□杜駿震 林 梅

(山西廣播電視大學，山西 太原 030027)

隨著云計算技術(shù)的發(fā)展與成熟以及社會信息化進程的加快，云計算服務(wù)模式受到了廣大用戶的青睞，越來越多的行業(yè)用戶開始將其應(yīng)用系統(tǒng)遷移到公有云上。與此同時，如何確保公有云上系統(tǒng)與應(yīng)用的安全是用戶極為關(guān)注的要點。公有云的安全采取云服務(wù)提供商、用戶及云安全服務(wù)商責任共擔的原則。云服務(wù)提供商負責確保云環(huán)境基礎(chǔ)設(shè)施的底層安全，包括計算組件、存儲基礎(chǔ)設(shè)施、數(shù)據(jù)庫和網(wǎng)絡(luò)。云安全服務(wù)商負責確保云服務(wù)平臺的安全。用戶確保負責業(yè)務(wù)應(yīng)用的安全。從技術(shù)應(yīng)用來看，云端應(yīng)構(gòu)建一個包括網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、服務(wù)等多維度的安全體系，實現(xiàn)云端網(wǎng)絡(luò)空間安全態(tài)勢感知。在開放的安全運維管理平臺下實現(xiàn)賬號授權(quán)管理與訪問控制、遠程運維安全、日志審計分析以及各類安全產(chǎn)品的協(xié)同工作。

一、網(wǎng)絡(luò)安全的核心內(nèi)涵

云網(wǎng)絡(luò)是云計算環(huán)境的基礎(chǔ)設(shè)施，通過虛擬專網(wǎng)技術(shù)、安全組技術(shù)、DDoS攻擊防御技術(shù)等可保障云網(wǎng)絡(luò)的安全。

(一)虛擬私有云

云計算的實現(xiàn)場景包括公有云、私有云、混合云和社區(qū)云。初期許多用戶進行了私有云的建設(shè)，用戶自行規(guī)劃私有云網(wǎng)絡(luò)，將自己的IT資源部署在一個完全獨立的網(wǎng)絡(luò)環(huán)境內(nèi)，并且用戶自行運維網(wǎng)絡(luò)。隨著公有云技術(shù)的發(fā)展與成熟,越來越多的用戶開始將自己的IT資源或私有云遷移到公有云上。這種情況下，為實現(xiàn)公有云上各用戶之間的網(wǎng)絡(luò)隔離，給每個用戶提供一個安全獨立的專有網(wǎng)絡(luò)，云服務(wù)提供商通過虛擬私有云技術(shù)來保障云網(wǎng)絡(luò)的安全。目前虛擬私有云VPC服務(wù)已是主流云服務(wù)商提供的一項基礎(chǔ)服務(wù)。

虛擬私有云。VPC(Virtual Private Cloud)，簡稱虛擬私有云，使用網(wǎng)絡(luò)虛擬化技術(shù)，是基于隧道技術(shù)和軟件定義網(wǎng)絡(luò)技術(shù)(SDN)實現(xiàn)的。其中，隧道技術(shù)采用Overlay網(wǎng)絡(luò)(疊加網(wǎng)絡(luò)、覆蓋網(wǎng)絡(luò))，它將一個邏輯網(wǎng)絡(luò)建立在一個實體網(wǎng)絡(luò)之上，采用SDN技術(shù)動態(tài)創(chuàng)建。每個VPC都有一個獨立的隧道號,一個隧道號對應(yīng)一個虛擬化網(wǎng)絡(luò)。因此，VPC是云計算場景下用于用戶資源隔離的一種虛擬網(wǎng)絡(luò)。

借助VPC，不同的虛擬私有網(wǎng)絡(luò)之間實現(xiàn)了二層邏輯安全隔離，用戶可基于公有云環(huán)境創(chuàng)建與管理自定義的虛擬私有網(wǎng)絡(luò)環(huán)境，如私有IP地址范圍、子網(wǎng)劃分、網(wǎng)關(guān)與路由配置等。用戶可自行確定網(wǎng)絡(luò)規(guī)模、資源部署的地域與可用區(qū)，可自定義子網(wǎng)，將同類業(yè)務(wù)劃分到相同子網(wǎng)。用戶可在自定義的VPC中創(chuàng)建、運行、管理各種云產(chǎn)品實例，如彈性云服務(wù)器(ECS)、彈性負載均衡(ELB)等。用戶也可以申請彈性帶寬和彈性IP搭建業(yè)務(wù)系統(tǒng)。VPC通過虛擬路由器、虛擬交換機、自定義路由、安全組等組件實現(xiàn)網(wǎng)絡(luò)邊界安全與網(wǎng)絡(luò)安全域隔離。

