導(dǎo)語：云架構(gòu)網(wǎng)絡(luò)安全設(shè)計探討一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：目的：基于西北空管局?jǐn)?shù)據(jù)平臺的架構(gòu)，探索云架構(gòu)下的網(wǎng)絡(luò)安全設(shè)計。方法：利用虛擬私有云（VirtualPrivateCloud，以下簡稱VPC）與子網(wǎng)的劃分，安全組與網(wǎng)絡(luò)ACL（訪問控制列表）的配置，虛擬專用網(wǎng)絡(luò)（VPN）隧道的搭建，主機安全服務(wù)，在數(shù)據(jù)上云，數(shù)據(jù)解析入庫，數(shù)據(jù)應(yīng)用服務(wù)，遠程運維全流程進行安全防護。結(jié)果：云上數(shù)據(jù)及業(yè)務(wù)安全得到了有效保障。結(jié)論：通過云安全組件和安全策略配置，可以實現(xiàn)云架構(gòu)下的網(wǎng)絡(luò)安全。

關(guān)鍵詞：云架構(gòu)；數(shù)據(jù)平臺；網(wǎng)絡(luò)安全；VPC；ACL；安全組；VPN

民航空管行業(yè)長久以來一直注重網(wǎng)絡(luò)安全的建設(shè)與保障。隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)的出現(xiàn)與發(fā)展，網(wǎng)絡(luò)安全已經(jīng)不在限于對網(wǎng)絡(luò)傳輸層面的保障，數(shù)據(jù)安全的重要性日益凸顯。西北空管局按照高質(zhì)量發(fā)展的要求，大力推進“強安全、強效率、強智慧、強協(xié)同”的現(xiàn)代化空管體系建設(shè)。為了做好“強智慧”的相關(guān)內(nèi)容，西北空管局?jǐn)?shù)字化轉(zhuǎn)型團隊通過不斷的嘗試與探索，設(shè)計了基于云架構(gòu)的數(shù)據(jù)運行平臺。設(shè)計不僅包括數(shù)據(jù)平臺涉及的組件選型、性能等技術(shù)指標(biāo)，數(shù)據(jù)治理和業(yè)務(wù)架構(gòu)等業(yè)務(wù)指標(biāo)，網(wǎng)絡(luò)安全及數(shù)據(jù)安全也是其中的重要部分?；谠频臄?shù)據(jù)平臺在技術(shù)上是先進可行的，也是未來發(fā)展的方向，但是在云架構(gòu)下如何保障業(yè)務(wù)數(shù)據(jù)的安全穩(wěn)定是需要面對的全新問題。通過研究云上相關(guān)安全組件和安全服務(wù)，提供云架構(gòu)下網(wǎng)絡(luò)安全與數(shù)據(jù)安全的建設(shè)保障思路。

1西北空管局專屬云架構(gòu)設(shè)計

西北空管局的生產(chǎn)業(yè)務(wù)數(shù)據(jù)先引接至數(shù)據(jù)代理轉(zhuǎn)發(fā)平臺，該數(shù)據(jù)代理轉(zhuǎn)發(fā)平臺采用在Linux系統(tǒng)上搭建開源Ngnix代理程序的方式，實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)代理功能。經(jīng)轉(zhuǎn)發(fā)平臺代理后數(shù)據(jù)通過IPSecVPN專線上云至ELB組件，加強數(shù)據(jù)負(fù)載均衡能力，提高數(shù)據(jù)可靠性及連續(xù)性。之后，數(shù)據(jù)接入部署在CCE容器中的數(shù)據(jù)解析程序，將原始業(yè)務(wù)數(shù)據(jù)解析成JSON格式數(shù)據(jù)。根據(jù)前端業(yè)務(wù)場景對數(shù)據(jù)需求的不同，通過KAFKA、Flink、數(shù)據(jù)集成平臺分別進行轉(zhuǎn)發(fā)。部分JSON數(shù)據(jù)直接通過數(shù)據(jù)集成平臺提供數(shù)據(jù)服務(wù)，全量數(shù)據(jù)通過Flink進行入庫操作，根據(jù)時效性需求分別存入實時性數(shù)據(jù)庫（TP場景）和分析性數(shù)據(jù)庫（AP場景），TP場景選取Postgres數(shù)據(jù)庫搭建，AP場景選取GauseDB數(shù)據(jù)庫搭建。前端應(yīng)用程序部署在云服務(wù)器上，根據(jù)需要從AP或TP數(shù)據(jù)庫獲取數(shù)據(jù)，對外提供服務(wù).同時，西北空管局還涉及一部分不依賴于業(yè)務(wù)數(shù)據(jù)的系統(tǒng)，這類系統(tǒng)大多為政務(wù)類獨立系統(tǒng)，根據(jù)西北空管局?jǐn)?shù)字化轉(zhuǎn)型頂層規(guī)劃，這類系統(tǒng)需逐步遷移至云上，不再采用傳統(tǒng)獨立服務(wù)器部署的方式。對于這類系統(tǒng)，在云上單獨租用了部分云主機，以系統(tǒng)為單位劃分，將各個系統(tǒng)的核心軟件程序，數(shù)據(jù)庫，APP部署在指定分配的云主機上。西北空管局專屬云架構(gòu)如圖1所示。

