杨颜忠，马 腾，吴昱亭，梅思远

（1.中国铁路昆明局集团公司 信息技术所，昆明 510610；2.中国铁路信息科技集团有限公司，北京 100844）

《“十四五”铁路网络安全和信息化规划》明确提出，铁路行业数据中心采用多地多中心总体布局，建成由主数据中心、同城双活数据中心、异地数据中心构成国铁集团级数据中心，优化调整铁路局既有信息基础设施，积极推进绿色数据中心建设和资源合理利用[1]。中国国家铁路集团有限公司（简称：国铁集团）在主数据中心利用铁信云和VMware建设了双云IaaS平台，为国铁集团企业级应用系统提供信息化基础平台。与此同时，按照国铁集团的总体要求，各铁路局集团公司结合自身实际情况和发展需要，在虚拟化、云计算方面进行了规模化建设，基于VMware和不同厂家的云计算产品建设铁路局IaaS平台。目前，18个铁路局集团公司均拥有各自的云计算平台，实现了铁路局集团公司级信息系统初步上云。

目前，各个数据中心的云计算资源、虚拟化资源等都是通过各自的云管平台软件、虚拟化管理软件实现资源池的管理。由于缺乏支持跨地域、跨数据中心、跨云的管理平台，且没有遵循统一的技术标准和技术架构，这些数据中心的运维和安全管理工作分散而繁杂，不利于资源整合，且容易造成管理低效和安全隐患。为此，亟需研究开发统一的多地多中心多云管理平台，满足跨数据中心的资源统一管理、统一运维需求。多地多中心多云管理平台是指能够同时管理跨地域的多个公有云、多个私有云、混合云以及各种异构资源的统一管理平台[2]；在该平台跨云管理能力的支撑下，实现各类资源统一纳管、多地域统一权限、多服务统一入口，有效解决多地域分布资源池的统一管理问题，降低企业云管理操作的复杂度，提升资源利用率和运维效率，降低了运营成本[3]。

多地多中心多云管理平台（简称：平台）给铁路企业信息系统运维人员带来资源统一灵活调度这一巨大便利，同时也带来了新的安全风险。在开发建设该平台的过程中，需要重视网络安全，对多地多中心多云环境下的网络安全风险进行系统分析，研究完善、高效的安全防护体系，以指导该平台的信息安全建设。

1 多地多中心多云环境下安全风险分析

目前，铁路级应用运行中心共24个，承载云上信息系统2 851个，涉及VMware、铁信云、华为云、深信服、容器云等多种云环境。这些数据中心分布在全国各地，规模庞大，资源种类繁多。

在铁路多地多中心多云环境下，安全防护边界更加模糊，云原生服务特有的攻击暴露面面临着特有的安全风险，难以利用传统的安全思路和产品有效地识别和应对这些新的风险和攻击手段，给多地多中心安全管理带来新的挑战。

1.1 安全攻防风险

（1）云服务配置安全风险：云数据库、对象存储等云服务的大量使用，为恶意攻击者提供了新的攻击面，如果运维人员没有深入理解云服务内部工作原理及具体实现，容易因错误配置带来风险，埋下重大安全隐患。

（2）云账号安全风险：云账号是云上资产和服务的入口，在多云环境下，云账号拥有远超传统数据中心的账户权限。一旦云服务账号、身份被恶意利用，攻击者可发起权限提升、数据窃取等攻击，导致严重的云上安全事件。

（3）API安全风险：云原生应用大部分基于微服务架构，应用程序接口（API，Application Programming Interface）是主要的对外服务接口，这些API可能分布在不同的数据中心，大量使用API可能带来云API Access Key泄漏、API权限超配、API恶意调用等花样繁多的的云上攻击手段和安全事件。

1.2 安全管理风险

（1）多云安全能力与策略不一致：不同的云具有不同的安全能力，所配置的安全产品也各不相同，安全策略难统一，导致安全能力和配置策略的割裂。多云账号相比单云环境更加分散，分散的账号阻碍了用户对多云的统一管理，难以及时跟踪资产变化，给运维带来很大的安全风险。

