彭先敏，杨 显

（中通服咨询设计研究院有限公司，江苏 南京 210019）

0 引 言

云计算通过统一网络灵活调用各类信息资源，实现资源的按需获取、弹性扩容，并提供统一的运维管理等服务。随着产业互联网的快速发展和云计算相关技术的愈发成熟，各类企事业单位更多选择将相关业务上云。云计算逐步成为企业、政务数字化转型的基础设施，为数字经济发展提供技术底座。由于云计算的复杂性、开放性以及可伸缩性等特点，传统的网络安全技术无法完全保证云端业务系统的安全性。云计算的大量应用带来了新的安全风险，并成为影响云平台后续发展的挑战之一[1]。

云安全的发展不同于云计算的“云-网-端”，而是以“端-网-云”的模式发展。从单机安全开始，最初以主机杀毒软件为主。随着互联网的快速发展，网络安全逐渐成为用户关注的重点，同时出现了网关类安全产品，使网络安全往纵深处发展，从局域网扩展到广域网。在云计算的初期，云安全的发展相对滞后，依然以传统网络安全硬件产品为主，依赖其升级来适配云平台的安全需求。在产业互联网发展时期，云计算广泛应用，促使云安全成为企事业单位业务上云关注的焦点[2]。云安全基于云计算的特性，同时匹配行业特征和业务属性，提供定制化的安全服务[3]。

中国网络安全的制度建设从1994 年国务院147号令到2019 年“等级保护2.0”标准的出台逐步发展和完善。“等级保护2.0”将云计算作为新技术、新应用场景纳入安全扩展要求，对云计算安全体系的建设、安全能力测评、安全管理等各方面都提出明确、规范且全面的要求[4]。由于政策导向、安全事件频发、市场引导等多种因素影响，云服务提供商在云平台安全防护方面加大投入，并构建安全服务生态圈，向用户提供更加丰富、个性化的安全服务产品。

1 云平台面临的安全风险

1.1 云平台自身安全风险

虚拟化技术是云计算区别于传统互联网技术（Internet Technology，IT）架构的技术之一。虚拟化的出现使很多传统安全防护措施失效，如无法监测与审计虚拟机之间的东西向流量[5]。若平台本身存在安全漏洞，虚拟机可作为跳板发起网络攻击，或虚拟机通过平台漏洞直接攻击底层云平台，导致出现信息泄露或者业务不可用的情况。云平台的虚拟机会共享统一的硬件资源，出现某些虚拟机恶意抢占资源，影响云平台正常提供服务。

1.2 虚拟化网络安全风险

虚拟化的网络结构使传统的网络边界消失，如为实现云平台业务的负载均衡，利用虚拟机漂移技术导致虚拟机的真实主机位置改变，造成边界安全防护策略随之变动[6]。若安全防护策略不能随之漂移，则会出现安全漏洞。云平台承载多租户的业务系统，每个业务系统的安全防护等级和需求各不相同。常规的安全措施采用统一防护策略，导致高安全等级的业务系统无法得到安全保障。虚拟机之间未做到通信隔离，存在恶意虚拟机监听其他虚拟机运行状态，实施拒绝服务（Denial of Service，DoS）攻击，恶意占用资源等[7]。

1.3 虚拟机安全风险

云平台的虚拟机由用户控制。若虚拟机被恶意分子控制，则会出现抢占云平台的计算、存储、网络资源，导致云平台资源耗尽，整体瘫痪[7,8]。云平台承载多个虚拟机，但对虚拟机进行操作的人员安全防范意识不一，若缺乏安全审计导致虚拟机感染病毒后进行非法操作，会利用云平台漏洞获得更高权限实施攻击[7]。相比物理机，虚拟机镜像以文件形式存在，但缺乏文件控制系统，存在易被篡改、镜像回滚的风险。

1.4 数据安全风险

云计算应用普遍，各企事业单位选择将关键业务上云，如政府涉及民生的信访业务系统、企业涉及客户信息的客户关系管理（Customer Relationship Management，CRM）系统等。这些系统都包含一些敏感、不宜公开的数据，会面临非法窃取和篡改，带来数据完整性和保密性的风险。当数据完整性遭到破坏时，数据失真，其可用性将存在风险。在云计算环境下，数据都是碎片化存储在不同的地方，在数据完整性遭到破化时无法进行整合，导致应用服务中断，进而导致应用可用性风险[7]。为防止云端数据泄露、租户越权违规数据操作、保持多版本数据一致性和完整性等，需要采取数据审计。但是，数据审计需要复制镜像流量，存在敏感信息泄露风险[9]。

