面向電子政務的私有云架構(gòu)多維度安全監(jiān)控平臺構(gòu)建運用研究

0引言近幾年，云計算、大數(shù)據(jù)等技術(shù)應用迅速發(fā)展，云服務在政府部門各業(yè)務領(lǐng)域的部署逐漸延伸。雖然面向政府電子政務的私有云逐步建立，但是，政府部門構(gòu)建的電子政務系統(tǒng)自身的保密性、一致性和安全性都使得私有云計算環(huán)境下的安全威脅越來越大，如何掌握私有云環(huán)境中不同維度的資源安全狀態(tài)，并在云環(huán)境中使用完善的安全監(jiān)控措施，實現(xiàn)對私有云環(huán)境的資源、設備、應用以及數(shù)據(jù)等多維度進行實時監(jiān)控，成為需要重點研究的內(nèi)容。下面，我們將從私有云架構(gòu)安全服務平臺構(gòu)建、基于該私有云平臺實現(xiàn)的虛擬資源、主機設備、基礎平臺和重要數(shù)據(jù)等多維度安全監(jiān)控及其安全態(tài)勢來進行研究。1私有云架構(gòu)下的安全問題私有云平臺的搭建有助于政府部門自建的IT系統(tǒng)從粗放式、離散化的建設模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使IT管理服務從各自為政、相互封閉的運作方式向跨部門跨區(qū)域的協(xié)同互動和資源共享轉(zhuǎn)變。但是，私有云平臺的運行環(huán)境比傳統(tǒng)意義上的平臺支撐環(huán)境更加復雜，隨之面臨的安全防護需求也更加重要。歸納起來，私有云平臺整體安全問題主要存在如下幾個方面。1.1邊界模糊化改變傳統(tǒng)服務架構(gòu)的邊界，邊界的模糊化和動態(tài)化使得邊界安全與隔離策略失效，無法解決云內(nèi)部南北向傳輸邊界的安全問題，給應用系統(tǒng)運行服務帶來了巨大的安全風險。1.2資源顆粒度粗放傳統(tǒng)安全防護體系無法支撐云計算環(huán)境下虛擬主機粒度的安全防護。傳統(tǒng)的主機終端安全防護由于適配性和補丁管理等問題，無法部署在虛擬主機端進行安全防護，更無法對虛擬主機安全資源進行有效統(tǒng)計。1.3敏捷性缺失在私有云計算服務架構(gòu)高度資源化、集成化以及服務化的環(huán)境下，分散的安全能力無法滿足應用系統(tǒng)的安全防護需求，在業(yè)務量爆發(fā)時也無法快速進行擴展。1.4安全設計滯后在私有云計算服務架構(gòu)下，僅僅依靠防御來保護系統(tǒng)安全的機制無法滿足應用系統(tǒng)的復雜性和多樣性需求，需要構(gòu)建一套集預測、防御、監(jiān)控和響應于一體的自適應安全防護體系。2私有云計算服務的主要架構(gòu)私有云計算服務平臺為系統(tǒng)提供涵蓋底層資源、虛擬主機、支撐軟件、運維管控以及安全防護等綜合的信息化基礎架構(gòu)服務。從服務的類別上分為資源級別服務、主機級別服務、平臺級別服務和運維級別服務，整體架構(gòu)如圖1所示。圖1私有云計算服務平臺整體架構(gòu)2.1資源級別服務該服務主要是面向用戶提供統(tǒng)一的資源級別服務。用戶能夠在授權(quán)范圍內(nèi)通過平臺門戶自主管理分配的計算、存儲、網(wǎng)絡和安全資源，并基于各類資源按需創(chuàng)建虛擬主機、搭建服務網(wǎng)絡、構(gòu)建安全防護，為應用系統(tǒng)的部署運行提供平臺支撐。私有云計算資源級別服務主要包括計算虛擬化、網(wǎng)絡虛擬化、存儲虛擬化和安全虛擬化等內(nèi)容。2.2主機級別服務主機級別服務可實現(xiàn)主機全生命周期的管理服務，能夠根據(jù)需求定制主機的資源配置、運行環(huán)境軟件，并能通過控制臺、界面等多種方式登錄使用。私有云計算主機級別服務主要包括虛擬主機和物理主機。2.3平臺級別服務平臺級別服務主要是面向云平臺和主要應用，如Web應用提供服務。