4.5 加强云计算边界安全

4.5.1 云计算边界定义

云计算边界通常理解为云计算网络与其他网络的分界线，是一朵云的重要组成部分，负责对云计算的网络流量进行最初及最后的过滤，对云平台中的开放公共服务进行保护，因此云边界安全对于云计算安全意义重大。

对云边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。通常一朵云有多个网络边界，可分为互联网连接区、广域网连接区、城域网管理区、云计算区、网络管理区。针对不同边界的安全防护措施和级别也不一样，GB/T 20271—2006《信息安全技术信息系统通用安全技术要求》对于边界安全防护采用的安全机制和措施分为四种安全防护级别：

①基本安全防护；

②较严格安全防护；

③严格安全防护；

④特别安全防护。

4.5.2 云边界面临的安全风险

当前网络安全威胁防不胜防，云计算平台承载着大量租户应用，面临的安全威胁呈现全天候、常态化特征，攻击源遍布国内外，除了来自互联网和广域网的攻击威胁之外，城域网和数据中心区也同样面临攻击威胁：

①云计算平台或某个租户业务遭遇大流量DDoS攻击时导致网络或业务中断，甚至导致云计算平台全部瘫痪；

②云计算平台漏洞被黑客入侵，导致云计算平台上的所有业务都被控制；

③云计算平台中某个用户业务被黑客入侵成功，通过该业务作为跳板导致其他租户业务被入侵成功，从而造成篡改、信息泄露、业务不可用等严重问题；

④租户业务服务器被入侵成功后，沦为黑客“肉机”，对外网发起挖矿、恶意攻击等“黑产行为”；

⑤单台虚拟机被入侵后对整片虚拟机进行渗透攻击，并导致病毒等恶意行为在网络内传播蔓延；

⑥服务器被非法访问、端口扫描、入侵攻击；

⑦云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源；

⑧内部用户或内部网络的非法外联；

⑨内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等；

⑩高级持续性威胁，利用先进的攻击手段对特定目标进行长期持续性的网络攻击的攻击形式，传统安全手段难以发现。

4.5.3 云边界安全技术思路

在互联网连接区采用特别安全防护措施，从资产测绘、安全监测、安全防护、情报分析、安全运营等多个维度对云计算边界进行安全防护，通过云安全监测能力进行资产测绘、云漏洞扫描、事件监测及内容监测，帮助云平台及云开放业务主动发现安全问题，在云计算边界部署DDoS防护、防火墙、IPS、WAF等安全防护系统，从网络层、应用层、主机层等多个层面进行全方位安全防护，并联动云安全防护，当攻击流量超过本地最大承载能力时，可无缝、快速切换到云端进行清洗，同时结合云端威胁情报过滤恶意攻击源、黑客组织、追踪溯源。

针对城域网连接区、广域网连接区、云计算区、互联网连接区、网络管理区采用严格安全防护措施，部署防火墙和流量监测系统，用于访问控制、区域隔离及流量监测，对几个区域进行实时监控与风险预警。云边界安全防护如图4-6所示。

4.5.4 云边界安全体系建设内容

1．云边界安全体系架构

云边界安全体系，如图4-7所示，其中包括云资产测绘、云安全监测、云安全防护、威胁情报，以及安全运营五大安全体系。

云资产测绘将云边界资产盘清，包括网络设备、安全设备、业务系统、主机等资产，以云边界资产为视角，全面展开对资产变更、风险、状态进行持续监控，实现云边界摸清家底。

云安全监测对云边界及云资产进行扫描监测，主动发现安全漏洞、篡改、暗链、钓鱼、断网、不良信息等安全问题。

云安全防护对云边界网络、应用、主机等多个层面进行安全防护，防护边界不受DDoS攻击、入侵攻击、安全扫描、网站篡改、信息窃取、非法访问等攻击影响，并在紧急情况下联动云端进行快速防护。

威胁情报可将情报共享到云资产测绘、云安全监测、云安全防护三大体系中，提升资产测绘能力、安全监测能力和安全防护能力，实现提前防护、提前预知、提前处置，避免安全风险。

安全运营针对云资产测绘、云安全监测、云安全防护、威胁情报等多个安全体系进行统一分析、统一管理，并结合7×24小时服务能力，实现应急处置、安全通报、重保值守、人机对抗等安全能力，为云边界安全体系提供运维保障。

2．云边界安全测绘体系

在传统的网络边界安全防护中，一般是按照资源的重要程度对区域进行划分，各个区域之间的边界清晰明确，在不同的区域可采取不同的边界防护措施。但是在云计算环境下，由于大量运用虚拟化技术和资源池化技术，使得云计算环境下服务器、存储设备和网络设备等硬件基础设施高度整合，多个系统同时运行在同一个物理设备上，传统的网络边界被打破，网络间不存在可控的物理边界，只有逻辑上的划分。

