基于软件定义的云计算中心安全建设
2023-06-03陈高辉王小军
陈高辉 王小军
随着新一轮科技革命和产业变革兴起,5G、人工智能、大数据、物联网等新一代信息技术产业迅速崛起,当前企业都在以各种方式积极推进数字化转型智能化发展,以强化信息化应用水平,提升智能化能力,促进管理运行自动化。云计算中心是信息化基础设施,是支撑企业实现智能化发展的有效保障,而安全防护又是云计算中心建设运行的重要组成部分。本文分析软件定义的安全技术在云计算中心安全防护中的作用,期待对企业云计算中心的安全建设起到借鉴作用。
一、云计算中心安全需求
云计算中心安全技术聚焦在计算资源池、网络资源池和云管理平台三个层面。云计算引入了虚拟化技术、云计算引擎、容器技术和云计算管理平台,给主机和网络带来新的安全挑战。
计算资源池安全保障:围绕物理服务器、虚拟机化底层及虚拟机系统三个维度开展安全防护工作,首先实现主机层的恶意代码防范。其次,需要关注上述三个维度的漏洞检测及防护,避免类似虚拟机逃逸攻击等恶性安全事件发生。同时,还应该在操作系统层面通过安全基线加固、安全漏洞加固、防暴力破解、防弱口令等各类安全手段实现防护效果。
网络资源池安全保障:首先需要围绕物理网络和虚拟网络实现恶意代码的防范,其次需要关注在东西向流量和南北向流量的安全防护,即保障入云业务或VPC内部(东西向流量)及外部(南北向流量)的安全隔离、访问控制、业务安全等,还需要实现在虚拟化环境下的安全策略跟随。
云管理平台安全保障:主要关注平台安全,将云管理平台当作平台应用进行安全防护,即做好云平台的访问认证及授权控制,并对平台设置安全基线。安全人员可通过漏洞的检测和防护技术,从多维度对云平台进行日志收集及审计操作,保障云平台本身的安全。
容器安全防护:包括容器杀毒、容器配置核查等。
另外,考虑到全业务数据中心涉及自建云平台,及后续混合云平台,需要考虑多云环境下的统一云安全策略管理与执行。
二、数据中心安全建设
(一)架构安全
按照数据中心网络、主机和终端方面的情况,结合网络安全等级保护2.0标准要求和数据中心数据安全防护要求,列出数据中心相关的架构安全风险差距分析表如表1。
(二)总体思路
数据中心面临诸多安全问题,很难通过一般安全产品将数据中心面临的所有风险解决。安全风险也是动态发展变化的,因此,解决方案也需要随着数据中心的安全需求变化不断完善和发展。与传统模式相较,云计算的网络安全需求并没有什么变化,无论是信息的保密性、完整性、可用性,还是根据网络层次划分的从物理层到应用层安全,仍然都需要考虑。但云计算也带来了新特点,制订云计算数据中心信息安全方案时,应该充分考虑虚拟化的特点,系统地进行规划,解决思路如下:
1.对数据中心进行安全域劃分,根据各区域的业务特性、技术特性以及安全需求进行对应的安全防护设计;
2.要充分考虑网络层、操作系统层、虚拟化层、应用层以及数据层的安全防护需求,特别是虚拟化等新技术带来的问题;
3.强调安全价值,实现预警、检测、响应、溯源的闭环流程。
(三)软件定义安全资源池
云环境的软件定义云计算安全建设主要包括如下四个维度:
统一的云安全服务平台:从云内、云的边界、云的外部提供统一的安全威胁管理界面,打通威胁防护体系,建立一个面向威胁的快速服务平台。实现安全产品分配、部署,以及安全策略、安全日志的统一管理。
可控可视的云内安全:着眼云内,提供云内安全可视、可控能力,围绕业务系统建立云内安全边界。从云内业务系统视角出发,构筑围绕云内业务系统的“动态边界”。
软件定义的安全边界:充分利用软件定义安全,将安全资源池化、服务化能力,提供弹性、与原有安全互补的安全能力。可以根据业务需求,增加和扩容安全能力,打通各个安全组件的管理、日志,为安全服务平台统一的威胁管理、安全态势感知提供决策依据。
外部视角的云端能力:充分利用态势感知云端安全能力,结合大数据、人工智能,提供安全监测、预警。对云上部署的业务系统,从外部攻击者视角出发,提供持续的安全响应和安全预警。
三、系统优势
软件定义的云安全资源池应用X86服务器集群与计算、存储、网络虚拟化技术,构建软件定义的安全能力中心。软件定义安全能力由软件定义的云边界安全能力、安全应用市场、安全资源自助编排、安全区域划分、所画即所得的安全能力、统一安全运维、基于单业务系统的安全视角、统一的安全运营等组件构成。通过统一的门户为云租户提供可选择的安全服务包,如:下一代防火墙安全应用、上网行为管理安全应用等,云租户可按需申请并获取这些应用。云租户仅需要关注环境中安全资源池之上的业务安全,云服务商则负责安全设备的分配、各类安全信息源的收集和分析。安全应用能够以镜像的形式上传到安全资源池管理平台,然后被部署、验证、运行和升级。安全设备的交付形态有很多,但逻辑上都会在安全控制平台的管理下,形成各类资源池,具备相应的安全能力。
四、结束语
数据中心安全方案架构设计采用软件定义安全的架构设计理念,从安全需求的角度出发匹配的云安全基础架构,确保云安全资源池架构的可扩展性、灵活性和可演进性。同时,实现云安全设计和IT基础架构松耦合,确保IT基础架构对安全多样性的支持和业务快速上线的支持。
作者单位:陈高辉 中国石油长庆油田公司数字和智能化事业部
王小军 中国石油川庆钻探工程有限公司长庆井下技术作业公司