摘 要
2018 年以后,云计算安全技术进入实际生产高峰期,传统的安全防护逐渐由独立的组件防护转变为安全资源池防护,解决了政务网络和互联网应用传统防护组件繁杂、难管理等诸多问题。围绕软硬件混合安全组件引流编排、多安全资源池管理等创新实践,从问题需求、方案思路、测试验证等方面阐述研究成果。为政务网络和互联网应用在日常安全运维、重大活动网络安全保障、安全服务定制化等多场景、多纵深的安全防护项目提供实践参考,进一步推动形成了国家电子政务外网安全资源池标准体系。
内容目录:
1 安全资源池需求分析
1.1 传统安全保障系统存在的弊端
1.2 传统安全资源池存在的不足
1.3 多场景安全防护需求
1.4 安全资源池组大流量套餐件兼容接口标准需求
2 安全资源池主要功能及接口规范
2.1 安全资源池主要功能梳理
2.2 安全资源池接口规范梳理
3 政务外网安全资源池框架设计
3.1 多安全资源统一管理总体框架设计
3.2 安全资源池安全服务组件网络流量编排
3.3 安全资源池安全服务组件业务编排
3.4 构建多场景下纵深防御能力
4 验证测试
4.1 验证测试环境
4.2 验证测试用例
4.3 验证测试总结
5 结 语
随着电信网络和信息技术,尤其是云服务相关技术的不断演进与发展,越来越多的重要信息系统和业务场景向云平台迁移,云平台聚集了大量的应用系统和数据资源,使得云平台的安全问题成为业界关注的重点 ,发生在我国云平台上的网络安全事件或威胁数大流量套餐量居高不下,如常见的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、后门攻击、网页篡改、木马或僵尸网络感染等威胁。Gartner 公布的云计算安全发展技术成熟度曲线报告显示,2011—2018 年,云计算安全逐渐由催助期、过高期望期、泡沫化低谷期、稳步攀升光明期,过渡到实际生产的高峰期。如今,虚拟化安全、网络安全、数据安全、应用安全、容器安全等云安全保护关键技术逐渐趋于成熟,安全资源池是云计算平台中提供 Web 应用防火墙(Web Application Firewall,WAF)、抗 DDoS、防火墙、入侵检测、漏洞扫描等安全服务的资源集合,并灵活大流量套餐应用于数据中心边界、云安全的各种防护场景。
国家电子政务外网(含互联网区,以下简称“政务外网”)作为支撑各级政府部门开展信息化建设的国家级重要信息基础设施,在近20 年的建设过程中直面各类新型网络安全威胁,持续尝试利用安全新技术解决新的安全风险,满足业务发展的新需求。为应对业务上云、业务需求多样化等新形势,逐渐成熟的安全资源池技术在政务外网环境下具备了较高的实用价值。
在传统政务外网安全防护中,骨干网 / 互联网出口、数据中心边界呈现多种安全防护设备“糖葫芦”串接状态,硬件设备资源独占,性能瓶颈突出,难以满足按需交付、性能弹性扩展、资源灵活迁移的要求,存在安全设备“打补丁”式、“创可贴”式堆砌防护大流量套餐,单点故障冗余解决投入成本高、管理难度大等问题。安全资源池技术将繁杂且碎片化的安全组件集中起来,通过策略集中下发和统一业务编排,为上述问题提供了一种解决方案。但目前该技术仍存在问题,如无法满足政务应用在日常运维、重大活动网络安全保障(以下简称“重保”)、安全服务定制化防护等不同场景中低损耗切换,无法满足政务应用在多层次纵深防御以及安全可靠等方面的要求;同时不同厂家各自为战,其安全资源池无法兼容传统主流安全软硬件组件,缺乏统一安全组件兼容对接标准,无法形成多安全资源池安全防护合力。
此次研究工作重点旨在解决安全资源池能力弹性化较差、硬件资源难以复用、安全服务定制化程度低、跨厂商安全资源池能力难融合大流量套餐等问题,以政务外网数据中心边界场景为例,通过测试验证安全资源池技术的可行性,助力政务外网全面架构转型,为新型集约化、弹性化的安全建设思路提供理论和试点示范依据,切实指导各级政务外网建设单位开展安全资源池建设工作。
