摘要

云計(jì)算已發(fā)展成為大數(shù)據(jù)應(yīng)用、跨平臺(tái)應(yīng)用的主要解決方案，而虛擬化、大規(guī)模、開放性等特征，帶來了更多安全威脅和挑戰(zhàn)，通過分析云計(jì)算安全防御模型架構(gòu)，分別對(duì)云計(jì)算安全的技術(shù)特征、運(yùn)行特征、保障模式等方面進(jìn)行了研究，提出了云計(jì)算安全能力軟件定義、保障服務(wù)化、服務(wù)智能化、防御動(dòng)態(tài)化等關(guān)鍵技術(shù)，支撐云安全防護(hù)靈活部署、高效保障、快速響應(yīng)，提升云計(jì)算環(huán)境多樣化安全需求的響應(yīng)能力，以及強(qiáng)對(duì)抗環(huán)境中云計(jì)算持續(xù)服務(wù)能力。

當(dāng)前，云計(jì)算作為一種基于互聯(lián)網(wǎng)的新型分布式計(jì)算模式，憑借其高效、可靠、易維護(hù)的特點(diǎn)，已發(fā)展成為大數(shù)據(jù)應(yīng)用、跨平臺(tái)應(yīng)用等的主要解決方案。由于云計(jì)算因虛擬化、大規(guī)模、開放性等特征，面臨的安全威脅和挑戰(zhàn)遠(yuǎn)大于傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)，同時(shí)帶來更多安全風(fēng)險(xiǎn)。如2019年10月，全球最大云服務(wù)商AWS遭受DDoS攻擊，DNS安全面臨巨大挑戰(zhàn)，惡意攻擊者向系統(tǒng)發(fā)送大量垃圾流量，致使服務(wù)長時(shí)間受到影響。

同時(shí)，云安全聯(lián)盟(Cloud Security Alliance, CSA)發(fā)布了2019年云計(jì)算面臨的威脅報(bào)告，包括數(shù)據(jù)泄露、配置錯(cuò)誤或變更控制不足、缺乏云安全架構(gòu)和策略、身份、憑證、訪問和密鑰管理不足、賬戶劫持、內(nèi)部威脅、不安全的接口和API、控制平面薄弱、元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障、濫用和惡意使用云服務(wù)等11大威脅。為更好應(yīng)對(duì)云計(jì)算推廣應(yīng)用過程中不斷暴露的安全威脅風(fēng)險(xiǎn)和層出不窮的安全攻擊手段，針對(duì)云計(jì)算安全防御關(guān)鍵技術(shù)研究有著重要和深遠(yuǎn)的意義。

1.云計(jì)算安全防御體系

由于云計(jì)算應(yīng)用存在網(wǎng)絡(luò)互聯(lián)開放性、資源全面共享性、信息全面服務(wù)化，面臨來自網(wǎng)絡(luò)空間的攻擊目標(biāo)聚焦、手段多樣、變化更快、能力更強(qiáng)、破壞性更大、影響面更廣，構(gòu)建合理、完備的云安全體系，突破、解決各種相關(guān)安全關(guān)鍵技術(shù)，才能有效應(yīng)對(duì)云環(huán)境下各種復(fù)雜安全風(fēng)險(xiǎn)，滿足云業(yè)務(wù)提供商、運(yùn)營商、安全廠商、用戶構(gòu)成的云生態(tài)系統(tǒng)安全服務(wù)需求。

云計(jì)算環(huán)境由硬件設(shè)施、虛擬資源、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成，其服務(wù)類型主要包括軟件即服務(wù)(Software-as-a-Service, SaaS)、平臺(tái)即服務(wù) (Platform as a Service, PaaS)、基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service, IaaS)3 種服務(wù)模式。不同服務(wù)模式下，云服務(wù)商和云租戶/客戶對(duì)資源訪問能力不同，安全保護(hù)需求有所區(qū)別。根據(jù)國家信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)最新要求，云計(jì)算環(huán)境安全服務(wù)需要基于統(tǒng)一全服務(wù)政策法規(guī)與標(biāo)準(zhǔn)，由一系列基礎(chǔ)安全服務(wù)相互支撐、協(xié)同產(chǎn)生。

