打造随需而动的云上立体安全体系

云环境令传统安全体系面临众多挑战：边界模糊化，颗粒度粗放，敏捷性缺失，安全思路的落后。云计算迫切需要打造随需而动的云上立体安全体系。

新的安全形势

云计算的发展及成熟，极其显著的渗透到各行各业，据第三方报告显示，云计算及其相关产业超过1万亿美元。同时，云计算正在快速替代传统IT，成为近代最具变革性的技术之一，为大数据、移动互联网、区块链、人工智能的发展提供了切实的底层支撑。

随着云上应用及数据的爆发性增长以及集中化的趋势，层出不穷的安全事件成为制约云计算产业发展的阿喀琉斯之踵。近日前，社交巨头Facebook受用户信息“泄密门”事件影响，经历近四年内的最大单日跌幅，市值减少约342亿美元，并引发纳斯达克指数、道琼斯指数等美股指数的开盘深跌。

安全事件迸发绝非偶然，从威胁手段演进的趋势来看，高级持续威胁（APT）和定向攻击等高级安全手段呈现组织化、机构化的特征，勒索病毒的比特币支付模式标志着攻击者或组织机构具备了成熟的商业模式。在威胁手段专业化和成熟商业模式的驱动下，可以预测，未来新的安全事件将呈井喷式爆发。

图一安全威胁变化趋势

新环境下云安全建设的重要出发点

现代化企业云数据中心的构建，使得应用系统及信息资产的大集中既成事实。同时，云环境改变了传统IT边界，边界的模糊化和动态化使得传统的边界安全与隔离策略失效，在新的安全态势下，给业务带来巨大的风险。

云环境对于传统安全体系的挑战：

●边界模糊化：边界的模糊化和动态化使得传统的边界安全与隔离策略失效。
●资源颗粒度粗放：云资源池规模以及安全域的划分，传统边界的“硬件盒子式”无法支撑。
●敏捷性缺失：在云计算高度集成化、服务化、敏捷调度的背景下，分散的安全能力无法应对云上应用的安全需求。
●安全思路落后：在云环境下，由于系统的复杂性和云上应用的多样性，仅依靠防御的建设远远不够，需要在监测、响应、预测方面持续投入，形成预测-防御-监测-响应的自适应安全体系。

同时，云安全从合规层面考虑，国内外机构近年来陆续发布多个云安全的相关标准，例如云安全联盟（CSA）的《如何保护云数据》，美国国家标准技术研究所（NIST）发布的《云计算安全障碍与缓和措施》、《公共云计算中安全域隐私》，CSA大中华区发布的《云计算安全技术要求》，以及国内等保标准里的《信息系统安全等级保护云计算安全扩展要求》（草案）等。

因此，如何构建云计算的安全体系，保障业务安全，以及相关法律和规范的合规遵从，是云计算建设在规划阶段就需要考虑和规划的重要问题。

360云安全建设的思考

SDN/NFV安全与软件定义安全
云计算体系架构的四大体系中，软件定义的计算、软件定义的存储发展较早，成熟度也比较高，软件定义的网络及软件定义的安全发展水平则相对滞后，其中软件定义安全体系的构建更是处于初级阶段。随着SDN以及NFV等新的理念的出现，为网络与安全体系的发展提供了新的动力。

SDN控制平面与数据平面分离的理念，使得网络资源的自动化调度和集中管控模式成为现实，相对经典网络模式，更为符合云计算的自动化及智能化的运维管理模式。而NFV使得网络功能与设备解耦，实现网络安全功能具备云计算环境所需的弹性、敏捷性、可用性。

图二 SDN与NFV的结合

通过SDN与NFV结合，以SDN控制器的网络全局视图和可编程接口，管理员可以基于业务需求，创建业务所需的安全防护资源，并对网络流量进行牵引、安全服务链的编排，对业务流量实现清洗与防护，同时实现业务所需的最小颗粒度的隔离。

