面向电子政务的私有云架构多维度安全监控平台构建运用研究

0引言近几年，云计算、大数据等技术应用迅速发展，云服务在政府部门各业务领域的部署逐渐延伸。虽然面向政府电子政务的私有云逐步建立，但是，政府部门构建的电子政务系统自身的保密性、一致性和安全性都使得私有云计算环境下的安全威胁越来越大，如何掌握私有云环境中不同维度的资源安全状态，并在云环境中使用完善的安全监控措施，实现对私有云环境的资源、设备、应用以及数据等多维度进行实时监控，成为需要重点研究的内容。下面，我们将从私有云架构安全服务平台构建、基于该私有云平台实现的虚拟资源、主机设备、基础平台和重要数据等多维度安全监控及其安全态势来进行研究。1私有云架构下的安全问题私有云平台的搭建有助于政府部门自建的IT系统从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变，使IT管理服务从各自为政、相互封闭的运作方式向跨部门跨区域的协同互动和资源共享转变。但是，私有云平台的运行环境比传统意义上的平台支撑环境更加复杂，随之面临的安全防护需求也更加重要。归纳起来，私有云平台整体安全问题主要存在如下几个方面。1.1边界模糊化改变传统服务架构的边界，边界的模糊化和动态化使得边界安全与隔离策略失效，无法解决云内部南北向传输边界的安全问题，给应用系统运行服务带来了巨大的安全风险。1.2资源颗粒度粗放传统安全防护体系无法支撑云计算环境下虚拟主机粒度的安全防护。传统的主机终端安全防护由于适配性和补丁管理等问题，无法部署在虚拟主机端进行安全防护，更无法对虚拟主机安全资源进行有效统计。1.3敏捷性缺失在私有云计算服务架构高度资源化、集成化以及服务化的环境下，分散的安全能力无法满足应用系统的安全防护需求，在业务量爆发时也无法快速进行扩展。1.4安全设计滞后在私有云计算服务架构下，仅仅依靠防御来保护系统安全的机制无法满足应用系统的复杂性和多样性需求，需要构建一套集预测、防御、监控和响应于一体的自适应安全防护体系。2私有云计算服务的主要架构私有云计算服务平台为系统提供涵盖底层资源、虚拟主机、支撑软件、运维管控以及安全防护等综合的信息化基础架构服务。从服务的类别上分为资源级别服务、主机级别服务、平台级别服务和运维级别服务，整体架构如图1所示。图1私有云计算服务平台整体架构2.1资源级别服务该服务主要是面向用户提供统一的资源级别服务。用户能够在授权范围内通过平台门户自主管理分配的计算、存储、网络和安全资源，并基于各类资源按需创建虚拟主机、搭建服务网络、构建安全防护，为应用系统的部署运行提供平台支撑。私有云计算资源级别服务主要包括计算虚拟化、网络虚拟化、存储虚拟化和安全虚拟化等内容。2.2主机级别服务主机级别服务可实现主机全生命周期的管理服务，能够根据需求定制主机的资源配置、运行环境软件，并能通过控制台、界面等多种方式登录使用。私有云计算主机级别服务主要包括虚拟主机和物理主机。2.3平台级别服务平台级别服务主要是面向云平台和主要应用，如Web应用提供服务。私有云计算平台级别服务主要包括容器集群和数据库两个方面。2.4运维级别服务运维级别服务主要是实现虚拟资源的快速部署和资源管理的自动化，提升运维工作的效率。私有云计算运维级别服务主要包括快速自动化部署、云平台监控及多级权限管理等内容。3私有云架构下多维度安全监控服务平台构建私有云计算平台构建完成后，能够提供涵盖底层资源、虚拟主机、支撑软件、运维管控以及安全防护等综合的信息化基础架构服务，具备完整的服务体系，丰富的服务内容，高效的服务输出能力。为了保障私有云计算平台服务输出的安全性，围绕细粒度的虚拟主机部署单元，分别针对私有云计算平台的各类服务提供相应的安全防护策略。私有云计算平台安全防护构建主要围绕平台进行系统的体系安全防护，私有云安全按服务内容可划分为两部分，如图2所示。第一，云计算基础服务平台安全，是对网络边界、数据存储以及主机病毒等基础资源的安全防护；第二，云平台内部安全，是指云内部的通信安全、数据加密、应用安全和虚拟化安全等内容的安全管理。针对私有云安全内容，建立相应的多维度私有云安全监控平台和云安全态势监控平台，实现对各类资源的实时动态监控和威胁态势感知，以此发现处置漏洞攻击、新型病毒攻击事件，帮助云上用户实现云上业务安全可视和可感知。图2私有云计算安全服务平台3.1私有云计算基础服务平台安全主要内容针对私有云云计算服务平台运行特点，重点针对网络安全、主机安全、数据安全和用户可信访问等方面加强安全管控。3.1.1网络安全（1）网络隔离。