王樹太，吳 慶，王 振

（杭州迪普信息技術(shù)有限公司，浙江 杭州 310051）

0 引 言

云計(jì)算是以數(shù)據(jù)資源的形式向用戶展示存儲(chǔ)功能，其安全問題是被關(guān)注的焦點(diǎn)，將安全問題分為兩類，分別是設(shè)備部署在云環(huán)境中需要的新防護(hù)手段和引入的新安全問題[1]。伴隨計(jì)算機(jī)技術(shù)在各行各業(yè)中的廣泛應(yīng)用，傳統(tǒng)數(shù)據(jù)中心因?yàn)樘摂M化技術(shù)增加了安全設(shè)備識(shí)別難度，已經(jīng)不能滿足目前海量數(shù)據(jù)的存儲(chǔ)，給數(shù)據(jù)集中帶來一定安全風(fēng)險(xiǎn)。而云計(jì)算環(huán)境就是將存儲(chǔ)與網(wǎng)絡(luò)整合為一體，通過虛擬化設(shè)備以及動(dòng)態(tài)網(wǎng)絡(luò)資源實(shí)現(xiàn)數(shù)據(jù)中心的池化與管理[2]。

隨著云技術(shù)的不斷發(fā)展，公有云、私有云所提供的業(yè)務(wù)與不同行業(yè)、領(lǐng)域開始互相融合，在一些行業(yè)的具體應(yīng)用落地方面也有了較大突破，公有云、私有云的應(yīng)用不再局限于互聯(lián)網(wǎng)、IT 企業(yè)，隨著技術(shù)的逐漸成熟開始滲入到了銀行、智能制造、軌道交通等諸多行業(yè)中。相比公有云，私有云具有部署本地化、運(yùn)維本地化、可管可控、帶寬擴(kuò)展靈活等特點(diǎn)而受到客戶青睞。

私有云，可部署在企業(yè)數(shù)據(jù)中心的防火墻以內(nèi)，也可部署在托管數(shù)據(jù)中心，私有云的核心屬性是專有資源，同樣具備云計(jì)算的三層架構(gòu)，即IaaS（基礎(chǔ)架構(gòu)即服務(wù)）、PaaS（平臺(tái)即服務(wù)）、SaaS（軟件即服務(wù)）。私有云系統(tǒng)平臺(tái)是指能夠幫助企業(yè)快速構(gòu)建云計(jì)算基礎(chǔ)架構(gòu)的系統(tǒng)軟件，主要包括提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)IaaS 云平臺(tái)和提供應(yīng)用運(yùn)行環(huán)境的容器云平臺(tái)[3]。

公有云如火如荼的發(fā)展，促使國(guó)內(nèi)外出現(xiàn)大量的公有云提供商，例如亞馬遜AWS 云、微軟Azure 云、阿里云、騰訊云、華為云等。從云計(jì)算業(yè)務(wù)支撐到云計(jì)算安全相關(guān)內(nèi)容，公有云利用其平臺(tái)集成優(yōu)勢(shì)和環(huán)境便利，通過認(rèn)證合作方的方式，在公有云上提供了全套的應(yīng)用和安全解決方案。而私有云建設(shè)方面，由于政府、企業(yè)相關(guān)的全套技術(shù)和人員儲(chǔ)備無法與公有云的投入相匹敵，所以存在一定的差距，通常采取計(jì)算、安全等分開建設(shè)，分步實(shí)施的方式進(jìn)行。

私有云安全集中化部署、集中化管理的需求，一方面帶來了極大的便利，提供了更好的靈活性；另一方面也帶來了新的安全問題和新的挑戰(zhàn)，例如內(nèi)部流量不可見、主機(jī)內(nèi)部的虛擬機(jī)缺乏有效的隔離措施等。

1 私有云環(huán)境安全面臨的挑戰(zhàn)

