◆狄文遠(yuǎn)

基于云計(jì)算技術(shù)的云安全管理平臺設(shè)計(jì)研究

◆狄文遠(yuǎn)

（中國移動通信集團(tuán)陜西有限公司 陜西 710077）

本文闡述了云安全管理平臺的整體架構(gòu)、平臺技術(shù)架構(gòu)等設(shè)計(jì)，并詳細(xì)分析了構(gòu)建平臺時應(yīng)用到的統(tǒng)管、服務(wù)、大數(shù)據(jù)等核心技術(shù)，以此實(shí)現(xiàn)云安全管理平臺資源化、服務(wù)化、安全化，同時簡要說明了平臺建設(shè)與運(yùn)行時的核心優(yōu)勢。

云計(jì)算技術(shù)；云安全管理平臺；大數(shù)據(jù)

云管理平臺匯集了云安全能力，該平臺的建設(shè)能夠?qū)崿F(xiàn)統(tǒng)一管理、按需分配、彈性擴(kuò)容等目的，是一個極具安全性能的資源集中地。通過云平臺的使用，可以幫助用戶應(yīng)對各項(xiàng)云安全問題，并為其制定一站式立體化云安全問題解決方案。

1 云安全管理平臺架構(gòu)設(shè)計(jì)

（1）整體架構(gòu)設(shè)計(jì)

在構(gòu)建云安全管理平臺時，需將系統(tǒng)架構(gòu)設(shè)計(jì)成智能性、發(fā)放性、統(tǒng)一性，促使該平臺系統(tǒng)架構(gòu)可以滿足現(xiàn)階段有關(guān)于云安全管理方面的需求。首先，在云計(jì)算技術(shù)的支持下，構(gòu)建具有開放性的SOA架構(gòu)，并在架構(gòu)出提供相應(yīng)的接口，促使該系統(tǒng)能夠與其他系統(tǒng)相互融合，協(xié)同作業(yè)。其次，應(yīng)用分層設(shè)計(jì)，在資源訪問層安裝各設(shè)備訪問接口，并借助多種資源進(jìn)行集中管控。再次，在系統(tǒng)中，具備模塊化管理功能的層級為平臺支撐層，該層中不僅包括高性能管理以及分析引擎，還能夠?qū)崿F(xiàn)數(shù)據(jù)的大容量存儲，實(shí)時管理虛擬化資源。最后，業(yè)務(wù)管理層將系統(tǒng)中的各項(xiàng)管理功能進(jìn)行整合，促使業(yè)務(wù)全方位、多視角安全管理。

（2）平臺技術(shù)架構(gòu)

通過對管理平臺的整體架構(gòu)進(jìn)行分析，從下向上進(jìn)行分層，分別為硬件層、云安全資源層、云安全服務(wù)層以及云安全管理層，彼此之間協(xié)同作業(yè)，也可以相互隔離，進(jìn)而可以提升平臺的穩(wěn)定性、擴(kuò)展性。

首先，硬件層，由X86架構(gòu)服務(wù)器組建的分布式集群，為資源層提供安全服務(wù)的運(yùn)行環(huán)境以及在運(yùn)行過程中所需的CPU、內(nèi)存等硬件資源。

其次，云安全資源層，通過使用云計(jì)算技術(shù)打造出的超融合系統(tǒng)，其運(yùn)行原理是虛擬、抽象由硬件提供的CPU、內(nèi)存等各類資源，為服務(wù)層供給更加虛擬化的運(yùn)行資源。改造安全產(chǎn)品的能力，促使其能夠適應(yīng)云計(jì)算虛擬化的大環(huán)境，在此基礎(chǔ)上，構(gòu)建統(tǒng)一管理、安全能力完善的云安全資源池。

