雲計算環境下安全關鍵技術研究

2021-12-25|由 好玩的資訊 發表于 娛樂

引用本文

:羅敏,趙文。雲計算環境下安全關鍵技術研究[J]。通訊技術,2020,54(08):2035-2039。

摘 要

雲計算已發展成為大資料應用、跨平臺應用的主要解決方案,而虛擬化、大規模、開放性等特徵,帶來了更多安全威脅和挑戰,透過分析雲計算安全防禦模型架構,分別對雲計算安全的技術特徵、執行特徵、保障模式等方面進行了研究,提出了雲計算安全能力軟體定義、保障服務化、服務智慧化、防禦動態化等關鍵技術,支撐雲安全防護靈活部署、高效保障、快速響應,提升雲計算環境多樣化安全需求的響應能力,以及強對抗環境中雲計算持續服務能力。

關鍵詞:

雲;軟體定義;服務化;智慧化;動態化

內容目錄:

0引 言

1雲計算安全防禦體系

2雲安全防禦軟體定義

3雲安全防禦服務化

4雲安全防禦智慧化

5安全防禦動態化

6結 語

0

引 言

當前,雲計算作為一種基於網際網路的新型分散式計算模式,憑藉其高效、可靠、易維護的特點,已發展成為大資料應用、跨平臺應用等的主要解決方案。由於雲計算因虛擬化、大規模、開放性等特徵,面臨的安全威脅和挑戰遠大於傳統網路資訊系統,同時帶來更多安全風險。如2019年10月,全球最大雲服務商AWS遭受DDoS攻擊,DNS安全面臨巨大挑戰,惡意攻擊者向系統傳送大量垃圾流量,致使服務長時間受到影響。

同時,雲安全聯盟(Cloud Security Alliance, CSA)釋出了2019年雲計算面臨的威脅報告,包括資料洩露、配置錯誤或變更控制不足、缺乏雲安全架構和策略、身份、憑證、訪問和金鑰管理不足、賬戶劫持、內部威脅、不安全的介面和API、控制平面薄弱、元結構和應用程式結構故障、濫用和惡意使用雲服務等11大威脅。為更好應對雲計算推廣應用過程中不斷暴露的安全威脅風險和層出不窮的安全攻擊手段,針對雲計算安全防禦關鍵技術研究有著重要和深遠的意義。

1

雲計算安全防禦體系

由於雲計算應用存在網路互聯開放性、資源全面共享性、資訊全面服務化,面臨來自網路空間的攻擊目標聚焦、手段多樣、變化更快、能力更強、破壞性更大、影響面更廣,構建合理、完備的雲安全體系,突破、解決各種相關安全關鍵技術,才能有效應對雲環境下各種複雜安全風險,滿足雲業務提供商、運營商、安全廠商、使用者構成的雲生態系統安全服務需求。

雲計算環境由硬體設施、虛擬資源、虛擬化計算資源、軟體平臺和應用軟體等組成,其服務型別主要包括軟體即服務(Software-as-a-Service, SaaS)、平臺即服務 (Platform as a Service, PaaS)、基礎設施即服務(Infrastructure as a Service, IaaS)3 種服務模式。不同服務模式下,雲服務商和雲租戶/客戶對資源訪問能力不同,安全保護需求有所區別。根據國家資訊保安技術網路安全等級保護安全設計技術最新要求,雲計算環境安全服務需要基於統一全服務政策法規與標準,由一系列基礎安全服務相互支撐、協同產生。

圖1 雲計算安全防禦參考框架

雲計算環境安全防禦需要在傳統資訊系統的安全保密管理、身份認證與訪問控制、系統容災備份、安全審計、入侵檢測等通用安全保密防護基礎上,同時針對雲計算環境虛擬化、按需服務化等特點實施安全防護。根據國家等級保護要求,安全通用要求中的安全計算環境部分是針對邊界內部提出的安全控制要求[1]。

雲計算環境需要透過網路區域邊界訪問控制、入侵防範、安全審計、集中管控,及計算環境身份認證、訪問控制、入侵防範、映象和快照保護、資料安全性、資料備份恢復、剩餘資訊保護、雲環境可信、虛擬化安全、惡意程式碼防範等安全防護技術手段,如圖1所示,分別從物理層、虛擬資源層和服務層,保障雲計算環境中的硬體設施、虛擬資源、虛擬化計算資源、軟體平臺、應用軟體及資料安全。雲計算環境應以統一安全基底為基礎,安全按需賦能為核心,智慧安全管理為保障,在安全檢測預警的支撐下,能夠形成“監測-決策-響應-防禦”的動態防禦體系。