在傳統(tǒng)的數(shù)據(jù)中心中，其網(wǎng)絡(luò)往往采用接入層、匯聚層和核心層三層架構(gòu)，對(duì)網(wǎng)絡(luò)資源通過功能分區(qū)的方式進(jìn)行部署，區(qū)域之間通過劃分VLAN 結(jié)合訪問控制的方式進(jìn)行邏輯上的隔離，或者直接進(jìn)行物理上的隔離。數(shù)據(jù)中心網(wǎng)絡(luò)與外網(wǎng)之間一般通過硬件防火墻設(shè)備來進(jìn)行隔離。而云數(shù)據(jù)中心通過對(duì)資源的虛擬化打破了傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)的物理邊界，網(wǎng)絡(luò)從三層架構(gòu)轉(zhuǎn)變?yōu)檫壿嬌系拇蠖泳W(wǎng)絡(luò)，這也為如何保障云數(shù)據(jù)中心的安全帶來了挑戰(zhàn)[4]。

1.1 私有云主機(jī)內(nèi)部虛擬機(jī)互訪流量難于管控

在私有云環(huán)境中，主機(jī)內(nèi)部的多個(gè)業(yè)務(wù)虛擬機(jī)之間的互訪流量可以直接通過主機(jī)內(nèi)部的虛擬交換總線進(jìn)行交換，無需通過外部設(shè)備轉(zhuǎn)發(fā)，因此，私有云數(shù)據(jù)中心的虛擬化平臺(tái)內(nèi)部虛擬機(jī)之間的交互流量無法使用傳統(tǒng)的流量審計(jì)、流量分析、流量管控等手段進(jìn)行管理和控制。流量在內(nèi)部完成了轉(zhuǎn)發(fā)，安全防護(hù)設(shè)備無法獲取私有云虛擬化主機(jī)內(nèi)部已經(jīng)進(jìn)行轉(zhuǎn)發(fā)了的流量，對(duì)于內(nèi)部威脅的發(fā)現(xiàn)，病毒、攻擊的檢測(cè)就無從下手，甚至連基本的訪問控制業(yè)務(wù)都不能在虛擬機(jī)外部完成。在私有云出口邊界部署的傳統(tǒng)防火墻只能獲取從外部到私有云內(nèi)部的流量，無法對(duì)虛擬機(jī)內(nèi)部的流量進(jìn)行過濾和防護(hù)，同樣也無法提供相應(yīng)的訪問控制策略。另外，私有云內(nèi)部的虛擬機(jī)可能會(huì)隨著業(yè)務(wù)的變化隨時(shí)發(fā)生不同的變化，例如，為了一次新的線上活動(dòng)，可能臨時(shí)增加大量新的業(yè)務(wù)虛擬機(jī)，且業(yè)務(wù)虛擬機(jī)前后的Web 和中間件之間的交互流量會(huì)由于活動(dòng)的高峰期出現(xiàn)較大的波動(dòng)，再者可能由于內(nèi)部出現(xiàn)APT 類型的滲透和業(yè)務(wù)服務(wù)器之間的跳板攻擊時(shí)，私有云資源池外部的安全設(shè)備防護(hù)等無法檢測(cè)到資源池內(nèi)部的業(yè)務(wù)流量變化和攻擊態(tài)勢(shì)的發(fā)展，也就無法采取相關(guān)的防護(hù)措施適應(yīng)環(huán)境的變化。

1.2 業(yè)務(wù)虛機(jī)間缺乏有效的安全隔離措施

在傳統(tǒng)的數(shù)據(jù)中心內(nèi)，不同的應(yīng)用分布在不同的物理服務(wù)器上，在靠近物理服務(wù)器的位置會(huì)部署安全設(shè)備，比如防火墻、入侵防護(hù)、Web應(yīng)用防火墻（Web Application Firewall，WAF）等，用以提供邊界隔離、入侵檢測(cè)防護(hù)、Web 應(yīng)用防護(hù)等安全保護(hù)。當(dāng)服務(wù)器虛擬化后，在物理服務(wù)器內(nèi)部存在多個(gè)業(yè)務(wù)虛擬機(jī)，每個(gè)業(yè)務(wù)虛擬機(jī)承載不同應(yīng)用，同時(shí)，在物理服務(wù)器內(nèi)部，由于虛擬化引入了新的虛擬網(wǎng)絡(luò)層，即同一物理服務(wù)器內(nèi)部的不同虛擬機(jī)間的流量可以通過內(nèi)部的虛擬交換機(jī)直接通信，不再通過外部的物理防火墻，因此，原有的安全防護(hù)機(jī)制會(huì)部分失效。同時(shí)，這也導(dǎo)致我們?cè)诎踩\(yùn)維管理上希望監(jiān)控應(yīng)用間的通信情況的期望，在私有云的場(chǎng)景下變得難以實(shí)現(xiàn)。

