文/范孟飞 邢广博 胡燕青  深信服科技股份有限公司

 

　　近年来，云计算技术蓬勃发展，在各领域均得到广泛的应用。私有云、公有云、IaaS、Docker、Serverless、DevOps等概念层出不穷，极大地推动信息技术的发展。2020年4月20日，国家发展和改革委员会明确了“新基建”的范围，其中将云计算纳入新技术基础设施，将数据中心作为算力基础设施。因此，云数据中心作为信息基础设施的建设逐渐被广大用户提上日程。

　　与传统的数据中心不同，云数据中心具有“高度集成”、“按需交付”、“快速部署”的特点，同时也随之产生了一些特有的安全问题。本文从云数据中心建设过程中面临的安全问题入手，分析问题并提出一套完整的云数据中心安全建设方案。

　　一、云数据中心面临的安全挑战

　　1.合规要求日趋严格，平台与租户均需满足

　　合规作为安全建设的基石，同时也是云数据中心建设过程中首要考虑的内容。在我国，云数据中心建设重点需满足《中华人民共和国网络安全法》以及网络安全等级保护制度的要求。对于被纳为关键信息基础设施的云计算平台，还需要满足《关键信息基础设施安全保护条例》（送审稿）以及《网络安全审查办法》相关要求。以网络安全等级保护相关制度为例，在GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》中规定：云服务商以及云服务客户均需根据等级保护进行建设并通过测评，同时，不同的服务模式需分别定级。

　　2.云上安全不可视，缺乏适宜的技术手段

　　在云计算环境下，传统的物理边界、物理设备的概念逐渐消失。以网络为例，传统以南北向为主的安全建设正在转向东西向流量的安全检测与防御。以安全为例，云内安全事件缺乏有效的检视手段。如何将资产、流量、安全事件等直观地展示出来成为云服务商及云服务客户的难点。

　　3.云服务客户的个性化安全需求难以满足

　　目前，出于成本以及功能方面的考虑，混合数据中心正在成为常态。服务器、云计算平台乃至安全需求的多样化增加了业务云化的难度。传统安全组件对各类云计算平台以及云管理平台的兼容性成为业务云化的瓶颈。对于云服务客户来说，申请及配置安全资源往往需要登录2个～ 3个平台，无疑大大增加了运维难度。

　　4.IT架构不断变化，难以持续提供业务保护

　　容器、DevOps、混合云等云计算新技术的使用，一方面提升业务的灵活性以及业务处理效率，但另一方面则对安全能力提出更高的要求。以容器为例，作为轻量级的虚拟化，对于容器隔离、容器逃逸攻击、容器引发的拒绝服务攻击等安全问题，当前各类传统安全工具均无法提供完整的保护功能。

　　5.业务集中运维带来运维管理工作的压力

　　在云数据中心运维过程中，IT运维人员的工作既集中又分散。大多数策略配置的工作依赖于云计算平台，简单的策略修改可能需要登录多个平台或设备，测试、验证过程更是需要耗费大量的精力。特别是在发生安全事件时，如何从海量的日志抽丝剥茧地找出攻击源并进一步处置，这对运维人员的能力提出了非常高的要求。

　　二、云数据中心安全建设思路

　　基于以上分析，越来越多的数据和业务应用集中在云平台上，建设一套“以保护业务为目标，以安全合规为基础”的安全体系至关重要。现代化的云数据中心安全建设，应重点实现“能力易集成、运营可闭环、持续自适应”三大能力。

　　（1）能力易集成：打造开放兼容的云安全平台，按需集成安全组件，为云上业务或租户敏捷交付安全能力，满足合规及业务的个性化需求。

　　（2）运营可闭环：建立面向云数据的中心的持续风险监控和主动响应闭环，解决安全运维压力大的问题。

　　（3）持续自适应：最小化业务影响，建设云内自适应防护体系，解决云内风险不可视、不可控的问题，适应未来IT架构变化，持续业务保护。

图1 云数据中心安全中台能力

　　我们将具备以上三大特性的平台，称为“云数据中心安全中台”。

　　云数据中心安全中台主要由云安全资源平台、云安全管理中心、云安全运营中心三部分构成，基于软件定义安全技术，持续为云数据中心的IT基础架构或业务应用输送安全能力。

图2 云数据中心安全中台

　　三、云数据中心安全建设步骤

　　根据第二节中提到的安全建设思路，云数据中心安全建设可采取以下“三步法”进行安全建设。

图3 云数据中心安全建设

　　1.基础架构保护，建设云平台和租户安全，满足合规要求

　　在等级保护中，根据“权责分离”的原则将云计算等级保护涉及的定级对象分为两类：云计算平台以及云服务客户的业务应用系统。两种定级对象分别由云服务商以及云服务客户负有安全责任，并开展等级保护工作。同时，在不同的部署模式下双方安全责任以及保护对象均有所区别，在建设过程中需要分别考虑。

