李国良，尹 娜，李秋阳

（天翼物联科技有限公司，江苏 南京 210003）

0 引 言

自2006 年Google 首席执行官埃里克·施密特（Eric Schmidt）首次提出“云计算”以来，经过近20 年的发展，我国云计算行业整体市场规模和渗透率不断增长，并且已经成为新型基础设施的重要组成部分。云计算是可配置计算资源的共享基础服务池，服务模式按照实际使用付费，并提供方便快捷的网络访问。云计算根据使用类型分为公有云、私有云、专有云和混合云四类，用户根据自身的行业特性选择使用不同类型的云服务。

企业在数字化进程中，不断平衡投入与回报。数据中心前期需要投入巨大的采购和维护成本，资源利用率却很低，企业有紧急业务扩容需求时，服务器的交付时间周期也较长。大中型企业要求企业数据不出门，通常将自有机房改造成私有云，但是需要投入不菲的人力、维护成本，容易出现业务稳定性和交付体验差等问题。

基于价值与战略因素，为了持续降本增效，加快迭代业务架构，提高服务交付效率，越来越多的企业选择公有云承载业务。公有云对于租户就是一张白纸，企业需要在白纸上开展网络和信息安全规划，其中资源类规划包括网络分区、存储控制、权限控制、安全产品、资源生命周期流程等；架构类规划包括服务迁移、数据安全等。

在公有云市场，主流云供应商基本能够根据网络安全等级保护要求，提供全场景目录清单的公有云网络和信息安全防护能力服务，但是云供应商为了其效益，一般不会提供适应企业级的集约安全防护方案，或者提供的方案倾向于大而全，无法降低企业网络安全防护成本，也不会适应用户业务分散、架构多变的现状，因此企业亟需提供一种通用、集约、高效、合规的安全防护方案。

1 企业级公有云典型安全防护技术方案

公有云的特点之一是云供应商提供IaaS 服务，因此云供应商能够优先获得企业云业务的防护需求，主动向企业提供云化的安全防护能力，这些能力主要以SaaS 的形式呈现出直观的安全数据。图1 是云供应商提供的SaaS 式安全防护部署结构。企业按照教程配置策略，入门门槛降低，企业流程和技术储备也得到简化。

图1 云供应商SaaS 式安全防护部署

首先，SaaS 安全防护部署模式弊端明显，企业配置门槛的降低致使员工能力提升和技术储备产生影响。其次，SaaS防护模式是面向公众的、普遍的、标准的模式，无法贴合企业的定制化需求模式。最重要的是，SaaS 防护模式导致数据机及其价值无法掌握在自己手上，控制权限在云供应商，对于企业的数据安全及基于数据的业务发展造成阻碍。

部分选择公有云的企业部署如图2 所示的垂直分布式平台安全防护架构，即“烟囱式”安全防护，针对企业不同的IT 应用系统分别实施同一套安全防护体系。垂直分布式安全防护通常由企业自行建设，云供应商仅提供必要的云资源等相关服务，具体的安装部署、策略更新、数据分析等由企业侧维护。

图2 垂直分布式平台安全防护部署架构

垂直分布式安全防护能够促进“安全型企业”的建设和人员安全能力的提升，尤其是对于IT 系统部署分散、安全防护要求高、遵守“三同步”建设指南的企业尤为适合。企业每当需要建设新的IT 业务系统时，按照安全防护的指南同步建设一套安全防护能力，具有可复制性、部署简单、架构清晰等优势。垂直分布式安全防护也存在弊端，首先，分布式防护提高了企业的安全成本投入，治理、风险、合规等因素驱动着企业动态增加安全投入，如果业务无限横向拓展，其纵向安全防护投入也接近“无底洞”；其次，每套分布式安全防护能力都需要人员维护，人力成本投入高。

基于上述两种架构模式的弊端，较多企业在业务上云时为了将安全数据掌握在自己手中，集中建设安全防护能力成了上云的主流。但是，企业上云的时机早晚不定，云计算安全解决方案成熟度欠缺，导致企业在上云安全方案中走弯路。图3 是典型的未规划安全防护架构，主要体现在以下两个方面：首先，企业堆叠各项安全能力，导致未能有效规划分层，形成安全域的概念；其次，能力虽然集中，但是缺少串联各项安全能力的有效手段，难以将安全能力转化为企业的安全运营动能。

图3 典型的未规划安全防护架构

中大型企业业务复杂，在公有云中会启用多个虚拟隔离网络最小单元VPC，每个VPC 是独立的，一般占用一个专用网段，VPC 间通过云虚拟化技术实现有控制的网络连接。以天翼物联科技有限公司为例，在天翼云中大约有200+个VPC，业务的边界安全、运维安全、安全管理等基础安全防护能力是企业安全防护的迫切需求。随着业务VPC 的不断拓展，企业需要综合考虑安全防护部署架构，安全能力支持快速复制迭代，形成合理的VPC 分域，构建成层次分明、便捷高效、稳定可靠、安全可视的集约安全防护能力体系架构。