再次，云安全服務(wù)層，在開展已建設(shè)完畢的云安全資源池時，技術(shù)人員需保證云安全能力朝著資源化、安全化的方向發(fā)展，并加強(qiáng)平臺云監(jiān)測等多方面的能力，促使系統(tǒng)成為具備業(yè)務(wù)屬性的安全服務(wù)體系，以此實(shí)現(xiàn)管理平臺的多樣化。

最后，云安全管理層，通過匯集下三層的安全能力及安全資源，并在共同作用下，形成了一個統(tǒng)一的云安全管理平臺。該平臺可以為用戶提供十余種安全能力服務(wù)，并全盤接管云上的安全資源，從超級管理員、租戶管理員兩個角色的視角看，前者統(tǒng)一管理全局，實(shí)施監(jiān)管平臺的運(yùn)行狀態(tài)，后者則需自行管理云安全資源，在申請批準(zhǔn)后，能夠?qū)ψ陨順I(yè)務(wù)安全進(jìn)行動態(tài)掌握[1]。

（3）平臺功能架構(gòu)

云安全管理平臺的功能架構(gòu)可以劃分為四點(diǎn)，即一個平臺、兩種視角、三方接口、四大模塊。

一個平臺，為云用戶提供統(tǒng)一的云安全管理平臺，分析并呈現(xiàn)云平臺內(nèi)部的安全態(tài)勢。

兩種視角，上述所說的超級管理員視角以及租戶管理員視角，實(shí)現(xiàn)對全局的統(tǒng)一監(jiān)管，進(jìn)一步掌握云平臺的運(yùn)行狀態(tài)以及自身業(yè)務(wù)的安全動態(tài)。

三方能力，平臺能夠?qū)⒌讓淤Y源池中的組件進(jìn)行統(tǒng)一，實(shí)現(xiàn)其標(biāo)準(zhǔn)化；促使云安全能力資源化、服務(wù)化、目錄化；通過安全服務(wù)方式助力云平臺業(yè)務(wù)快速安全合規(guī)。

四大模塊，包括云安全產(chǎn)品能力模塊、云安全專家服務(wù)模塊、多樣化云安全需求模塊、立體化綜合云安全模塊。

2 平臺關(guān)鍵技術(shù)

（1）云安全能力統(tǒng)管

云平臺為用戶提供了更為便捷的安全管理入口，管理人員可以借助平臺，對產(chǎn)品所具備的能力進(jìn)行統(tǒng)一管理、智能編排，并對平臺的運(yùn)行狀態(tài)實(shí)時監(jiān)管，在安全分析下，保證云平臺良好運(yùn)行。同時，該平臺能夠呈現(xiàn)出可視化的大屏，向云上用戶展示云平臺和云上業(yè)務(wù)系統(tǒng)的安全狀態(tài)以及運(yùn)行態(tài)勢，為用戶了解、把控平臺提供便利。而云管理平臺的管理人員則需具備屬于自己操作的業(yè)務(wù)界面以及功能目錄，以確保管理員能夠?qū)崟r掌握云平臺內(nèi)部存在的安全攻擊風(fēng)險。相較于平臺管理員來說，租戶管理員需借助自身的業(yè)務(wù)界面進(jìn)行自我管理，在此基礎(chǔ)上，創(chuàng)建適合于自己的云安全能力資源，明確業(yè)務(wù)所需，并依此有效掌握業(yè)務(wù)整體的安全動態(tài)。

（2）安全能力服務(wù)化

云安全管理平臺在建設(shè)與運(yùn)行過程中，借助云計(jì)算技術(shù)，抽象較為傳統(tǒng)的安全產(chǎn)品能力，同時將硬件設(shè)備的能力實(shí)施軟硬件解耦，并由專業(yè)的技術(shù)人員對軟件中的各項(xiàng)核心能力進(jìn)行打包，在云計(jì)算技術(shù)的依托下，將各項(xiàng)能力進(jìn)行匯集并整合到具備統(tǒng)一性能的彈性安全資源池中，便于云上用戶從平臺中獲取想要了解或所需的安全資源以及安全能力。云平臺解耦并改造其內(nèi)部的安全能力，使其具備云監(jiān)測、云防御以及云審計(jì)三方面的性能，并在此基礎(chǔ)上，完善云安全能力服務(wù)，云平臺為云上用戶提供極具可視化的拓?fù)浣换D，促使用戶可以在明確實(shí)際安全需求后，自主選擇安全產(chǎn)品，在云計(jì)算技術(shù)的加持下，提高配置、使用安全服務(wù)的效率。

