云化趨勢下的網絡訪問控制能力解析

一.  生態產業發展趨勢Landscape

訪問控制（Access Control，AC）規定了主體（即用戶和流程）如何基于已定義的訪問控制策略訪問客體（對象），以保護目標系統中的敏感數據和關鍵計算對象，使其不被非授權地訪問。網絡訪問控制（NAC，Network Access Control），常見的訪問控制是在企業網絡場景中，通過對接入用戶及其訪問行為進行安全控制，提供網絡“端到端”的安全保證，而當前的網絡訪問控制是在更廣義的場景，即更泛在的網絡環境下的訪問控制，本文的網絡訪問控制能力說明是面向云計算網絡環境。

隨著云計算、虛擬化技術的發展，越來越多的企業將數據與業務遷移到云計算環境。包含有敏感數據和業務的云計算工作負載，在云環境下網絡邊界變得模糊，傳統防火墻等網絡安全手段在云環境下顯得捉襟見肘。集中化、自動化、彈性和自適應是云環境對訪問控制能力提出的內生需求。此外，云服務模型（IaaS、PaaS和SaaS）不同，主體不同，或網絡訪問的對象和目標不同，對應的網絡訪問控制策略也有差異。

云服務商負責的訪問控制機制和云租戶負責的訪問控制機制在云服務的IaaS、PaaS和SaaS層有不同的劃分，如圖1所示，網絡訪問控制機制主要由云服務提供商負責。網絡訪問控制機制涉及物理網絡和虛擬網絡的訪問控制，而虛擬網絡的訪問控制機制又可進一步細分為對虛擬機和容器的訪問控制。

圖- 1 由云服務商和云租戶負責的訪問控制機制

二. 云化趨勢下的網絡訪問控制能力特點

隨著云計算的發展，傳統的網絡訪問控制機制也在發生變化，從單體設備走向資源池化，從固定性能轉為彈性擴展，從一次買斷轉為按需計費，不一而足，目前看云計算場景中的訪問控制機制具備了多種云計算所特有的能力：

• 泛在的網絡訪問

用戶可以通過互聯網訪問云服務，這些訪問行為具有泛在性。首先，訪問機制都是基于標準的協議，因而，訪問主體可為異構的終端（如移動電話、平板電腦、筆記本電腦、工作站）使用；其次，用戶所在的區域經常會發生變化，訪問位置無所不在。訪問主體的不確定性、缺乏固定的邊界，都就帶來了有關網絡訪問的安全問題。在設計云中的訪問控制機制時，要充分考慮到云計算業務的特點，不能設置簡單的訪問控制點，或只部署固定不變的訪問控制規則。

• 能力資源池化

訪問控制的設計中，應充分考慮云計算的優勢和特點，如在確保共享資源隔離的同時實現訪問控制資源池化的方法。通過多租戶模型，將云系統的計算資源（如存儲、 內存、處理、網絡帶寬）池化，構建多個獨立、隔離的訪問控制點，以服務多個用戶。

• 能力可彈性伸縮

對于用戶而言，云服務商提供的服務通常看起來是不受限制的，并且在任何時候都可以隨意伸縮。在某些情況下，可以自動配置和釋放云服務，以根據需求快速向外或向內擴展。所以訪問控制機制應考慮到訪問客體的彈性變化情況，包括在新虛擬機準備好后快速部署訪問控制策略，或在虛擬機遷移時將訪問控制策略同步遷移。

• 可計量的服務

云系統通過服務類型（如用戶在存儲、計算、帶寬、活動等方面的資源消耗）的抽象級別利用計量功能來自動控制和優化資源使用。為了維持資源的使用，云用戶應該被授權審查而不是修改他們自己的計量數據，因為這可能會導致所需支付的云服務費用被偽造。因此，訪問控制需要考慮計量數據的保護。 

三. 云計算系統中的網絡訪問控制能力分類與介紹

云服務提供商通常會提供基礎設施和網絡層級的安全保障，但實際應用的安全還需要通過合適的訪問控制策略來保障。以下是云環境下的網絡訪問控制能力的主要內容：

3.1

網絡訪問控制列表（Network Access Control List，NACL）

NACL 是一種用于過濾特定模式流量的網絡級別訪問控制機制，控制網絡主體的訪問范圍和網絡流向，從而提供基礎的網絡層級訪問控制，因而也是基礎的訪問控制能力。NACL通常會定義源和目標網絡地址、協議、端口和訪問策略（通行、丟棄或跳轉等）等規則，在收到數據包后根據規則優先級依次匹配規則，當匹配到某規則后執行相應的策略。在開源的云計算系統中，網絡訪問控制列表通常使用iptables、ebtables等機制實現，但用戶需要考慮NACL列表大小可能會影響計算節點的性能，在大型云計算的環境中，應考慮更為高效的NACL底層實現機制。