　　以IaaS模式为例，云服务商应提供云计算基础设施、云操作系统、云产品（服务）、虚拟机监视器、虚拟网络/安全设备、虚拟机镜像以及管理数据的安全。云服务客户负责虚拟机、数据库、中间件、应用程序以及业务数据的安全。

图4 云服务商保护对象

　　在确认服务模式后，可根据“一个中心，三重防护”的思想进行云计算平台以及云服务客户的业务应用系统的等级保护建设。下文参照GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》 以云计算平台举例说明。

图5 云计算等级保护安全技术设计框架

　　“一个中心”指的是安全管理中心，如利用网管平台实现物理资产及链路的状态监控，利用云管理平台实现计算资源以及安全资源的统一分配，利用态势感知、安全管理中台等实现对云数据中心安全事件的集中收集与统一分析。

　　“三重防护”指的是安全计算环境、安全区域边界以及安全通信网络。用户通过可靠的链路以网络、API接口或Web服务等方式访问云服务商提供的安全计算环境。安全计算环境整体分为资源层以及服务层两部分。不论在何种服务模式下，云服务商均负责资源层安全，而服务层安全则根据部署模式不同有所区别，但云服务商一般通过提供安全接口和安全服务的方式为云服务客户提供安全防护能力。

　　2.云工作负载保护，建设云内自适应安全体系

　　随着云数据中心建设的不断深入，承载计算的最小节点即工作负载也随之细化，根据抽象度的不同，云工作负载分为物理机、虚拟机、容器和Serverless。已有的端点安全软件只能覆盖服务器安全以及云主机安全等单一场景，无法完全覆盖容器以及Serverless等场景。同时传统的端点安全软件对系统资源的占用较高，出现问题不易排查，上述原因也促进了云工作负载保护方向新品类——云工作负载保护平台(Cloud Workload Protection Platform，以下简称CWPP)的出现。

　　Gartner曾对云工作负载保护平台做出了定义：CWPP是以保护工作负载安全为中心的解决方案。用于满足跨越本地、物理和虚拟机（VM）以及多个公共云基础架构即服务（IaaS）环境的现代混合数据中心体系结构中服务器工作负载保护的独特要求。理想情况下，它们还支持基于容器的应用程序体系结构。

　　云工作负载保护平台具有三大关键属性：

　　（1）关注保护对象，而不是威胁本身（例如不关注杀毒，更关注应用程序是否有异常，运行的进程是否有异常）。

　　（2）面向未来，支持混合IT架构，不依赖底层技术架构来支持新的或现有的环境，可适用于私有云、公有云以及混合云环境，可部署在虚拟机、物理机、容器中，支持常见操作系统版本。

　　（3）保护能力下沉，更专注工作负载细粒度的检测和响应。

　　从图6保护能力金字塔我们可以看出，云工作负载保护平台能够广泛覆盖各种云计算平台的各类云服务模式，更适合云上业务保护的解决方案。以云工作负载保护平台为中心的云数据中心安全解决方案不仅可以解决云内资产梳理难、风险不可视、Agent占用资源多、影响业务运行等问题，还可以帮助组织构建一套整体的自适应解决方案体系。

图6 云工作负载保护能力金字塔

　　另外，在云数据中心的安全建设中，基于边界的传统防护模式不再适用，“应急响应”和“边界防御”无法迅速解决云数据中心面临的安全威胁。面对不可避免的侵害行为时，大多数组织的检测和反应能力十分有限，导致损失扩大。基于云工作负载保护平台的解决方案，将能实现细粒度的资产监控和风险分析，进而达成安全能力的快速闭环，打造持续智能，构建自适应安全体系。

　　3.持续业务保护，建设云安全运营中心

　　当完成第一步和第二步的安全建设之后，组织通常会面临一些共同的问题：如何保障安全建设效果？如何发挥安全建设的价值？用户进行体系化的安全建设后，往往会进入到一个漫长的运维周期，海量的告警会使得安全运维人员陷入处置大量具体复杂攻击事件的困境中。

