基于软件定义的云计算中心安全建设

2023-06-03陈高辉王小军

中国信息化 2023年5期

陈高辉王小军

随着新一轮科技革命和产业变革兴起，5G、人工智能、大数据、物联网等新一代信息技术产业迅速崛起，当前企业都在以各种方式积极推进数字化转型智能化发展，以强化信息化应用水平，提升智能化能力，促进管理运行自动化。云计算中心是信息化基础设施，是支撑企业实现智能化发展的有效保障，而安全防护又是云计算中心建设运行的重要组成部分。本文分析软件定义的安全技术在云计算中心安全防护中的作用，期待对企业云计算中心的安全建设起到借鉴作用。

一、云计算中心安全需求

云计算中心安全技术聚焦在计算资源池、网络资源池和云管理平台三个层面。云计算引入了虚拟化技术、云计算引擎、容器技术和云计算管理平台，给主机和网络带来新的安全挑战。

计算资源池安全保障：围绕物理服务器、虚拟机化底层及虚拟机系统三个维度开展安全防护工作，首先实现主机层的恶意代码防范。其次，需要关注上述三个维度的漏洞检测及防护，避免类似虚拟机逃逸攻击等恶性安全事件发生。同时，还应该在操作系统层面通过安全基线加固、安全漏洞加固、防暴力破解、防弱口令等各类安全手段实现防护效果。

网络资源池安全保障：首先需要围绕物理网络和虚拟网络实现恶意代码的防范，其次需要关注在东西向流量和南北向流量的安全防护，即保障入云业务或VPC内部（东西向流量）及外部（南北向流量）的安全隔离、访问控制、业务安全等，还需要实现在虚拟化环境下的安全策略跟随。

云管理平台安全保障：主要关注平台安全，将云管理平台当作平台应用进行安全防护，即做好云平台的访问认证及授权控制，并对平台设置安全基线。安全人员可通过漏洞的检测和防护技术，从多维度对云平台进行日志收集及审计操作，保障云平台本身的安全。

容器安全防护：包括容器杀毒、容器配置核查等。

另外，考虑到全业务数据中心涉及自建云平台，及后续混合云平台，需要考虑多云环境下的统一云安全策略管理与执行。

二、数据中心安全建设

（一）架构安全

按照数据中心网络、主机和终端方面的情况，结合网络安全等级保护2.0标准要求和数据中心数据安全防护要求，列出数据中心相关的架构安全风险差距分析表如表1。

（二）总体思路

数据中心面临诸多安全问题，很难通过一般安全产品将数据中心面临的所有风险解决。安全风险也是动态发展变化的，因此，解决方案也需要随着数据中心的安全需求变化不断完善和发展。与传统模式相较，云计算的网络安全需求并没有什么变化，无论是信息的保密性、完整性、可用性，还是根据网络层次划分的从物理层到应用层安全，仍然都需要考虑。但云计算也带来了新特点，制订云计算数据中心信息安全方案时，应该充分考虑虚拟化的特点，系统地进行规划，解决思路如下：

1.对数据中心进行安全域劃分，根据各区域的业务特性、技术特性以及安全需求进行对应的安全防护设计；

2.要充分考虑网络层、操作系统层、虚拟化层、应用层以及数据层的安全防护需求，特别是虚拟化等新技术带来的问题；

3.强调安全价值，实现预警、检测、响应、溯源的闭环流程。

（三）软件定义安全资源池

云环境的软件定义云计算安全建设主要包括如下四个维度：

统一的云安全服务平台：从云内、云的边界、云的外部提供统一的安全威胁管理界面，打通威胁防护体系，建立一个面向威胁的快速服务平台。实现安全产品分配、部署，以及安全策略、安全日志的统一管理。

可控可视的云内安全：着眼云内，提供云内安全可视、可控能力，围绕业务系统建立云内安全边界。从云内业务系统视角出发，构筑围绕云内业务系统的“动态边界”。

软件定义的安全边界：充分利用软件定义安全，将安全资源池化、服务化能力，提供弹性、与原有安全互补的安全能力。可以根据业务需求，增加和扩容安全能力，打通各个安全组件的管理、日志，为安全服务平台统一的威胁管理、安全态势感知提供决策依据。

外部视角的云端能力：充分利用态势感知云端安全能力，结合大数据、人工智能，提供安全监测、预警。对云上部署的业务系统，从外部攻击者视角出发，提供持续的安全响应和安全预警。

三、系统优势

软件定义的云安全资源池应用X86服务器集群与计算、存储、网络虚拟化技术，构建软件定义的安全能力中心。软件定义安全能力由软件定义的云边界安全能力、安全应用市场、安全资源自助编排、安全区域划分、所画即所得的安全能力、统一安全运维、基于单业务系统的安全视角、统一的安全运营等组件构成。通过统一的门户为云租户提供可选择的安全服务包，如：下一代防火墙安全应用、上网行为管理安全应用等，云租户可按需申请并获取这些应用。云租户仅需要关注环境中安全资源池之上的业务安全，云服务商则负责安全设备的分配、各类安全信息源的收集和分析。安全应用能够以镜像的形式上传到安全资源池管理平台，然后被部署、验证、运行和升级。安全设备的交付形态有很多，但逻辑上都会在安全控制平台的管理下，形成各类资源池，具备相应的安全能力。