云平臺內(nèi)部中涵蓋了多種類型及功能的安全子產(chǎn)品，這些子產(chǎn)品都能夠借助授權(quán)方式實(shí)現(xiàn)產(chǎn)品激活，實(shí)際運(yùn)行與激活中，會在通用許可下進(jìn)行，但其自身不會對子產(chǎn)品的多方面安全能力進(jìn)行限制，且在激活不同類別的子產(chǎn)品時，對于許可授權(quán)的消耗量也不相同，如果在運(yùn)行一段期間后，回收已被激活的安全子產(chǎn)品，其所占用的安全許可也會被自動回收，實(shí)現(xiàn)許可本身的循環(huán)利用，以此最大程度地發(fā)揮安全服務(wù)隨開隨用的安全功能[2]。

（3）大數(shù)據(jù)智能分析

云安全管理平臺在建設(shè)、運(yùn)行與維護(hù)的過程中，不僅需要應(yīng)用云計(jì)算技術(shù)，提高云安全平臺整體運(yùn)作的穩(wěn)定性，還需利用大數(shù)據(jù)安全分析手段，對平臺內(nèi)部各項(xiàng)數(shù)據(jù)信息如資產(chǎn)流量、日志等進(jìn)行深入挖掘，在AI算法以及各類模型的技術(shù)支持下，對云安全平臺展開多維關(guān)聯(lián)分析，同時將分析得出的資源以及數(shù)據(jù)信息進(jìn)一步整合、分析、關(guān)聯(lián)與判斷，并在完成上述步驟的過程中，找出平臺系統(tǒng)中隱藏的安全威脅以及極具隱蔽性的安全攻擊。同時，在得出數(shù)據(jù)后，將有價值的數(shù)據(jù)信息以及存在的威脅直觀地反映給云上用戶。此外，對接下來有可能發(fā)生的安全事件進(jìn)行預(yù)測，加強(qiáng)平臺內(nèi)部各類安全防護(hù)能力，在多種防護(hù)能力聯(lián)動的作用下，實(shí)施一鍵封堵處理，盡可能將平臺中存在的安全風(fēng)險態(tài)勢呈現(xiàn)給云上用戶，以保證安全風(fēng)險的可視化。

（4）平臺的動態(tài)調(diào)度

云安全平臺中的數(shù)據(jù)處理中心可以借助云計(jì)算技術(shù)將平臺系統(tǒng)內(nèi)部的服務(wù)器、存儲設(shè)備等安全資源進(jìn)行整合并分割，在計(jì)算時，分布所需計(jì)算內(nèi)容以及任務(wù)到由計(jì)算機(jī)組成的資源池上，促使平臺中的各個系統(tǒng)可以結(jié)合自身系統(tǒng)中所需要的安全資源獲取計(jì)算力、存儲空間等，確保資源能夠根據(jù)所需資源進(jìn)行合理性的分配以及自動增長。在安全管理平臺分配資源時，可以科學(xué)利用平臺的動態(tài)調(diào)度策略，以保證任務(wù)分配的合理性，確保平臺負(fù)載能夠一直維持均衡。在實(shí)際操作中，將平臺系統(tǒng)內(nèi)部其中一個資源池作為主服務(wù)器，在進(jìn)行數(shù)據(jù)處理時，如果主服務(wù)器檢測到存在需要處理的安全事件時，能夠自動調(diào)度其余閑置的資源池完成安全事件的預(yù)處理，同時還能開展事件歸并、去除冗余事件等任務(wù)。該項(xiàng)任務(wù)結(jié)束后，將處理完畢的事件分成多個小任務(wù)，再分別調(diào)度相應(yīng)數(shù)量的資源池運(yùn)用關(guān)聯(lián)算法對事件進(jìn)行關(guān)聯(lián)分析，確保每個資源池的負(fù)載均衡。上述任務(wù)全部完成后，將運(yùn)行的結(jié)果存入到云安全管理平臺的數(shù)據(jù)庫中，并為空閑的資源池制定風(fēng)險評估任務(wù)，通過云計(jì)算技術(shù)得出自查或管理域的風(fēng)險值。