按照“分区保护、区域管控”的思路，强调网络健壮性，可将系统后台运行环境划分安全控制区域、核心交换区域和应用服务区域等逻辑子网，按照业务数据流向制定各子网间交互策略，在网络层杜绝内部非授权访问。（2）网络边界防护。在网络边界部署防火墙、安全网关等边界防护设备,实现区域间的访问控制、流量控制，基于预设安全规则过滤进出子网的网络流量，阻断非授权的访问及连接。（3）网络攻击监测。依托网络监测探针采集网络流量，基于网络入侵特征加载检测规则库，分析原始安全数据，发现内部网络中出现的针对系统的攻击行为、非法操作及恶意代码，根据预设安全策略及时做出反应并提取网络攻击数据样本。（4）局域网接入控制。对入网设备进行网络接入认证，验证入网主机身份合法性和安全状态合规性，防止不满足安全要求的主机接入网络。3.1.2主机安全（1）主机监控。针对主机终端的外设控制、外联控制、网络控制以及程序控制等各种管控功能，掌握全网信息资产情况和终端运行状态，实现终端用户行为的有效管控，防止非授权硬件接入、软件运行和用户登录等。（2）病毒查杀及补丁分发。检测查杀主机病毒木马，扫描分析安全漏洞，掌握主机安全态势；针对主流操作系统和常用应用软件的补丁分发功能修复安全漏洞，提高主机安全水平，确保系统防护效能。（3）漏洞扫描。部署漏洞扫描设备，定期对终端、服务器、网络设备以及安全设备进行脆弱性扫描探测，发现操作系统、数据库和应用软件等方面的安全漏洞，并给出解决建议，便于掌握系统服务域内的安全漏洞情况，及时组织漏洞修复、补丁升级等工作。3.1.3数据安全（1）数据库审计。基于核心交换机干路镜像流量，审计系统数据库访问行为，主动实时监控、识别、告警绕过传统网络边界防护的外部数据攻击和来自内部高权限用户的数据窃取、破坏等，从而应对来自内部和外部的数据安全威胁。（2）数据灾备。搭建数据灾备专用网络，连接灾备目标服务器、客户端、灾备管理系统和数据存储设备建立灾备数据传输的专用通道。部署存储备份一体机和磁盘阵列，通过数据灾备专用网络，基于预设的数据保护和备份策略，为灾备目标服务器上的数据提供多种保护和备份手段，并提供备份数据的重删和压缩。3.2私有云平台内部安全云计算服务平台内部安全同样可从网络安全、主机安全、数据安全和用户可信访问等方面进行考虑。但是，与传统安全防护不同，云模式下网络边界更加模糊动态，主机资源调用更加敏捷。为适应上述情况，需要建立主要业务系统云安全防护资源池，使云主机按需调用安全资源。云安全防护资源池根据云环境内的流量形态，划分为南北向安全资源池和东西向安全资源池。南北向安全资源池负责为系统云主机接入网络提供安全保障；东西向安全资源池为系统云主机和云主机间通信流量提供安全保障。3.2.1南北向资源池设计建立南北向资源池，主要针对云计算服务平台的资源层，提供入侵检测、边界安全防护、运维审计等不同层次、多维度的安全防护，以安全资源池化的方式为云服务平台应用提供服务。云主机可根据自身南北向流量安全需求，调用安全资源池相关资源。南北向安全资源池采用并联部署，包括边界安全、应用安全和运维安全。（1）边界安全服务。为云环境下系统内部署运行提供虚拟边界安全防护。通过边界安全管理系统虚拟化技术，将边界安全系统虚拟成多个相互隔离并独立运行的虚拟边界安全系统。每一个虚拟系统都可以为应用系统提供定制化的安全防护功能，分别为云平台应用提供独立运行、管理的虚拟边界安全隔离。在业务不断扩展时，动态扩充虚拟边界，降低网络复杂度，提升灵活性。虚拟边界安全系统间通信通过预置接口实现，不占用网络链路，提高云服务平台内南北向传输的安全性。（2）应用安全服务。目前，多数系统为B/S架构，以Web方式提供服务，容易受到SQL注入、跨站脚本以及网页挂马等Web攻击。应用安全服务针对Web安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全服务即虚拟化WAF服务，建立应用服务漏洞或安全隐患周期性检测、网页防篡改等机制，形成应用安全服务检测和应用安全服务防御阻断能力。（3）运维安全服务。建立系统管理员、运维人员、口令管理员以及审计管理员等角色，为云环境下系统云主机、服务器和其他网络设备提供全面的安全访问控制功能。3.2.2东西向资源池设计东西向资源池主要针对系统云主机存在的病毒破坏、攻击感染和漏洞利用等安全风险问题，提供云主机安全防护能力，保证云主机安全稳定运行，解决云主机的安全隐患和风险，增强云主机的攻击抵御能力，减少安全运维成本。基于云主机虚拟化特点，东西向资源池设计通过轻代理的方式实现，部署方式如图3所示。