私有云計算平臺級別服務主要包括容器集群和數(shù)據(jù)庫兩個方面。2.4運維級別服務運維級別服務主要是實現(xiàn)虛擬資源的快速部署和資源管理的自動化，提升運維工作的效率。私有云計算運維級別服務主要包括快速自動化部署、云平臺監(jiān)控及多級權(quán)限管理等內(nèi)容。3私有云架構(gòu)下多維度安全監(jiān)控服務平臺構(gòu)建私有云計算平臺構(gòu)建完成后，能夠提供涵蓋底層資源、虛擬主機、支撐軟件、運維管控以及安全防護等綜合的信息化基礎架構(gòu)服務，具備完整的服務體系，豐富的服務內(nèi)容，高效的服務輸出能力。為了保障私有云計算平臺服務輸出的安全性，圍繞細粒度的虛擬主機部署單元，分別針對私有云計算平臺的各類服務提供相應的安全防護策略。私有云計算平臺安全防護構(gòu)建主要圍繞平臺進行系統(tǒng)的體系安全防護，私有云安全按服務內(nèi)容可劃分為兩部分，如圖2所示。第一，云計算基礎服務平臺安全，是對網(wǎng)絡邊界、數(shù)據(jù)存儲以及主機病毒等基礎資源的安全防護；第二，云平臺內(nèi)部安全，是指云內(nèi)部的通信安全、數(shù)據(jù)加密、應用安全和虛擬化安全等內(nèi)容的安全管理。針對私有云安全內(nèi)容，建立相應的多維度私有云安全監(jiān)控平臺和云安全態(tài)勢監(jiān)控平臺，實現(xiàn)對各類資源的實時動態(tài)監(jiān)控和威脅態(tài)勢感知，以此發(fā)現(xiàn)處置漏洞攻擊、新型病毒攻擊事件，幫助云上用戶實現(xiàn)云上業(yè)務安全可視和可感知。圖2私有云計算安全服務平臺3.1私有云計算基礎服務平臺安全主要內(nèi)容針對私有云云計算服務平臺運行特點，重點針對網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和用戶可信訪問等方面加強安全管控。3.1.1網(wǎng)絡安全（1）網(wǎng)絡隔離。按照“分區(qū)保護、區(qū)域管控”的思路，強調(diào)網(wǎng)絡健壯性，可將系統(tǒng)后臺運行環(huán)境劃分安全控制區(qū)域、核心交換區(qū)域和應用服務區(qū)域等邏輯子網(wǎng)，按照業(yè)務數(shù)據(jù)流向制定各子網(wǎng)間交互策略，在網(wǎng)絡層杜絕內(nèi)部非授權(quán)訪問。（2）網(wǎng)絡邊界防護。在網(wǎng)絡邊界部署防火墻、安全網(wǎng)關(guān)等邊界防護設備,實現(xiàn)區(qū)域間的訪問控制、流量控制，基于預設安全規(guī)則過濾進出子網(wǎng)的網(wǎng)絡流量，阻斷非授權(quán)的訪問及連接。（3）網(wǎng)絡攻擊監(jiān)測。依托網(wǎng)絡監(jiān)測探針采集網(wǎng)絡流量，基于網(wǎng)絡入侵特征加載檢測規(guī)則庫，分析原始安全數(shù)據(jù)，發(fā)現(xiàn)內(nèi)部網(wǎng)絡中出現(xiàn)的針對系統(tǒng)的攻擊行為、非法操作及惡意代碼，根據(jù)預設安全策略及時做出反應并提取網(wǎng)絡攻擊數(shù)據(jù)樣本。（4）局域網(wǎng)接入控制。對入網(wǎng)設備進行網(wǎng)絡接入認證，驗證入網(wǎng)主機身份合法性和安全狀態(tài)合規(guī)性，防止不滿足安全要求的主機接入網(wǎng)絡。3.1.2主機安全（1）主機監(jiān)控。針對主機終端的外設控制、外聯(lián)控制、網(wǎng)絡控制以及程序控制等各種管控功能，掌握全網(wǎng)信息資產(chǎn)情況和終端運行狀態(tài)，實現(xiàn)終端用戶行為的有效管控，防止非授權(quán)硬件接入、軟件運行和用戶登錄等。