虚拟机微隔离技术实现
IaaS层流量安全防护

随着容器云技术的普及，近几年出现了针对容器云特点的安全防护产品，主要用于解决以下问题。 

（1）容器构建安全问题。每一个容器镜像都带有一个操作系统，而镜像本身就可能携带有病毒或系统漏洞 , 一旦“带病”部署，将带来重大的安全隐患。因此需要对运行在环境中的镜像进行扫描和安全评估。 

（2）容器部署安全问题。原生容器平台对镜像生成容器的过程没有任何的安全防护规则 , 无论镜像是否安全容器平台都会允许其进行启动。容器安全软件首要的工作就是对每一个镜像的安全威胁进行评估，根据评估结果禁止具有高危隐患的镜像在容器云平台内运行。 

（3）容器运行时安全问题。面对容器运行时安全问题可采取多种手段进行防护：一是采用小权限运行降低容器逃逸风险；二是容器进程控制，通过容器内进程锁阻断被恶意植入的进程；三是通过对系统指令的限制防止攻击者的入侵行为；四是在容器环境下针对容器宿主机内部流量，以容器防火墙对容器间流量进行安全防护。 

（4）容器管理安全问题。由于容器环境下敏捷开发运维的需要，开发、测试和生产环境下网络很难实现物理隔离。因此需要针对不同职能组人员对不同的宿主机设备划分访问权限；同时需要对不同账户的宿主机系统指令权限进行授权；此外对系统操作行为需要做完整的审计记录。

伴随云存储的快速普及，越来越多的敏感数据被存储在云环境中，导致数据的所有权和控制权分离。数据加密已经成为云计算 SaaS 层数据安全的重要技术手段。云服务商通常采用第三方密码设备和服务，在云基础设施中构建密码资源池，并由云管平台对资源池中的密码设备进行统一的调度和管理，为云计算平台提供基于自主创新密码算法的硬件级安全保护，为云计算平台提供云上数据传输、存储的机密性和完整性保护。用户可通过安全的远程管理方式获取完整的虚拟密码实例管理权，实现密钥管理的功能，包括密钥的产生、分发、运算、更新、归档以及销毁等操作，并支持以 BYOK（Bring  Your Own Key, 自带密钥）的方式实现用户对密钥的安全管理和使用。同时在远程管理的过程中具备完备的操作审计机制，可对系统进行风险评估和安全预警。

随着云计算的不断发展，用户对云计算的建设形态和云计算的安全建设都有了比较清晰的认识，越来越多的用户依赖于本地 / 专属私有云、多个公有云和遗留平台的组合，以满足其基础设施需求。多云、混合云成为国内云计算建设的发展趋势，多云安全和混合云安全成为新的需求点。 

当前国内自主创新的云安全解决方案主要有以下几种模式： 

（1）镜像模式部署安全软件。该模式通过安全镜像模版拉起安全虚拟机的方式为用户提供安全产品，这种模式和云平台解耦，不依赖云平台的接口。

（2）安全资源池模式。该模式通过旁路部署安全资源池，或通过云平台 API 接口将安全资源池融合到云平台，给用户提供综合云安全解决方案。这种模式解决了用户安全按需获取、统一管理、弹性扩容等多种需求。但是相对独立的安全资源池无法满足多云、混合云场景下的安全需求。 

（3）多云、混合云安全解决方案模式。多云场景下，由于没有一个整体的管理视角，云资源的管理和安全管理给用户带来很大困扰。多云资源和多云安全的统一管理将会大大降低用户的管理成本，提升管理效率，从全局的视角管理整体业务运行和安全运行情况。多云、混合云安全管理平台采用安全统一建设的模式，通过云平台开放 API 接口或者安全网络代理的方式将安全服务提供给用户，可以覆盖用户不同场景下的安全业务需求，同时满足安全的统一管理。由于混乱的云计算技术架构和封闭的云计算接口还会长期存在，多云、混合云解决方案的创新发展也会驱动云计算平台走向开放的发展趋势。

             

多维度抗灾技术保障
云计算安全的高可靠性

           

安全、可靠是用户业务上云后最关心的两点。云安全资源池在全面适配多云异构等各类复杂云环境、全面提供各类丰富安全组件能力的同时，兼顾重点行业领域对业务高可靠的需求，使用户业务上云更加安全、可靠。“云 安全资源池”作为主流的安全解决方案，针对业务场景和云平台提供多维度抗灾技术，包括网络容灾、数据容灾、控制端容灾、服务端容灾等。 

（1）服务端容灾。云安全管理平台的各项功能可采用微服务架构和容器化部署，将单体服务拆分为若干微服务，每个微服务以容器形态承载，并且以容器集群的方式保证服务高可靠。某个容器故障后，由集群内的其他容器快速接管服务，保证应用服务层的高可靠。

（2）控制端容灾。采用多控制器机制，多个控制器组成集群，对承载安全实例的虚拟化计算、存储、网络等资源进行管理。单个控制器故障不会对安全实例的资源创建、调度产生影响。 