圖1　云計(jì)算安全防御參考框架

云計(jì)算環(huán)境安全防御需要在傳統(tǒng)信息系統(tǒng)的安全保密管理、身份認(rèn)證與訪問控制、系統(tǒng)容災(zāi)備份、安全審計(jì)、入侵檢測(cè)等通用安全保密防護(hù)基礎(chǔ)上，同時(shí)針對(duì)云計(jì)算環(huán)境虛擬化、按需服務(wù)化等特點(diǎn)實(shí)施安全防護(hù)。根據(jù)國家等級(jí)保護(hù)要求，安全通用要求中的安全計(jì)算環(huán)境部分是針對(duì)邊界內(nèi)部提出的安全控制要求。

云計(jì)算環(huán)境需要通過網(wǎng)絡(luò)區(qū)域邊界訪問控制、入侵防范、安全審計(jì)、集中管控，及計(jì)算環(huán)境身份認(rèn)證、訪問控制、入侵防范、鏡像和快照保護(hù)、數(shù)據(jù)安全性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、云環(huán)境可信、虛擬化安全、惡意代碼防范等安全防護(hù)技術(shù)手段，如圖1所示，分別從物理層、虛擬資源層和服務(wù)層，保障云計(jì)算環(huán)境中的硬件設(shè)施、虛擬資源、虛擬化計(jì)算資源、軟件平臺(tái)、應(yīng)用軟件及數(shù)據(jù)安全。云計(jì)算環(huán)境應(yīng)以統(tǒng)一安全基底為基礎(chǔ)，安全按需賦能為核心，智能安全管理為保障，在安全檢測(cè)預(yù)警的支撐下，能夠形成“監(jiān)測(cè)—決策—響應(yīng)—防御”的動(dòng)態(tài)防御體系。

2.云安全防御軟件定義

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)方法已不能應(yīng)對(duì)云計(jì)算安全安全防護(hù)需求，在軟件定義一切的發(fā)展趨勢(shì)下，軟件定義安全(Software Defined Security, SDS)為解決云計(jì)算安全提供了支撐，其核心是將物理安全設(shè)備與它們的接入方式、部署位置解耦，將硬件平臺(tái)與軟件功能組件分層解耦，抽象為安全資源池里的資源，通過統(tǒng)一編程方式進(jìn)行管理維護(hù)，安全資源、安全服務(wù)模型間基于開放的規(guī)范接口定義，支持安全功能靈活部署和安全能力按需提供，實(shí)現(xiàn)安全即服務(wù)，如圖2所示。

SDS參考SDN/FLOW架構(gòu)，將傳統(tǒng)安全服務(wù)功能和安全防護(hù)控制功能分離，分為業(yè)務(wù)面和控制面。基于軟件定義架構(gòu)的安全防護(hù)體系也可將安全的控制平面和數(shù)據(jù)平面分離，業(yè)務(wù)面由平臺(tái)層、執(zhí)行層、服務(wù)層組成，通過安全能力抽象和資源池化，將各類安全設(shè)備抽象為具有不同安全能力的資源池，并根據(jù)具體業(yè)務(wù)規(guī)模橫向擴(kuò)展該資源池的規(guī)模，滿足不同客戶的安全性能要求。

圖2　云安全軟件定義設(shè)計(jì)架構(gòu)

其中，平臺(tái)層由各種物理形態(tài)或虛擬形態(tài)的安全平臺(tái)、計(jì)算平臺(tái)、存儲(chǔ)設(shè)備、安全路由交換平臺(tái)等組成，由智能安全管理中心統(tǒng)一部署、管理、調(diào)度，形成安全設(shè)施資源池，相關(guān)資源按需獲取，富有彈性，可擴(kuò)展性強(qiáng)。為執(zhí)行層各安全服務(wù)功能組件提供虛擬化的運(yùn)行環(huán)境。