1.3 私有云提供彈性擴(kuò)展、動(dòng)態(tài)遷移便利的同時(shí)，給安全防護(hù)帶來新挑戰(zhàn)

私有云的一個(gè)重要的特性就是動(dòng)態(tài)靈活的資源池內(nèi)部遷移技術(shù)，業(yè)務(wù)虛擬機(jī)可以在數(shù)據(jù)中心內(nèi)的不同物理主機(jī)間進(jìn)行運(yùn)行時(shí)不停機(jī)遷移，或者跨不同數(shù)據(jù)中心進(jìn)行不停機(jī)遷移，業(yè)務(wù)虛擬機(jī)所運(yùn)行的網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算資源環(huán)境都發(fā)生了相應(yīng)的改變，傳統(tǒng)安全防護(hù)、安全管理所采用的預(yù)先設(shè)置好訪問控制、安全防護(hù)、安全檢測(cè)等基礎(chǔ)安全策略的方法就無法滿足私有云彈性擴(kuò)展的安全策略和動(dòng)態(tài)變化的安全防護(hù)需求。安全運(yùn)維策略無法同步對(duì)遷移后的業(yè)務(wù)虛擬機(jī)提供相應(yīng)的變更和適配，這一問題帶來了安全運(yùn)維上的挑戰(zhàn)，傳統(tǒng)的解決方案無法滿足私有云彈性擴(kuò)展、動(dòng)態(tài)遷移的安全防護(hù)需求。

1.4 與公有云存在運(yùn)維、運(yùn)營(yíng)管理差距

與私有云相比，公有云在成本方面具有更大的透明度，這使得企業(yè)能夠測(cè)算和控制費(fèi)用。私有云部署幾乎沒有行之有效的收費(fèi)功能，因此，它們要復(fù)制公有云按使用量收費(fèi)的模式。為了與公有云競(jìng)爭(zhēng)，私有云需要有近乎即時(shí)的預(yù)配置、自動(dòng)化和自助服務(wù)。對(duì)于企業(yè)IT 來說，這是一個(gè)巨大的挑戰(zhàn)，因?yàn)樗麄兛赡芤幚頂?shù)百個(gè)應(yīng)用程序。公有云服務(wù)提供商通常都會(huì)有數(shù)十名工程師負(fù)責(zé)對(duì)平臺(tái)進(jìn)行創(chuàng)新，負(fù)責(zé)將機(jī)器學(xué)習(xí)和人工智能集成到他們的產(chǎn)品中。這是企業(yè)IT 部門無法企及的資源[5]。

2 私有云云管平臺(tái)解決方案

隨著私有云建設(shè)的持續(xù)深入，虛擬化、云資源池化的技術(shù)不斷改進(jìn)，私有云在計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源管理和運(yùn)維上積累了大量的經(jīng)驗(yàn)。伴隨著網(wǎng)絡(luò)資源的虛擬化推進(jìn)，安全防護(hù)能力的虛擬化、組件的云化部署逐漸進(jìn)入人們的視野。云計(jì)算相關(guān)技術(shù)的發(fā)展，OpenStack 平臺(tái)的日趨成熟，使得云平臺(tái)對(duì)于計(jì)算資源、安全資源的管理有望出現(xiàn)融合的趨勢(shì)。既然安全類的產(chǎn)品可以進(jìn)行虛擬化，那么是否可以與業(yè)務(wù)一致，統(tǒng)一管理，內(nèi)部引流，通過SDN 引流和編排等技術(shù)，完成業(yè)務(wù)、安全的統(tǒng)一管理和編排，提升整體運(yùn)維的簡(jiǎn)單程度？