（2）病毒查殺及補丁分發(fā)。檢測查殺主機病毒木馬，掃描分析安全漏洞，掌握主機安全態(tài)勢；針對主流操作系統(tǒng)和常用應用軟件的補丁分發(fā)功能修復安全漏洞，提高主機安全水平，確保系統(tǒng)防護效能。（3）漏洞掃描。部署漏洞掃描設備，定期對終端、服務器、網(wǎng)絡設備以及安全設備進行脆弱性掃描探測，發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫和應用軟件等方面的安全漏洞，并給出解決建議，便于掌握系統(tǒng)服務域內(nèi)的安全漏洞情況，及時組織漏洞修復、補丁升級等工作。3.1.3數(shù)據(jù)安全（1）數(shù)據(jù)庫審計。基于核心交換機干路鏡像流量，審計系統(tǒng)數(shù)據(jù)庫訪問行為，主動實時監(jiān)控、識別、告警繞過傳統(tǒng)網(wǎng)絡邊界防護的外部數(shù)據(jù)攻擊和來自內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取、破壞等，從而應對來自內(nèi)部和外部的數(shù)據(jù)安全威脅。（2）數(shù)據(jù)災備。搭建數(shù)據(jù)災備專用網(wǎng)絡，連接災備目標服務器、客戶端、災備管理系統(tǒng)和數(shù)據(jù)存儲設備建立災備數(shù)據(jù)傳輸?shù)膶Ｓ猛ǖ馈２渴鸫鎯浞菀惑w機和磁盤陣列，通過數(shù)據(jù)災備專用網(wǎng)絡，基于預設的數(shù)據(jù)保護和備份策略，為災備目標服務器上的數(shù)據(jù)提供多種保護和備份手段，并提供備份數(shù)據(jù)的重刪和壓縮。3.2私有云平臺內(nèi)部安全云計算服務平臺內(nèi)部安全同樣可從網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和用戶可信訪問等方面進行考慮。但是，與傳統(tǒng)安全防護不同，云模式下網(wǎng)絡邊界更加模糊動態(tài)，主機資源調(diào)用更加敏捷。為適應上述情況，需要建立主要業(yè)務系統(tǒng)云安全防護資源池，使云主機按需調(diào)用安全資源。云安全防護資源池根據(jù)云環(huán)境內(nèi)的流量形態(tài)，劃分為南北向安全資源池和東西向安全資源池。南北向安全資源池負責為系統(tǒng)云主機接入網(wǎng)絡提供安全保障；東西向安全資源池為系統(tǒng)云主機和云主機間通信流量提供安全保障。3.2.1南北向資源池設計建立南北向資源池，主要針對云計算服務平臺的資源層，提供入侵檢測、邊界安全防護、運維審計等不同層次、多維度的安全防護，以安全資源池化的方式為云服務平臺應用提供服務。云主機可根據(jù)自身南北向流量安全需求，調(diào)用安全資源池相關(guān)資源。南北向安全資源池采用并聯(lián)部署，包括邊界安全、應用安全和運維安全。（1）邊界安全服務。為云環(huán)境下系統(tǒng)內(nèi)部署運行提供虛擬邊界安全防護。通過邊界安全管理系統(tǒng)虛擬化技術(shù)，將邊界安全系統(tǒng)虛擬成多個相互隔離并獨立運行的虛擬邊界安全系統(tǒng)。每一個虛擬系統(tǒng)都可以為應用系統(tǒng)提供定制化的安全防護功能，分別為云平臺應用提供獨立運行、管理的虛擬邊界安全隔離。在業(yè)務不斷擴展時，動態(tài)擴充虛擬邊界，降低網(wǎng)絡復雜度，提升靈活性。虛擬邊界安全系統(tǒng)間通信通過預置接口實現(xiàn)，不占用網(wǎng)絡鏈路，提高云服務平臺內(nèi)南北向傳輸?shù)陌踩?。?）應用安全服務。目前，多數(shù)系統(tǒng)為B/S架構(gòu)，以Web方式提供服務，容易受到SQL注入、跨站腳本以及網(wǎng)頁掛馬等Web攻擊。