云架构网络安全设计探讨

导语：云架构网络安全设计探讨一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要：目的：基于西北空管局数据平台的架构，探索云架构下的网络安全设计。方法：利用虚拟私有云（VirtualPrivateCloud，以下简称VPC）与子网的划分，安全组与网络ACL（访问控制列表）的配置，虚拟专用网络（VPN）隧道的搭建，主机安全服务，在数据上云，数据解析入库，数据应用服务，远程运维全流程进行安全防护。结果：云上数据及业务安全得到了有效保障。结论：通过云安全组件和安全策略配置，可以实现云架构下的网络安全。

关键词：云架构；数据平台；网络安全；VPC；ACL；安全组；VPN

民航空管行业长久以来一直注重网络安全的建设与保障。随着云计算、大数据、物联网、人工智能等新技术的出现与发展，网络安全已经不在限于对网络传输层面的保障，数据安全的重要性日益凸显。西北空管局按照高质量发展的要求，大力推进“强安全、强效率、强智慧、强协同”的现代化空管体系建设。为了做好“强智慧”的相关内容，西北空管局数字化转型团队通过不断的尝试与探索，设计了基于云架构的数据运行平台。设计不仅包括数据平台涉及的组件选型、性能等技术指标，数据治理和业务架构等业务指标，网络安全及数据安全也是其中的重要部分。基于云的数据平台在技术上是先进可行的，也是未来发展的方向，但是在云架构下如何保障业务数据的安全稳定是需要面对的全新问题。通过研究云上相关安全组件和安全服务，提供云架构下网络安全与数据安全的建设保障思路。

1西北空管局专属云架构设计

西北空管局的生产业务数据先引接至数据代理转发平台，该数据代理转发平台采用在Linux系统上搭建开源Ngnix代理程序的方式，实现数据转发代理功能。经转发平台代理后数据通过IPSecVPN专线上云至ELB组件，加强数据负载均衡能力，提高数据可靠性及连续性。之后，数据接入部署在CCE容器中的数据解析程序，将原始业务数据解析成JSON格式数据。根据前端业务场景对数据需求的不同，通过KAFKA、Flink、数据集成平台分别进行转发。部分JSON数据直接通过数据集成平台提供数据服务，全量数据通过Flink进行入库操作，根据时效性需求分别存入实时性数据库（TP场景）和分析性数据库（AP场景），TP场景选取Postgres数据库搭建，AP场景选取GauseDB数据库搭建。前端应用程序部署在云服务器上，根据需要从AP或TP数据库获取数据，对外提供服务.同时，西北空管局还涉及一部分不依赖于业务数据的系统，这类系统大多为政务类独立系统，根据西北空管局数字化转型顶层规划，这类系统需逐步迁移至云上，不再采用传统独立服务器部署的方式。对于这类系统，在云上单独租用了部分云主机，以系统为单位划分，将各个系统的核心软件程序，数据库，APP部署在指定分配的云主机上。西北空管局专属云架构如图1所示。

2基于云架构的网络安全能力

在西北空管局基于云的数据平台架构下，涉及网络安全的组件与服务包括云上VPC，安全组，子网，网络ACL，主机安全，VPN等。针对这些安全组件和服务，根据其能力和涉及范围的不同，结合数据平台技术架构，划定不同的应用范围与场景。各安全组件与服务能力如下：VPC是云上自定义的逻辑隔离网络空间，为云服务器、云容器、云数据库等资源构建隔离的、可以自主配置和管理的虚拟网络环境。通过VPC，用户可以自由定义网段划分、IP地址和路由策略，有更高的灵活性和安全性。安全组是一种对云上ECS云主机，数据库，高阶服务访问控制的安全策略设置，是针对同一个子网内的安全策略。安全组可以设置云上组件的入方向及出方向规则，入方向规则指从外部访问安全组规则下的云组件，出方向规则指从云组件访问外部的规则。配置出入方向规则时，可以通过安全组对协议与端口进行控制，协议中可选全部放通，全部TCP，全部UDP，自定义TCP，自定义UDP，ICMP，GRE等协议类型；端口类型根据选择的协议类型进行匹配或者在自定义模式下根据所用端口自行填写。同时，也可对允许通信的源地址进行控制，包括单独地址、地址段，安全组内互通等。每条安全组策略均可设置权重，以此控制多条策略生效的优先级。网络ACL是一个子网级别的安全控制手段，通过制定子网出入方向规则，控制相应数据与访问。网络ACL与安全组类似，分为出入方向规则，对出入方向的流量均可以进行控制，两者均可以选择配置策略和协议。但在实际操作方面，因为安全组是子网内组件的控制手段，网络ACL是子网间的控制手段，二者配置存在差异。安全组配置以控制的组件为主体，网络ACL配置以两端子网为主体。所以网络ACL需要配置源端的地址、端口和目的端的地址、端口。安全组配置和网络ACL两者结合使用，可以覆盖子网之间及子网内部组件的所有访问控制策略，更加精细、全面的控制云上访问和组件互通。主机安全服务是针对ECS云主机的安全防护服务。通过在ECS云主机中安装部署Agent后，获取主机运行状态，识别管理ECS上的信息资产，监测入侵及攻击行为，检查ECS主机漏洞等，并且将主机安全状态呈现在可视化界面上，通过监控看板进行分析决策。主机安全服务主要能力有资产管理，漏洞管理，入侵检测。资产管理功能，主动检测主机中端口开放、进程运行、Web目录和自启动服务情况，并记录这些情况的变化日志。漏洞管理功能，检测Linux、Windows的系统漏洞，针对系统存在漏洞及时告警并对漏洞严重程度进行分级，提醒运维人员进行安装补丁的工作。入侵检测功能，针对暴力破解，网络嗅探，D-DOS攻击及时发现并作出自动封禁IP，加入黑名单等措施。主机安全服务属于应用层的防护手段，针对单独ECS云主机进行全面加固，阻止常见攻击，发现安全漏洞，完善安全管理。VPN主要用于在公用网络上建立专用网络，进行加密通讯。主流的VPN技术包括IPsecVPN与SSLVPN。在认证方式上，IPsecVPN采用数字凭证或密钥认证，而SSLVPN只能采用数字凭证。在安全性上，IPsecVPN是在两个子网之间打通加密隧道，两端需要有固定的设备，配置完成后两个子网间可以任意进行访问，SSLVPN是通过客户端认证方式打通两个网络，只需要安全客户端且掌握用户名与密码就可以建立连接，属于应用层的安全加密。基于两种VPN的特性不同，一般对接两个子网且需要两端持续建立连接，如数据传输场景，可以选择IPsecVPN。而远程登录，远程开发，远程运维场景下，不需要长时间保持连接，对建立VPN的灵活性要求较高，可选用SSLVPN。

