一、案例背景:
新冠疫情爆发,我国推进“上云用数赋智”行动,培育新经济和新业态,鼓励运用云计算技术助力疫情防控,加快了云计算应用进程。“十四五”规划更是明确培育壮大云计算和网络安全等新兴数字产业,促进数字技术与实体经济深度融合,赋能传统产业转型升级。云计算已经成为企业或组织数字化转型的必然选择。
中国移动经过十余年在云计算领域的深耕,基于5G和自主研发的“大云”,打造了5G智慧云品牌——移动云。移动云已经实现了“N+31+X”三层资源布局架构,提供涵盖云、大数据、人工智能等完整板块的全栈产品,凭借“云网一体、云数融通、云智融合、云边协同”特色,向政务、医疗、工业、教育等重点领域输出自有核心能力,推进行业数字化。
中国移动云能力中心是中国移动的全资子公司,聚焦于移动云业务发展,承担着移动云的研发、运营和支撑一体化的职责。目前,中国移动云能力中心以“云设施构建者、云服务提供者、云生态汇聚者”为定位,正在集智汇力,力争2022年进入国内云服务商第一阵营。中国移动能力中心一直非常重视安全建设,为行业客户提供了安全的基础设施和稳定可靠的云服务,以及数字化、智能化和原生化的云安全产品,能满足移动云用户的安全防护要求,为云上业务的安全运行提供有力保障。
然而,随着攻防对抗日益加剧,云平台已经成为发生网络安全事件的重灾区,合规性要求也日益增强,对移动云提出了更高的要求和挑战。中国移动云能力中心将不断进行云安全技术研究和生态合作,完善云安全防护,提升云安全服务能力,更好的为移动云用户服务。
o 安全状态不可见:移动云为租户提供多个云安全服务,这些服务产生了大量安全事件,租户通过各安全服务了解局部的安全情况,但难以直观和快速的掌握整体安全状态。针对高级持续性攻击,无法及时发现,发生安全事件后,也难以追踪和分析。等级保护2.0的发布和实施,也要求租户建立安全管理中心,加强态势感知能力建设。
o 安全能力整合改造:移动云为保障云平台和云产品安全、提供云安全服务,建设了大量的安全设备和产品,提升了移动云的整体安全性。但这些安全能力之间并没有实现互通,未能形成整体合力,为客户提供全面和完善的防护体系。
o 交付效率待提升:移动云发布了多款安全产品和服务,随着用户数量的增加和安全关注度提升,大量用户在使用这些产品和服务,这对移动云的交付产生了较大的压力。为更好的提供安全使用体验和及时的安全防护,移动云将对安全管理进行优化,提升交付效率、降低资源投入。
二、案例概述:
中国移动云能力中心通过跟踪云安全技术发展、法律法规和标准规范的要求,提出了建设移动云云上态势感知和云安全管理中心的计划,推动移动云安全升级,为移动云用户提供更全面的安全能力和更快速的安全响应能力。
在项目建设初期,移动云面临着一些挑战和风险。
o 租户数据隔离:移动云中大量租户同时使用安全产品,不同租户的不同安全产品会产生大量日志数据。为了实现租户态势感知,应能够快速识别租户资产的变化,从这些安全产品中识别出这些日志数据哪些租户,每个租户也只能看到自己的日志数据,才能实现租户态势感知。
o 安全数据处理:移动云面对大量安全数据,需要能够快速和准确的对这些日志数据处理和分析,从而能够准确的识别安全告警和事件,降低误报率。移动云数据处理能力也应该能够随着性能要求的变化,对计算能力和存储能力进行弹性扩展,满足数据处理要求。
o 安全设备管理:移动云为了将云平台安全产品和租户产品进行融合,需要将各种产品进行抽象,把安全产品转换为安全能力,进行统一的调度、分配和交付,从而实现这些安全产品的融合和互补,共同为中国移动能力中心内部运维、业务部门和外部租户提供服务。
三、安全技术应用情况:
云能力中心一直注重自主技术研究和安全生态建设,联合业界龙头网络安全公司,共同打造原生化的云安全防护体系。绿盟科技作为移动云战略合作伙伴,参与了移动云安全建设。云能力中心和绿盟科技基于各自对云安全的研究和理解,制定了云安全管理中心建设方案。本方案采用软件定义安全的理念,运用云计算和大数据分析技术,打造云安全管理中心,整合现有能力和资源,实现“统一安全接入、统一安全管理、统一服务提供”,对内提供平台保障,对外提供租户安全,形成统一的云安全保障能力。