執(zhí)行層由病毒防護(hù)、密碼服務(wù)、數(shù)據(jù)備份、入侵檢測(cè)、防火墻、流量控制等安全服務(wù)類功能組件和態(tài)勢(shì)感知、漏洞管理、事件審計(jì)、認(rèn)證授權(quán)、身份管理、密鑰管理設(shè)施等安全管理類功能組件構(gòu)成，各項(xiàng)安全功能組件與硬件資源完全解耦，標(biāo)準(zhǔn)化設(shè)計(jì)，支持統(tǒng)一編程控制接口，同時(shí)采用開放性架構(gòu)設(shè)計(jì)，能夠集成第三方安全服務(wù)組件，實(shí)現(xiàn)安全廠商之間優(yōu)勢(shì)互補(bǔ)、聯(lián)防聯(lián)控。服務(wù)層則是根據(jù)云環(huán)境租戶需求，基于控制面的統(tǒng)一安全服務(wù)編排，執(zhí)行層的安全功能組件聯(lián)動(dòng)，對(duì)網(wǎng)絡(luò)、虛擬機(jī)的接入互聯(lián)進(jìn)行控制、信息流檢查等，提供安全接入與隔離安全服務(wù)，對(duì)應(yīng)用、數(shù)據(jù)的操作訪問等提供應(yīng)用訪問控制和數(shù)據(jù)安全服務(wù)。

控制面?zhèn)戎匕踩?wù)應(yīng)用的編排、部署與管理運(yùn)維，智能分析用戶任務(wù)以及運(yùn)行過程中實(shí)時(shí)產(chǎn)生的安全服務(wù)需求，轉(zhuǎn)化為具體的安全資源調(diào)度和安全策略配置方案?；诳刂茖犹峁┑木幊探涌冢瑢?duì)業(yè)務(wù)面的縱向各層資源進(jìn)行服務(wù)編排，在離散的安全服務(wù)資源之間形成正確的締約關(guān)系，構(gòu)建體系性安全防護(hù)系統(tǒng)，實(shí)現(xiàn)安全服務(wù)的整體協(xié)同聯(lián)動(dòng)，達(dá)到云安全防護(hù)的智能化、服務(wù)化、動(dòng)態(tài)化。安全管理范圍將隨著服務(wù)交付模式、提供商能力而變化。

3.云安全防御服務(wù)化

云計(jì)算安全防護(hù)與傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)在功能需求層面相似，但是由于云計(jì)算的虛擬化、數(shù)據(jù)中心化、大規(guī)模等特點(diǎn)，使得云安全在訪問控制、部署方式、保障模式等方面與傳統(tǒng)網(wǎng)絡(luò)安全均有所不同，云租戶對(duì)特色化、定制化的安全防護(hù)需求更加突出，在安全軟件定義的基礎(chǔ)上，服務(wù)化、組合化的云安全保障模式更能適應(yīng)云計(jì)算體系架構(gòu)下的應(yīng)用模式。

圖3　服務(wù)化云安全防御

基于統(tǒng)一安全基礎(chǔ)設(shè)施，通過封裝和組合集中化、標(biāo)準(zhǔn)化和服務(wù)化的安全功能組件設(shè)計(jì)，利用標(biāo)準(zhǔn)的北向接口，實(shí)現(xiàn)策略自動(dòng)編排，構(gòu)建面向服務(wù)(Service-Oriented Architecture, SOA)的云安全體系結(jié)構(gòu)，達(dá)到交付用戶安全服務(wù)的能力，為用戶提供從IaaS、PaaS到SaaS的安全訪問控制和應(yīng)用安全防護(hù)等多層次安全服務(wù)。