1.5 应用安全风险

应用上云后能够实现资源共享，同时存在信息泄露风险。由于应用面对众多使用者，每个用户的使用需求和权限不同，需要对其身份进行统一认证和授权。若出现攻击者窃取用户身份信息，假冒合法用户，则会出现篡改、窃取用户数据的情况[6]。因此，身份窃取是应用上云的首要风险。云计算环境下，由于应用集中部署和边界模糊，可能会出现单台主机不可用，影响云平台整体业务系统的可用性。可见，云计算环境带来的可用性风险相比传统物理机更大。云平台部署各类Web 服务应用，易遭受恶意代码攻击，若不针对此类攻击采取专门的防护措施，则易造成攻击者利用Web服务作为跳板来攻击云平台其他业务系统的情况。

2 云平台安全建设内容

针对当前云平台面临的安全风险和所处的复杂网络环境，基于软件定义安全的云安全管理平台，通过底层虚拟化技术将安全组件进行软件化，并以池化方式将各类安全组件进行集中化管控[10]。通过软件定义网络（Software Defined Network，SDN）技术实现对安全组件的服务编排能力，从而实现软件定义安全[11]。云安全管理平台包含云安全资源池、运营管理系统和安全运营中心（Security Operations Center，SOC）。

安全资源池可以为云上业务租户提供弹性、灵活的云上安全服务。安全组件能力涉及租户主干链路防护、旁路检测防护以及安全运维管理等多个方面，防护范围覆盖网络安全、主机安全、应用安全、数据安全，全面满足云上租户业务防护和安全等保合规的需求。

运营管理系统作为云安全管理员和租户的统一管理入口，可为用户提供安全资源的集中生产、管理、运维、策略控制以及服务链编排等服务。平台采用微服务架构，功能模块可弹性扩展，各模块之间互相隔离、互不影响。各模块之间的重启和重载不影响主进程的活动，各类安全功能通过平台服务目录形式为租户进行展现，租户可以按需选择自己在云中需要的安全资源。云安全管理平台开放南向接口，可将第三方安全网元接入资源池，打造良好的云平台安全生态圈，为用户提供更具个性化、贴合实际需求的安全建设内容。

云平台SOC 能够收集、过滤、格式化、归并、存储各种多源异构数据源产生的信息，并提供诸如模式匹配、风险分析、异常检测等能力，使用户实时监控和管理整个云平台的运行状态，对各种资产（主机、服务器、入侵检测系统（Intrusion Detection System，IDS）、入侵防御系统（Intrusion Prevention System，IPS）、Web 应用防护系统（Web Application Firewall System，WAF）等）进行脆弱性评估，分析、统计和关联各种安全事件，从多维度安全分析和评估云平台的网内资产，并流程化处理安全运维工作，提高发现安全事件并及时处理响应的能力。同时，通过知识积累和完善系统运维，不断加强和完善网络的安全防护能力、攻击发现及应急响应能力。

在实际建设过程中，云安全管理平台的安全资源池组件和云SOC 可根据用户需求选建。

3 云平台安全建设方案

以某市政务云平台安全建设为例，该市的政务云是多云混合的建设模式，云平台承载近40 家委办局的200 多个业务系统。各类云租户和业务系统的安全建设需求不同，因此云平台的安全建设从边界安全防护、主机安全及云管理平台安全等方面入手。平台需要保障云平台自身安全，在此基础上为多云混合建设政务云，集约化建设池化安全资源，保障基础设施即服务（Infrastructure as a Service，IaaS）、平台即服务（Platform as a Service，PaaS）、软件即服务（Software as a Service，SaaS）等主要业务的安全性，形成为云租户按需提供安全服务的能力。具体云平台安全建设架构如图1 所示。

图1 云安全架构设计

3.1 云安全基础平台

根据业务系统特点，将云平台逻辑上划分为多个安全区域，并为每个区域部署相应的边界防护措施。针对云管理平台，需强化云管理安全和虚拟平台安全。边界防护重点落实访问控制、入侵防范、恶意代码防范等技术措施。虚拟平台安全重点实现平台操作审计，防止虚拟机逃逸。云管理安全实现管理端的访问控制、身份认证和安全审计，确保平台管理流量与云服务用户业务流量分离[12]。

3.2 云安全资源池

云安全资源池底层基于虚拟化技术将物理服务器整合形成逻辑资源池，从而提供各类安全能力来满足云上业务系统的安全需求。顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，在完成相应安全功能的同时，实现灵活的安全防护。

通过云安全资源池，可为各委办局提供安全接入服务、基础防御服务、Web 防御服务、应用交付服务以及运维审计服务等安全组件，以服务化的形式交付给租户，帮助租户满足等保合规要求和业务安全需求。云安全资源池建设如图2 所示。

图2 云平台安全建设示意

4 结 论

针对目前云平台的网络安全建设现状、特性和安全需求，提出集约化建设云安全管理平台，可对单一云平台和多云混合建设的云平台提供有效的云上安全防护。但是，网络安全建设的实践性较强，新的安全风险层出不穷，网络安全防护技术也在不断更新迭代。因此，云平台的安全防护手段需要在实际应用过程中不断验证和加强，确保为业务系统稳定运行构建一个安全可控的云平台。