私有云技術(shù)逐步趨于成熟，相應(yīng)的私有云規(guī)模也出現(xiàn)爆發(fā)式的增長(zhǎng)，隨著規(guī)模的不斷擴(kuò)大，私有云對(duì)安全防護(hù)、安全運(yùn)營(yíng)和運(yùn)維也提出了更高的要求，表現(xiàn)為：

（1）高性能、低時(shí)延要求

私有云數(shù)據(jù)中心不斷增長(zhǎng)，業(yè)務(wù)流量的需求不斷創(chuàng)新高，這也就要求安全防護(hù)平臺(tái)需要有更高的性能以支撐業(yè)務(wù)的發(fā)展，同時(shí)安全防護(hù)平臺(tái)對(duì)業(yè)務(wù)時(shí)延、吞吐量、新建等指標(biāo)的影響也成為考慮的重中之重。

（2）高可靠性、高連續(xù)性要求

在傳統(tǒng)的IT 網(wǎng)絡(luò)中，高可靠性要求通常通過成熟的可靠性方案來保障，私有云數(shù)據(jù)中心由于所有業(yè)務(wù)、數(shù)據(jù)都在私有云內(nèi)部運(yùn)行，這也對(duì)可靠性提出了更高的要求。另外，整個(gè)私有云數(shù)據(jù)中心的連續(xù)性要求由業(yè)務(wù)中要求最嚴(yán)格、最高的業(yè)務(wù)決定，這也就使得業(yè)務(wù)連續(xù)性要求較高。

（3）安全能力、彈性擴(kuò)展能力

私有云數(shù)據(jù)中心自身具有彈性擴(kuò)展，可以按照業(yè)務(wù)自由擴(kuò)充業(yè)務(wù)虛擬機(jī)。這也就要求私有云數(shù)據(jù)中心的安全防護(hù)產(chǎn)品和安全防護(hù)解決方案同樣能適配計(jì)算資源的彈性擴(kuò)展和動(dòng)態(tài)變化的需求。

（4）安全防護(hù)業(yè)務(wù)平臺(tái)化

私有云數(shù)據(jù)中心的運(yùn)維、運(yùn)營(yíng)統(tǒng)一由私有云數(shù)據(jù)中心進(jìn)行管理，類似的安全防護(hù)業(yè)務(wù)的平臺(tái)化運(yùn)營(yíng)、運(yùn)維也就成為一個(gè)剛需，不同的行業(yè)客戶對(duì)于平臺(tái)化的安全防護(hù)能力資源池的需求也表現(xiàn)出統(tǒng)一的需求。

（5）多租戶、多業(yè)務(wù)隔離

私有云多租戶、多業(yè)務(wù)隔離的特點(diǎn)，同時(shí)也要求安全資源池能按照租戶、業(yè)務(wù)進(jìn)行隔離，并提供資源池內(nèi)部隔離的安全防護(hù)能力和安全特性。

2.1 云管平臺(tái)建設(shè)整體思路

私有云云安全管理平臺(tái)的總體建設(shè)思路為利用物理資源構(gòu)建虛擬化資源池，在虛擬化資源池基礎(chǔ)上構(gòu)建能力資源池，對(duì)運(yùn)維用戶提供管理門戶，對(duì)租戶提供獨(dú)立租戶門戶，平臺(tái)一方面充分考慮運(yùn)維的需求，另一方面對(duì)私有云的安全運(yùn)營(yíng)做出充分的考慮和設(shè)計(jì)，通過工單控制將租戶到管理員運(yùn)維流程打通，形成整體的管理平臺(tái)，平臺(tái)整體架構(gòu)如圖1 所示：

圖1 私有云云管平臺(tái)總體架構(gòu)

