云架構網絡安全設計探討

導語：云架構網絡安全設計探討一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：目的：基于西北空管局數據平臺的架構，探索云架構下的網絡安全設計。方法：利用虛擬私有云（VirtualPrivateCloud，以下簡稱VPC）與子網的劃分，安全組與網絡ACL（訪問控制列表）的配置，虛擬專用網絡（VPN）隧道的搭建，主機安全服務，在數據上云，數據解析入庫，數據應用服務，遠程運維全流程進行安全防護。結果：云上數據及業務安全得到了有效保障。結論：通過云安全組件和安全策略配置，可以實現云架構下的網絡安全。

關鍵詞：云架構；數據平臺；網絡安全；VPC；ACL；安全組；VPN

民航空管行業長久以來一直注重網絡安全的建設與保障。隨著云計算、大數據、物聯網、人工智能等新技術的出現與發展，網絡安全已經不在限于對網絡傳輸層面的保障，數據安全的重要性日益凸顯。西北空管局按照高質量發展的要求，大力推進“強安全、強效率、強智慧、強協同”的現代化空管體系建設。為了做好“強智慧”的相關內容，西北空管局數字化轉型團隊通過不斷的嘗試與探索，設計了基于云架構的數據運行平臺。設計不僅包括數據平臺涉及的組件選型、性能等技術指標，數據治理和業務架構等業務指標，網絡安全及數據安全也是其中的重要部分。基于云的數據平臺在技術上是先進可行的，也是未來發展的方向，但是在云架構下如何保障業務數據的安全穩定是需要面對的全新問題。通過研究云上相關安全組件和安全服務，提供云架構下網絡安全與數據安全的建設保障思路。

1西北空管局專屬云架構設計

西北空管局的生產業務數據先引接至數據代理轉發平臺，該數據代理轉發平臺采用在Linux系統上搭建開源Ngnix代理程序的方式，實現數據轉發代理功能。經轉發平臺代理后數據通過IPSecVPN專線上云至ELB組件，加強數據負載均衡能力，提高數據可靠性及連續性。之后，數據接入部署在CCE容器中的數據解析程序，將原始業務數據解析成JSON格式數據。根據前端業務場景對數據需求的不同，通過KAFKA、Flink、數據集成平臺分別進行轉發。部分JSON數據直接通過數據集成平臺提供數據服務，全量數據通過Flink進行入庫操作，根據時效性需求分別存入實時性數據庫（TP場景）和分析性數據庫（AP場景），TP場景選取Postgres數據庫搭建，AP場景選取GauseDB數據庫搭建。前端應用程序部署在云服務器上，根據需要從AP或TP數據庫獲取數據，對外提供服務.同時，西北空管局還涉及一部分不依賴于業務數據的系統，這類系統大多為政務類獨立系統，根據西北空管局數字化轉型頂層規劃，這類系統需逐步遷移至云上，不再采用傳統獨立服務器部署的方式。對于這類系統，在云上單獨租用了部分云主機，以系統為單位劃分，將各個系統的核心軟件程序，數據庫，APP部署在指定分配的云主機上。西北空管局專屬云架構如圖1所示。