1 安全资源池需求分析
1.1 传统安全保障系统存在的弊端
传统安全保障主要以硬件防护设备为主。
(1)边界防护安全设备串接繁杂。政务外网或数据中心互联网出口采用 WAF、防火墙、抗 DDoS 等 10 余种设备串接。
(2)性能扩展存在瓶颈。硬件设备资源独占,难以满足按需交付、性能弹性扩展、资源灵活迁移的要求。
(3)维护成本较高。安全设备“打补丁”式、“创可贴”式堆砌防护,单点故障问题虽可通过大流量套餐冗余解决,但设备部署、系统维护基础设施的费用成本会因此增加。
(4)管理复杂。硬件设备功能各自独立,常常需要堆砌大量硬件设备,给资产管理和安全管理带来很大困难。
(5)难以适应业务场景变化。设备功能单一、部署位置固定、各厂商各品类接口标准化不足、联动配合能力参差不齐,整体安全防护效果难以满足业务安全需求。
1.2 传统安全资源池存在的不足
现有的安全资源池多由安全厂家或云平台厂家提供,存在各自为战、无法兼容第三方安全组件等系列问题。
(1)环境封闭。云安全资源池的部署模式环境封闭,无法满足纵深防御的要求,流量牵引、日志外发困难。
(2)难以与云平台信息共享。在云资源池与云安全资源池异构模式下,云管理与云安大流量套餐全管理割裂,云内资产、虚拟机(Virtual PC,VPC)信息、租户信息难以共享,需要从云管理平台手工导入信息且管理复杂。
(3)安全资源池与传统安全设备不兼容。安全资源池与传统安全硬件之间无法共通,各自为战,缺乏统一标准,无法形成安全合力。
(4)灵活、自动化的多场景纵深防御困难。防护单一、部署位置固定、各厂商各品类接口标准化不足、联动防护能力参差不齐,无法提供多场景纵深的智能防御能力。
1.3 多场景安全防护需求
目前,各级政务网络承载了大量政务应用,业务云化、安全场景多样化带来了新的业务需求。尤其针对政务应用的日常安全运维、重保 [6]、安全服务定制化等多场景安全防护需求日益突出。
(1)重保期大流量套餐间安全防护。在重保期间针对重点保护的政务应用系统进行精细化防护,需要经验丰富的安全运维专家 7×24 小时驻场服务,对攻击告警进行细致地分析,发现威胁后,可以通过相关平台或工具下发阻断策略及时处理威胁。现有保障多采用人海战术,保障前的准备工作、保障后设备管理及人员离场工作都十分烦琐,且资源投入和成本消耗大。
(2)日常安全防护。在日常非重保工作期间,多种边界类安全防护设备的堆叠呈“糖葫芦”式串接状态,缺少面向应用需求提供安全服务的能力,例如非 Web 应用流量也需要流经 WAF设备造成资源消耗和性能瓶颈。
(3)安全服务定制化。部分用户对于边界安全、托管业务安全存在不同的安全需求,在传统的网络安全大流量套餐架构下,无法为用户提供定制化、精细化的安全防护措施。
1.4 安全资源池组件兼容接口标准需求
随着云安全资源池技术的发展和实践,形成了以云平台厂商和安全厂家为主的两类安全资源池。其中,云平台厂商提供的安全资源池与云平台紧耦合,相关安全资源池能力直接由云平台自身提供,不同的云平台厂家提供的安全资源池组件对接标准各有不同,尤其在云内安全资源池应用方面,其安全资源池对接的安全组件主要是战略合作伙伴或生态伙伴的安全组件,在为用户提供安全服务时,存在安全组件选择受限的情况。安全厂家提供的安全资源池平台多以集成自身安全组件为主,与云平台厂家相比,安全厂家提供的安全资源池平台安全组件以数据中心边界、外部引流防护大流量套餐的安全资源池独立部署为主。以上两种安全资源池均存在兼容第三方安全组件接口标准不统一,针对逻辑串联组件引流控制接口缺乏,安全组件策略下发等服务接口不一致等问题。
2 安全资源池主要功能及接口规范
2.1 安全资源池主要功能梳理
基于项目测试与应用实践契机,本文对国内主流厂家的安全资源池主要功能进行了分析梳理,其主要情况如表 1 所示。