安全組。安全組是由云服務(wù)商提供的分布式虛擬化防火墻，它是為同一個VPC內(nèi)的彈性云服務(wù)器提供網(wǎng)絡(luò)訪問控制，對專有網(wǎng)絡(luò)內(nèi)的云主機進行IP+端口級別的訪問控制，實現(xiàn)端口維度和實例維度的資源訪問控制。用戶可以在安全組內(nèi)定義各種訪問規(guī)則，當彈性云服務(wù)器加入該安全組后，即受到該安全組訪問規(guī)則的保護。安全組可用于在云端劃分安全域。具有相同安全保護需求、相互信任且擁有相同網(wǎng)絡(luò)安全訪問控制及邊界控制策略的IT資源可屬于一個安全域。一個安全域又可劃分為若干安全子域。安全域是云端業(yè)務(wù)系統(tǒng)安全保護的重要基石。

地域與可用區(qū)。云服務(wù)商的云平臺允許用戶在不同地域(Region)與可用區(qū)(Availability Zone)分配云資源。地域是一個從地理位置和網(wǎng)絡(luò)時延維度來劃分的獨立的相互隔離的地理區(qū)域?？捎脜^(qū)是在同一地域內(nèi)風火水電、機房、網(wǎng)絡(luò)互相獨立的物理數(shù)據(jù)中心。一個可用區(qū)可以是一個或多個物理數(shù)據(jù)中心的集合。一個地域內(nèi)的多個可用區(qū)之間通過光纖高速互聯(lián)。用戶在遷移應(yīng)用上云時應(yīng)就近選擇地域，以減少網(wǎng)絡(luò)時延，提高訪問速度。如果用戶的應(yīng)用需要較高的容災能力與高可用服務(wù)，可考慮將IT資源部署在同一區(qū)域的不同可用區(qū)，在多個可用區(qū)啟動不同云產(chǎn)品實例。如果用戶的應(yīng)用需要實例之間的網(wǎng)絡(luò)延時較低，可考慮將IT資源部署在同一區(qū)域的同一可用區(qū)內(nèi)。不同地域之間的云產(chǎn)品缺省情況下不能用內(nèi)網(wǎng)IP通信，但可以通過彈性公網(wǎng)IP(EIP) 進行因特網(wǎng)訪問。

VPC應(yīng)用場景分析 。①在同一區(qū)域內(nèi)不同VPC之間互通的場景下，可通過配置對等連接創(chuàng)建、對等連接接受、VPC對等連接路由來實現(xiàn)VPC對等連接。對等連接建立后，可以實現(xiàn)同帳號與不同賬號下使用私有IP地址在兩個VPC之間進行通信。②在跨區(qū)域的VPC互連的場景下，可以實現(xiàn)同帳號與不同賬號的VPC互連。③在通過公網(wǎng)連接跨區(qū)域VPC的場景下，可通過虛擬專用網(wǎng)絡(luò)IPsec VPN來實現(xiàn)。④在VPC內(nèi)的云資源連接因特網(wǎng)的場景下，如果是單臺彈性云服務(wù)器ECS連接公網(wǎng)，只需將一個EIP綁定到ECS上，ECS即可實現(xiàn)主動訪問公網(wǎng)或向公網(wǎng)提供服務(wù)。如果是多臺彈性云服務(wù)器ECS共享彈性公網(wǎng)(EIP)連接公網(wǎng)，則需要配置NAT網(wǎng)關(guān)的SNAT功能，實現(xiàn)同一VPC內(nèi)的多個ECS共享一個或多個EIP訪問因特網(wǎng)。配置NAT網(wǎng)關(guān)的DNAT功能,將EIP的端口映射到各ECS的端口上，使VPC內(nèi)的多個ECS共享一個EIP實現(xiàn)內(nèi)部服務(wù)對公網(wǎng)的發(fā)布。如果是多臺彈性云服務(wù)器ECS通過彈性負載均衡(ELB)對公網(wǎng)提供服務(wù)，則配置ELB，根據(jù)分配策略將公網(wǎng)訪問流量均衡分發(fā)到與ELB連接的后端多臺ECS上，通過EIP的綁定實現(xiàn)海量高并發(fā)公網(wǎng)用戶訪問云服務(wù)器ECS。⑤在云上VPC與本地數(shù)據(jù)中心的互連的場景下，如果使用公網(wǎng)連接VPC與本地數(shù)據(jù)中心，可在本地部署VPN設(shè)備，通過IPSec VPN的加密隧道將VPC與本地數(shù)據(jù)中心連接。如果在VPC與本地數(shù)據(jù)中心之間架設(shè)物理專線，此方式的網(wǎng)絡(luò)傳輸質(zhì)量與安全等級可提高。如果本地數(shù)據(jù)中心與跨區(qū)域的VPC互連，先實現(xiàn)本地數(shù)據(jù)中心與其中一個VPC的互通，然后在云連接服務(wù)中創(chuàng)建云連接，再在創(chuàng)建的云連接實例中加載需要互通的VPC實例。