2基于云架構(gòu)的網(wǎng)絡(luò)安全能力

在西北空管局基于云的數(shù)據(jù)平臺架構(gòu)下，涉及網(wǎng)絡(luò)安全的組件與服務(wù)包括云上VPC，安全組，子網(wǎng)，網(wǎng)絡(luò)ACL，主機安全，VPN等。針對這些安全組件和服務(wù)，根據(jù)其能力和涉及范圍的不同，結(jié)合數(shù)據(jù)平臺技術(shù)架構(gòu)，劃定不同的應(yīng)用范圍與場景。各安全組件與服務(wù)能力如下：VPC是云上自定義的邏輯隔離網(wǎng)絡(luò)空間，為云服務(wù)器、云容器、云數(shù)據(jù)庫等資源構(gòu)建隔離的、可以自主配置和管理的虛擬網(wǎng)絡(luò)環(huán)境。通過VPC，用戶可以自由定義網(wǎng)段劃分、IP地址和路由策略，有更高的靈活性和安全性。安全組是一種對云上ECS云主機，數(shù)據(jù)庫，高階服務(wù)訪問控制的安全策略設(shè)置，是針對同一個子網(wǎng)內(nèi)的安全策略。安全組可以設(shè)置云上組件的入方向及出方向規(guī)則，入方向規(guī)則指從外部訪問安全組規(guī)則下的云組件，出方向規(guī)則指從云組件訪問外部的規(guī)則。配置出入方向規(guī)則時，可以通過安全組對協(xié)議與端口進行控制，協(xié)議中可選全部放通，全部TCP，全部UDP，自定義TCP，自定義UDP，ICMP，GRE等協(xié)議類型；端口類型根據(jù)選擇的協(xié)議類型進行匹配或者在自定義模式下根據(jù)所用端口自行填寫。同時，也可對允許通信的源地址進行控制，包括單獨地址、地址段，安全組內(nèi)互通等。每條安全組策略均可設(shè)置權(quán)重，以此控制多條策略生效的優(yōu)先級。網(wǎng)絡(luò)ACL是一個子網(wǎng)級別的安全控制手段，通過制定子網(wǎng)出入方向規(guī)則，控制相應(yīng)數(shù)據(jù)與訪問。網(wǎng)絡(luò)ACL與安全組類似，分為出入方向規(guī)則，對出入方向的流量均可以進行控制，兩者均可以選擇配置策略和協(xié)議。但在實際操作方面，因為安全組是子網(wǎng)內(nèi)組件的控制手段，網(wǎng)絡(luò)ACL是子網(wǎng)間的控制手段，二者配置存在差異。安全組配置以控制的組件為主體，網(wǎng)絡(luò)ACL配置以兩端子網(wǎng)為主體。所以網(wǎng)絡(luò)ACL需要配置源端的地址、端口和目的端的地址、端口。安全組配置和網(wǎng)絡(luò)ACL兩者結(jié)合使用，可以覆蓋子網(wǎng)之間及子網(wǎng)內(nèi)部組件的所有訪問控制策略，更加精細(xì)、全面的控制云上訪問和組件互通。主機安全服務(wù)是針對ECS云主機的安全防護服務(wù)。通過在ECS云主機中安裝部署Agent后，獲取主機運行狀態(tài)，識別管理ECS上的信息資產(chǎn)，監(jiān)測入侵及攻擊行為，檢查ECS主機漏洞等，并且將主機安全狀態(tài)呈現(xiàn)在可視化界面上，通過監(jiān)控看板進行分析決策。主機安全服務(wù)主要能力有資產(chǎn)管理，漏洞管理，入侵檢測。資產(chǎn)管理功能，主動檢測主機中端口開放、進程運行、Web目錄和自啟動服務(wù)情況，并記錄這些情況的變化日志。漏洞管理功能，檢測Linux、Windows的系統(tǒng)漏洞，針對系統(tǒng)存在漏洞及時告警并對漏洞嚴(yán)重程度進行分級，提醒運維人員進行安裝補丁的工作。入侵檢測功能，針對暴力破解，網(wǎng)絡(luò)嗅探，D-DOS攻擊及時發(fā)現(xiàn)并作出自動封禁IP，加入黑名單等措施。主機安全服務(wù)屬于應(yīng)用層的防護手段，針對單獨ECS云主機進行全面加固，阻止常見攻擊，發(fā)現(xiàn)安全漏洞，完善安全管理。VPN主要用于在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊。主流的VPN技術(shù)包括IPsecVPN與SSLVPN。在認(rèn)證方式上，IPsecVPN采用數(shù)字憑證或密鑰認(rèn)證，而SSLVPN只能采用數(shù)字憑證。在安全性上，IPsecVPN是在兩個子網(wǎng)之間打通加密隧道，兩端需要有固定的設(shè)備，配置完成后兩個子網(wǎng)間可以任意進行訪問，SSLVPN是通過客戶端認(rèn)證方式打通兩個網(wǎng)絡(luò)，只需要安全客戶端且掌握用戶名與密碼就可以建立連接，屬于應(yīng)用層的安全加密?；趦煞NVPN的特性不同，一般對接兩個子網(wǎng)且需要兩端持續(xù)建立連接，如數(shù)據(jù)傳輸場景，可以選擇IPsecVPN。而遠程登錄，遠程開發(fā)，遠程運維場景下，不需要長時間保持連接，對建立VPN的靈活性要求較高，可選用SSLVPN。