2基于云架構的網絡安全能力

在西北空管局基于云的數據平臺架構下，涉及網絡安全的組件與服務包括云上VPC，安全組，子網，網絡ACL，主機安全，VPN等。針對這些安全組件和服務，根據其能力和涉及范圍的不同，結合數據平臺技術架構，劃定不同的應用范圍與場景。各安全組件與服務能力如下：VPC是云上自定義的邏輯隔離網絡空間，為云服務器、云容器、云數據庫等資源構建隔離的、可以自主配置和管理的虛擬網絡環境。通過VPC，用戶可以自由定義網段劃分、IP地址和路由策略，有更高的靈活性和安全性。安全組是一種對云上ECS云主機，數據庫，高階服務訪問控制的安全策略設置，是針對同一個子網內的安全策略。安全組可以設置云上組件的入方向及出方向規則，入方向規則指從外部訪問安全組規則下的云組件，出方向規則指從云組件訪問外部的規則。配置出入方向規則時，可以通過安全組對協議與端口進行控制，協議中可選全部放通，全部TCP，全部UDP，自定義TCP，自定義UDP，ICMP，GRE等協議類型；端口類型根據選擇的協議類型進行匹配或者在自定義模式下根據所用端口自行填寫。同時，也可對允許通信的源地址進行控制，包括單獨地址、地址段，安全組內互通等。每條安全組策略均可設置權重，以此控制多條策略生效的優先級。網絡ACL是一個子網級別的安全控制手段，通過制定子網出入方向規則，控制相應數據與訪問。網絡ACL與安全組類似，分為出入方向規則，對出入方向的流量均可以進行控制，兩者均可以選擇配置策略和協議。但在實際操作方面，因為安全組是子網內組件的控制手段，網絡ACL是子網間的控制手段，二者配置存在差異。安全組配置以控制的組件為主體，網絡ACL配置以兩端子網為主體。所以網絡ACL需要配置源端的地址、端口和目的端的地址、端口。安全組配置和網絡ACL兩者結合使用，可以覆蓋子網之間及子網內部組件的所有訪問控制策略，更加精細、全面的控制云上訪問和組件互通。主機安全服務是針對ECS云主機的安全防護服務。通過在ECS云主機中安裝部署Agent后，獲取主機運行狀態，識別管理ECS上的信息資產，監測入侵及攻擊行為，檢查ECS主機漏洞等，并且將主機安全狀態呈現在可視化界面上，通過監控看板進行分析決策。主機安全服務主要能力有資產管理，漏洞管理，入侵檢測。資產管理功能，主動檢測主機中端口開放、進程運行、Web目錄和自啟動服務情況，并記錄這些情況的變化日志。漏洞管理功能，檢測Linux、Windows的系統漏洞，針對系統存在漏洞及時告警并對漏洞嚴重程度進行分級，提醒運維人員進行安裝補丁的工作。入侵檢測功能，針對暴力破解，網絡嗅探，D-DOS攻擊及時發現并作出自動封禁IP，加入黑名單等措施。主機安全服務屬于應用層的防護手段，針對單獨ECS云主機進行全面加固，阻止常見攻擊，發現安全漏洞，完善安全管理。VPN主要用于在公用網絡上建立專用網絡，進行加密通訊。主流的VPN技術包括IPsecVPN與SSLVPN。在認證方式上，IPsecVPN采用數字憑證或密鑰認證，而SSLVPN只能采用數字憑證。在安全性上，IPsecVPN是在兩個子網之間打通加密隧道，兩端需要有固定的設備，配置完成后兩個子網間可以任意進行訪問，SSLVPN是通過客戶端認證方式打通兩個網絡，只需要安全客戶端且掌握用戶名與密碼就可以建立連接，屬于應用層的安全加密。基于兩種VPN的特性不同，一般對接兩個子網且需要兩端持續建立連接，如數據傳輸場景，可以選擇IPsecVPN。而遠程登錄，遠程開發，遠程運維場景下，不需要長時間保持連接，對建立VPN的靈活性要求較高，可選用SSLVPN。