(二)Dos/DDoS攻擊防御

目前，分布式拒絕服務(wù)攻擊DDoS采用了混合攻擊模式、團伙行為、物聯(lián)網(wǎng)設(shè)備參與DDoS攻擊。 DDoS的防御需要依賴眾多環(huán)節(jié)，包括漏洞挖掘與披露、網(wǎng)絡(luò)測量與感知、威脅狩獵與情報共享、防護資源調(diào)度和應(yīng)急響應(yīng)。

對于抵御小流量的DDoS攻擊，可以通過修改云主機操作系統(tǒng)的配置或安全防御模塊來抵御。

對于抵御攻擊流量不超過系統(tǒng)基本防護能力的DDoS攻擊，可采用專業(yè)的DDoS 系統(tǒng)或服務(wù)來抵御 SYN Flood、UDP Flood、ACK Flood、ICMP Flood 等傳輸層及網(wǎng)絡(luò)層 DDoS 攻擊以及 CC 攻擊與 HTTP 慢速攻擊等應(yīng)用層 DDoS 攻擊。

對于抵御大流量的DDoS攻擊，可選購云安全服務(wù)商提供的DDoS防御云服務(wù)，將用戶自己的域名解析到高防IP系統(tǒng)，隱藏真實源IP地址，這樣所有訪問流量被牽引至高防節(jié)點，惡意攻擊流量被高防IP系統(tǒng)清洗過濾，正常訪問流量被轉(zhuǎn)發(fā)到源站IP。通過靈活調(diào)整調(diào)度策略，優(yōu)化防御體系，可有效抵御不斷變化的攻擊。

二、主機安全要義分析

云端主機面臨的風險主要集中在流量攻擊、密碼暴力破解、病毒勒索、惡意挖礦、惡意木馬病毒入侵與高危漏洞利用攻擊等方面。 為確保云端主機的安全，在軟件層面，應(yīng)安裝最新版的操作系統(tǒng)、中間件、數(shù)據(jù)庫，進行主機安全配置加固、只安裝必需的軟件及選用專業(yè)的主機安全防護系統(tǒng)。

操作系統(tǒng)安全配置加固。盡可能采用最新版的操作系統(tǒng)來保證操作系統(tǒng)層面的安全，在此基礎(chǔ)上，進行安全配置加固。例如，windows操作系統(tǒng)的安全配置加固主要有：①賬戶管理：默認賬戶安全、根據(jù)業(yè)務(wù)需求，設(shè)定不同的用戶和用戶組并分配帳號、定期檢查并刪除無關(guān)賬號、隱藏上次登錄的用戶名、密碼復雜度滿足規(guī)定的策略、密碼最長留存期、帳戶鎖定策略、系統(tǒng)弱口令檢測。②認證授權(quán)：從遠端系統(tǒng)強制關(guān)機或本地關(guān)機的權(quán)限只分配給Administrators組、用戶權(quán)限指派、只允許授權(quán)帳戶登錄、只允許授權(quán)帳號從網(wǎng)絡(luò)訪問云主機。③文件權(quán)限：關(guān)閉硬盤默認共享、禁止自動打開默認共享及共享文件夾授權(quán)訪問。④服務(wù)安全：禁用不必要的服務(wù)、關(guān)閉不必要的端口。⑤IP協(xié)議安全配置：啟用SYN FLOOD攻擊保護。⑥安全選項：啟用各安全選項與禁用未登錄前關(guān)機。⑦其他安全配置：限制遠程登錄空閑斷開時間、操作系統(tǒng)補丁管理、設(shè)置屏幕保護密碼和開啟時間。⑧日志配置操作：配置日志功能，對用戶登錄進行審核記錄；對系統(tǒng)的審核策略、審核對象、審核目錄服務(wù)訪問、審核特權(quán)的使用、審核系統(tǒng)事件、審核帳戶管理、審核進程追蹤的操作進行審核。