传统系统通过物理层面和逻辑层面上划分安全域，可以清晰地定义安全边界和保护目标。由于云系统用户数量庞大，数据存放分散，安全边界区域模糊，传统基于物理安全边界的防护机制在云计算环境下难以奏效，很难为用户提供充分的安全保障。

在虚机环境下，由于一台物理服务器虚拟成多台虚拟机之后，虚拟机之间的数据交换是在物理服务器内部完成的，但从安全的角度出发，不同的虚拟机也会像物理服务器一样划分到不同的安全域，采取不同的边界隔离。对云边界进行安全测绘，就是要对部署在云环境下的各类资源进行探测和分类，掌握云资源底数，哪些是应用系统，哪些是安全产品，在摸清资产底数的同时，对资产存在的安全风险进行监测，发现云边界安全短板，及时进行加固整改。

云平台存在海量数据资产，如何对资产进行测绘和管理，这就需要云平台服务商、企业具备一定的资产探测能力、理解资产属性，在此基础上形成数据治理体系，涵盖资产基础数据、威胁隐患数据、安全事件数据等，建立云平台资产完整性、系统性画像。常见的资产测绘方法主要有以下几种。

①网络流量资产识别。通过对云平台出口流量分析，可自动学习和发现流量中出现的Web服务资产信息。

②互联网爬行识别。采用爬虫引擎对暴露在互联网上的网络资产进行探测和分析，快速识别以公网IP接入互联网的物联网设备、工控设备、网站及应用系统的存活情况、开放端口、组件等信息。

③云端关键字或内容关联识别。通过以单位名称、业务系统名称、备案信息等作为关键词，对云平台资产数据进行关键字匹配，识别筛选出相关联资产。

④资产状态监测。对纳入管理的资产进行状态监测，包括安全性、服务可用性、资产变更、备案及更新等内容。安全性包括资产的主机漏洞、Web漏洞、安全事件、敏感词汇、失陷事件、信息泄露等安全风险监测。服务可用性包括主机存活状态、业务系统服务可用性、内容可用性等。发现资产异常及时通过短信、邮件等方式进行告警，提示运维人员进行处置。

⑤资产指纹识别。对云平台信息系统的指纹信息识别与维护，主要通过对网站返回的响应头部字段，页面URL特征，页面中的插件特征等进行识别判断，也可以人工维护多类指纹，包括但不限于如下信息：Web容器指纹、开发语言、开发框架、CMS、开放端口信息等。

3．云边界安全监测体系

（1）主动监测体系

国家计算机网络应急技术处理协调中心（CNCERT）发布的《2018年中国互联网网络安全报告》中显示，云平台已成为网络黑客的关注重点，是网络攻击的“重灾区”，云平台面临的安全威胁主要有DDoS攻击、网页篡改、挂马和Webshell等。建立云平台安全风险的主动监测体系，包括对上云业务系统的漏洞监测、暗链监测、篡改监测、挂马和后门监测、可用性监测等内容，全方位监测发现网站的安全风险、安全事件，保证监测数据的准确性和有效性，建立有效的监测预警机制。

通过大数据扫描平台和分布式计算网络，结合云平台信息系统基础数据，周期性地快速实现云平台大批量云租户业务系统、网络主机的安全风险扫描任务，及时快速发现定位网络安全漏洞问题的存在与网络安全事件的发生，并提供包括问题验证、事件调查、问题和事件通报、事件处置的全流程服务。

建立并完善信息系统指纹信息后，作为0day预警的基础信息，当互联网发生0day漏洞，专家团队会对0day漏洞进行分析，判断其影响的范围，通过云端大数据快速定位到可能受影响的网站和系统，再根据精准的POC策略检测，对用户进行精准的定位是否受0day影响，然后由大数据预警引擎对受影响的用户进行定向通报，以督促受影响单位进行主动防御，摆脱以往的“广播式”预警容易被忽略等困境，实现可落地的预警与风险整改督促，最后形成行业0day预警分析材料。

（2）被动监测体系

对分光或镜像流量进行检测分析，监测内容包括病毒、木马、蠕虫等恶意流量、恶意攻击流量，可针对重点关注的应用或协议进行分析。

部署方式：APT攻击探针采用旁路镜像或分光的网络部署模式，部署在各个关键网络节点，不影响网络拓扑和业务系统的运行。

功能实现：

①Web攻击检测。Web攻击检测模块针对各种基于Web的APT攻击行为进行检测，产品具备业界最成熟全面的Web漏洞检测特征库，同时支持其他Web检测产品不具备的Webshell攻击检测、Web传输恶意文件检测和Web动态行为分析，深入发现所有已知的和未知的基于Web的APT攻击行为。