2

雲安全防禦軟體定義

傳統的網路安全防護方法已不能應對雲計算安全安全防護需求,在軟體定義一切的發展趨勢下,軟體定義安全(Software Defined Security, SDS)為解決雲計算安全提供了支撐,其核心是將物理安全裝置與它們的接入方式、部署位置解耦,將硬體平臺與軟體功能元件分層解耦,抽象為安全資源池裡的資源,透過統一程式設計方式進行管理維護,安全資源、安全服務模型間基於開放的規範介面定義,支援安全功能靈活部署和安全能力按需提供,實現安全即服務,如圖2所示。

SDS參考SDN/FLOW架構,將傳統安全服務功能和安全防護控制功能分離,分為業務面和控制面。基於軟體定義架構的安全防護體系也可將安全的控制平面和資料平面分離,業務面由平臺層、執行層、服務層組成,透過安全能力抽象和資源池化,將各類安全裝置抽象為具有不同安全能力的資源池,並根據具體業務規模橫向擴充套件該資源池的規模,滿足不同客戶的安全效能要求。

圖2 雲安全軟體定義設計架構

其中,平臺層由各種物理形態或虛擬形態的安全平臺、計算平臺、儲存裝置、安全路由交換平臺等組成,由智慧安全管理中心統一部署、管理、排程,形成安全設施資源池,相關資源按需獲取,富有彈性,可擴充套件性強。為執行層各安全服務功能元件提供虛擬化的執行環境。

執行層由病毒防護、密碼服務、資料備份、入侵檢測、防火牆、流量控制等安全服務類功能元件和態勢感知、漏洞管理、事件審計、認證授權、身份管理、金鑰管理設施等安全管理類功能元件構成,各項安全功能元件與硬體資源完全解耦,標準化設計,支援統一程式設計控制介面,同時採用開放性架構設計,能夠整合第三方安全服務元件,實現安全廠商之間優勢互補、聯防聯控。服務層則是根據雲環境租戶需求,基於控制面的統一安全服務編排,執行層的安全功能元件聯動,對網路、虛擬機器的接入互聯進行控制、資訊流檢查等,提供安全接入與隔離安全服務,對應用、資料的操作訪問等提供應用訪問控制和資料安全服務。

控制面側重安全服務應用的編排、部署與管理運維,智慧分析使用者任務以及執行過程中實時產生的安全服務需求,轉化為具體的安全資源排程和安全策略配置方案。基於控制層提供的程式設計介面,對業務面的縱向各層資源進行服務編排,在離散的安全服務資源之間形成正確的締約關係,構建體系性安全防護系統,實現安全服務的整體協同聯動,達到雲安全防護的智慧化、服務化、動態化。安全管理範圍將隨著服務交付模式、提供商能力而變化。

3

雲安全防禦服務化

雲計算安全防護與傳統網路安全防護在功能需求層面相似,但是由於雲計算的虛擬化、資料中心化、大規模等特點,使得雲安全在訪問控制、部署方式、保障模式等方面與傳統網路安全均有所不同,雲租戶對特色化、定製化的安全防護需求更加突出,在安全軟體定義的基礎上,服務化、組合化的雲安全保障模式更能適應雲計算體系架構下的應用模式。

圖3 服務化雲安全防禦

基於統一安全基礎設施,透過封裝和組合集中化、標準化和服務化的安全功能元件設計,利用標準的北向介面,實現策略自動編排,構建面向服務(Service-Oriented Architecture, SOA)的雲安全體系結構,達到交付使用者安全服務的能力,為使用者提供從IaaS、PaaS到SaaS的安全訪問控制和應用安全防護等多層次安全服務。

服務化的雲安全體系結構,透過服務註冊、服務釋出、服務查詢、服務請求、服務拉取、推送或繫結等環節,為服務請求者提供所需安全服務,實現安全即服務,如圖3所示。各項安全服務,包括網路入侵檢測、主機防火牆、密碼服務、安全審計等各項基礎安全服務功能,基於統一平臺,形成安全服務資源池。雲租戶透過服務查詢和服務請求,申請相關安全解決方案。