應用安全服務針對Web安全漏洞、攻擊手段及最終攻擊結(jié)果進行掃描、防護及診斷，提供綜合Web應用安全服務即虛擬化WAF服務，建立應用服務漏洞或安全隱患周期性檢測、網(wǎng)頁防篡改等機制，形成應用安全服務檢測和應用安全服務防御阻斷能力。（3）運維安全服務。建立系統(tǒng)管理員、運維人員、口令管理員以及審計管理員等角色，為云環(huán)境下系統(tǒng)云主機、服務器和其他網(wǎng)絡設備提供全面的安全訪問控制功能。3.2.2東西向資源池設計東西向資源池主要針對系統(tǒng)云主機存在的病毒破壞、攻擊感染和漏洞利用等安全風險問題，提供云主機安全防護能力，保證云主機安全穩(wěn)定運行，解決云主機的安全隱患和風險，增強云主機的攻擊抵御能力，減少安全運維成本?；谠浦鳈C虛擬化特點，東西向資源池設計通過輕代理的方式實現(xiàn)，部署方式如圖3所示。在云主機上安裝云主機安全代理軟件，實現(xiàn)主機防病毒、主機防火墻、主機入侵防御、webshell檢測、安全基線、防暴力破解、虛擬化加固、主機流量統(tǒng)計以及數(shù)據(jù)庫審計等功能。虛擬化安全管理平臺收集代理軟件反饋的相關(guān)信息，實時跟蹤云主機安全狀態(tài)，并通過管理員統(tǒng)一調(diào)配，下發(fā)安全管理策略。圖3東西向資源池部署東西向資源池在功能上采用模塊化設計，具備靈活的安全功能擴展能力，主要功能包括虛擬主機殺毒、虛擬主機防火墻、虛擬主機入侵檢測及虛擬主機后門檢測。（1）虛擬主機殺毒。建立惡意代碼防范機制，對系統(tǒng)云主機關(guān)鍵位置進行主動防護和監(jiān)測，以解決病毒木馬感染云主機的問題。周期性檢測虛擬主機基礎環(huán)境合規(guī)性，發(fā)現(xiàn)系統(tǒng)漏洞、病毒，及時掃描修復。（2）虛擬主機防火墻。實現(xiàn)云主機間的網(wǎng)絡隔離、訪問控制、威脅防護和快捷管理。（3）虛擬主機入侵檢測。針對每臺云主機抓取網(wǎng)絡封包，根據(jù)過濾規(guī)則逐一檢查數(shù)據(jù)流。當發(fā)現(xiàn)入侵威脅時，丟棄該數(shù)據(jù)包，并記錄攻擊來源，阻止利用應用層漏洞發(fā)起的攻擊，第一時間防御新型漏洞和病毒攻擊，阻攔可疑的行為，保護業(yè)務系統(tǒng)云主機免受攻擊。（4）虛擬主機后門檢測。虛擬主機后門檢測包括主機防逃逸和應用后門防護兩部分。主機防逃逸檢測服務器上所有物理設備和虛擬主機，監(jiān)控虛擬主機運行狀態(tài)，并針對主機逃逸情況進行監(jiān)測。應用后門防護通過云主機安全代理軟件對主機進行安全加固，對已知的應用后門從文件特征、代碼特征等多個維度進行檢測，攔截攻擊行為，抵御來自外部網(wǎng)絡的黑客攻擊，保證宿主機不受破壞。（5）數(shù)據(jù)庫審計。數(shù)據(jù)庫審計服務用于實現(xiàn)數(shù)據(jù)庫訪問行為分析，保障云環(huán)境下核心數(shù)據(jù)的安全防護。由云主機安全代理軟件采集報文，然后將報文發(fā)給云數(shù)據(jù)庫審計統(tǒng)一檢測、告警、存儲及挖掘分析。3.3私有云多維度安全監(jiān)控平臺私有云計算監(jiān)控平臺主要包括數(shù)據(jù)采集層、數(shù)據(jù)處理層和數(shù)據(jù)展示層三個層次，體系架構(gòu)如圖4所示。圖4云計算監(jiān)控平臺體系架構(gòu)3.3.1數(shù)據(jù)采集層數(shù)據(jù)采集層是整個云計算監(jiān)控平臺的基礎，負責采集被監(jiān)控設備的運行狀態(tài)數(shù)據(jù)存入數(shù)據(jù)庫，供上層平臺分析和展示。