云环境网络流量组成的变化及防护机制

数据中心流量一般分为两类：数据中心内部应用经互联网出口到互联网的流量，称之为南北向流量；数据中心内部服务器之间交互的流量，称之为东西向流量。

图三 数据中心流量分类

随着数据中心向云计算架构的演进，南北向流量与东西向流量的配比出现了巨大的变化。

图四 数据中心流量组成的变化

基于数据中心流量组成的变化，东西向流量的防护与监测、租户的边界隔离防护等内容，越来越成为数据中心安全的重要组成部分，传统的互联网出口边界安全方案已经不再能完全覆盖云数据中心的安全需求。

Gartner在报告《Competitive Landscape: Virtual Firewalls》一文中提出关于虚拟化防火墙以及东西向防护的技术路线及手段如下：

●主机代理模式（Host Agent Method）
●虚拟交换机模式（Virtual Switch Method）
●内核嵌入模式（Hypervisor-Based Controls Method）
●安全服务模式（Non-Hypervisor-Based Controls Method）

其中，虚拟交换机模式与内核嵌入模式较多的依赖Hypervisor厂商开放的接口，且只能基于网络层执行简单控制，更高阶的安全防护以及应用层防护无法做到，因此，各安全厂商纷纷开始主机代理模式与安全服务模式的尝试，并且随着SDN/NFV等技术的发展，主机代理模式与安全服务模式的技术标准及规范框架越来越丰富，并将逐渐成为云安全防护方案的重要组成部分。

大数据威胁情报
如前所述，越来越复杂的安全威胁、高级可持续性攻击、未知威胁等让传统网络安全防御技术几乎失效，“互联网+”时代的安全需要更多的基于威胁情报的安全态势感知技术来增强网络安全防御能力和威慑能力。

图五 威胁情报安全体系

通过样本、恶意URL等海量数据的分析处理，并结合多方社区、组织、第三方报告等资源，进行情报的搜集和挖掘，形成实时的有价值的威胁情报数据服务。在威胁情报数据服务的驱动下，安全防护体系可以实现更敏锐地威胁检测，更加有效的防御拦截，以及更及时地威胁响应，此外，借助威胁情报也可以实现多维可视化追踪溯源。

安全一体化管理
360云安全一体化管理架构，旨在对全网的安全组件，涵盖物理安全设备以及NFV安全组件，形成逻辑上统一的边界安全资源池以及云安全资源池。基于业务需求和合规需求，对安全组件进行统一管理、调度，以及安全策略的统一配置、下发、实时更新，以此构建云数据中心安全能力的一体化架构，形成随需而动的面向业务的安全能力。

图六 安全一体化架构

总结

云安全体系的构建是一个系统化的工程，不能单纯的从技术角度出发，还要从管理上考虑。360认为，云安全建设要做到技术与管理并重，IT架构变革时带来的不仅是技术上的变革，对安全管理上的挑战同样严峻。

从云计算合规层面考虑，既有《网络安全法》等法律法规的约束，也有一些行业指导要求，如云等保2.0等规范。

云安全要明晰角色定义与安全责任分工，在明晰云环境下的角色定义和安全责任界定的同时，还要从云平台自身、云租户和监管要求三方面考虑云计算体系下各角色对于安全的诉求，这对于安全制度的修订，甚至管理组织架构的完善至关重要。

此外，安全运营作为云安全的重要组成部分，但往往容易被忽略，在云平台的完整生命周期中，规划设计以及建设阶段占比极小，更多的是常态运营阶段。

常态化安全运营中，云上应用的弹性扩展与动态迁移会带来的频繁的动态变化，使得云上安全运营相对传统安全运营的复杂度大幅上升。360云安全管理平台覆盖安全运维、威胁发现、持续监测、问题溯源及联动控制的业务安全需求，从而构建一个完整的云计算安全体系。