3基于云的网络安全设计

西北空管局在云上划分多个VPC，主要将业务数据涉及的组件和服务与非业务系统所在ECS云主机进行隔离，非业务系统之间以系统为单位，每个系统划分一个VPC实现系统间隔离。利用VPC的划分，在系统级别将业务进行分隔，VPC之间不能互相通信，实现传统系统中的物理隔离能力。子网是一种逻辑上的隔离，针对业务数据VPC，在内部根据技术能力的不同进行子网的划分，按照组件的功能划分三个子网，数据解析子网，数据交互子网，数据治理子网。而针对非业务系统所在VPC中，大多数非业务系统采用后端数据库加前端服务的架构，利用子网的能力将其数据库与和前端服务进行划分。在子网之间使用安全组进行访问控制，为同一个VPC内具有相同安全保护需求且互相信任的组件提供访问策略。同时，通过ACL访问控制策略控制进行进一步规则设定，控制与子网关联的出方向/入方向数据流。因为该数据平台涉及众多业务生产数据，主要为了实现数据在云上的解析、存储与服务，所以安全组和ACL访问控制进行配置时大多数是点对点之间的通信，因此VPC内部、子网之间多采用白名单的方式进行控制，即只允许指定的IP访问指定组件。在提供数据服务时，各系统应用放置在ECS云主机上，如涉及的用户为内部特定部门，也可采用白名单方式进行控制；若系统应用涉及APP或需通过互联网进行访问，则存在被外部网络攻击的风险，需通过主机安全服务，进行安全防护。基于云的数据平台存在两个对接外部网络的部分，一是数据上云过程中的入口，另一个为数据服务时的出口。针对这两个关键的出入口，需要利用VPN加密能力保障其安全传输。在业务数据上云过程中，为了安全对接生产网络和云上网络，采用IPsecVPN对数据进行加密，保证数据的安全性和完整性。在对云上的组件的运维的过程中，西北空管局对登录账号的权限设置和划分，局内运维人员根据运维内容的不同分配不同的IAM子账号，对第三方用户严禁给予管理账号，使其无法通过WEB的方式直接登录西北空管局专属云，降低账号密码泄露风险。同时，考虑到第三方需要在数据平台上进行上层应用的开发开发与部分云上组件的运维，需要为其建立一条专属的通道，保障网络的安全。基于这种户用对接云上网络的方式，选择搭建SSLVPN对接云上，通过客户端方式实现远程登录和运维。安全设计如图2所示。图2西北空管局云架构下的安全设计

4结束语

针对西北空管局基于云的数据平台设计，需要重点关注云上的网络安全。从原生系统引接数据上云阶段开始，到数据解析入库，再到数据应用与数据服务，需要在全数据流过程中做好网络安全的防护与配置。西北空管局通过合理划分VPC保障云上资源的虚拟网络隔离，在VPC内部根据组件功能不同进行子网划分，不同子网之间利用安全组配置，ACL访问控制及路由配置等方式做好访问的控制和权限的划分。针对云上ECS主机本身的安全，购置云上主机安全服务，对暴力破解，D-DoS攻击等常见的网络入侵进行专项的防护并利用主机安全服务相关功能定制监控服务，实时检测ECS主机安全状态。在业务数据上云过程中，采用IPsecVPN加密技术，保障公共网络传输上的数据安全。对数据开发及云上组件的远程运维通过SSLVPN确保远程登录的安全性。通过采取以上安全手段，构建基于云架构的数据平台网络安全体系，全方位对数据平套进行网络安全防护工作，从而在各个层面实现数据的安全。

参考文献：

[1]马艳夕.云计算平台中网络安全的关键技术分析[J].电脑知识与技术，2021，17（15）：58-59.

[2]陈琰.大数据云计算下网络安全管理的具体方法探讨[J].中小企业管理与科技（下旬刊），2021（04）：9-10.

[3]田江林.云安全体系架构及关键技术[J].电子技术与软件工程，2021（01）：243-244.

[4]毛乐琦.虚拟专用网络技术在计算机网络信息安全中的应用[J].电子技术与软件工程，2021（09）：237-238.

[5]颜雪峰，翟雅萌，武渊博.基于SSLVPN技术的信息平台搭建[J].铁道通信信号，2021，57（01）：62-64.

[6]章思宇，周育玲，刘楚彤.私有云环境下主机安全漏洞高效检测[J].通信技术，2021，54（03）：727-731.

作者：白宇晨 单位：中国民用航空西北地区空中交通管理局