表 1 主流安全资源池的主要功能
续表
2.2 安全资源池接口规范梳理
参考 GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》、GW 0013—2017《国家电子政务外网标准大流量套餐 政务云安全要求》、GW 0102—2014《国家电子政务外网标准 国家电子政务外网信息安全标准化工作规范》相关要求,围绕安全资源池兼容对接安全组件、安全策略管理和业务编排安全组件,以及被安全资源池管理平台统一纳管时的通信规范、安全组件服务编排接口、安全组件引流控制接口、安全服务组件控制接口等内容,为政务外网或互联网安全资源池的规划设计、设备选型、建设实施提供统一接口标准规范参考。
2.2.1 通信规范要点梳理
(1) 通 信 协 议。安 全 资 源 池 建 议 采 用HTTPS v1.1(RFC 2616)通信协议进行通信传输,支持 TLSv1.0、TLSv1.1、TLSv1.2 协议,支持加密大流量套餐算法套件等功能。
(2)编码格式。请求 / 响应报文建议使用JS 对象简谱(JavaScript Object Notation,JSON)报 文, 媒 体 类 型 标 识 为 application/json, 所 有API 推荐均使用 UTF-8 编码。
(3)URL 说明。URL 结构定义包含 schema采用 https,提供 API 服务的主机名称(或 IP)以及端口、版本号、操作的目标资源的路径。
(4)请求说明。明确获取资源、新建资源、修改资源、删除资源等定义说明,针对资源进行的操作必须符合 HTTPS 规范定义。
(5)状态码说明。定义请求成功正常返回,语义有误,令牌认证失败,接受请求大流量套餐但拒绝执行,资源未找到请求失败,请求的资源状态冲突,遇到未知情况等状态,统一安全资源池接口。
(6)其他规范。定义安全资源池单点登录规范说明,安全资源池管理平台到各安全服务组件的单点登录遵循中央认证服务(Central Authentication Service,CAS)协议。CAS 提供登录页面的 URL,如 https://IP:PORT/cas/login;CAS 提 供 验 证 服 务 的 URL, 如
https://IP:PORT/cas/service Validate, 其 中 IP、PORT 分 别 表 示CAS Server 的服务 IP 和端口。2.2.2 安全组件服务编排大流量套餐接口要点梳理
安全资源池中对安全组件服务编排主要实现对安全组件的增、删、改、查等功能,及时刷新组件对应的防护对象信息,其接口要点包括但不限于下发用户的防护对象信息,新增 / 修改 / 删除用户的防护对象信息,查询所有安全服务规格及安全服务组件的信息,创建安全服务组件,删除安全服务组件,查询任务执行状态,查询组件运行状态,以及针对用户防护对象设置需要启用哪些安全服务组件等描述。
2.2.3 安全组件引流控制接口要点梳理
安全资源池引流控制接口主要考虑针对安全组件配置流量牵引策略、配置阻断策略等接口函数描述。其中,配置引流牵引策略主要考虑用户 ID、逻辑网络 ID、流量五元组、IP 协议族、每一跳节点信大流量套餐息、节点序号、传输协议等内容;配置阻断策略主要考虑策略描述、启用 / 禁用标识、双向阻断标识、用户 ID、逻辑网络 ID、阻断流量五元组、IP 协议族、传输协议等内容。
2.2.4 安全服务组件控制接口要点梳理
不同安全组件在安全资源池中的控制接口要点有所区别,如防火墙和入侵防御主要考虑添加阻断策略、修改阻断策略、删除阻断策略、查询阻断策略等的接口描述。WAF 和抗 DDoS安全组件分别针对防护网站和防护 IP 段,主要考虑配置防护、查询防护的接口描述。主机安全加固组件主要考虑查询主机、执行 / 停止病毒扫描、查询病毒扫描结果、查询或修改文件 / 进程白名单、隔离 / 删除病毒文件、终止 / 启动大流量套餐主机进程等接口描述。