雲安全管理系統基於雲計算安全防護體系架構,統一安全服務資源池的排程,透過按需編排、動態部署,使多個不同層次的虛擬安全服務裝置互動協調、整體聯動,形成主動、綜合、協同防禦的多角度、全方位雲安全防護能力。透過為租戶提供雲安全服務,滿足雲環境下網路安全隔離、租戶隔離、應用安全、資料安全等防護需求,為各租戶提供按需、彈性、易用的安全服務,實現事前雲監測、事中雲防護和事後雲審計,為租戶虛擬計算環境、網路及資料等提供全生命週期的安全防護。服務化雲安全保障模式下,透過統一的安全執行維護與管理,既能提供精準化的安全保障,又能加快安全事件處置響應能力,促進整體安全防護能力提升。

4

雲安全防禦智慧化

隨著雲計算應用的普及,雲端海量的企業和使用者資料,具有巨大的資產價值,吸引著大批駭客的攻擊與窺竊。各種安全漏洞帶來潛在安全威脅、新型網路攻擊手段不斷推出,雲計算環境面臨的安全形式日益複雜化,需要利用智慧化防護手段,以人工智慧為引擎,基於專家知識庫、深度學習和大資料分析等,深度分析內外威脅情報資料,為雲計算環境提供智慧感知、智慧預警、智慧決策和智慧響應,

如圖4所示,提升雲計算體系性安全防護的智慧化水平,以更加快速地應對複雜變化的雲計算安全威脅。

圖4 智慧化雲安全防禦

一是透過多視角多粒度的網路安全監測,基於分散式探針對日誌、流量、效能等資料進行採集,對資料自動識別、補全、篩選和聚合,保證基礎資料的完整性和可靠性,使網路安全態勢監測更加清楚,能更快地發現網路安全威脅。

二是結合網路空間的情報大資料,綜合多事件複雜關聯分析法,多模型行為分析法,以及基於多種統計分析、機器學習等深度分析法,對海量的感知資訊進行細顆粒度、多維度的深度分析,挖掘價值資料,更加準確地研判安全態勢。

三是基於專家知識庫,安全防護規則模板、庫,動態為使用者制訂安全防護方案,以及提出安全防護策略修正等建議,輔助使用者更快速、更加準確地應對各類安全威脅和處置安全事件,針對性提升或鞏固雲計算環境安全防護能力。

四是基於安全智慧運維管理,對安全服務進行編排、重構等,確保雲安全防禦措施部署得當和防禦策略執行及時高效,避免網路空間安全威脅對雲服務造成更大影響,將網路安全威脅帶來的經濟損失降低到最小值。

5

安全防禦動態化

透過對雲安全各個行動環節進行統一安全設計,將安全作為一種基本屬性貫穿到雲環節及其執行服務行為中。基於安全管理、安全服務、安全平臺及監測預警的聯動,構建形成“監測-預警-決策-響應”的雲安全動態防禦體系,如圖5所示。

一是透過對雲環境實時“監測”,全面採集違規操作、網路攻擊行為等安全態勢資料,並進行資料清洗、歸一化處理和融合化處理,挖掘重要資訊。二是融合內外部威脅情報等,對感知監測形成的大資料進行安全風險分析和預判,為安全威脅進行告警,對安全趨勢進行研判,為使用者提供風險“預警”。三是雲安全動態防禦體系中的安全管理層,基於智慧防禦輔助決策,實施安全服務規劃,動態生成安全防禦部署、防禦策略、防禦資源等保障方案,形成防禦 “決策”。四是安全服務層根據安全防禦調整方案做出“響應”,向安全平臺下發對應的安全服務功能,基於軟體定義安全服務平臺實施安全防禦,抵抗各種安全風險事件。

5動態化雲安全防禦體系

透過多功能整體聯動,實現對網路攻擊、系統漏洞等安全風險實時智慧監控、檢測分析和安全防禦一體化,有效提高雲環境的動態智慧檢測、識別、防禦能力,增強整體智慧防禦的效能。

6

結 語

本文基於雲計算安全基礎框架,提出了基於軟體定義架構的智慧化、服務化、動態化防禦體系,實現安全防禦靈活部署、高效保障、快速響應,提升雲計算環境多樣化安全需求和安全態勢的響應能力。為應對強對抗網路空間中的安全博弈,需要深入研究大資料技術、人工智慧等在雲安全中的應用以及可信計算與雲計算的融合[5],實現多功能深度有機融合,以支撐構建智慧化動態防禦體系,為雲環境提供立體、縱深、動態防護。

TAG: 安全服務防禦防護計算環境