o 云安全管理中心建设
云安全管理中心由安全资源层、安全管理层、能力开放层和安全提供层组成。
安全资源层:移动云的不同节点的平台安全设备和租户安全产品,统一接入到云安全管理中心,统一提供不同类型、不同形态的安全能力,适应不同的云计算环境;将产生的安全数据统一接入到安全数据中心,成为安全数据中心感知移动云安全状态的触角,一旦需要使用安全服务和安全事件处理时,安全能力作为具体执行单位,响应各种要求。
安全管理层:云安全管理中心的核心,包括安全能力管理中心和安全数据中心。安全能力管理中心负责提供安全能力服务,它将安全资源层的各种安全能力注册到能力管理中心,进行统一的设备管理和监控,并将这些安全能力封装为统一的接口和资源目录,供安全提供层使用。当有安全能力使用时,自动进行安全设备和网络流量的编排、策略下发,提供具体的安全防护。安全数据中心负责将安全资源层中各安全资源所产生的安全事件,统一采集和存储到安全数据中心。利用大数据分析技术,应用不同类型的分析引擎,如行为分析引擎、攻击识别引擎、威胁推理、预判引擎和脆弱性分析,结合用户及实体行为分析、网络流量分析和攻击链分析等安全分析技术,从而可以从海量数据中快速识别出安全告警和事件,提升分析效率。最后,通过数据目录的形式,将日志、事件、知识库等安全数据对外开放和查询。
能力开放层:本层承上启下,负责将安全管理层的相关功能封装成具体的接口,通过API接口、服务总线的方式按需对外提供服务。
安全提供层:负责为不同用户提供安全能力。安全运维门户面向安全运维人员,通过服务网关,使用安全管理的安全数据中心和安全能力管理中心,将各种安全数据可视化,直观掌握移动云的租户安全态势和全局安全态势,进行安全事件的处置和研判, 以及完成移动云不同节点中安全资源的管理、日志检索、报表管理和服务管理等常规工作,大大降低了运维人员的工作量,将时间和精力专注于安全本身,提升安全运维效率。安全服务门户面向移动云不同部门和租户提供安全服务和能力,他们可以按需选择和使用这些服务和能力,一旦选择安全服务后,这些能力将通过安全管理层自动实现安全资源的部署、编排和流量调度,从而满足其业务的安全要求,大大提升安全服务的使用体验和安全能力的交付效率。
o 态势感知能力建设
态势感知能力的整体架构针对云上多租户场景进行设计开发,与移动云管理平台深度对接,以大数据框架为基础,接入各类安全设备日志、扫描器的弱点报告、主机资产指纹信息,进行安全态势分析,最终接入到云安全管理中心,实现每个租户能查看各自资产的安全风险状况。
态势感知能力将租户信息与其各类资产进行关联,在接入日志数据、弱点报告和资产数据时,对这些数据和信息进行扩展,包含租户信息。当数据分析或展示时,仅处理和展示该租户的日志数据、弱点报告和资产,从而实现租户的安全态势总览、资产安全态势、网络安全态势、应用安全态势、脆弱性态势。
态势感知能力一方面可以与云平台进行对接,可以自动获取租户资产的变化;另一方面支持虚拟化部署,结合移动云其他服务,可以动态的增加虚拟机方式横向扩展,或调整虚拟机配置增大处理性能,满足租户安全数据分析的处理性能,实现原生化部署。
四、客户反馈效果:
绿盟科技为云能力中心战略合作伙伴,具有丰富的云安全研究经验,共同构建智能化和原生化的云安全能力。态势感知产品已在移动云官网上线,服务了大量用户,帮助其提升安全防护效果,满足合规性要求。
2020年,移动云态势感知产品参与了信通院2020年可信云认证,绿盟科技协助提供专业的技术支持服务,配合进行各项测评工作,最终态势感知产品顺利通过了认证。
移动云安全管理中心也在同步建设中,相信未来也将为移动云提供更全面的安全能力。