（1）物理資源

整合服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用交付等硬件物理設(shè)備和資源，通過對(duì)此類物理資源的管理和整合，形成私有云基礎(chǔ)的物理資源運(yùn)行管理能力[6]。

（2）虛擬化資源池

基于物理資源，提供虛擬化資源池、網(wǎng)絡(luò)資源池、存儲(chǔ)資源池，以此提供整個(gè)云管平臺(tái)的能力承載，基于虛擬化資源池提供虛擬的運(yùn)行環(huán)境；網(wǎng)絡(luò)資源池提供業(yè)務(wù)調(diào)度和業(yè)務(wù)編排等能力；存儲(chǔ)資源池一方面提供運(yùn)行的存儲(chǔ)池，另一方面提供運(yùn)維、運(yùn)營(yíng)等管理的數(shù)據(jù)存儲(chǔ)和落地。

（3）能力資源池

能力資源池由運(yùn)營(yíng)能力、安全能力、運(yùn)維能力三個(gè)主要部分組成：運(yùn)營(yíng)能力主要提供私有云云安全的運(yùn)營(yíng)相關(guān)能力，包含租戶、租戶資源的管理、安全能力的定價(jià)、運(yùn)維運(yùn)營(yíng)工單、租戶的自服務(wù)門戶支撐、原有租戶的賬戶對(duì)接等能力；安全能力主要提供實(shí)際的安全防護(hù)和應(yīng)用優(yōu)化方面的能力，包含流量清洗、防火墻邊界隔離、VPN 接入、入侵檢測(cè)、Web 應(yīng)用防護(hù)、應(yīng)用負(fù)載、行為審計(jì)、日志審計(jì)、業(yè)務(wù)堡壘機(jī)等；運(yùn)維能力主要從資源的監(jiān)控、安全資源池的故障自檢、池內(nèi)拓?fù)涔芾砗土髁靠梢暬芾?、運(yùn)維日志審計(jì)、告警管理、運(yùn)維報(bào)表、能力資源池授權(quán)管理、租戶運(yùn)維管理等角度，提供給私有云安全資源池管理員一個(gè)統(tǒng)一的運(yùn)維管理入口。

2.2 云管平臺(tái)關(guān)鍵技術(shù)

（1）軟件定義安全

軟件定義安全（Software Defined Security，SDS） 是 從 軟 件 定 義 網(wǎng) 絡(luò)（Software Defined Network，SDN）引申而來，旨在通過物理或虛擬資源的有效集成和標(biāo)準(zhǔn)化，提供更靈活的軟件定義能力。可定義的功能包括特定的安全保護(hù)規(guī)則、流向和業(yè)務(wù)所需的安全保護(hù)。軟件可以根據(jù)不同的業(yè)務(wù)進(jìn)行安全功能定義，也可以根據(jù)不同來源的安全防護(hù)能力為不同客戶定義不同的安全防護(hù)功能組合。

（2）微隔離及虛擬網(wǎng)絡(luò)可視化

微隔離技術(shù)本質(zhì)上來說就是一種適合于虛擬化內(nèi)部的網(wǎng)絡(luò)隔離技術(shù)，主要面向虛擬化的數(shù)據(jù)中心場(chǎng)景，用于阻止攻擊或者威脅在虛擬化內(nèi)部橫向移動(dòng)和擴(kuò)散的一種技術(shù)。伴隨著微隔離而衍生的虛擬化內(nèi)部網(wǎng)絡(luò)可視化技術(shù)，通過對(duì)虛擬化內(nèi)部的網(wǎng)絡(luò)流量和業(yè)務(wù)流量的數(shù)據(jù)采集，提供內(nèi)部流量和業(yè)務(wù)的可視化能力。