（3）数据容灾。采用分布式存储 +RAID 双重高可靠机制，通过 RAID 的磁盘冗余保护加分布式存储的多副本保护，保障虚拟化安全组件的存储和数据安全，支持虚拟化安全实例的故障迁移。即使存储设备发生硬件故障也可以实现快速数据恢复和安全实例重建。 

（4）网络容灾。网络层针对引流网、服务链进行高可靠防护，采用服务链 HA/Bypass、引流网迁移等容灾机制。安全服务链支持 HA 功能，通过配置主备 2 条安全服务链，检测安全组件的健康状态和进程假死等故障情况， 实时进行主备服务链切换，保证安全防护不会因安全组件失效而失效。 

（5）API 安全。为了解决云计算中应用 API 接口和数据 API 服务访问场景下的安全问题，API 安全防护系统采用流量控制、攻击防御、传输加密等多种 API 相关安全防护技术，为应用提供 API 接口的统一代理、访问认证、 数据加密、安全防护、应用审计等能力，对 API 进行全生命周期的权限管理，全面解决 API 接口服务面临的安全问题。

云计算安全防护离不开技术与产品的支撑，用户与厂商必须紧密配合。组织应以安全运营为核心支点，不断完善安全配置与相关资源，让高新技术成为推动“安全陀螺”高速运转的动力，加快“预测与发现、防御与控制、 监测与分析、响应与管理”的转换，实现可持续安全运营。

过往的云计算安全可持续运营实践中，基于可持续运营模型，构建具备 “全息、量化、智能、协同”特性的安全方案，给云计算带来了可持续安全运营服务。全息指构建覆盖云、网、端不同层面的立体化网络监管体系，全方位收集分析各类信息，提供可视化全局监管视角，让云上安全运维者对安全清晰可见；量化指云计算安全状态指标、安全效果评估要量化，从多维度评估指数实现安全可衡量、效果有标准；智能指通过人工智能和机器学习持续提升应对威胁的能力，不断提升高级威胁、未知威胁的检测溯源能力；协同指通过云计算内部的安全协同联动、第三方协同联动，实现连接安全孤岛，形成网状安全防护体系。

云计算作为十四五规划中的重要基础设施，未来将承担各行各业的数字化转型重任。不同行业对云计算的理解和使用方式存在较大差异，5G 网络中的云计算和智慧城市中的云计算不可同等看待，应当根据各行业云计算承载的业务类型和部署使用方式，形成面向行业安全问题的云计算安全解决方案。 

国内云计算厂商众多，既有全自研的云也有基于 OpenStack 定制开发的云，不同厂商的云平台开放程度高低不一。第三方云安全产品是否能适配某个云平台并成为云平台安全解决方案的有机组成，取决于云平台厂商安全生态体系建设的成熟度和第三方安全厂商对于云原生安全演绎趋势的理解与认同。 

从安全的角度看，一方面多云混合云的安全建设需求成为安全建设中需要重点考虑的问题；另一方面，由于我国云计算市场发展尚不均衡，云计算安全市场受责任界面分工与合规驱动的多重牵引，加上传统第三方安全厂商对原有软硬件产品云化发展投入差异或缺乏与云计算平台厂商的解决方案耦合，安全产业尚未形成以云计算厂商与第三方安全厂商联合共建、可持续发展的生态体系。同时，云租户的安全保护受人员、运营、运维上的能力水平限制，线上线下协同的云安全解决方案选择还有很大的提升空间。 

另外，自主创新的 IaaS 层云平台虽然采用了不同的芯片技术路线，让自主创新云基础架构在物理基础设施和操作系统上的安全性得到提升，但云安全技术在自主创新云平台上的发展并未成熟。自主创新云安全建设面临着严峻的挑战。在传统 X86 领域，经过长期的发展，云计算厂商和云安全厂商已经积累了丰富和全面的安全技术，也形成了一套较完善的安全防护产品和解决方案。然而，受限于技术路线和商业规模的差异，很多成熟的安全技术需要与云计算厂商安全生态体系对接适配，才能在自主创新的云环境中快速应用。 

再者，采用云计算模式，使得用户数据的存储、处理和网络传输都和云计算有关，如何对租户应用进行数据隔离，如何避免数据服务被阻塞以及如何保证存储在云端的数据在数据生命周期内是机密和完整的？上述安全问题需要云计算厂商与专业安全厂商加强协同，予以关注。 

最后，云计算和安全都属于人才缺口较大的行业。企业招聘同时具备云计算和安全能力的人才非常困难。厂商很难简单地通过社会招聘获得大量云计算和安全复合型人才。云计算厂商和安全厂商的跨领域合作或许是解决云计算安全人才缺口有效的补充方式。

邮箱 | cii_zgc@163.com

地址 | 北京市海淀区奥北科技园

          20号楼5层

         关键信息基础设施技术

创新联盟