服務(wù)化的云安全體系結(jié)構(gòu)，通過服務(wù)注冊(cè)、服務(wù)發(fā)布、服務(wù)查詢、服務(wù)請(qǐng)求、服務(wù)拉取、推送或綁定等環(huán)節(jié)，為服務(wù)請(qǐng)求者提供所需安全服務(wù)，實(shí)現(xiàn)安全即服務(wù)，如圖3所示。各項(xiàng)安全服務(wù)，包括網(wǎng)絡(luò)入侵檢測(cè)、主機(jī)防火墻、密碼服務(wù)、安全審計(jì)等各項(xiàng)基礎(chǔ)安全服務(wù)功能，基于統(tǒng)一平臺(tái)，形成安全服務(wù)資源池。云租戶通過服務(wù)查詢和服務(wù)請(qǐng)求，申請(qǐng)相關(guān)安全解決方案。

云安全管理系統(tǒng)基于云計(jì)算安全防護(hù)體系架構(gòu)，統(tǒng)一安全服務(wù)資源池的調(diào)度，通過按需編排、動(dòng)態(tài)部署，使多個(gè)不同層次的虛擬安全服務(wù)設(shè)備交互協(xié)調(diào)、整體聯(lián)動(dòng)，形成主動(dòng)、綜合、協(xié)同防御的多角度、全方位云安全防護(hù)能力.通過為租戶提供云安全服務(wù)，滿足云環(huán)境下網(wǎng)絡(luò)安全隔離、租戶隔離、應(yīng)用安全、數(shù)據(jù)安全等防護(hù)需求，為各租戶提供按需、彈性、易用的安全服務(wù)，實(shí)現(xiàn)事前云監(jiān)測(cè)、事中云防護(hù)和事后云審計(jì)，為租戶虛擬計(jì)算環(huán)境、網(wǎng)絡(luò)及數(shù)據(jù)等提供全生命周期的安全防護(hù)。服務(wù)化云安全保障模式下，通過統(tǒng)一的安全運(yùn)行維護(hù)與管理，既能提供精準(zhǔn)化的安全保障，又能加快安全事件處置響應(yīng)能力，促進(jìn)整體安全防護(hù)能力提升。

4.云安全防御智能化

隨著云計(jì)算應(yīng)用的普及，云端海量的企業(yè)和用戶數(shù)據(jù)，具有巨大的資產(chǎn)價(jià)值，吸引著大批黑客的攻擊與窺竊。各種安全漏洞帶來潛在安全威脅、新型網(wǎng)絡(luò)攻擊手段不斷推出，云計(jì)算環(huán)境面臨的安全形式日益復(fù)雜化，需要利用智能化防護(hù)手段，以人工智能為引擎，基于專家知識(shí)庫、深度學(xué)習(xí)和大數(shù)據(jù)分析等，深度分析內(nèi)外威脅情報(bào)數(shù)據(jù)，為云計(jì)算環(huán)境提供智能感知、智能預(yù)警、智能決策和智能響應(yīng)，

如圖4所示，提升云計(jì)算體系性安全防護(hù)的智能化水平，以更加快速地應(yīng)對(duì)復(fù)雜變化的云計(jì)算安全威脅。

圖4　智能化云安全防御

一是通過多視角多粒度的網(wǎng)絡(luò)安全監(jiān)測(cè)，基于分布式探針對(duì)日志、流量、性能等數(shù)據(jù)進(jìn)行采集，對(duì)數(shù)據(jù)自動(dòng)識(shí)別、補(bǔ)全、篩選和聚合，保證基礎(chǔ)數(shù)據(jù)的完整性和可靠性，使網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)測(cè)更加清楚，能更快地發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅。

二是結(jié)合網(wǎng)絡(luò)空間的情報(bào)大數(shù)據(jù)，綜合多事件復(fù)雜關(guān)聯(lián)分析法，多模型行為分析法，以及基于多種統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)等深度分析法，對(duì)海量的感知信息進(jìn)行細(xì)顆粒度、多維度的深度分析，挖掘價(jià)值數(shù)據(jù)，更加準(zhǔn)確地研判安全態(tài)勢(shì)。

三是基于專家知識(shí)庫，安全防護(hù)規(guī)則模板、庫，動(dòng)態(tài)為用戶制訂安全防護(hù)方案，以及提出安全防護(hù)策略修正等建議，輔助用戶更快速、更加準(zhǔn)確地應(yīng)對(duì)各類安全威脅和處置安全事件，針對(duì)性提升或鞏固云計(jì)算環(huán)境安全防護(hù)能力。