（2）多云审计日志数据分散，分析割裂：不同厂商管理平台的审计日志存放在不同位置，因审计日志分散、不统一，导致分析模型和过程割裂，无法实现全局统一分析，审计日志分析工作量繁杂，且分析结果缺乏通用性，给铁路企业带来安全管理和审计的风险。

（3）多云安全合规性测评复杂，效率低下：合规性在云服务中是一种共享责任模式，云用户应始终对自己的合规性负责。为了满足多云合规的要求，必须在不同云上分别进行等保定级、安全测评，以及采购和交付安全产品（主机安全、云防火墙、WAF等）。由于不同云的合规配置、合规基线无法统一，导致安全合规性测评整体流程冗长繁琐，费时费力，造成多云环境风险识别不及时、反馈不及时、处理不及时的问题。

2 多地多中心多云环境下安全防护体系建设思路

针对多地多中心多云环境下新的安全攻防挑战和安全管理风险，在安全建设思路上也必须进行创新，应充分发挥云计算的优势，采取针对性思路和技术框架来提供安全防护。以安全左移为基本前提，数据驱动为基本要求，建设以自动化为基本手段的云安全防护体系。

Gartner基于云原生思维，提出云原生安全金字塔，其中最底层是基础设施配置、身份和访问管理，也是最重要的安全能力[4]。在Gartner的定义中，这部分的能力应由云服务商提供基础能力，用户只需正确使用和配置这些基础能力即可达到较为满意的安全防御效果，这正是安全左移理念的有力佐证。在此之上，客户采用安全产品来构建各种增强安全能力，作为基础安全能力的补充。以往的安全体系建设过于注重各种安全产品的堆叠，往往忽略了云工作负载和云服务本身的安全加固，导致业务本身存在大量的攻击暴露面。一旦攻击者绕过外部的安全产品，业务本身将没有任何保护措施。为此，数据中心安全管理员应将安全建设的重心从事中防御转变为事前预防措施。

MITRE针对云环境的ATT&CK攻击矩阵。与传统的攻击手法不同，MITRE聚焦于云上特有的攻击形式，例如云上的攻击入口从利用Web应用，转变为利用开放的云服务、云控制台和API[5]。在横向扩散阶段，攻击者不但会利用各种协议的漏洞，还可能采取云账号窃取和虚拟机逃逸等新兴攻击手法。在MITRE给出的云环境攻击矩阵中，云账号安全风险、API安全风险是最为普遍风险。因此，分析这些攻击方式，据此制定针对性的防护方案和措施，是云原生环境和混合多云环境下安全建设的重要路径。

多云安全管理风险的根本问题是不同云平台服务标准的不一致，通过研发和实施多地多中心多云管理平台，统一不同云平台的服务标准，消除差异，为用户提供一致的云安全能力、一致的云安全配置、一致云安全分析和一致云响应处置，使得多云环境对用户透明。

为此，结合Gartner云原生安全金字塔和MITRE ATT&CK云端攻击矩阵的云安全防护思路，通过全栈安全能力，覆盖云上业务生命周期的每一个瞬间，覆盖各类形态资产、覆盖应用全生命周期、覆盖云上各类安全风险、覆盖云上各类攻击手段，实现多地多中心多云的安全防护。

3 多地多中心多云环境下安全防护架构

传统安全防护以网络为中心，在数据中心出口处形成第一层网络边界防护。在云环境中，安全防护包含云平台自身的防护和租户侧虚拟化环境的防护。云平台防护主要实现物理网络边界、云管理平台、云操作系统、虚拟资源池等多层防护，而租户侧纵深防护应实现虚拟网络边界、虚拟网段间、虚拟网段内和虚拟机环境的多层纵深防护。