數(shù)據(jù)采集層的工作流程如圖5所示，每臺被監(jiān)控設備的數(shù)據(jù)采集代理負責采集設備上的資源數(shù)據(jù)、虛擬主機數(shù)據(jù)、中間件數(shù)據(jù)以及應用程序數(shù)據(jù)。為了保證數(shù)據(jù)的安全性，可以使用基于證書的加密或者對稱加密方式對采集后的數(shù)據(jù)進行加密，以密文的形式發(fā)送給監(jiān)控服務器進行解析和運算。數(shù)據(jù)采集代理包括代理方式下的監(jiān)控代理和無代理方式下的協(xié)議代理。為了降低監(jiān)控服務器的數(shù)據(jù)處理負載，數(shù)據(jù)采集層支持分布式監(jiān)控模式，即配置相應的監(jiān)控代理負責采集某個域內(nèi)被監(jiān)控設備的運行狀態(tài)數(shù)據(jù)，進行匯總處理后統(tǒng)一發(fā)送給監(jiān)控服務器。圖5數(shù)據(jù)采集層的工作流程3.3.2數(shù)據(jù)處理層數(shù)據(jù)處理層中的被動數(shù)據(jù)檢查采集器和主動數(shù)據(jù)檢查采集器，負責接收匯總來自各個被監(jiān)控設備的運行狀態(tài)數(shù)據(jù)，然后將采集的數(shù)據(jù)發(fā)送給消息隊列緩存模塊進行處理，并綜合利用數(shù)據(jù)庫引擎、存儲引擎和計算引擎等模塊實現(xiàn)對采集數(shù)據(jù)的分析管理，包括數(shù)據(jù)備份、歷史數(shù)據(jù)管理、趨勢數(shù)據(jù)管理和事件數(shù)據(jù)管理，獲取設備、云平臺、應用系統(tǒng)當前的運行狀況和長期的變化規(guī)律與趨勢，供上層平臺進行圖形化展示，具體架構(gòu)如圖6所示。圖6數(shù)據(jù)處理層體系架構(gòu)3.3.3數(shù)據(jù)展示層數(shù)據(jù)展示層是整個云計算監(jiān)控平臺的統(tǒng)一門戶，提供權(quán)限管理、告警管理、用戶管理、可視化管理、主機管理、模板管理和資源管理七個模塊，將具有多個維度的功能在同一維度進行集中展示。3.4安全態(tài)勢監(jiān)控平臺安全態(tài)勢監(jiān)控平臺采用“數(shù)據(jù)資源—數(shù)據(jù)采集—數(shù)據(jù)分析—態(tài)勢管理—態(tài)勢呈現(xiàn)”的多層次體系架構(gòu)，依托私有云平臺資源池提供的虛擬化資源數(shù)據(jù)和安全資源池提供的安全設備日志數(shù)據(jù)，緊貼私有云平臺運行監(jiān)管的實際需求，運用面向開放融合的架構(gòu)理念，進行標準化管理接口和數(shù)據(jù)接口設計，構(gòu)建安全資源池、安全數(shù)據(jù)采集、安全數(shù)據(jù)分析和態(tài)勢管理模塊，并開發(fā)可視化組件，從安全設備防護效果、攻擊分布和趨勢、安全威脅分布和趨勢以及用戶等保合規(guī)等視角，對私有云計算平臺的運行狀態(tài)進行定性和定量的綜合呈現(xiàn)。私有云安全態(tài)勢監(jiān)控平臺的系統(tǒng)架構(gòu)如圖7所示。圖7私有云安全態(tài)勢監(jiān)控平臺架構(gòu)私有云安全態(tài)勢監(jiān)控平臺系統(tǒng)架構(gòu)主要包括數(shù)據(jù)資源層、數(shù)據(jù)采集層、數(shù)據(jù)分析層、態(tài)勢管理層和態(tài)勢呈現(xiàn)層，具體功能描述如下。（1）數(shù)據(jù)資源層。數(shù)據(jù)資源層主要包括云計算服務平臺的虛擬化資源池和云安全管理平臺的安全資源池。其中，虛擬化資源池包括云平臺的計算虛擬化資源、網(wǎng)絡虛擬化資源和存儲虛擬化資源。安全資源池包括虛擬化防火墻、Web應用防火墻、堡壘機、虛擬化主機安全以及數(shù)據(jù)庫審計等安全組件。數(shù)據(jù)資源層作為整個體