在云主机上安装云主机安全代理软件，实现主机防病毒、主机防火墙、主机入侵防御、webshell检测、安全基线、防暴力破解、虚拟化加固、主机流量统计以及数据库审计等功能。虚拟化安全管理平台收集代理软件反馈的相关信息，实时跟踪云主机安全状态，并通过管理员统一调配，下发安全管理策略。图3东西向资源池部署东西向资源池在功能上采用模块化设计，具备灵活的安全功能扩展能力，主要功能包括虚拟主机杀毒、虚拟主机防火墙、虚拟主机入侵检测及虚拟主机后门检测。（1）虚拟主机杀毒。建立恶意代码防范机制，对系统云主机关键位置进行主动防护和监测，以解决病毒木马感染云主机的问题。周期性检测虚拟主机基础环境合规性，发现系统漏洞、病毒，及时扫描修复。（2）虚拟主机防火墙。实现云主机间的网络隔离、访问控制、威胁防护和快捷管理。（3）虚拟主机入侵检测。针对每台云主机抓取网络封包，根据过滤规则逐一检查数据流。当发现入侵威胁时，丢弃该数据包，并记录攻击来源，阻止利用应用层漏洞发起的攻击，第一时间防御新型漏洞和病毒攻击，阻拦可疑的行为，保护业务系统云主机免受攻击。（4）虚拟主机后门检测。虚拟主机后门检测包括主机防逃逸和应用后门防护两部分。主机防逃逸检测服务器上所有物理设备和虚拟主机，监控虚拟主机运行状态，并针对主机逃逸情况进行监测。应用后门防护通过云主机安全代理软件对主机进行安全加固，对已知的应用后门从文件特征、代码特征等多个维度进行检测，拦截攻击行为，抵御来自外部网络的黑客攻击，保证宿主机不受破坏。（5）数据库审计。数据库审计服务用于实现数据库访问行为分析，保障云环境下核心数据的安全防护。由云主机安全代理软件采集报文，然后将报文发给云数据库审计统一检测、告警、存储及挖掘分析。3.3私有云多维度安全监控平台私有云计算监控平台主要包括数据采集层、数据处理层和数据展示层三个层次，体系架构如图4所示。图4云计算监控平台体系架构3.3.1数据采集层数据采集层是整个云计算监控平台的基础，负责采集被监控设备的运行状态数据存入数据库，供上层平台分析和展示。数据采集层的工作流程如图5所示，每台被监控设备的数据采集代理负责采集设备上的资源数据、虚拟主机数据、中间件数据以及应用程序数据。为了保证数据的安全性，可以使用基于证书的加密或者对称加密方式对采集后的数据进行加密，以密文的形式发送给监控服务器进行解析和运算。数据采集代理包括代理方式下的监控代理和无代理方式下的协议代理。为了降低监控服务器的数据处理负载，数据采集层支持分布式监控模式，即配置相应的监控代理负责采集某个域内被监控设备的运行状态数据，进行汇总处理后统一发送给监控服务器。图5数据采集层的工作流程3.3.2数据处理层数据处理层中的被动数据检查采集器和主动数据检查采集器，负责接收汇总来自各个被监控设备的运行状态数据，然后将采集的数据发送给消息队列缓存模块进行处理，并综合利用数据库引擎、存储引擎和计算引擎等模块实现对采集数据的分析管理，包括数据备份、历史数据管理、趋势数据管理和事件数据管理，获取设备、云平台、应用系统当前的运行状况和长期的变化规律与趋势，供上层平台进行图形化展示，具体架构如图6所示。图6数据处理层体系架构3.3.3数据展示层数据展示层是整个云计算监控平台的统一门户，提供权限管理、告警管理、用户管理、可视化管理、主机管理、模板管理和资源管理七个模块，将具有多个维度的功能在同一维度进行集中展示。3.4安全态势监控平台安全态势监控平台采用“数据资源—数据采集—数据分析—态势管理—态势呈现”的多层次体系架构，依托私有云平台资源池提供的虚拟化资源数据和安全资源池提供的安全设备日志数据，紧贴私有云平台运行监管的实际需求，运用面向开放融合的架构理念，进行标准化管理接口和数据接口设计，构建安全资源池、安全数据采集、安全数据分析和态势管理模块，并开发可视化组件，从安全设备防护效果、攻击分布和趋势、安全威胁分布和趋势以及用户等保合规等视角，对私有云计算平台的运行状态进行定性和定量的综合呈现。私有云安全态势监控平台的系统架构如图7所示。图7私有云安全态势监控平台架构私有云安全态势监控平台系统架构主要包括数据资源层、数据采集层、数据分析层、态势管理层和态势呈现层，具体功能描述如下。（1）数据资源层。数据资源层主要包括云计算服务平台的虚拟化资源池和云安全管理平台的安全资源池。其中，虚拟化资源池包括云平台的计算虚拟化资源、网络虚拟化资源和存储虚拟化资源。安全资源池包括虚拟化防火墙、Web应用防火墙、堡垒机、虚拟化主机安全以及数据库审计等安全组件。数据资源层作为整个体