四是基于安全智能運(yùn)維管理，對(duì)安全服務(wù)進(jìn)行編排、重構(gòu)等，確保云安全防御措施部署得當(dāng)和防御策略執(zhí)行及時(shí)高效，避免網(wǎng)絡(luò)空間安全威脅對(duì)云服務(wù)造成更大影響，將網(wǎng)絡(luò)安全威脅帶來的經(jīng)濟(jì)損失降低到最小值。

5.安全防御動(dòng)態(tài)化

通過對(duì)云安全各個(gè)行動(dòng)環(huán)節(jié)進(jìn)行統(tǒng)一安全設(shè)計(jì)，將安全作為一種基本屬性貫穿到云環(huán)節(jié)及其運(yùn)行服務(wù)行為中?；诎踩芾?、安全服務(wù)、安全平臺(tái)及監(jiān)測(cè)預(yù)警的聯(lián)動(dòng)，構(gòu)建形成“監(jiān)測(cè)—預(yù)警—決策—響應(yīng)”的云安全動(dòng)態(tài)防御體系，如圖5所示。

一是通過對(duì)云環(huán)境實(shí)時(shí)“監(jiān)測(cè)”，全面采集違規(guī)操作、網(wǎng)絡(luò)攻擊行為等安全態(tài)勢(shì)數(shù)據(jù)，并進(jìn)行數(shù)據(jù)清洗、歸一化處理和融合化處理，挖掘重要信息。二是融合內(nèi)外部威脅情報(bào)等，對(duì)感知監(jiān)測(cè)形成的大數(shù)據(jù)進(jìn)行安全風(fēng)險(xiǎn)分析和預(yù)判，為安全威脅進(jìn)行告警，對(duì)安全趨勢(shì)進(jìn)行研判，為用戶提供風(fēng)險(xiǎn)“預(yù)警”。三是云安全動(dòng)態(tài)防御體系中的安全管理層，基于智能防御輔助決策，實(shí)施安全服務(wù)規(guī)劃，動(dòng)態(tài)生成安全防御部署、防御策略、防御資源等保障方案，形成防御 “決策”。四是安全服務(wù)層根據(jù)安全防御調(diào)整方案做出“響應(yīng)”，向安全平臺(tái)下發(fā)對(duì)應(yīng)的安全服務(wù)功能，基于軟件定義安全服務(wù)平臺(tái)實(shí)施安全防御，抵抗各種安全風(fēng)險(xiǎn)事件。

圖5　動(dòng)態(tài)化云安全防御體系

通過多功能整體聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊、系統(tǒng)漏洞等安全風(fēng)險(xiǎn)實(shí)時(shí)智能監(jiān)控、檢測(cè)分析和安全防御一體化，有效提高云環(huán)境的動(dòng)態(tài)智能檢測(cè)、識(shí)別、防御能力，增強(qiáng)整體智能防御的效能。

6.結(jié)語

本文基于云計(jì)算安全基礎(chǔ)框架，提出了基于軟件定義架構(gòu)的智能化、服務(wù)化、動(dòng)態(tài)化防御體系，實(shí)現(xiàn)安全防御靈活部署、高效保障、快速響應(yīng)，提升云計(jì)算環(huán)境多樣化安全需求和安全態(tài)勢(shì)的響應(yīng)能力。為應(yīng)對(duì)強(qiáng)對(duì)抗網(wǎng)絡(luò)空間中的安全博弈，需要深入研究大數(shù)據(jù)技術(shù)、人工智能等在云安全中的應(yīng)用以及可信計(jì)算與云計(jì)算的融合[5]，實(shí)現(xiàn)多功能深度有機(jī)融合，以支撐構(gòu)建智能化動(dòng)態(tài)防御體系，為云環(huán)境提供立體、縱深、動(dòng)態(tài)防護(hù)。