云計(jì)算和傳統(tǒng)IT 架構(gòu)相比，具有資源共享、靈活的特點(diǎn)，正因?yàn)檫@些特點(diǎn)，原來傳統(tǒng)網(wǎng)絡(luò)的可信任邊界被徹底打破，業(yè)務(wù)與業(yè)務(wù)之間、業(yè)務(wù)內(nèi)部不同虛擬機(jī)之間，都無法通過傳統(tǒng)的安全隔離手段來達(dá)到現(xiàn)有的隔離效果。目前公有云的解決方案中，采用的Agent 代理方式實(shí)現(xiàn)云主機(jī)的監(jiān)控、隔離等手段，這種手段在私有云中同樣適用，通過Agent 的采集，不同的業(yè)務(wù)虛擬機(jī)的數(shù)據(jù)可以被云管平臺(tái)利用，一方面可以用于云內(nèi)資產(chǎn)的可視化管理；另一方面可以借助Agent 提供更多的控制能力。

私有云云管平臺(tái)可以借由提供安全能力的微隔離組件或者主機(jī)、虛擬機(jī)上安裝的Agent，提供更豐富的安全分析和安全管控能力。Agent探針記錄大量虛擬主機(jī)安全事件和業(yè)務(wù)虛擬機(jī)的主機(jī)行為審計(jì)事件，并將這些數(shù)據(jù)發(fā)送到云管平臺(tái)，由管理平臺(tái)對(duì)日志進(jìn)行集中的歸一處理并進(jìn)行安全關(guān)聯(lián)分析，通過數(shù)據(jù)的細(xì)致化采集并進(jìn)行深度的安全分析，可以提供更細(xì)層面的安全風(fēng)險(xiǎn)評(píng)估和安全問題追蹤。

（3）安全功能虛擬化

將原有的專用設(shè)備上才能運(yùn)行的安全功能在通用的服務(wù)器硬件平臺(tái)上進(jìn)行虛擬化處理，主要期望降低專用安全功能對(duì)硬件承載平臺(tái)的依賴，降低部署時(shí)間、部署難度，以及建設(shè)和運(yùn)維的總成本，提供網(wǎng)絡(luò)和安全功能的一體化運(yùn)營(yíng)、運(yùn)維的能力，改善安全能力的適配性。

（4）安全能力資源池化

安全能力資源池是指基于虛擬化技術(shù)提供的各種安全能力虛擬機(jī)的合集，包括防火墻、入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）、WAF、日志審計(jì)、數(shù)據(jù)庫審計(jì)、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）、漏洞掃描、配置核查、堡壘機(jī)等安全組件，利用網(wǎng)絡(luò)功能虛擬化（Network Function Virtualization，NFV）技術(shù)進(jìn)行安全能力池化部署，通過虛擬化的靈活擴(kuò)展、按需拉起、虛擬化層可靠性，將原有物理網(wǎng)絡(luò)需要通過多種安全硬件才能實(shí)現(xiàn)的安全防護(hù)能力和安全檢測(cè)能力整合，形成真正意義上的安全能力資源池，具有隨時(shí)實(shí)例化、按需擴(kuò)容、池化級(jí)高可靠性等特點(diǎn)。

（5）安全能力組件編排

基于安全能力資源池化的基礎(chǔ)，通過Overlay 網(wǎng)絡(luò)技術(shù)以及資源池內(nèi)部安全服務(wù)編排等技術(shù)，實(shí)現(xiàn)安全能力組件的按需組裝、靈活編排、動(dòng)態(tài)管理。通過安全能力組件的智能化編排技術(shù)，為私有云內(nèi)的租戶提供動(dòng)態(tài)、靈活的選擇，私有云租戶可以自行決定業(yè)務(wù)所需要采用的安全防護(hù)的技術(shù)棧，按照實(shí)際需求進(jìn)行安全防護(hù)能力的編排和采購(gòu)。當(dāng)安全運(yùn)維人員決定采用相應(yīng)的安全防護(hù)能力時(shí)，只需要簡(jiǎn)單地進(jìn)行資源申請(qǐng)、編排和部署就可以交由云管平臺(tái)的運(yùn)營(yíng)組件自動(dòng)化地完成。云管理平臺(tái)會(huì)自動(dòng)拉起對(duì)應(yīng)的安全NFV 虛擬機(jī)，編排業(yè)務(wù)流量需要經(jīng)過的安全NFV 虛擬機(jī)的先后順序，更新對(duì)應(yīng)租戶的日志和數(shù)據(jù)采集方式、集中采集地址，從而實(shí)現(xiàn)完整的編排和采集，達(dá)到靈活定義租戶自己的網(wǎng)絡(luò)和安全業(yè)務(wù)的目的。