中間件安全配置加固。盡可能采用最新版的中間件來保證中間件層面的安全。在此基礎(chǔ)上，進行安全配置加固。例如，對Tomcat 管理后臺的安全加固配置可以包括：網(wǎng)絡(luò)訪問控制、開啟Tomcat 的訪問日志、Tomcat 默認帳號安全、修改默認訪問端口、重定向錯誤頁面、禁止列出目錄等。

數(shù)據(jù)庫安全配置加固。盡可能采用最新版的數(shù)據(jù)庫來保證數(shù)據(jù)庫層面的安全，在此基礎(chǔ)上，進行安全配置加固。例如，MySQL數(shù)據(jù)庫的安全配置加固可以有：禁止MySQL以管理員帳號權(quán)限運行、避免不同用戶間共享帳號、刪除無關(guān)帳號、檢查賬戶默認密碼和弱密碼、根據(jù)用戶的業(yè)務(wù)需要，配置數(shù)據(jù)庫權(quán)限配置所需的最小權(quán)限、開啟日志審計功能、若應(yīng)用軟件與數(shù)據(jù)庫部署在同一臺云主機時，可禁止遠程訪問、通過數(shù)據(jù)庫所在操作系統(tǒng)的防火墻限制，實現(xiàn)只有來自可信任的 IP 才能訪問數(shù)據(jù)庫、根據(jù)云主機性能和業(yè)務(wù)需求，設(shè)置最大、最小連接數(shù)。

只安裝必須的應(yīng)用軟件。云主機上只安裝必須的應(yīng)用軟件并對其進行安全配置加固。

專業(yè)主機安全防護系統(tǒng)。用戶可選購專業(yè)的主機安全防護系統(tǒng)，將其部署在彈性云服務(wù)器(ECS)上。該防護系統(tǒng)可為用戶提供資產(chǎn)清點、安全基線檢查、異常登錄檢測與提醒、登錄管理、密碼破解攔截、勒索軟件防御、惡意文件查殺、挖礦病毒查殺、木馬病毒查殺、高危漏洞檢測、漏洞風險預警等安全防護，為云主機提供全方位的系統(tǒng)安全防護。

三、應(yīng)用軟件安全的主要內(nèi)容分析

(一)應(yīng)用軟件開發(fā)安全

應(yīng)用軟件的開發(fā)應(yīng)遵循《安全開發(fā)生命周期》的規(guī)范來進行，將安全考慮集成在軟件開發(fā)的需求分析、系統(tǒng)設(shè)計、軟件編碼、軟件測試和維護的各階段，減少應(yīng)用軟件的漏洞與安全缺陷。

培訓。所有開發(fā)人員要接受安全知識的培訓，包括：安全設(shè)計、威脅建模、安全編碼、安全測試、隱私等。

需求分析階段。要確定安全計劃、設(shè)立安全基線和安全分級、進行安全風險評估(SRA)和隱私風險評估(PRA)以及完成安全需求分析及評審。

設(shè)計階段。要進行攻擊面的分析、威脅建模(STRIDE 模型) 及安全功能的設(shè)計與評審。其中，威脅建模包括：身份假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、特權(quán)提升。

編碼階段。要使用一定的安全開發(fā)工具、遵循安全編碼規(guī)范，棄用不安全的函數(shù)和API，采用安全開發(fā)框架，進行代碼靜態(tài)分析以查找代碼中存在的結(jié)構(gòu)性錯誤、安全漏洞等問題。

測試階段。要進行程序的動態(tài)分析、模糊測試、安全用例測試、滲透測試以及代碼審計。如果應(yīng)用軟件發(fā)生需求變更，還需要對威脅模型和攻擊面進行重新評析。