2 公有云集约安全防护能力方案与架构

2.1 公有云安全防护能力要求概述

在安全治理、风险、合规三要素驱动下，公有云不是企业避免信息安全责任的“法外之地”。安全治理源自企业的战略需求，对于大中型企业，安全生产与业务是紧密相连的，信息安全支出占企业全年成本或投资费用比例不断提高。安全风险即企业信息化中面临威胁的可能性，企业需要平衡风险与业务二者关系，提出应对风险的措施。安全合规是企业在经营中所面对的环境因素，合规是企业生存发展的基石，确保符合当地的法律法规、满足各类经营规范和标准才能支持企业长远发展。

企业在公有云不同的服务类型中面临的安全责任也不尽相同。IaaS 服务模式重心在于操作系统以上各层服务与应用的安全，以及操作系统之间的网络架构安全，物理层、数据链路层、部分网络层的安全防护由云供应商提供。针对PaaS 服务模式，企业更关注原生应用的安全，尤其是面向微服务框架的敏捷开发安全；针对SaaS 服务模式，很少有企业脱离IaaS 和PaaS，单独在公有云购买并经营SaaS应用。

结合企业安全需求三要素，公有云安全防护是基于法律法规和行业标准的，《网络安全法》《数据安全法》等是国家在信息安全专业方面的基本法，《等级保护条例》《关基保护条例》等给出了安全防护的具体细则，企业受行业部门监管的还应该满足行业相关安全管理要求与标准。在等级保护2.0 要求中，云上承载的三级等保护应用在安全防护中需要从身份验证、访问控制、安全审计、入侵防范、恶意防范、数据完整性、数据保密性等多重技术点着手，配套与之对应的安全防护能力。在关基保护要求中，关基平台要在等级保护基础上重点防护，按照分析识别、安全防护、检测评估、检测预警、主动防御、事件防御等六个维度保护应用。除此以外，云上业务还需要满足行业监管要求，如工业和信息化体系、银保监会体系相关的网络安全防护的标准。

2.2 公有云集约安全防护能力方案与架构

企业基于云上安全防护责任，需要对平台的云主机、云网络、业务系统、中间件和数据库等各类可控资源进行安全管理与防护。除第1 节提到的技术方案问题外，云上安全防护能力的建设主要源自以下挑战：

（1）没有明确的物理网络边界，虚拟网络和云计算技术使得传统的物理网络边界模糊。

（2）云内部流量、威胁等不可视，虚拟机间网络通信均由虚拟交换机实现，传统技术手段无能为力。

（3）云内业务复杂，中大型企业在公有云虚拟机的数量往往是千甚至万量级的，由于云计算的弹性扩展收缩的便捷性，导致安全防护配置复杂，防护工作量巨大。

结合上述公有云典型安全防护技术方案，集约安全防护能力体系是企业降本增效、解决用户安全挑战的最佳实践，立足于满足云上平台的安全等级保护要求，从网络边界、应用安全、运维安全、数据安全、内容安全、安全审计等多方面进行安全防护，构建通用、集约、高效、合规的公有云业务环境。

企业云应用集中部署于云上节点，针对企业在云上节点的服务，将企业云划分成以下主要区域：企业业务区、公网流量防护区、内网流量防护区、运行维护安全区、东西向流量防护及安全管理区，如图4 所示。企业业务区包含服务于企业内外部客户的各类应用，如Web 门户、APP、小程序等；公网流量防护区包含用于公网出入网服务的边界和流量防护，如防火墙、IPS、IDS、Web 应用防火墙、动态安全防护、零信任VPN 等；内网流量防护区包含用于企业内网出入网服务的边界和流量防护，与公网接近；东西向流量防护区针对公有云应用间数据的交换防护，无需通过防火墙等边界设备。

图4 集约安全分域防护总览

3 公有云集约安全防护能力实践

在公有云市场，天翼云牢牢占据行业领先位置，天翼物联是中国电信提供物联网端到端能力的专业公司，物联网平台业务均承载于天翼云公有云。为贯彻建设安全型企业的初衷使命，保障业务安全稳定可靠，天翼物联联合启明星辰、绿盟、天融信、信通院、天翼安全等行业网络安全顶尖力量，在公有云集约安全防护方面付出诸多实践。

企业互联网应用是网络攻击的入口，需满足边界安全防护能力的达标率与覆盖率。图5 展示了公网流量安全防护的集约部署架构。企业公网应用分散在多个独立的VPC 上，建立公网边界安全集约防护VPC 用于公网引流，部署负载均衡、下一代防火墙、Web 应用防火墙等虚拟化网络边界安全设备。