3 政务外网安全资源池框架设计
3.1 多安全资源统一管理总体框架设计
针对传统安全防护体系存在的扩展能力差、硬件资源难以复用、安全服务定制化程度低等问题,本文尝试以 SDN 技术为基础,在安全资源池内融合多种安全组件,以面向业务按需分配能力的方式提出解决方案。通过构建安全资源池管理平台,统筹纳管多个厂商的安全资源池及组件,下发安全资源池统一策略管控、业务编排指令,满足政务业务应用在重保场景、非重保场景以及安全服务定制化等多个场景的安全防护需求。多安全资源池统一管理总体框架如图 1 所示。
图 1 多安全资源池统一管理总体框架
总体框架包含安全资源池和安全资源池管理平台两部分。安全资大流量套餐源池由安全资源池 A、安全资源池 B 和安全资源池 C 组成,每个安全资源池呈现的软硬件状态有所不同。
安全资源池 A 为纯硬件安全组件的安全资源池,主要包含硬件防火墙、抗 DDoS、入侵防御设备,因硬件安全设备较软件安全组件更具防护性能优势,因此该类安全资源池主要部署在骨干网 / 互联网出口,侧重南北向流量安全防护,且以逻辑串联安全组件为主。
安全资源池 B 为软硬件混合安全组件的安全资源池,主要包含防火墙、入侵防御、WAF等安全组件,该类安全资源池可独立部署硬件设备,也可以由云资源提供底层基础设施,主要部署在数据中心边界或数据中心云平台旁挂,侧重南北向或东西向流量安全防护,以逻辑串联、网络可达大流量套餐的安全组件为主。
安全资源池 C 为纯软件安全组件的安全资源池,主要包含 vWAF、vIPS、vIDS、主机安全防护、主机安全监测、数据库加密、漏洞扫描、云堡垒机、配置核查等安全组件,主要部署在数据中心云平台内部,侧重云平台东西向流量安全防护,以逻辑串联、网络可达、插件部署、镜像拷贝等形式部署的安全组件为主。
安全资源池管理平台主要实现对安全资源池 A、安全资源池 B 和安全资源池 C 的统一管理,包含可视化展示、安全策略配置、安全服务编排、安全状态监测等功能。安全资源池管理平台对接多个安全资源池,支持对各个资源池安全组件管理、策略配置、流量编排和策略下发;实时监控安全资源池和各安全组件的运行状态大流量套餐,对安全资源池和各安全组件进行统一管理和集中展现;实时采集各安全组件的安全防护结果信息,进行实时防护状态展示,支撑运维人员实时了解安全资源池和各安全组件的运行状态及防护情况。
3.2 安全资源池安全服务组件网络流量编排
本文重点关注纯硬件安全组件、纯软件安全组件、软硬件混合安全组件 3 种网络流量编排。安全资源池管理平台针对政务外网用户提出的应用安全防护申请,结合安全资源池安全组件资源,可以实现安全服务组件的流量编排,主要分为 4 个步骤,如图 2 所示。
图 2 安全资源池混合组件网络引流编排
步骤 1:安全资源池管理平台将用户提交的应用防护需求转化为基于安全资源池组件的防护策略,形成编排业务链。针大流量套餐对纯硬件安全组件编排,需要通过 SDN 控制器下发对应的OpenFlow 给 SDN 交换机。针对纯软件安全组件编排,一方面需要通过 SDN 控制器下发对应的OpenFlow 给 SDN 交换机;另一方面还需要通过安全控制器向软件安全资源池引流控制模型下发引流编排参数。
步骤 2:SDN 交换机基于引流控制参数实现安全硬件设备引流,在此过程中将软件安全资源池当作一个硬件黑盒进行引流。硬件安全资源池可以虚拟化多个安全组件,若存在安全组件跨宿主机的情况,还需借助接入交换机来实现跨宿主机的引流。
步骤 3:对于软件安全资源池中的安全组件引流,需要虚拟路由器结合安全资源池管理平台,通过安全控制器下发的引流大流量套餐策略来实现软件安全组件网络引流动作。
步骤 4:最后将完成清洗的流量返回 SDN交换机,再由 SDN 交换机将流量牵引到下一个节点对象。
3.3 安全资源池安全服务组件业务编排