發(fā)布階段。軟件發(fā)布前，要進行最終安全評析(FSR)，發(fā)布時要包含事件響應(yīng)計劃，然后按照《應(yīng)用軟件安全上線規(guī)范》進行安全加固并發(fā)布，發(fā)布的同時仍需對各種問題和文檔進行存檔。

響應(yīng)階段。如果軟件發(fā)布后受到攻擊，要按照預定的《應(yīng)急響應(yīng)計劃》快速采取行動，最大程度地降低事件造成的損失。

(二)滲透測試

應(yīng)用系統(tǒng)上線前應(yīng)使用一定的滲透測試工具模擬黑客攻擊的方式，在可控和可調(diào)整的范圍之內(nèi)，對系統(tǒng)及應(yīng)用軟件進行全方位滲透入侵安全性測試，以發(fā)現(xiàn)存在的隱性漏洞、安全漏洞以及BUG，或者驗證經(jīng)過安全修護后的軟件是否達到預期安全目標，是否符合預定的安全策略及安全合規(guī)的要求。

滲透測試過程包括:①前期交互：與用戶溝通，確定滲透測試的范圍、目標和限制條件。②情報搜集：充分地收集系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層的所有信息。③威脅建模階段：使用獲取的情報信息，標識主機上可能存在安全漏洞和弱點。④漏洞分析：綜合前面各階段得到的信息，分析出下一步最可行的模擬攻擊途徑。⑤滲透攻擊：利用前面分析驗證后的目標系統(tǒng)安全漏洞進行模擬攻擊，獲得訪問控制權(quán)。⑥后滲透攻擊：識別重要資產(chǎn)與信息，識別關(guān)鍵基礎(chǔ)設(shè)施，自行設(shè)計出攻擊目標，找出對重要業(yè)務(wù)影響的攻擊路徑。⑦撰寫報告：編寫滲透測試報告、成功滲透攻擊的途徑與過程、安全漏洞與修補建議以及與技術(shù)升級方案。

(三)WEB應(yīng)用防火墻

Web應(yīng)用防火墻(WAF)對進出WEB服務(wù)器的HTTP/HTTPS相關(guān)內(nèi)容進行深度分析，按照預定的HTTP/HTTPS安全策略對Web應(yīng)用進行保護，防御HTTP/HTTPS應(yīng)用的入侵。Web應(yīng)用防火墻可有效防御DDoS攻擊、SQL注入、XML注入、XSS跨站腳本、Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWASP常見攻擊，過濾惡意CC攻擊，加密網(wǎng)頁源碼、防掃描、防自動化攻擊、防暴力破解、防嗅探，防止數(shù)據(jù)泄露、網(wǎng)頁被篡改和訪問異常等風險。

此外，用戶還可選用安全廠商的Web應(yīng)用云防護服務(wù)，用戶只需將網(wǎng)站域名解析指向安全廠商的Web應(yīng)用云防護平臺的CNAME地址上，修改源網(wǎng)站IP地址，即可直接牽引源站的所有流量到Web應(yīng)用云防護平臺進行識別、過濾、轉(zhuǎn)發(fā)，從而實現(xiàn)對源網(wǎng)站的防護。

四、數(shù)據(jù)安全的核心要義

如果數(shù)據(jù)從產(chǎn)生開始未經(jīng)過加密處理，技術(shù)上可以認為云主機、云存儲、RDS上用戶的數(shù)據(jù)對云服務(wù)商來說是透明的。云端數(shù)據(jù)安全應(yīng)從數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)庫的評估防護審計進行綜合保護。

數(shù)據(jù)存儲安全。如果云存儲中的數(shù)據(jù)是明文存儲，則敏感數(shù)據(jù)泄露的風險加大。最有效的安全技術(shù)手段是加密云存儲中的數(shù)據(jù)。用戶可利用云服務(wù)商提供的存儲加解密服務(wù)，寫入云存儲數(shù)據(jù)時自動加密，讀出云存儲數(shù)據(jù)時自動解密，保證云存儲數(shù)據(jù)始終為密文存儲，防止因數(shù)據(jù)文件被竊而造成數(shù)據(jù)泄露。同時，用戶自己掌握好加解密密鑰。