3基于云的網絡安全設計

西北空管局在云上劃分多個VPC，主要將業務數據涉及的組件和服務與非業務系統所在ECS云主機進行隔離，非業務系統之間以系統為單位，每個系統劃分一個VPC實現系統間隔離。利用VPC的劃分，在系統級別將業務進行分隔，VPC之間不能互相通信，實現傳統系統中的物理隔離能力。子網是一種邏輯上的隔離，針對業務數據VPC，在內部根據技術能力的不同進行子網的劃分，按照組件的功能劃分三個子網，數據解析子網，數據交互子網，數據治理子網。而針對非業務系統所在VPC中，大多數非業務系統采用后端數據庫加前端服務的架構，利用子網的能力將其數據庫與和前端服務進行劃分。在子網之間使用安全組進行訪問控制，為同一個VPC內具有相同安全保護需求且互相信任的組件提供訪問策略。同時，通過ACL訪問控制策略控制進行進一步規則設定，控制與子網關聯的出方向/入方向數據流。因為該數據平臺涉及眾多業務生產數據，主要為了實現數據在云上的解析、存儲與服務，所以安全組和ACL訪問控制進行配置時大多數是點對點之間的通信，因此VPC內部、子網之間多采用白名單的方式進行控制，即只允許指定的IP訪問指定組件。在提供數據服務時，各系統應用放置在ECS云主機上，如涉及的用戶為內部特定部門，也可采用白名單方式進行控制；若系統應用涉及APP或需通過互聯網進行訪問，則存在被外部網絡攻擊的風險，需通過主機安全服務，進行安全防護。基于云的數據平臺存在兩個對接外部網絡的部分，一是數據上云過程中的入口，另一個為數據服務時的出口。針對這兩個關鍵的出入口，需要利用VPN加密能力保障其安全傳輸。在業務數據上云過程中，為了安全對接生產網絡和云上網絡，采用IPsecVPN對數據進行加密，保證數據的安全性和完整性。在對云上的組件的運維的過程中，西北空管局對登錄賬號的權限設置和劃分，局內運維人員根據運維內容的不同分配不同的IAM子賬號，對第三方用戶嚴禁給予管理賬號，使其無法通過WEB的方式直接登錄西北空管局專屬云，降低賬號密碼泄露風險。同時，考慮到第三方需要在數據平臺上進行上層應用的開發開發與部分云上組件的運維，需要為其建立一條專屬的通道，保障網絡的安全。基于這種戶用對接云上網絡的方式，選擇搭建SSLVPN對接云上，通過客戶端方式實現遠程登錄和運維。安全設計如圖2所示。圖2西北空管局云架構下的安全設計

4結束語

針對西北空管局基于云的數據平臺設計，需要重點關注云上的網絡安全。從原生系統引接數據上云階段開始，到數據解析入庫，再到數據應用與數據服務，需要在全數據流過程中做好網絡安全的防護與配置。西北空管局通過合理劃分VPC保障云上資源的虛擬網絡隔離，在VPC內部根據組件功能不同進行子網劃分，不同子網之間利用安全組配置，ACL訪問控制及路由配置等方式做好訪問的控制和權限的劃分。針對云上ECS主機本身的安全，購置云上主機安全服務，對暴力破解，D-DoS攻擊等常見的網絡入侵進行專項的防護并利用主機安全服務相關功能定制監控服務，實時檢測ECS主機安全狀態。在業務數據上云過程中，采用IPsecVPN加密技術，保障公共網絡傳輸上的數據安全。對數據開發及云上組件的遠程運維通過SSLVPN確保遠程登錄的安全性。通過采取以上安全手段，構建基于云架構的數據平臺網絡安全體系，全方位對數據平套進行網絡安全防護工作，從而在各個層面實現數據的安全。

參考文獻：

[1]馬艷夕.云計算平臺中網絡安全的關鍵技術分析[J].電腦知識與技術，2021，17（15）：58-59.

[2]陳琰.大數據云計算下網絡安全管理的具體方法探討[J].中小企業管理與科技（下旬刊），2021（04）：9-10.

[3]田江林.云安全體系架構及關鍵技術[J].電子技術與軟件工程，2021（01）：243-244.

[4]毛樂琦.虛擬專用網絡技術在計算機網絡信息安全中的應用[J].電子技術與軟件工程，2021（09）：237-238.

[5]顏雪峰，翟雅萌，武淵博.基于SSLVPN技術的信息平臺搭建[J].鐵道通信信號，2021，57（01）：62-64.

[6]章思宇，周育玲，劉楚彤.私有云環境下主機安全漏洞高效檢測[J].通信技術，2021，54（03）：727-731.

作者：白宇晨 單位：中國民用航空西北地區空中交通管理局