　　尤其在云数据中心场景中，存在云上设备、日志类型、监管、租户需求繁多等情况。业务集中带来安全管理工作的剧增，运维人员面临三大挑战：

　　（1）安全运维工作量大。策略管理压力大：云数据中心的安全软硬件系统数量多且部署分散，策略配置/维护/变更工作量大。日志分析压力大：日志类型多，告警分散，误报多，租户需求多样化，协调工作多。

　　（2）安全运维人少效率低。缺少自动化、集中化、流程化的技术手段，高度依赖人。安全运维人员编制少，尤其是研判分析人员。

　　（3）工作价值难体现。对运维人员而言，疲于应付层出不穷的安全告警，说不清楚云内有哪些安全风险，解决了哪些风险，还有哪些风险；对管理人员而言，没有能体现安全绩效的分析报告，说不清楚投资收益。

　　对于以上问题，目前业内各大安全厂商均提出了自己的安全模型并提出了云数据中心的安全建设方案。基于在安全以及云计算方面的经验，建立了APDRO（智能 Artificial Intelligence、防御 Protect、检测 Detect、响应 Respond、运营 Operate）模型，并依托于“人、技术、流程”提出了面向云数据中心的云安全运营中心解决方案。

　　APDRO智安全模型逻辑主张：首先打造集防御、检测响应于一体的闭环安全能力；而后在面对自动化水平不断提高的威胁、越来越庞大复杂的IT规模以及人工成本攀高的情况下，利用人工智能技术来提升PDR的自动化程度；最后由运营来让PDR变得更有效，让PDR运转得更好。

图7 APDRO智安全模型

　　智能：提供了以数据为驱动、以人工智能算法为基础的安全能力，提前预测、主动防御，实时计算、动态防御。还包括通过主动学习并识别未知的异常事件来嗅探潜在的、未暴露的安全威胁，更深入诠释了“主动防御”的思想理念。在云数据中心的安全运营体系的构建应充分发挥大数据平台、威胁情报、AI等新型技术的优势，提高事件研判分析效率。

　　防御：指可以用于防御攻击一系列策略集、产品和服务。关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

　　检测：识别网络安全事件的发生，检测功能提供持续的对网络安全事件进行发现的能力。在检测过程中，基于ATT&CK（Adversarial Tactics， Techniques， and Common Knowledge）模型对网络攻击行为进行分析，提高检测能力进而为事件的响应提供依据。

　　响应：对检测出的网络安全事件进行处置，响应功能提供对潜在网络安全风险事件所造成影响进行控制的能力。基于SOAR（安全编排，自动化和响应），构建上下文Playbooks，大大提高安全事件的闭环效率，进一步提升运营的自动化水平。

　　运营：统一“人、技术、流程”三要素服务于安全保障体系的全天候有效运转，并持续优化。

　　智能加持的作用：由于如今威胁的背后是庞大的黑色产业，在黑色产业中不乏大量技术尖端的攻击团队和完善的产业链，使威胁变得越来越智能和自动，促使了新的病毒变种、0day不断出现。因此，防御方应当应用人工智能技术对黑客的新型攻击行为和病毒变种进行有效检测，这样才能有效应对新形势下的威胁。智能已经成为增强PDR的不可或缺的手段。

　　安全运营的必要性：安全的本质是人与人的攻防对抗，作为防御方，通过运营专家让PDR变得更加高效。配置合理的策略以增强防御，设置合理的检测手段来发现潜伏威胁，出现安全事件后通过全方位的分析并推动相关方进行事件处置。更重要的是，可以通过运营来保障组织安全战略、人员意识培训，实现风险管理、事件管理、业务连续性管理等。

　　四、结语

　　云数据中心安全建设是需要云服务商以及云服务客户共同参与、持续运营的长期行为。安全建设过程应采取技术与管理手段并行的方针，在设计过程中可以参照等级保护中“一个中心，三重防护”的思想。首先，作为安全建设的第一步，应选择开放集成标准化程度较高的云安全服务厂商，可以按需集成各品牌安全组件敏捷的为业务交付安全。第二步则是深化云内安全，构建自适应安全体系，重点解决云内的安全可视可控问题。第三步则是建设云安全运营中心，构建面向整个数据中心的安全运营支撑平台，简化运维工作，通过人机共智模式保障运营的效率和效果。在整个建设过程中，还需要考虑如何适应IT架构的快速演进，随着云原生改造的加速，未来容器、无服务将会获得更大范围的应用，如何保证当前的安全建设持续保护未来的业务形态，这是值得我们关注和思考的问题。