多地多中心多云安全系统应能全面连接 VMware、OpenStack及Kubernetes等各类公有云、私有云和容器云，通过云平台开放的API接口，基于用户的云账号Access Key授权许可获取用户云上资产、云原生服务配置和云安全产品日志等信息。

安全系统将各个云平台的API接口数据进行归一化和标准化处理，然后将多云的资产信息进行统一呈现，对配置进行统一评估。多地多中心多云安全防护架构划分为上中下3层，如图1所示。

图1 多地多中心多云安全防护架构

上层为服务呈现层，由安全系统提供平台管理相关功能模块组件，安全管理员可以进行自助管理和安全策略配置。

中间层对外提供云安全可视、云资产中心、云安全配置评估、云合规管理、云事件中心等云安全服务等，实现混合多云统一的云原生安全防护。另外，平台通过调用API，实现云主机安全、云WAF、云防火墙、云日志审计等各类云安全组件在各个云环境中按需分发、集中授权和自动部署，并以平台作为各类云安全组件的管理入口，实现各中心云资产的集中管理和按需分配使用。

下层为对接的不同种类的云环境和云安全产品，通过API接口为多云安全平台提供数据，也可接受来自中间层的指令，执行安全组件创建、网络配置和安全配置调整等指令，协同处置安全风险问题。

4 多地多中心多云安全防护策略

多地多中心多云的安全防护应以应用和资产为中心，构建新的安全控制点，通过“平台+组件+服务”的模式如图2所示，采取“洞察风险、动态加固、智能建模、跟随保护”防护策略，充分洞察云上攻击面和云内风险，通过云环境安全策略调优与加固有效应对威胁攻击，为业务系统提供完善周全的安全保护。

图2 多地多中心多云安全防护策略

4.1 洞察风险

洞察风险的前提是建立在识别攻击暴露面的基础之上，而识别攻击暴露面的前提是识别需要保护的资产。相对于传统数据中心，多地多中心多云环境下的资产类型种类更多、变化更加频繁、管理更为复杂、责任人也更为广泛，梳理权限的难度较大。为此，宜采取“主动+被动”的方式，通过云资产主动探测、云流量识别、云主机端侧和云API对接采集等多种手段，来识别多地多中心多云环境中的各类资产。多云环境中资产梳理主要从云服务商、云账号、云服务、云工作负载、云应用等多方面入手，识别有哪些不同种类的云平台、各个云平台上开设的云账号、各个云账号所创建的云工作负载，开通的各种云服务及其工作负载类型（如虚拟机、镜像、容器等），以及部署的具体应用类型（如Web应用、API应用）等。在此基础上，进一步识别资产的暴露面、脆弱性、资产洼地等，通过“多云环境+云上应用”的漏洞探测开展全面的风险梳理，并结合资产的重要性、脆弱性危害、上下文关联、攻击链映射、对风险的优先级进行系统分析，确保安全防护策略能够聚焦各种高危风险。

4.2 动态加固

在完成资产有效梳理后，需要思考如何完善安全策略来达到安全标准。在多云环境下，应以资产为核心，随风险变化来动态加固安全防护。因此，主动识别多云环境中待保护对象的安全脆弱性，及时预警并采取有效措施来减小风险暴露面，并提供安全建议指导用户快速进行安全加固，降低安全事件发生概率，将安全风险应对措施从传统的隔离与控制转变为提升自身免疫力和持续检测。原先主要通过防火墙、防病毒等技术手段，把攻击阻挡在系统之外，现在主要是依据主机的配置、漏洞等风险评估，对系统和应用进行安全防护加固，以及持续进行入侵检测来不断提升主机侧自身安全能力。

针对环境安全策略，根据风险场景，设置多种防护场景，例如常态保护场景，实战保护场景，病毒防御场景等，自动梳理安全加固策略，自动策略下发，实现云内网络安全、云工作负载、云平台安全等的加固。