3基于云的網(wǎng)絡(luò)安全設(shè)計

西北空管局在云上劃分多個VPC，主要將業(yè)務(wù)數(shù)據(jù)涉及的組件和服務(wù)與非業(yè)務(wù)系統(tǒng)所在ECS云主機進行隔離，非業(yè)務(wù)系統(tǒng)之間以系統(tǒng)為單位，每個系統(tǒng)劃分一個VPC實現(xiàn)系統(tǒng)間隔離。利用VPC的劃分，在系統(tǒng)級別將業(yè)務(wù)進行分隔，VPC之間不能互相通信，實現(xiàn)傳統(tǒng)系統(tǒng)中的物理隔離能力。子網(wǎng)是一種邏輯上的隔離，針對業(yè)務(wù)數(shù)據(jù)VPC，在內(nèi)部根據(jù)技術(shù)能力的不同進行子網(wǎng)的劃分，按照組件的功能劃分三個子網(wǎng)，數(shù)據(jù)解析子網(wǎng)，數(shù)據(jù)交互子網(wǎng)，數(shù)據(jù)治理子網(wǎng)。而針對非業(yè)務(wù)系統(tǒng)所在VPC中，大多數(shù)非業(yè)務(wù)系統(tǒng)采用后端數(shù)據(jù)庫加前端服務(wù)的架構(gòu)，利用子網(wǎng)的能力將其數(shù)據(jù)庫與和前端服務(wù)進行劃分。在子網(wǎng)之間使用安全組進行訪問控制，為同一個VPC內(nèi)具有相同安全保護需求且互相信任的組件提供訪問策略。同時，通過ACL訪問控制策略控制進行進一步規(guī)則設(shè)定，控制與子網(wǎng)關(guān)聯(lián)的出方向/入方向數(shù)據(jù)流。因為該數(shù)據(jù)平臺涉及眾多業(yè)務(wù)生產(chǎn)數(shù)據(jù)，主要為了實現(xiàn)數(shù)據(jù)在云上的解析、存儲與服務(wù)，所以安全組和ACL訪問控制進行配置時大多數(shù)是點對點之間的通信，因此VPC內(nèi)部、子網(wǎng)之間多采用白名單的方式進行控制，即只允許指定的IP訪問指定組件。在提供數(shù)據(jù)服務(wù)時，各系統(tǒng)應(yīng)用放置在ECS云主機上，如涉及的用戶為內(nèi)部特定部門，也可采用白名單方式進行控制；若系統(tǒng)應(yīng)用涉及APP或需通過互聯(lián)網(wǎng)進行訪問，則存在被外部網(wǎng)絡(luò)攻擊的風(fēng)險，需通過主機安全服務(wù)，進行安全防護?；谠频臄?shù)據(jù)平臺存在兩個對接外部網(wǎng)絡(luò)的部分，一是數(shù)據(jù)上云過程中的入口，另一個為數(shù)據(jù)服務(wù)時的出口。針對這兩個關(guān)鍵的出入口，需要利用VPN加密能力保障其安全傳輸。在業(yè)務(wù)數(shù)據(jù)上云過程中，為了安全對接生產(chǎn)網(wǎng)絡(luò)和云上網(wǎng)絡(luò)，采用IPsecVPN對數(shù)據(jù)進行加密，保證數(shù)據(jù)的安全性和完整性。在對云上的組件的運維的過程中，西北空管局對登錄賬號的權(quán)限設(shè)置和劃分，局內(nèi)運維人員根據(jù)運維內(nèi)容的不同分配不同的IAM子賬號，對第三方用戶嚴(yán)禁給予管理賬號，使其無法通過WEB的方式直接登錄西北空管局專屬云，降低賬號密碼泄露風(fēng)險。同時，考慮到第三方需要在數(shù)據(jù)平臺上進行上層應(yīng)用的開發(fā)開發(fā)與部分云上組件的運維，需要為其建立一條專屬的通道，保障網(wǎng)絡(luò)的安全?；谶@種戶用對接云上網(wǎng)絡(luò)的方式，選擇搭建SSLVPN對接云上，通過客戶端方式實現(xiàn)遠程登錄和運維。安全設(shè)計如圖2所示。圖2西北空管局云架構(gòu)下的安全設(shè)計

