導(dǎo)語(yǔ)：云架構(gòu)網(wǎng)絡(luò)安全設(shè)計(jì)探討一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：目的：基于西北空管局?jǐn)?shù)據(jù)平臺(tái)的架構(gòu)，探索云架構(gòu)下的網(wǎng)絡(luò)安全設(shè)計(jì)。方法：利用虛擬私有云（VirtualPrivateCloud，以下簡(jiǎn)稱(chēng)VPC）與子網(wǎng)的劃分，安全組與網(wǎng)絡(luò)ACL（訪問(wèn)控制列表）的配置，虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）隧道的搭建，主機(jī)安全服務(wù)，在數(shù)據(jù)上云，數(shù)據(jù)解析入庫(kù)，數(shù)據(jù)應(yīng)用服務(wù)，遠(yuǎn)程運(yùn)維全流程進(jìn)行安全防護(hù)。結(jié)果：云上數(shù)據(jù)及業(yè)務(wù)安全得到了有效保障。結(jié)論：通過(guò)云安全組件和安全策略配置，可以實(shí)現(xiàn)云架構(gòu)下的網(wǎng)絡(luò)安全。

關(guān)鍵詞：云架構(gòu)；數(shù)據(jù)平臺(tái)；網(wǎng)絡(luò)安全；VPC；ACL；安全組；VPN

民航空管行業(yè)長(zhǎng)久以來(lái)一直注重網(wǎng)絡(luò)安全的建設(shè)與保障。隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的出現(xiàn)與發(fā)展，網(wǎng)絡(luò)安全已經(jīng)不在限于對(duì)網(wǎng)絡(luò)傳輸層面的保障，數(shù)據(jù)安全的重要性日益凸顯。西北空管局按照高質(zhì)量發(fā)展的要求，大力推進(jìn)“強(qiáng)安全、強(qiáng)效率、強(qiáng)智慧、強(qiáng)協(xié)同”的現(xiàn)代化空管體系建設(shè)。為了做好“強(qiáng)智慧”的相關(guān)內(nèi)容，西北空管局?jǐn)?shù)字化轉(zhuǎn)型團(tuán)隊(duì)通過(guò)不斷的嘗試與探索，設(shè)計(jì)了基于云架構(gòu)的數(shù)據(jù)運(yùn)行平臺(tái)。設(shè)計(jì)不僅包括數(shù)據(jù)平臺(tái)涉及的組件選型、性能等技術(shù)指標(biāo)，數(shù)據(jù)治理和業(yè)務(wù)架構(gòu)等業(yè)務(wù)指標(biāo)，網(wǎng)絡(luò)安全及數(shù)據(jù)安全也是其中的重要部分。基于云的數(shù)據(jù)平臺(tái)在技術(shù)上是先進(jìn)可行的，也是未來(lái)發(fā)展的方向，但是在云架構(gòu)下如何保障業(yè)務(wù)數(shù)據(jù)的安全穩(wěn)定是需要面對(duì)的全新問(wèn)題。通過(guò)研究云上相關(guān)安全組件和安全服務(wù)，提供云架構(gòu)下網(wǎng)絡(luò)安全與數(shù)據(jù)安全的建設(shè)保障思路。

1西北空管局專(zhuān)屬云架構(gòu)設(shè)計(jì)