②邮件攻击检测。对各种基于邮件的APT攻击行为进行检测，产品支持各种基于Webmail的漏洞攻击检测和基于邮件附件的恶意文件传输行为检测，同时还具备基于邮件头欺骗、发件人欺骗、邮件钓鱼、恶意链接等邮件欺骗行为检测，确保发现所有基于邮件的APT攻击行为。

③文件攻击检测。针对各种基于文件的APT攻击行为进行检测，产品集成了全面的恶意文件检测特征库、具有多项专利性能业界领先的沙箱检测技术、特有的Shellcode检测技术，通过多维度提取攻击行为，快速有效地发现用户网络中各种病毒、木马、蠕虫等恶意威胁。

④DNS异常流量检测。DNS异常流量检测模块支持DNS协议解析，识别并记录DNS协议异常。基于DGA域名请求的识别能力，对DNS流量进行分析，检测出僵木蠕感染主机、C&C回连IP和域名，有效定位网络内部已经被僵尸/木马控制的主机。

综合分析：综合分析模块基于海量数据，采取多维度关联分析、行为关联分析、日志报表综合分析，提供更全面的分析能力，发现更为隐蔽的APT攻击行为，感知威胁态势。根据文件攻击检测、Web攻击检测、邮件攻击检测、DNS异常流量检测的结果，以及访问行为等，分析多个攻击行为之间的关联性，还原真实攻击路线，并以直观的形式展示，识别非持续性的威胁，提取真正的APT攻击，快速识别定位内部被感染的僵尸主机。

4．云边界安全防护体系

通过集群方式部署DDoS攻击防护设备，主要针对外网DDoS流量攻击进行清洗，确保外网业务可以正常运行，可满足等级保护三级“网络和通信安全”中入侵防范要求。

DDoS攻击是网站最常见的攻击方式，近年来，随着攻击流量峰值的屡创新高，TB级攻击屡见不鲜，2018年和2019年攻击峰值已近2TB/s，DDoS攻击已进入TB级别，对单台设备的防护能力要求越来越高，原来靠堆设备的方法已经不再适用。

上述方案通过流量清洗设备进行防护，但是在防护过程中，如果攻击流量远高于用户带宽，无论流量清洗设备在防火墙后端如何进行清洗，用户的带宽已经被打满，站点无法接受正常请求。因此通过使用云防护平台联动防御的方式，在DDoS攻击到达网站前就通过全国的负载分担进行流量清洗，同时通过云防护平台中心的流量建模算法进行流量过滤，全面防御大流量DDoS攻击。

（1）网络入侵防护系统

云计算技术推动着IT快速发展，业务系统入云（政务云、公有云等）已经成为各组织单位的首要选择，但是入云后也带来一系列的安全责任和安全问题。业务入云后，传统安全边界机制失效，导致用户对边界安全失去掌控。

几年前，几乎所有文章都说“边界已死，不用管防火墙了”。这一理念流行了一段时间后，“哎呀，你真的还需要照看好防火墙哦”。在平台边界和服务器区前端部署硬件防火墙，用于防护大流量攻击需求，减少云安全资源池的压力，并对出口的规则做双重限制。防火墙的ACL要能够提供基于源/目的IP，源端口，源/目的区域，用户（组），应用/服务类型，时间组的访问控制。防火墙ACL的应用可以应用于防火墙端口的进出流量，也可以应用于不同的域间。因此，针对用户访问控制，需要必备的网络层面实现了较为细粒度的安全访问控制。

（2）Web防护系统

电子政务的推广，各个单位机构将自身的Web应用系统托管在政务云上来提供互联网服务，那么随着这种模式的普及，导致云边界又出现了新的变化，将互联网业务直接暴露在公网上，而且业务云化之后带来新的困扰——用户无法部署单独的硬件设备，那么针对此类云上的Web安全问题目前主流的可以采用云端SaaS化的解决方案。图4-8所示是Web防护系统工作原理。

采用零部署云防护方案，用户无须部署任何安全设备，只需将DNS映射至玄武盾CNAME别名地址解析为玄武盾DNS服务器即可开启防护，可从以下几个方面针对Web应用系统进行实时安全防护。

①HTTP协议规范性检查：检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击及对高危文件的访问等，黑客在使用非浏览器工具调试时可迅速拦截。

②Webshell检测：对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问，并对已经上传的Webshell进行拦截。

③注入攻击防护：对用户提交的URL、参数、Cookie等字段进行检查，采用SQL语义解析技术防止风险系数极高的SQL注入攻击，采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的检测，有效地防护了对操作系统和应用的注入攻击。

④跨站脚本攻击防护：采用字符差分技术对用户提交的脚本进行检查，防止不合法跨站脚本，防护存储型、反射型和DOM型跨站。

⑤信息泄露防护：对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤，防止服务器信息被黑客利用进行有效攻击，并对身份证、手机号等敏感信息进行脱敏处理。