3 云安全管理平臺核心優(yōu)勢

（1）方案靈活

云計(jì)算服務(wù)模式可以被分化成多種如私有云、公有云、混合云等服務(wù)模式，處于上述服務(wù)模式中的云用戶，其在安全建設(shè)方面的需求應(yīng)滿足不同行業(yè)、領(lǐng)域，如政務(wù)云、教育云、技能云等不同業(yè)務(wù)的復(fù)雜性需求，同時可以在不同行業(yè)的各個云場景中制定科學(xué)且針對的安全解決方案，助力云用戶通過最為合理且有效的方式完成云安全的建設(shè)工作[3]。

（2）快速合規(guī)

云安全平臺為用戶設(shè)立多種保護(hù)措施，例如二級等級保護(hù)、三級合規(guī)推薦套餐等，后者主要包括在等級保護(hù)中開展合規(guī)建設(shè)時所需要的安全服務(wù)以及安全能力，以此保證云上用戶不同需求的等保合規(guī)安全要求得以滿足，同時在套餐的助力下，使用戶能夠更加高效地完成安全合規(guī)建設(shè)，促進(jìn)云平臺內(nèi)部的云服務(wù)穩(wěn)定發(fā)展。

（3）立體防護(hù)

在云安全平臺的運(yùn)行與建設(shè)中，會應(yīng)用到多種安全防護(hù)手段，這類手段在實(shí)施時，需依托于云虛擬化設(shè)備，且由三個體系共同組成即業(yè)務(wù)安全監(jiān)測、防御、審計(jì)體系，在體系的支持下，為云用戶打造業(yè)務(wù)應(yīng)用安全、虛擬主機(jī)安全、數(shù)據(jù)安全等各層面、各維度的安全防護(hù)手段，多種手段協(xié)同作業(yè)且彼此解耦，平臺安全能力可以根據(jù)云上業(yè)務(wù)的特點(diǎn)以及其屬性進(jìn)行合理化調(diào)整。比如云業(yè)務(wù)中包含Web業(yè)務(wù)的應(yīng)用，針對這一業(yè)務(wù)時，只需加設(shè)法防火墻、Web應(yīng)用防火墻等安全模塊便可解決有關(guān)于Web應(yīng)用業(yè)務(wù)的安全需求。

4 結(jié)論

云安全管理平臺具有多方位一體化的安全功能，不僅能夠保障網(wǎng)絡(luò)中的各項(xiàng)安全如主機(jī)安全、應(yīng)用安全等，還可以對云安全進(jìn)行監(jiān)測、防御與審計(jì)，進(jìn)而構(gòu)建出安全服務(wù)式的云安全資源地。在云計(jì)算技術(shù)、大數(shù)據(jù)技術(shù)的支持下，為用戶設(shè)定一站式立體化云安全解決方案。

[1]周忠.云計(jì)算技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用研究[J].河南科技，2021，40（02）：42-44.

[2]林新平.云計(jì)算技術(shù)及其應(yīng)用分析[J].集成電路應(yīng)用，2020，37（09）：98-99.

[3]邱有春.企業(yè)信息化背景下云計(jì)算技術(shù)安全管理及對策研究——評《云計(jì)算開發(fā)與安全》[J].中國安全生產(chǎn)科學(xué)技術(shù)，2020，16（03）：189.