西北空管局的生產(chǎn)業(yè)務(wù)數(shù)據(jù)先引接至數(shù)據(jù)代理轉(zhuǎn)發(fā)平臺(tái)，該數(shù)據(jù)代理轉(zhuǎn)發(fā)平臺(tái)采用在Linux系統(tǒng)上搭建開(kāi)源Ngnix代理程序的方式，實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)代理功能。經(jīng)轉(zhuǎn)發(fā)平臺(tái)代理后數(shù)據(jù)通過(guò)IPSecVPN專(zhuān)線上云至ELB組件，加強(qiáng)數(shù)據(jù)負(fù)載均衡能力，提高數(shù)據(jù)可靠性及連續(xù)性。之后，數(shù)據(jù)接入部署在CCE容器中的數(shù)據(jù)解析程序，將原始業(yè)務(wù)數(shù)據(jù)解析成JSON格式數(shù)據(jù)。根據(jù)前端業(yè)務(wù)場(chǎng)景對(duì)數(shù)據(jù)需求的不同，通過(guò)KAFKA、Flink、數(shù)據(jù)集成平臺(tái)分別進(jìn)行轉(zhuǎn)發(fā)。部分JSON數(shù)據(jù)直接通過(guò)數(shù)據(jù)集成平臺(tái)提供數(shù)據(jù)服務(wù)，全量數(shù)據(jù)通過(guò)Flink進(jìn)行入庫(kù)操作，根據(jù)時(shí)效性需求分別存入實(shí)時(shí)性數(shù)據(jù)庫(kù)（TP場(chǎng)景）和分析性數(shù)據(jù)庫(kù)（AP場(chǎng)景），TP場(chǎng)景選取Postgres數(shù)據(jù)庫(kù)搭建，AP場(chǎng)景選取GauseDB數(shù)據(jù)庫(kù)搭建。前端應(yīng)用程序部署在云服務(wù)器上，根據(jù)需要從AP或TP數(shù)據(jù)庫(kù)獲取數(shù)據(jù)，對(duì)外提供服務(wù).同時(shí)，西北空管局還涉及一部分不依賴(lài)于業(yè)務(wù)數(shù)據(jù)的系統(tǒng)，這類(lèi)系統(tǒng)大多為政務(wù)類(lèi)獨(dú)立系統(tǒng)，根據(jù)西北空管局?jǐn)?shù)字化轉(zhuǎn)型頂層規(guī)劃，這類(lèi)系統(tǒng)需逐步遷移至云上，不再采用傳統(tǒng)獨(dú)立服務(wù)器部署的方式。對(duì)于這類(lèi)系統(tǒng)，在云上單獨(dú)租用了部分云主機(jī)，以系統(tǒng)為單位劃分，將各個(gè)系統(tǒng)的核心軟件程序，數(shù)據(jù)庫(kù)，APP部署在指定分配的云主機(jī)上。西北空管局專(zhuān)屬云架構(gòu)如圖1所示。