⑥第三方组件漏洞防护：对Web服务器容器、应用中间件、CMS系统等漏洞进行有效防护。

⑦CSRF跨站请求伪造防护：通过Referer算法和Token算法有效对CSRF攻击进行防护。

⑧防盗链：通过Referer和Cookie算法有效防止非法外链和对用户资源内容的盗链。

（3）威胁情报系统

《孙子兵法》曾提出“知己知彼，百战不殆”，言简意赅地指出了情报的重要性，情报就是线索，威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。所谓的威胁情报就是帮助我们发现威胁，并进行处置的相应知识。

过去，我们将太多的精力放在实时防御上，但并没有将威胁完全挡住，这个时代已经过去了。我们需要建立一个完整的防御体系，从防御、检测到响应，甚至通过威胁情报将攻击事件的预测做起来，而这一切的核心就是要掌握海量的数据，并具备强大的数据分析能力。威胁情报，是面向新的威胁形式，防御思路从过去的基于漏洞为中心的方法，进化成基于威胁为中心的方法的必然结果，它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

在政务云边界的安全性方面，我们也要充分利用威胁情报给我们带来的价值，将威胁情报贯穿于事前监测、事中防护、事后审计整个安全治理周期中。

（4）IPv6升级改造及防护

通过IPv6升级改造技术，实现IPv4/IPv6双栈转换，为用户从IPv4向IPv6的转换升级提供快速解决方案，对于目前暂不支持IPv6流量访问的网站，可通过DNS映射至云防护，由云防护提供IPv4/IPv6双栈解析，访问流量到达云防护后，再通过IPv4协议进行回源，快速实现支持IPv6云转换服务，满足网络改造要求。IPv6升级转换如图4-9所示。

在网站已经完成IPv6升级改造的情况下，通过接入玄武盾即可实现IPv6安全防护和访问加速。玄武盾通过在全国各地部署IPv4/IPv6双协议栈安全防护与加速节点提供服务，用户只需将网站别名解析到玄武盾云防护节点即可完成业务系统的安全防护。来自IPv4/IPv6的访问流量，都将通过玄武盾智能DNS系统解析到玄武盾云防护节点，对恶意访问和流量攻击进行实时拦截清洗，保证网站服务器的安全性和稳定性。图4-10所示为玄武盾防护原理。

5．云边界安全运营体系

随着组织机构业务的持续发展，安全环境越来越复杂，组织机构面临的安全问题也在不断增加。除了被动地提高防御能力和升级安全措施，还需要进一步提高安全运营水平。安全运营针对安全需求，要以安全为目的，实现运营过程的统筹管理，是信息安全发展的必经之路。只有把“安全”实实在在地“运营”起来，才能有效地提升城市安全管理效率，助力城市的数字化转型。在安全运营中，人员、数据、流程都是三大核心要素，只有将这些要素有机结合，才能充分保障安全运营体系的高效运转。

第一核心要素：人员。

安全的本质是人与人的对抗，人既是问题的根源，也是解决问题的核心和关键。安全运营中最重要的因素还是人，“人”是整个网络安全体系中最薄弱的一个环节，缺乏足够的人才来运营，就难以与IT、业务、管理层和监管等部门进行有机的联动，就无法发挥安全工具和平台的价值。只有不断提升安全运营人员的能力，才能更好地达到人机共治的安全架构体系。2017年实施的《中华人民共和国网络安全法》，着重强调了网络安全人才培养。只有加强信息网络安全人才队伍的建设，才能提高组织的网络安全运营能力，建立网络安全保障体系，提高安全保护能力。

第二核心要素：数据。

数据分析能力是未来安全运营的分水岭。高效的数据收集与分析、精准的数据解读及安全运营团队多个方面的密切、有机结合对安全运营起到了强有力的支撑作用。安全运营工作中数据分析可以从区域安全态势分析、攻击追踪溯源分析、行业安全汇总分析三个方面着手，精准的数据分析为城市安全运营提供了更准确的态势评估及指挥调度，为网络安全管理工作提供统一指挥、调度支撑，对重点时期、关键系统结合移动终端可直接指挥调度一线应急人员及应急资源储备等。

第三核心要素：流程。

一个完整的流程主要包含三个要素：任务流向、任务交接和推动力量。在城市安全运营工作中，建立一套合理有效的流程可以从如下几个方面着手搭建：梳理安全运营目标、明确工作范围、设计事件响应流程、组建运营组织机构、融合安全运营平台。通过规范运营工作过程中各环节的作业标准，可以帮助组织达到精细化、标准化的目标，从而使安全工作得到保证，效率得到提高，确保安全运营工作形成完整闭环。

---

[1]AD：Active Directory，活动目录。

[2]LDAP：Lightweight Directory Access Protocol，轻量级目录访问服务协议。

[3]RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统。