图5 公网流量安全防护集约部署架构

负载均衡是DNS 解析的入口，绑定公有云弹性公网EIP，用于企业内多个公网应用的路径分发与流量统计；下一代防火墙相较于普通防火墙增强了网络安全监测的功能，如IDS、IPS、上网行为分析等；Web 应用防火墙是HTTP/HTTPS 协议流量的专用防护设备，能够有效阻止OWASP TOP10 的网络安全攻击，必要时还能实现代码级动态安全防护功能。企业可自定义应用在公网出、入访所需的防护能力，按照经验，出访由应用VPC 主机，经过下一代防火墙SNAT；入访由用户公网分别经过负载均衡、下一代防火墙、Web 应用防火墙，可较好地发挥边界安全防护效果。

企业办公内网流量安全防护与公网防护类似，所需安全能力与图5 较为接近，其部署方式如图6 所示。值得注意的是，办公内网应与公网隔离开，两者设备均独立部署在各自的VPC 内，通过企业专用VPN 建立办公终端与应用的网络联系。为了满足企业远程、移动办公运维的需要，可以在该VPC 内部署零信任网关与控制器，零信任采用SDP 技术，可以有效隐藏互联网攻击面，并实现终端级的远程安全接入。

图6 运维安全防护集约部署架构

图6 是云上应用集约安全运维专用VPC 及其网络通道部署架构图，运行维护是安全防护工作不可或缺的环节，直接决定着内网的安危。集约部署运行维护域可以将内网终端及应用维护的情况尽收眼底，一站解决公有云节点的安全数据采集汇聚。在该域部署数据采集服务设备，如日志审计系统、数据库审计系统、终端监测响应服务端、网页防篡改服务端等平台，与之对应的数据则源自公有云主机安装的Agent 代理客户端，建议使用多合一功能的客户端，避免一台主机安装多个Agent 的维护工作量。

值得注意的是，为做好内网的操作记录，便于溯源，运维中必须使用融合4A/堡垒机登录操作服务器、数据库以及内网各类维护平台和管理平台。图6 中任何内网应用、维护通道都没有直接暴露在互联网，企业云上内网业务应通过专用内网防护通道供用户访问。图6 还展示了云上集约安全管理VPC 的部署示意图。

图7 具体给出了安全管理的数字化能力架构和业务VPC内、VPC 间的东西向防护的架构及数据流。内外网之间的数据交换仅约占现代数据中心流量的20%，而更为庞大的80%流量流转于内网主机之间，也就是俗称的东西向流量。边界安全集约防护主要针对南北向流量实行控制，而东西向流量容易被忽视，攻击者容易通过公网弱点渗透进入内网，横向穿透内网防线，导致内网权限全丢的局面。

图7 东西向防护及安全管理集约部署架构

主机微隔离技术能够通过网络策略控制主机的入站和出站流量，将主机之间的东西向网络连接和业务逻辑可视化，是内网安全防护的最后一道墙。内网的安全防护数据由各类防护能力的服务端通过syslog、kafka 等对接安全管理域的数据中心，上层应用对安全数据进行消费和二次开发利用。最终将安全事件相关的集中告警、工单、展示、接口、分析等呈现给安全运营人员，运营人员也能通过事件进行响应，由安全能力中心对事件开展响应、封堵、溯源、反制等。

4 结 语

公有云的核心是虚拟化安全，企业选择公有云的核心是企业信息安全。企业追求降本增效，本质上是需要一套能够覆盖公司所有云上信息系统、掌握自主运营能力、安全数据可控的集约安全防护方案。文中详细针对企业在公有云上的业务情况，提出包括公网边界安全集约防护、办公网边界安全集约防护、运行维护安全集约防护、安全管理集约防护等多方面结合的集约防护实践，并从整体和局部介绍各自的部署结构、作用和实践总结。

文中提出的集约安全防护体系在实践中已经能够覆盖等级保护2.0、企业自身防护的大部分需求，但是仍然需要持续提升。针对运行维护安全集约防护，首先可以进一步细化网段或者VPC，分配网络安全、数据安全、信息安全、行业安全专用等多个维护模块，便于不同岗位职责的运维人员管理；其次，公有云是多用户共用底层物理资源，无法将个别用户的流量单独引流或者镜像，流量分析是用户的瓶颈需求，如果要求不高可以使用图5 中负载均衡镜像南北向流量，如果要求严格可以使用图7 中微隔离Agent 镜像汇总所有主机流量，均能实现流量分析的能力。最后，企业公有云安全不能完全依靠技防，集约防护能力只是给用户的信息资产安装一道门、关上一扇窗，企业应从运营、检查、审计等多方面管理机制着手，强化安全管理和运营，人防、技防双措并举，方能实现企业公有云服务的长治久安。