安全资源池管理平台可通过安全资源池的安全控制器实现对安全组件的业务编排,包括安全组件管理、安全策略配置、单点登录功能、安全服务编排和安全组件监测等业务编排功能。
(1)安全组件管理。安全组件管理包括安全组件的创建、增加、删除、修改、查询等功能,可实现安全组件数量扩容,在第三方安全硬件满足 API 接口要求时,可兼容第三方安全组件。安全资源池控制器可同步安全服务组件规格信息。
(2)安全策略配置。安全策略配置主要实现对安全服务组件大流量套餐初始化配置和常规策略配置。可通过单点登录对软硬件组件进行统一配置,支持对安全组件的升级更新,支持安全组件配置一键导入导出、按周期定时导出。
(3)单点登录功能。采用标准的 CAS 协议,安全资源池管理平台与安全控制器可实现两级单点登录功能。对于组件级别,基于安全控制器跳转,通过标准接口对接,能够实现到各安全服务组件的单点登录。
(4)安全服务编排。通过安全资源池管理平台实现用户安全资源的服务链配置,支持灵活选择源、安全服务节点和目的,支持安全路径的自定义,支持通过 netconf [ 基于可扩展标记语言(eXtensible Markup Language,XML)的网络配置协议 ] 协议接管交换大流量套餐机自动配置引流策略,可跟随租户业务变化,自动更新对应交换机的策略。
(5)安全资源监测。在安全控制器上可集中查看分支节点的资源利用率(包括 CPU、内存、磁盘利用率、存储使用状况),可按区域维度展示监控资源占用情况,并对授权服务到期、网络故障以及主机资源不足的安全组件进行集中告警,可实时采集安全资源池内安全组件的运行状态、资源使用情况、防护状态和业务流量情况。
3.4 构建多场景下纵深防御能力
政务应用数据流量通常会流经骨干网 / 互联网出口、数据中心边界、云平台等多层区域。通过在各层分别部署具备不同能力组件的安全资源池,为政务应用提供安全服务,以此构建政务外网纵深安全防御体系。
非重保业务应用安全资大流量套餐源池防护如图 3 所示,在非重保场景下,应用在安全资源池 A 中无防护,在安全资源池 B 中进行防火墙防护,在安全资源池 C 中进行虚拟 IPS 防护。重保业务应用安全资源池防护如图 4 所示,在重保场景下,应用在安全资源池 A 中进行抗 DDoS 和防火墙防护,在安全资源池 B 中进行防火墙和WAF 防护,在安全资源池 C 中进行虚拟防火墙、虚拟 IPS 和安全审计防护。
图 3 非重保业务应用安全资源池防护
图 4 重保业务应用安全资源池防护
4 验证测试
基于政务外网应用安全防护需求,通过搭建测试环境,定制开发安全资源池管理平台、安全资源池及安全组件接口,验证安全组件的安全策略下发、安全引流编排、大流量套餐安全组件管理、接口规范性等可行性。
4.1 验证测试环境
安全资源池管理测试验证如图 5 所示,包含安全资源池区域、管理与控制区域、政务应用业务区域、访问端区域和网络区域。为了同时验证多安全资源池管理和软硬件安全资源池混合组件编排,安全资源池区域分为硬件安全资源池和软件安全资源池,两个资源池为不同的品牌厂商,且软件安全资源池的组件为不同的品牌厂家。
图 5 安全资源池管理测试验证
测试应用包括视频应用和 Web 应用,其中视频应用只经过安全资源池中的防火墙设备,Web 应用经过安全资源池中的所有组件,应用环境测试资源需求如表 2 所示。
表 2 应用环境测试资源需求
测试网络环境资源包含路由器、核心交换机大流量套餐、SDN 交换机、管理交换机、接入交换机和网线等资源,验证测试网络环境资源需求如表 3 所示。
表 3 验证测试网络环境资源需求
续表
安全资源池测试资源需求包括安全资源池管理平台、硬件安全资源池、软件安全资源池等资源需求。详设需求如表 4、表 5 和表 6 所示。
表 4 安全资源池管理平台资源需求
表 5 硬件安全资源池资源需求
表 6 软件安全资源池资源需求
