项目背景及目标

项目背景：为适应互联网环境下计算资源弹性变化和快速部署等需求，江西省农商银行积极开展云计算架构规划，构建了富有自身特色的私有云平台，将虚拟机部署时间降低到分钟级别，同时也大幅提高了行内系统容错、系统冗余、高可用性及灾备恢复效率。然而，在虚拟化云计算环境下，东西向业务流量对传统的安全防护设备不可见、不可控，提升虚拟化云安全防护能力迫在眉睫。

项目目标：一是构建虚拟化安全资源池，使虚拟化云计算数据中心具备匹配当前虚拟环境的安全防护能力。将业务流量通过牵引到具有安全引擎的安全资源池中清洗，过滤掉不安全的请求和攻击行为，使部署在虚拟化环境的业务系统更加安全。二是构建云安全管理平台，将传统安全防护和虚拟化技术融合，实现自动化的安全服务编排，将安全资源池中的安全能力灵活运用于现有的云计算架构体系中，并实现云环境下的快速资源调度，快速安全防护、弹性扩展与伸缩，充分提高安全资源的利用效率。

项目方案

项目架构：如下图所示，架构由构建云安全资源池和组建虚拟化环境下的数据引流组成。

技术实现方面：

一、构建云安全资源池。通过部署在云安全资源池中的虚拟化入侵防御系统（vIPS）实现对虚拟化环境中各类网络入侵、病毒、木马、蠕虫攻击的检测和防护；通过虚拟化Web应用防火墙（vWAF），实现对虚拟化环境中各类Web攻击的检测和防护；通过云安全管理平台（NCSS），实现对云安全资源池中运行的各类安全设备进行统一调度以及各安全服务的编排；通过安全管理平台（ESPC），实现各安全设备日志、告警的统一收集，报表输出。

二、在虚拟化环境下数据引流。在KVM云计算平台下，通过虚拟化防火墙旁路运行在各宿主机上，实现对虚拟化环境中的各类访问行为进行监测及控制。在VMware云计算平台下,通过引流虚拟机，实现对虚拟化环境中东西向流量的镜像采集，并将镜像流量转发到云安全资源池中进行检测。

三、采取旁路阻断技术。在旁路部署环境下，当检测到安全威胁时，通过旁路发送reset报文方式，释放存在安全威胁的TCP连接，达到阻断效果。

项目创新点

1、运用网络功能虚拟化（Network Function Virtualization NFV）技术，承载各种类型的网络安全功能，并将各类安全能力抽象和资源池化；

2、云安全平台采取旁路部署方式，同时利用独特的旁路阻断技术，无需改变系统架构和网络架构，在实现虚拟化云安全防护的同时，不会成为系统性能瓶颈和故障点，具有极高的稳定性和可靠性。

3．采取自动化的安全服务编排技术，将安全资源池中的安全能力灵活运用于现有的云计算架构体系中，并实现安全能力按需申请、弹性扩展与伸缩，充分提高安全资源的利用效率。

技术实现特点

1、随着江西省农商银行虚拟化云计算技术的快速发展，传统的安全防护技术无法满足虚拟化环境下的业务安全需求，利用虚拟化云安全技术，可实现对计算节点内部虚拟机东西向流量的防护。

2、实现全方位立体防护。通过访问控制、木马蠕虫病毒防护、入侵防护及Web安全防护技术实现了系统2-7层的全面立体防护。

3、实现云安全资源池动态扩展及调度管理。在虚拟化云安全平台中，可灵活地对资源池内的安全防护能力进行动态扩容及资源调度管理。

项目过程管理

2017年10月开始调研，收集行内云计算平台建设情况及云安全平台建设需求；

2018年2月-2018年3月搭建环境进行测试，包括功能测试、性能测试及压力测试；

2018年3月对云安全平台进行策略优化；

2018年4月进行系统应急演练，验证虚拟化云安全平台系统故障后，不影响业务系统的正常运行；

2018年5月完成实施准备，选定防护对象，并生产试运行；

2018年6月完成安全资源池部署，完成安全资源池NCSS平台搭建、IPS安装、WAF安装，完成虚拟化防火墙部署，包括VMware和KVM虚拟化防火墙的NF部署及监听配置，防火墙策略需求收集及部署，虚拟化防火墙通用访问控制策略梳理，防火墙日志、告警分析、旁路阻断测试；

2018年7月完成虚拟化环境引流至安全资源池，包括VMware和KVM引流虚拟机部署，VMware和KVM环境引流至安全资源池；

2018年8月进行虚拟化IPS部署，包括IPS监听引流流量，IPS策略配置及优化，IPS日志、告警分析；

2018年9月完成虚拟化WAF部署，包括WAF监听引流流量，WAF策略的站点及其他相关配置和持续优化，WAF日志、告警分析；

2018年10月初完成安全资源池/NCSS平台功能完善，包括安全虚拟机管理、日志统一收集及报表功能的优化。

项目运营情况

目前已部署至管理类生产环境安全设备VNF2台、VIPS1台、VMWAF1台，实现了对管理门户单点登录（应用）、新征信、异常交易、移动接入（db）、实物资产与费用（db）、管理门户（db）、架构管理（db）、ETLserver（应用）、监管运营（db）等系统7X24安全监控及防护。

从当前运行情况来看，项目能够实现对防护目标流量监测及访问控制，满足安全性、易用性、可靠性的预期目标，同时系统的处理能力变化幅度处于1%左右，且幅度为双向浮动，属于正常偏差，对系统TPS无明显影响。

通过构建虚拟化安全资源池，使虚拟化云计算数据中心具备匹配当前虚拟环境的安全防护能力，具备虚拟化防火墙、虚拟化IPS、虚拟化WAF等安全能力。

项目成效

1、部署云安全平台后，运行期间虚拟化IPS共检测到安全事件591次，包含中风险事件479次，主要事件为MySQL登录握手信息泄露漏洞、SSH登录请求认证、FTP服务用户弱口令认证等，低风险事件112次，事件为FTP服务用户认证成功、DHCP Discovery报文控制。

2、虚拟化WAF检测到告警147次,其中高风险的服务器信息泄露124次，中风险的HTTP协议违背23次。

3、vNF系统告警发现高风险事件166次。

通过虚拟化云安全项目建设，及时发现了和处置了江西省农村商业银行信息系统在虚拟化环境下运行中的安全隐患，提升了整体信息防护水平。

经验总结

1、需重视虚拟化云计算环境下信息安全新威胁：传统网络安全技术偏重于边界安全防护，及南北向安全防护，然而虚拟化云计算使得网络安全域边界被打破，东西向流量占比越来越高，且传统网络安全防护措施无法监控和管理。同时云计算环境下，安全威胁的传导速度快速增加，单点安全威胁容易扩散到整体虚拟环境中，利用虚拟化云安全技术能较好的应对云计算环境下的网络安全威胁。

2、在虚拟机引流方面的新实践：在VMware环境下将监听口设置为混杂模式实现流量镜像；在Openstack环境下利用系统流量控制工具TC实现流量镜像。通过建立GRE隧道，可较容易的将镜像流量导入外部云安全资源池进行安全检测。

3、充分利用旁路阻断技术，减少虚拟化云安全平台对业务系统的影响。采用旁路部署加旁路阻断技术，可在实现虚拟化云内安全防护的同时，不改变系统架构和网络架构，也不会成为系统性能瓶颈和故障点。

本文由2018年度农村金融科技创新优秀案例评选组委会授权发表，转载请注明出处和本文链接。