數(shù)據(jù)傳輸安全。數(shù)據(jù)傳輸過程中，采用網(wǎng)絡(luò)安全傳輸協(xié)議，如SSL/TLS、HTTPS來確保數(shù)據(jù)的安全。安全套接層協(xié)議SSL及其繼任者傳輸層安全協(xié)議(TLS)通過建立端到端安全連接實現(xiàn)兩個應(yīng)用進程之間的數(shù)據(jù)安全傳輸,實現(xiàn)雙向身份鑒別、數(shù)據(jù)保密性和完整性。安全超文本傳輸協(xié)議HTTPS在HTTP上建立SSL加密層，建立一個信息安全通道，對傳輸數(shù)據(jù)進行加密，保證傳輸過程中的數(shù)據(jù)安全。

數(shù)據(jù)庫安全。如果在云主機上安裝有數(shù)據(jù)庫系統(tǒng)，還需要通過數(shù)據(jù)庫加密產(chǎn)品對敏感數(shù)據(jù)進行加密存儲，對數(shù)據(jù)庫按照列、表、表空間多種粒度進行數(shù)據(jù)加密，實現(xiàn)敏感數(shù)據(jù)以密文形式存儲。授權(quán)用戶可以透明解密數(shù)據(jù)。采取獨立于數(shù)據(jù)庫的密鑰管理體系，數(shù)據(jù)庫管理員、安全管理員和審計管理員三權(quán)分立。同時做到數(shù)據(jù)庫的事前風險評估、事中訪問可控、事后審計可控。

事前風險評估是數(shù)據(jù)庫使用前通過數(shù)據(jù)庫掃描器進行風險發(fā)現(xiàn)與評估，若發(fā)現(xiàn)漏洞，可針對性地進行消除與數(shù)據(jù)庫安全加固。

事中訪問可控是使用過程中對數(shù)據(jù)庫安全防護，有效的防護手段包括采用數(shù)據(jù)庫防火墻監(jiān)視對數(shù)據(jù)源的訪問，自動執(zhí)行合規(guī)控制，對數(shù)據(jù)庫的攻擊進行阻斷，采用數(shù)據(jù)庫防火墻與堡壘機的有效配合實現(xiàn)運維層面的安全操作，通過特權(quán)訪問管理機制快速發(fā)現(xiàn)、控制、管理和保護特權(quán)帳戶。

事后審計可控是對數(shù)據(jù)庫使用后要審計可控。借助數(shù)據(jù)庫審計系統(tǒng)實現(xiàn)對SQL注入、緩沖區(qū)溢出、權(quán)限提升、拒絕服務(wù)攻擊、內(nèi)部高危操作、應(yīng)用系統(tǒng)訪問數(shù)據(jù)庫等行為的實時監(jiān)控告警，追溯訪問來源，追溯數(shù)據(jù)庫風險，關(guān)聯(lián)分析應(yīng)用的URL操作行為和數(shù)據(jù)庫的SQL操作行為。

五、安全態(tài)勢感知

安全態(tài)勢感知是一個集檢測識別、分析、預警、響應(yīng)處置為一體的大數(shù)據(jù)安全分析及可視化平臺。態(tài)勢覺察、態(tài)勢理解、態(tài)勢預測是安全態(tài)勢感知的三個層面。態(tài)勢覺察是通過態(tài)勢要素獲取必要的數(shù)據(jù)。態(tài)勢理解是對獲取到的融合數(shù)據(jù)進行相關(guān)性分析。態(tài)勢預測是根據(jù)態(tài)勢的歷史信息和目前狀態(tài)，對未來一定時間內(nèi)的安全趨勢進行預判，為主動防御提供依據(jù)。

安全態(tài)勢感知自動收集云上多種資產(chǎn)信息及日志數(shù)據(jù)，對全網(wǎng)流量實時監(jiān)測，結(jié)合威脅情報、用戶及實體行為分析、行為分析建模、失陷主機檢測、圖關(guān)聯(lián)分析、機器學習、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，實現(xiàn)威脅可視化、攻擊可視化、可疑流量可視化及業(yè)務(wù)可視化。從網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)進行全方位的實時監(jiān)測、攻擊檢測、安全告警、攻擊歷史回溯以及全面的安全態(tài)勢智能分析。