（6）平臺(tái)級(jí)別安全業(yè)務(wù)聯(lián)動(dòng)

平臺(tái)基于內(nèi)部微隔離技術(shù)、可視化技術(shù)、虛擬資源和虛擬網(wǎng)絡(luò)監(jiān)控技術(shù)，一方面可以提供細(xì)粒度的運(yùn)維監(jiān)控能力；另一方面借由采集的數(shù)據(jù)，結(jié)合安全組件和安全能力采集的安全日志和異常流量情況，綜合進(jìn)行處置動(dòng)作的靈活編排和觸發(fā)，通過平臺(tái)統(tǒng)一進(jìn)行調(diào)度和業(yè)務(wù)聯(lián)動(dòng)，可以形成虛擬化資源池內(nèi)部的整體有機(jī)結(jié)合的安全防護(hù)和業(yè)務(wù)聯(lián)動(dòng)方案。

基于上述技術(shù)的安全業(yè)務(wù)聯(lián)動(dòng)，是一個(gè)體系化的安全系統(tǒng)工程，從網(wǎng)絡(luò)隔離層、數(shù)據(jù)監(jiān)控層、網(wǎng)絡(luò)安全檢測(cè)層、網(wǎng)絡(luò)安全處置層進(jìn)行了充分的整合，從而形成更有效的防護(hù)體系。

3 云管平臺(tái)應(yīng)用場(chǎng)景分析

云管平臺(tái)作為安全資源池的管理和運(yùn)營(yíng)平臺(tái)，可以為不同的云環(huán)境和云場(chǎng)景提供運(yùn)營(yíng)、運(yùn)維、資源調(diào)度、安全監(jiān)控等能力。為不同私有云場(chǎng)景的用戶提供相應(yīng)的服務(wù)增值、運(yùn)維增值、運(yùn)營(yíng)賦能。

3.1 運(yùn)營(yíng)商私有云

運(yùn)營(yíng)商通過建設(shè)私有云安全資源池，為IDC機(jī)房、政企用戶提供運(yùn)營(yíng)商級(jí)的安全防護(hù)能力解決方案，通過運(yùn)營(yíng)商的流量覆蓋能力，使得所覆蓋的客戶均可以通過將流量牽引至運(yùn)營(yíng)商的私有云安全資源池中進(jìn)行防護(hù)，從而為運(yùn)營(yíng)商原有的流量用戶提供安全能力的增值服務(wù)。通過運(yùn)營(yíng)商自建的私有云安全資源池，一方面可以將不同廠商的安全能力虛擬化后提供給不同的租戶；另一方面可以給云上用戶提供專業(yè)級(jí)的數(shù)據(jù)中心運(yùn)維能力，從安全可控、靈活運(yùn)維角度為運(yùn)營(yíng)商的用戶提供專業(yè)的服務(wù)。

隨著5G 應(yīng)用的不斷深入，邊緣計(jì)算的興起，邊緣側(cè)的業(yè)務(wù)如何進(jìn)行賦能成為業(yè)界的新熱點(diǎn)，業(yè)內(nèi)也期望通過不斷新的嘗試，探索出新的應(yīng)用場(chǎng)景和路線。邊緣按照所應(yīng)用的位置可以分為邊緣云和邊緣終端兩個(gè)部分，其中，邊緣云是云計(jì)算與網(wǎng)絡(luò)邊緣側(cè)進(jìn)行融合而產(chǎn)生的新技術(shù)形態(tài)，是未來產(chǎn)業(yè)關(guān)注的重點(diǎn)，是連接云和邊緣終端的重要橋梁。運(yùn)營(yíng)商利用邊緣云的建設(shè)資源，在邊緣云側(cè)提供安全資源池的能力，為邊緣云建設(shè)提供安全防護(hù)和運(yùn)維能力。