从应用的角度出发，根据业务信息安全和系统服务安全的要求，动态下发安全策略，实现主机层、应用层和网络层的安全防护，兼顾安全和可用性，实现业务访问安全、云应用安全、云主机安全等的加固。

4.3 智能建模

鉴于人工智能在安全方面的优势[6-7]，发挥持续威胁对抗能力构建业界领先威胁情报中心，威胁情报经数据整合、预处理与正则化存储后，再由过滤引擎、分析引擎与校验引擎进行鉴定，生成诸如僵尸网络、恶意链接URL、攻击者IP、高级可持续威胁组织行为等战术情报与事件情报，并赋予丰富的上下文信息[8]。基于多种异常行为分析建模工具，从用户行为、流量行为、操作行为、云应用、云网络、云工作负载，云配置等多个方面，通过专家规则进行建模，同时结合实时更新的威胁情报，精确发现云内高级威胁和异常行为[9]。

4.4 跟随保护

当云上新增业务时，进行可信画像模型更新，评估资产风险及保护状态，自动进行风险加固和云上安全能力部署，实现安全保护自动跟随，自动化精准防护。业务的变更、更新、迁移也都会带来业务资产变化，应自动跟随这些变化，进行风险加固、安全组件迁移跟随及云上安全组件策略更新下发。此外，实时感知云上攻防态势变化，自动跟随进行攻击阻断和事件响应，实时自动化防护云上攻击态势持续变化，事后实现全面攻击链调查溯源。

5 多地多中心多云安全服务部署模式

构建面向用户的按需申请、按需交付的服务平台是多地多中心多云安全服务建设的重点任务。目前，业界安全服务主要通过安全资源池建设，安全资源池主要支持解耦合和紧耦合2种模式。

（1）解耦合模式：通过在多地多中心多云管理平台外独立部署安全资源池，多云安全系统构成一朵独立的“安全云”，如图3所示。

图3 多云安全系统与多地多中心多云管理平台的解耦合模式

在解耦合模式中，多云安全系统与多地多中心多云管理平台通过API对接租户账号和业务信息、云网络信息等同步到云安全服务平台，便于云安全服务平台及时获知有新的租户或新的业务上线，然后根据业务情况独立部署安全能力。在多云安全系统中，各类安全组件以虚拟机的形式部署在安全资源池上。云安全服务管理通过用户管理、设备管理、工单管理、日志管理、安全分析和安全监测实现多方面多角度的安全加固，保障多地多中心多云环境的安全。此模式适用于具有单独安全团队、安全团队自闭环管理的场景，各个中心云各自进行安全管理和运营，多地多中心多云管理平台的云安全服务在管理其自身安全的同时，面向各中心提供安全管理协同。铁路企业适合采用这种模式进行建设。

（2）紧耦合模式：安全组件以虚拟化形态部署在云平台的用户VPC内部，直接由云平台的虚拟化底层和虚拟化网络承载和管理，分布在多朵云上的安全组件统一接受同一个多云安全系统管理，由同一个账号进行管理，实现多云无缝连接。云管平台在云服务管理中提供云安全专区，并提供与其他云服务同样的管理服务，如服务申请、开通、计费、部署等，云安全服务平台通过API接口被云管平台调用，当有租户在云管平台操作时，调用云安全服务提供相应服务能力，此模式更适用于租户云资源和云安全均自管理场景。

对于紧耦合、解耦合同时存在的多安全资源池节点场景，可构建起云安全集中管理平台，统一管理所有的二级云安全管理平台。

6 结束语

本文基于Gartner云原生安全金字塔和MITRE ATT&CK云端攻击矩阵的云安全防护思路，提出了构建以应用和资产为中心的多地多中心多云安全防护体系，采取“洞察风险、动态加固、智能建模、跟随保护”策略，解决云上攻击面和云内风险可视，云环境安全策略调优与加固，完善并提升企业多地多中心安全防护能力，提升安全效果和运维效率，健全安全体系。