于运营商维护，虚机内部则属于租户，虚机的原始报文流量属于租户的隐私数据，从隐私保护的合规上要求，云运营商不能直接获取虚机的原始流量和数据，本研究项目通过在租户VPC内部署检测软探针的方式，把原始流量的检测过程留在VPC内部，往大数据平台上送的是脱敏后的元数据和日志数据。

2.1.3 智能大数据分析

通过搭建一套大数据平台，把各VPC软探针上送的元数据和检测日志汇聚，进行综合关联分析，可实现对整个云网东西向流量的安全威胁态势，同时，在大数据分析平台上，可自定义关联规则和检测算法，并将规则和算法下沉到各软探针检测部件，进一步提升综合检测效率。

2.2 流量策略控制技术

东西向流量业务众多，流量模型复杂，在流量估算过程中，业界一般按照2：8的比例，通过监测南北向的流量大小对东西向流量进行评估，如图3所示。

东西向流量基于虚拟云网进行数据传输，如果对所有流量都进行引流做检测，势必会造成云网络的带宽压力，同时虚机大量流量的引流操作，也会造成业务虚机的性能受到影响，所以本次研究的流量策略控制技术，需要解决精准引流的问题以及虚机业务保障的退避机制问题。

2.2.1 基于业务场景的策略引流

东西向的虚机间流量很大，如果全量流量进行检测，不仅需要投入大量的检测计算资源，而且造成云网流量的翻倍增长，占用云网络带宽，所以需要一种可实现精准引流的方法，将有需要检测的流量引出来，对确认正常流量或者重复被检测的流量过滤掉。本研究设计了基于业务的策略过滤器，如图4所示。

报文捕获模块将待检流量镜像转发的时候，将会经过一个策略过滤器，策略过滤器可根据源目IP、报文端口和报文协议进行过滤，该策略可通过策略管理平台预置下发，或者根据业务的变化实时调整引流策略。这种灵活的策略机制，可以很方便地把虚机流量中的南北向流量挑选出来过滤掉，大大降低待检流量的数量，同时也降低了检测软探针虚机的计算成本。

2.2.2 基于熔断机制的自我保护机制

随着业务访问量的增大，虚机的资源将会迅速被占用，包括cpu，内存和网络带宽的资源都将处于高占用率状态，相应的虚机引流模块占用的资源量也会随着上涨，出现与业务争抢资源的局面。为了防止业务高峰时资源争抢对业务性能的影响，本研究项目设计了基于资源占用状况的退避机制，如图5所示。

通过监测引流模块对CPU、内存和流量的占用比例的监控，并对各项指标设置阈值，当某项指标触发阈值时，启动熔断开关，关闭引流检测功能。因为在高峰期的带宽占用和CPU响应滞后，如果使用集中式监控并下发熔断策略，容易造成处置滞后，并可能造成不可恢复的后果，所以本设计触发机制属于自触发型熔断开关，可以确保在第一时间完成阈值超压的响应。

2.3 威胁智能检测技术

安全检测分析系统通过采集政务云中东西向流量及日志数据，利用大数据分布式存储、索引、分析等技术识别网络中异常行为并触发威胁处置流程。如图6所示。

安全大数据检测系统涵盖了基于网络流量的异常行为分析、基于文件的异常主机行为与网络行为检测、基于流日志的自适应基线检测以及基于日志的关联分析等功能。另外，该系统可以同防火墙等动作执行设备进行联动，使得系统具备发现威胁的同时具备阻断恶意流量和攻击的能力，形成一个多维立体威胁防护体系。F62FC92B-4285-4998-BBC1-5606D21157E3

2.3.1 关联分析能力

通過挖掘事件之间的关联和时序关系，从而发现有效的攻击。关联分析利用安全大数据平台的流计算引擎，从分布式消息总线上获取归一化日志装入内存，并根据系统加载的关联规则进行实时在线分析。当日志匹配了某一关联规则，则认为它们之间存在对应的关联关系，输出异常事件，同时将匹配用到的原始日志记录到异常事件中。

2.3.2 流量基线异常检测

通过流量基线自学习的方式，系统自动统计一段时间内（比如一个月）网络内部各主机、区域以及内外网之间的访问和流量信息，以此访问和流量信息为基础（对于流量数据，还会自动设置合适的上下浮动范围），自动生成流量基线。流量基线异常检测将自学习的流量基线加载到内存中，并对流量数据进行在线统计和分析，一旦网络行为与流量基线存在偏差，即输出异常事件。

2.3.3 C&C异常检测

C&C异常检测主要通过对协议（DNS/HTTP/三、四层协议）的分析发现C&C通信异常。基于DNS流量的C&C异常检测采用机器学习的方法，利用样本数据进行训练，从而生成分类器模型，并在客户环境利用分类器模型识别访问DGA域名的异常通信，从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为。

基于三、四层流量协议的C&C异常检测根据C&C通讯的信息流与正常通讯时的信息流区别，分析C&C木马程序与外部通讯的信息的特点，区分与正常信息流的差异，通过流量检测发现网络中所存在的C&C通讯信息流。

对于基于HTTP流量的C&C异常检测采用统计分析的方法，记录内网主机访问同一个目的IP+域名的所有流量中每一次连接的时间点，并根据时间点计算每一次连接的时间间隔，定时检查每一次的时间间隔是否有变化，从而发现内网主机周期外联的异常行为。

3 实践效果

通过如上的技术设计，测试验证发现可达到如下效果：

（1）引流模块对虚机资源占用不超过5%，在业务低峰时，占用比例接近0.1%;

（2）可自定义的引流策略，将引流策略控制到IP和端口粒度，不仅可以针对单台虚机下发，也可以通过模板的方式，进行批量策略下发，如图7所示。

（3）业务高峰流量测试条件下，可迅速完成自我熔断，引流模块关闭，如图8所示。

引流熔断关闭后，同时将会轮询虚机资源状态，并提供熔断恢复的能力，达到启停行为的自动化效果。

（4）检测能力全面，检测结果如图9所示，系统具备IPS签名数量12 000+，其中漏洞签名9 000+，基于AI威胁检测算法检测高级威胁，平均检出率>95%。

（5）多维度的事件分析与态势展示，如图10所示，可以实现基于攻击过程和事件认知维度的事件分析、攻击推理，综合展示安全态势、资产态势、弱点态势等，预测安全趋势。