2基于云架構(gòu)的網(wǎng)絡(luò)安全能力

在西北空管局基于云的數(shù)據(jù)平臺(tái)架構(gòu)下，涉及網(wǎng)絡(luò)安全的組件與服務(wù)包括云上VPC，安全組，子網(wǎng)，網(wǎng)絡(luò)ACL，主機(jī)安全，VPN等。針對(duì)這些安全組件和服務(wù)，根據(jù)其能力和涉及范圍的不同，結(jié)合數(shù)據(jù)平臺(tái)技術(shù)架構(gòu)，劃定不同的應(yīng)用范圍與場(chǎng)景。各安全組件與服務(wù)能力如下：VPC是云上自定義的邏輯隔離網(wǎng)絡(luò)空間，為云服務(wù)器、云容器、云數(shù)據(jù)庫(kù)等資源構(gòu)建隔離的、可以自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境。通過(guò)VPC，用戶(hù)可以自由定義網(wǎng)段劃分、IP地址和路由策略，有更高的靈活性和安全性。安全組是一種對(duì)云上ECS云主機(jī)，數(shù)據(jù)庫(kù)，高階服務(wù)訪問(wèn)控制的安全策略設(shè)置，是針對(duì)同一個(gè)子網(wǎng)內(nèi)的安全策略。安全組可以設(shè)置云上組件的入方向及出方向規(guī)則，入方向規(guī)則指從外部訪問(wèn)安全組規(guī)則下的云組件，出方向規(guī)則指從云組件訪問(wèn)外部的規(guī)則。配置出入方向規(guī)則時(shí)，可以通過(guò)安全組對(duì)協(xié)議與端口進(jìn)行控制，協(xié)議中可選全部放通，全部TCP，全部UDP，自定義TCP，自定義UDP，ICMP，GRE等協(xié)議類(lèi)型；端口類(lèi)型根據(jù)選擇的協(xié)議類(lèi)型進(jìn)行匹配或者在自定義模式下根據(jù)所用端口自行填寫(xiě)。同時(shí)，也可對(duì)允許通信的源地址進(jìn)行控制，包括單獨(dú)地址、地址段，安全組內(nèi)互通等。每條安全組策略均可設(shè)置權(quán)重，以此控制多條策略生效的優(yōu)先級(jí)。網(wǎng)絡(luò)ACL是一個(gè)子網(wǎng)級(jí)別的安全控制手段，通過(guò)制定子網(wǎng)出入方向規(guī)則，控制相應(yīng)數(shù)據(jù)與訪問(wèn)。網(wǎng)絡(luò)ACL與安全組類(lèi)似，分為出入方向規(guī)則，對(duì)出入方向的流量均可以進(jìn)行控制，兩者均可以選擇配置策略和協(xié)議。但在實(shí)際操作方面，因?yàn)榘踩M是子網(wǎng)內(nèi)組件的控制手段，網(wǎng)絡(luò)ACL是子網(wǎng)間的控制手段，二者配置存在差異。安全組配置以控制的組件為主體，網(wǎng)絡(luò)ACL配置以?xún)啥俗泳W(wǎng)為主體。所以網(wǎng)絡(luò)ACL需要配置源端的地址、端口和目的端的地址、端口。安全組配置和網(wǎng)絡(luò)ACL兩者結(jié)合使用，可以覆蓋子網(wǎng)之間及子網(wǎng)內(nèi)部組件的所有訪問(wèn)控制策略，更加精細(xì)、全面的控制云上訪問(wèn)和組件互通。主機(jī)安全服務(wù)是針對(duì)ECS云主機(jī)的安全防護(hù)服務(wù)。通過(guò)在ECS云主機(jī)中安裝部署Agent后，獲取主機(jī)運(yùn)行狀態(tài)，識(shí)別管理ECS上的信息資產(chǎn)，監(jiān)測(cè)入侵及攻擊行為，檢查ECS主機(jī)漏洞等，并且將主機(jī)安全狀態(tài)呈現(xiàn)在可視化界面上，通過(guò)監(jiān)控看板進(jìn)行分析決策。主機(jī)安全服務(wù)主要能力有資產(chǎn)管理，漏洞管理，入侵檢測(cè)。資產(chǎn)管理功能，主動(dòng)檢測(cè)主機(jī)中端口開(kāi)放、進(jìn)程運(yùn)行、Web目錄和自啟動(dòng)服務(wù)情況，并記錄這些情況的變化日志。漏洞管理功能，檢測(cè)Linux、Windows的系統(tǒng)漏洞，針對(duì)系統(tǒng)存在漏洞及時(shí)告警并對(duì)漏洞嚴(yán)重程度進(jìn)行分級(jí)，提醒運(yùn)維人員進(jìn)行安裝補(bǔ)丁的工作。入侵檢測(cè)功能，針對(duì)暴力破解，網(wǎng)絡(luò)嗅探，D-DOS攻擊及時(shí)發(fā)現(xiàn)并作出自動(dòng)封禁IP，加入黑名單等措施。主機(jī)安全服務(wù)屬于應(yīng)用層的防護(hù)手段，針對(duì)單獨(dú)ECS云主機(jī)進(jìn)行全面加固，阻止常見(jiàn)攻擊，發(fā)現(xiàn)安全漏洞，完善安全管理。VPN主要用于在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，進(jìn)行加密通訊。主流的VPN技術(shù)包括IPsecVPN與SSLVPN。在認(rèn)證方式上，IPsecVPN采用數(shù)字憑證或密鑰認(rèn)證，而SSLVPN只能采用數(shù)字憑證。在安全性上，IPsecVPN是在兩個(gè)子網(wǎng)之間打通加密隧道，兩端需要有固定的設(shè)備，配置完成后兩個(gè)子網(wǎng)間可以任意進(jìn)行訪問(wèn)，SSLVPN是通過(guò)客戶(hù)端認(rèn)證方式打通兩個(gè)網(wǎng)絡(luò)，只需要安全客戶(hù)端且掌握用戶(hù)名與密碼就可以建立連接，屬于應(yīng)用層的安全加密。基于兩種VPN的特性不同，一般對(duì)接兩個(gè)子網(wǎng)且需要兩端持續(xù)建立連接，如數(shù)據(jù)傳輸場(chǎng)景，可以選擇IPsecVPN。而遠(yuǎn)程登錄，遠(yuǎn)程開(kāi)發(fā)，遠(yuǎn)程運(yùn)維場(chǎng)景下，不需要長(zhǎng)時(shí)間保持連接，對(duì)建立VPN的靈活性要求較高，可選用SSLVPN。