4結(jié)束語

針對西北空管局基于云的數(shù)據(jù)平臺設(shè)計，需要重點關(guān)注云上的網(wǎng)絡(luò)安全。從原生系統(tǒng)引接數(shù)據(jù)上云階段開始，到數(shù)據(jù)解析入庫，再到數(shù)據(jù)應(yīng)用與數(shù)據(jù)服務(wù)，需要在全數(shù)據(jù)流過程中做好網(wǎng)絡(luò)安全的防護與配置。西北空管局通過合理劃分VPC保障云上資源的虛擬網(wǎng)絡(luò)隔離，在VPC內(nèi)部根據(jù)組件功能不同進行子網(wǎng)劃分，不同子網(wǎng)之間利用安全組配置，ACL訪問控制及路由配置等方式做好訪問的控制和權(quán)限的劃分。針對云上ECS主機本身的安全，購置云上主機安全服務(wù)，對暴力破解，D-DoS攻擊等常見的網(wǎng)絡(luò)入侵進行專項的防護并利用主機安全服務(wù)相關(guān)功能定制監(jiān)控服務(wù)，實時檢測ECS主機安全狀態(tài)。在業(yè)務(wù)數(shù)據(jù)上云過程中，采用IPsecVPN加密技術(shù)，保障公共網(wǎng)絡(luò)傳輸上的數(shù)據(jù)安全。對數(shù)據(jù)開發(fā)及云上組件的遠程運維通過SSLVPN確保遠程登錄的安全性。通過采取以上安全手段，構(gòu)建基于云架構(gòu)的數(shù)據(jù)平臺網(wǎng)絡(luò)安全體系，全方位對數(shù)據(jù)平套進行網(wǎng)絡(luò)安全防護工作，從而在各個層面實現(xiàn)數(shù)據(jù)的安全。

參考文獻：

[1]馬艷夕.云計算平臺中網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)分析[J].電腦知識與技術(shù)，2021，17（15）：58-59.

[2]陳琰.大數(shù)據(jù)云計算下網(wǎng)絡(luò)安全管理的具體方法探討[J].中小企業(yè)管理與科技（下旬刊），2021（04）：9-10.

[3]田江林.云安全體系架構(gòu)及關(guān)鍵技術(shù)[J].電子技術(shù)與軟件工程，2021（01）：243-244.

[4]毛樂琦.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用[J].電子技術(shù)與軟件工程，2021（09）：237-238.

[5]顏雪峰，翟雅萌，武淵博.基于SSLVPN技術(shù)的信息平臺搭建[J].鐵道通信信號，2021，57（01）：62-64.

[6]章思宇，周育玲，劉楚彤.私有云環(huán)境下主機安全漏洞高效檢測[J].通信技術(shù)，2021，54（03）：727-731.

作者：白宇晨 單位：中國民用航空西北地區(qū)空中交通管理局