4.2 验证测试用例
验证测试用例包含添加租户及防护对象、安全组件管理、安全策略配置、单点登录功能、安全服务编排和安全组件监测等测试要点。
测试用例 1:添加租户和防护对象。
在安全资源池管理平台上添加租户及防护对象,如图 6 所示。租户信息包括姓名、大流量套餐登录名、所属组织机构、联系电话、电子邮箱、备注。防护对象信息包括对象名称、IP 地址范围、对象描述。
图 6 安全资源池管理平台添加租户和防护对象
测试用例 2:安全控制器单点登录。
安全资源池管理平台通过安全资源池安全控制器可登录硬件安全资源池或软件安全资源池,并通过跳转页面实现对安全组件的管理。
测试用例 3:软件安全资源池安全服务组件编排。
视频业务流量经过虚拟防火墙,Web 业务流量经过入侵检测系统 vIPS、虚拟防火墙 vFW,测试安全服务组件安全策略下发、引流是否成功。软件安全资源池安全服务组件编排如图 7 所示。
图 7 软件安全资源池安全服务组件编排
测试用例 4:硬件安全资源池安全服务组件大流量套餐编排。
测试硬件安全资源池的组件服务编排能力,验证视频业务应用流经过防火墙,验证 Web 业务应用流依次经过防火墙、抗 DDoS。硬件安全资源池安全服务组件编排如图 8 所示。
图 8 硬件安全资源池安全服务组件编排
测试用例 5:软硬件(多)安全资源池服务组件编排。
测试安全资源池管理平台对政务外网应用安全防护可经过多个安全资源池的组件业务编排,同时验证软硬件安全资源池混合组件编排功能。多安全资源池安全服务组件编排如图 9 所示。
图 9 多安全资源池安全服务组件编排
4.3 验证测试总结
测试用例 1 和用例 2 的测试结果验证了安全资源池安全组件的管理功能。测试用例 3、用例4 和用例 5 的测试结果大流量套餐验证了安全组件安全策略下发、安全引流编排的功能可行性,同时验证了安全组件服务编排接口、安全组件引流控制接口和安全服务组件控制接口等接口规范可行性。
通过自动化的安全资源池组件服务编排,在用户信息防护策略明确和资源满足的情况下,可大大节约政务应用在重保场景下的安全策略下发、安全服务链切换的业务防护时间,经过测试可在小时级(1~3 个小时)完成,与传统安全资源池重保防护新增安全硬件组件或安全软件组件需要耗费数天时间相比,效率提升了数倍。
5 结 语
本文主要针对当前政务网络安全资源池的防护需求和当前安全资源池技术应用痛点进行了分析,旨在帮助读者全面、综合地了解安全资源池的最新应用方向及实现形式。本文围绕“大流量套餐标准制定、理论验证、试点先行”的工作思路,提出构建安全资源池管理平台对接各层安全资源池,将多个安全资源池进行有机结合,形成统一的安全资源池管理能力,提高云安全建设效率和利用率,从而提升重保和非重保等多场景下政务应用云防护能力的技术路线,为解决传统安全防护系统扩展能力差、硬件资源难以复用、定制化程度低等问题提供了一种方案。同时,测试结果表明,多厂商安全资源池的能力融合具备可行性,通过制定行业安全资源池技术标准,一方面可以指导安全厂商开发出满足行业需求的安全产品,增强市场竞争力;另一方面可以满足各级政务网络运营单位实现安全能力差异化按需部署,避免单一化采购带来的风险,降低工程建设期的定制开发工作量大流量套餐。
引用格式:程子栋 . 安全资源池安全组件服务编排研究与实践分析 [J]. 信息安全与通信保密 ,2023(6):66-80.
作者简介 >>>
程子栋,男,硕士、工程师,主要研究方向为网络安全、数据安全、密码应用安全。
选自《信息安全与通信保密》2023年第6期(为便于排版,已省去原文参考文献)
友情提醒: 请添加客服微信进行免费领取流量卡!
QQ交流群:226333560 站长微信:qgzmt2
原创文章,作者:sunyaqun,如若转载,请注明出处:https://www.dallk.cn/55294.html