3.2 政務(wù)云

近年來，政府越來越重視國(guó)民生活問題。政府加快公共服務(wù)向政府轉(zhuǎn)移，深化電子政務(wù)，推進(jìn)國(guó)家治理現(xiàn)代化。采用基于云計(jì)算技術(shù)的電子政務(wù)建設(shè)模式，為政府提供橫向整合信息資源的機(jī)會(huì)、系統(tǒng)和基礎(chǔ)設(shè)施的使用，以提高總體硬件支持和使用率。建立健全電子政務(wù)平臺(tái)信息安全體系，加強(qiáng)安全可靠的軟硬件產(chǎn)品集中應(yīng)用，確保政府信息系統(tǒng)安全可靠使用。將政府?dāng)?shù)據(jù)和社會(huì)數(shù)據(jù)整合到大城市數(shù)據(jù)中，通過跨域數(shù)據(jù)融合分析，實(shí)現(xiàn)對(duì)城市運(yùn)行的理解和預(yù)測(cè)，為共同治理的創(chuàng)新應(yīng)用提供信息支持。

政務(wù)云通過建設(shè)統(tǒng)一的硬件，在硬件平臺(tái)基礎(chǔ)上構(gòu)建云計(jì)算、云安全平臺(tái)，可以將統(tǒng)一采購(gòu)的資源進(jìn)行云服務(wù)化，最終為政務(wù)云的客戶提供更健全、更全面的安全租戶服務(wù)。政務(wù)云通過云安全管理平臺(tái)，為政務(wù)云上的數(shù)據(jù)、政務(wù)業(yè)務(wù)，提供更靈活的安全防護(hù)，更便捷的安全運(yùn)維，從而提升整體的靈活性和可用性。

3.3 金融云

金融機(jī)構(gòu)私有云的安全需求主要來自 三個(gè)方面。一是傳統(tǒng)安全威脅，例如DDoS 攻擊、“僵木蠕”威脅、業(yè)務(wù)系統(tǒng)威脅、主機(jī)威脅、惡意代碼病毒等。二是云計(jì)算技術(shù)引入新的安全威脅，包括云服務(wù)提供者和使用者安全責(zé)任、云平臺(tái)與租戶業(yè)務(wù)系統(tǒng)的等級(jí)保護(hù)合規(guī)性評(píng)估、云技術(shù)帶來的云內(nèi)安全等。三是自身安全需求，即不同客戶自身管理模式、業(yè)務(wù)模式等特色安全需求[7]。

云管平臺(tái)利用資源池化的FW、IPS、WAF等傳統(tǒng)防護(hù)資源的虛擬化解決傳統(tǒng)的安全防護(hù)，通過運(yùn)營(yíng)能力的集中化管理解決云內(nèi)安全，從而提供金融云有效的解決方案，可以為金融云的云安全落地和建設(shè)提供一個(gè)新的解決方案，也可以為金融云內(nèi)部不同的應(yīng)用部門提供業(yè)務(wù)租戶級(jí)別的安全引流和安全隔離方案，通過內(nèi)部流量的監(jiān)控和安全防護(hù)，提供跨業(yè)務(wù)橫向的安全防護(hù)能力。

4 結(jié) 語

私有云的發(fā)展，使云計(jì)算進(jìn)入了各行各業(yè)，安全防護(hù)的需求也隨之不斷增多，私有云云管平臺(tái)可以在私有云的基礎(chǔ)上提供多租戶、微隔離、虛擬化、流量可視化、安全業(yè)務(wù)編排等功能和業(yè)務(wù)，為云計(jì)算平臺(tái)提供更為靈活的安全解決方案。為運(yùn)營(yíng)商云、政務(wù)云等私有云環(huán)境的租戶提供安全能力編排服務(wù)，為資源池的運(yùn)營(yíng)管理、運(yùn)維管理等提供支撐，使私有云能更好地為用戶提供安全防護(hù)、安全運(yùn)維和運(yùn)營(yíng)管理。