六、安全運維管理的主要途徑

(一)用戶身份與訪問控制

在多租戶的云計算環(huán)境中，用戶賬號、授權(quán)、訪問控制變得復雜化。為滿足一個云賬戶下可以創(chuàng)建并管理多個用戶，各用戶不要共享使用云賬號密鑰的需求，云服務(wù)商提供了用戶身份與訪問控制服務(wù)，如阿里云的RAM可幫助客戶管理用戶對云資源的訪問權(quán)限控制。借助RAM，可以在一個云賬戶下創(chuàng)建并管理多個子賬戶，每個用戶都有唯一的用戶名、登錄密碼或訪問密鑰。針對不同用戶執(zhí)行不同的授權(quán)策略，實現(xiàn)不同用戶擁有不同的云資源訪問權(quán)限，按權(quán)限最小化原則為用戶分配權(quán)限，實現(xiàn)角色分離和最小化特權(quán)的安全實踐。

(二)遠程運維安全

云主機的遠程運維可采取VPN技術(shù)與云堡壘機相結(jié)合的方式，避免直接通過RDP/SSH協(xié)議遠程登錄云服務(wù)器。

云堡壘機可實現(xiàn)云資源的4A安全管控與運維人員的集中管理。云堡壘機是運維人員管理云端所有資源的唯一通路。云堡壘機提供的訪問控制策略，一方面可將云資源授權(quán)給運維人員，另一方面又可進行功能權(quán)限的精細化控制。建立運維用戶與主賬號的唯一對應(yīng)關(guān)系，分配運維人員擁有最小運維權(quán)限。借助云堡壘機的單點登錄功能，運維人員只需用一個賬號和密碼登錄，便可實現(xiàn)對其所維護的多臺資源的訪問。云堡壘機可完整記錄、管控與審計運維人員的操作行為，異常行為告警，深度挖掘內(nèi)部泄密操作。

(三)日志審計

在云環(huán)境中，日志審計分析系統(tǒng)可以實時準確地反映云資源的運行狀態(tài)，協(xié)助運維人員對入侵行為的分析，對故障的判斷，對攻擊的取證分析，同時也能滿足云環(huán)境的合規(guī)要求。

日志審計分析系統(tǒng)通常提供了日志采集、日志存儲、日志分析、備份、查詢、告警響應(yīng)和報表統(tǒng)計等功能。

日志采集的來源可以包括各類云服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、運維系統(tǒng)等產(chǎn)生的日志。日志采集方式可以有客戶端、網(wǎng)頁、協(xié)議、SDK/API等多種。云端日志的存儲方式有在線存儲、近線存儲與離線存儲。在線存儲適用于存儲需要立即訪問與檢索的日志。離線存儲適用于存儲長期低成本存儲的海量冷數(shù)據(jù)日志。近線存儲適用于存儲相對訪問與檢索速度快但存儲成本相對較低的日志。日志采集與存儲完成之后，要進行日志過濾、日志規(guī)范化及關(guān)聯(lián)分析。云環(huán)境下的日志量巨大，為提高日志分析的效率，需要從海量的日志中提煉出我們所關(guān)心的日志來。由于各種設(shè)備、系統(tǒng)與應(yīng)用產(chǎn)生的日志機制與內(nèi)容格式不盡相同，所以，日志過濾后要進行日志規(guī)范化。通過正則表達式，對日志中的組成字段進行提取(如：源IP和目標IP、源端口和目標端口、時間戳、用戶信息、優(yōu)先級、原始日志等)，并將其中關(guān)鍵信息進行統(tǒng)一賦值，完成各種不同日志的統(tǒng)一格式表達。日志的關(guān)聯(lián)分析是日志審計分析系統(tǒng)中最為重要的部分，關(guān)聯(lián)分析利用字段關(guān)聯(lián)、規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、指紋關(guān)聯(lián)等分析方法，對不同系統(tǒng)業(yè)務(wù)的日志進行自動化關(guān)聯(lián)性分析，實現(xiàn)對已發(fā)生事件或?qū)⒁l(fā)生事件的精確判斷或預警。

七、結(jié)語

云計算具有良好的應(yīng)用前景，但由于開放性使得云計算環(huán)境不斷面臨新的安全挑戰(zhàn)。在技術(shù)應(yīng)用層面上，云安全防御要基于包含網(wǎng)絡(luò)、主機、應(yīng)用、數(shù)據(jù)、業(yè)務(wù)等多層次的縱深安全防御體系，要基于全局威脅情報的采集與大數(shù)據(jù)的智能分析，在開放的運營管理平臺下實現(xiàn)各種安全產(chǎn)品的協(xié)同工作，實現(xiàn)安全態(tài)勢感知、安全預警、快速響應(yīng)與主動防御。