3基于云的網(wǎng)絡(luò)安全設(shè)計(jì)

西北空管局在云上劃分多個(gè)VPC，主要將業(yè)務(wù)數(shù)據(jù)涉及的組件和服務(wù)與非業(yè)務(wù)系統(tǒng)所在ECS云主機(jī)進(jìn)行隔離，非業(yè)務(wù)系統(tǒng)之間以系統(tǒng)為單位，每個(gè)系統(tǒng)劃分一個(gè)VPC實(shí)現(xiàn)系統(tǒng)間隔離。利用VPC的劃分，在系統(tǒng)級(jí)別將業(yè)務(wù)進(jìn)行分隔，VPC之間不能互相通信，實(shí)現(xiàn)傳統(tǒng)系統(tǒng)中的物理隔離能力。子網(wǎng)是一種邏輯上的隔離，針對(duì)業(yè)務(wù)數(shù)據(jù)VPC，在內(nèi)部根據(jù)技術(shù)能力的不同進(jìn)行子網(wǎng)的劃分，按照組件的功能劃分三個(gè)子網(wǎng)，數(shù)據(jù)解析子網(wǎng)，數(shù)據(jù)交互子網(wǎng)，數(shù)據(jù)治理子網(wǎng)。而針對(duì)非業(yè)務(wù)系統(tǒng)所在VPC中，大多數(shù)非業(yè)務(wù)系統(tǒng)采用后端數(shù)據(jù)庫(kù)加前端服務(wù)的架構(gòu)，利用子網(wǎng)的能力將其數(shù)據(jù)庫(kù)與和前端服務(wù)進(jìn)行劃分。在子網(wǎng)之間使用安全組進(jìn)行訪問(wèn)控制，為同一個(gè)VPC內(nèi)具有相同安全保護(hù)需求且互相信任的組件提供訪問(wèn)策略。同時(shí)，通過(guò)ACL訪問(wèn)控制策略控制進(jìn)行進(jìn)一步規(guī)則設(shè)定，控制與子網(wǎng)關(guān)聯(lián)的出方向/入方向數(shù)據(jù)流。因?yàn)樵摂?shù)據(jù)平臺(tái)涉及眾多業(yè)務(wù)生產(chǎn)數(shù)據(jù)，主要為了實(shí)現(xiàn)數(shù)據(jù)在云上的解析、存儲(chǔ)與服務(wù)，所以安全組和ACL訪問(wèn)控制進(jìn)行配置時(shí)大多數(shù)是點(diǎn)對(duì)點(diǎn)之間的通信，因此VPC內(nèi)部、子網(wǎng)之間多采用白名單的方式進(jìn)行控制，即只允許指定的IP訪問(wèn)指定組件。在提供數(shù)據(jù)服務(wù)時(shí)，各系統(tǒng)應(yīng)用放置在ECS云主機(jī)上，如涉及的用戶(hù)為內(nèi)部特定部門(mén)，也可采用白名單方式進(jìn)行控制；若系統(tǒng)應(yīng)用涉及APP或需通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)，則存在被外部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，需通過(guò)主機(jī)安全服務(wù)，進(jìn)行安全防護(hù)。基于云的數(shù)據(jù)平臺(tái)存在兩個(gè)對(duì)接外部網(wǎng)絡(luò)的部分，一是數(shù)據(jù)上云過(guò)程中的入口，另一個(gè)為數(shù)據(jù)服務(wù)時(shí)的出口。針對(duì)這兩個(gè)關(guān)鍵的出入口，需要利用VPN加密能力保障其安全傳輸。在業(yè)務(wù)數(shù)據(jù)上云過(guò)程中，為了安全對(duì)接生產(chǎn)網(wǎng)絡(luò)和云上網(wǎng)絡(luò)，采用IPsecVPN對(duì)數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的安全性和完整性。在對(duì)云上的組件的運(yùn)維的過(guò)程中，西北空管局對(duì)登錄賬號(hào)的權(quán)限設(shè)置和劃分，局內(nèi)運(yùn)維人員根據(jù)運(yùn)維內(nèi)容的不同分配不同的IAM子賬號(hào)，對(duì)第三方用戶(hù)嚴(yán)禁給予管理賬號(hào)，使其無(wú)法通過(guò)WEB的方式直接登錄西北空管局專(zhuān)屬云，降低賬號(hào)密碼泄露風(fēng)險(xiǎn)。同時(shí)，考慮到第三方需要在數(shù)據(jù)平臺(tái)上進(jìn)行上層應(yīng)用的開(kāi)發(fā)開(kāi)發(fā)與部分云上組件的運(yùn)維，需要為其建立一條專(zhuān)屬的通道，保障網(wǎng)絡(luò)的安全。基于這種戶(hù)用對(duì)接云上網(wǎng)絡(luò)的方式，選擇搭建SSLVPN對(duì)接云上，通過(guò)客戶(hù)端方式實(shí)現(xiàn)遠(yuǎn)程登錄和運(yùn)維。安全設(shè)計(jì)如圖2所示。圖2西北空管局云架構(gòu)下的安全設(shè)計(jì)

4結(jié)束語(yǔ)

針對(duì)西北空管局基于云的數(shù)據(jù)平臺(tái)設(shè)計(jì)，需要重點(diǎn)關(guān)注云上的網(wǎng)絡(luò)安全。從原生系統(tǒng)引接數(shù)據(jù)上云階段開(kāi)始，到數(shù)據(jù)解析入庫(kù)，再到數(shù)據(jù)應(yīng)用與數(shù)據(jù)服務(wù)，需要在全數(shù)據(jù)流過(guò)程中做好網(wǎng)絡(luò)安全的防護(hù)與配置。西北空管局通過(guò)合理劃分VPC保障云上資源的虛擬網(wǎng)絡(luò)隔離，在VPC內(nèi)部根據(jù)組件功能不同進(jìn)行子網(wǎng)劃分，不同子網(wǎng)之間利用安全組配置，ACL訪問(wèn)控制及路由配置等方式做好訪問(wèn)的控制和權(quán)限的劃分。針對(duì)云上ECS主機(jī)本身的安全，購(gòu)置云上主機(jī)安全服務(wù)，對(duì)暴力破解，D-DoS攻擊等常見(jiàn)的網(wǎng)絡(luò)入侵進(jìn)行專(zhuān)項(xiàng)的防護(hù)并利用主機(jī)安全服務(wù)相關(guān)功能定制監(jiān)控服務(wù)，實(shí)時(shí)檢測(cè)ECS主機(jī)安全狀態(tài)。在業(yè)務(wù)數(shù)據(jù)上云過(guò)程中，采用IPsecVPN加密技術(shù)，保障公共網(wǎng)絡(luò)傳輸上的數(shù)據(jù)安全。對(duì)數(shù)據(jù)開(kāi)發(fā)及云上組件的遠(yuǎn)程運(yùn)維通過(guò)SSLVPN確保遠(yuǎn)程登錄的安全性。通過(guò)采取以上安全手段，構(gòu)建基于云架構(gòu)的數(shù)據(jù)平臺(tái)網(wǎng)絡(luò)安全體系，全方位對(duì)數(shù)據(jù)平套進(jìn)行網(wǎng)絡(luò)安全防護(hù)工作，從而在各個(gè)層面實(shí)現(xiàn)數(shù)據(jù)的安全。

參考文獻(xiàn)：

[1]馬艷夕.云計(jì)算平臺(tái)中網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)分析[J].電腦知識(shí)與技術(shù)，2021，17（15）：58-59.

[2]陳琰.大數(shù)據(jù)云計(jì)算下網(wǎng)絡(luò)安全管理的具體方法探討[J].中小企業(yè)管理與科技（下旬刊），2021（04）：9-10.

[3]田江林.云安全體系架構(gòu)及關(guān)鍵技術(shù)[J].電子技術(shù)與軟件工程，2021（01）：243-244.

[4]毛樂(lè)琦.虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用[J].電子技術(shù)與軟件工程，2021（09）：237-238.

[5]顏雪峰，翟雅萌，武淵博.基于SSLVPN技術(shù)的信息平臺(tái)搭建[J].鐵道通信信號(hào)，2021，57（01）：62-64.

[6]章思宇，周育玲，劉楚彤.私有云環(huán)境下主機(jī)安全漏洞高效檢測(cè)[J].通信技術(shù)，2021，54（03）：727-731.

作者：白宇晨 單位：中國(guó)民用航空西北地區(qū)空中交通管理局