3.2

網絡安全組（Network Security Group）

網絡安全組是IaaS提供的一種防火墻控制機制，用于限制虛擬網絡中的入站和出站流量，如Openstack使用網絡安全組實現進出虛擬機的東西向流量的阻斷或放行。

網絡安全組可以被認為是一類網絡訪問控制列表的模板，它定義了若干訪問控制規則，可應用于同樣類型的資源上。如可將一個“允許TCP 80/443并禁止其他流量”的安全組綁定于租戶的多臺Web服務虛擬機。

網絡安全組需要為虛擬機提供網絡層的訪問控制能力，并且可以跟隨虛擬機的遷移、伸縮而更新，提供虛擬機完整生命周期的一致性防護。此外，安全組中的規則變更，也應實時、動態應用于現有或后續新建的虛擬機實例上。

3.3

虛擬私有云（VPC）

專用虛擬局域網（VLAN）技術可保護網絡流量和云環境不受未經授權的用戶訪問。VLAN對數據中心的網絡流量使用IEEE 802.1Q VLAN 標記，可確保標記有服務器唯一VLAN 標識符的流量僅路由到該服務器或從該服務器路由。

命名空間（namespace）是Linux內核提供的一種資源隔離機制，可實現將網絡路由表、網絡設備間共享或隔離。

事實上，通過VLAN實現虛擬網絡流量的隔離，從而實現不同租戶網絡流量的隔離；通過命名空間將不同租戶網絡資源隔離，基本上成為了云計算環境中網絡隔離技術的基石。

公有云提供資源是共享的，而云計算又天然地要求不同租戶網絡是隔離的，虛擬私有云（Virtual Private Cloud，VPC）則提供了控制租戶不能訪問其他租戶網絡資源的能力。VPC是一種面向IaaS租戶的虛擬網絡環境，提供了安全的、可定制化的網絡拓撲結構，使得用戶可以創建自己的網絡架構，包括子網、路由表和網關等。VPC在底層使用了如VLAN、命名空間等機制，以保證不同租戶的虛擬網絡的資源和流量是隔離。即便不同租戶的虛擬網絡是重疊（overlapping）的，彼此也不能互相訪問對方的網絡資源，保證了各自網絡的安全。

3.4

微服務系統的網絡策略（MSA Network Policy）

在微服務架構中，每個服務通常運行在獨立的容器中，微服務之間通過網關或服務網格進行網絡通信。編排系統會設計網絡策略來管理微服務的通信范圍和微服務之間流量。如Kubernetes通過應用Network Policy進行POD（微服務的實例）之間的訪問控制，限制POD的出入流量，提供面向微服務的網絡層訪問控制能力。

四. 網絡訪問控制能力的預測

云環境下的網絡訪問控制能力有如下發展趨勢：

1) 多云網絡安全一體化：隨著企業對多云環境的采用增加，安全團隊需要更好的一體化解決方案來保證多云網絡的安全。企業將需要集中管理多云網絡的訪問控制、身份驗證和授權、網絡隔離等安全策略。特別是融合了企業網絡、云計算網絡和物聯網網絡等異構的網絡后，網絡訪問控制能力需要做到控制平面統一，數據平面一致。避免攻擊者通過某網絡的漏洞穿透到云計算網絡中，反之亦然。

在公有云場景下，會出現針對單云、多云或混合云的訪問控制策略檢查的安全服務，以發現錯誤配置導致的未授權訪問攻擊面，此類服務通常會被認為是一類云安全態勢管理（Cloud Security Posture Management，CSPM）的能力。

2) 自適應網絡訪問控制：自適應網絡訪問控制是一種新的安全控制策略，可以根據網絡流量和用戶行為實時調整訪問控制策略，以提高網絡的安全性和效率。例如，自適應訪問控制可以通過機器學習算法來分析用戶的行為和訪問模式，以決定是否授予訪問權限。

3) 面向微服務和服務網格的網絡訪問控制：隨著微服務的廣泛應用，網絡安全對于微服務的成功實現至關重要。微服務網絡安全需要解決服務身份驗證和授權、服務發現和注冊、網絡隔離等安全問題，以確保服務之間的安全通信。微服務網絡通常有南北向的微服務網關和東西向的服務網格組成，因而應根據業務需求定義微服務間的隔離和訪問策略，進而在微服務網關或服務網格中微服務邊界部署的訪問控制機制，并應用訪問控制策略。邊車（Sidecar）代理、eBPF或引流均為實現微服務訪問控制的新興關鍵技術。

4) 面向無服務器（Serverless）的網絡訪問控制：無服務器計算是一種新的云計算模式，它可以將代碼和函數運行在云端，無需用戶自己管理和維護服務器。無服務器計算需要解決代碼和數據的安全問題，包括代碼審計、數據隔離和訪問控制等。由于在用戶視角，無服務器工作在應用層，因而其網絡訪問控制的策略通常是針對請求的URL、參數等應用層字段的。

5) 安全自動化和自動化響應：安全自動化和自動化響應可以幫助企業更快速地檢測和應對網絡安全事件，以降低安全風險。企業可以通過自動化工具來實現自動化的訪問控制、安全監控和事件響應，以提高網絡安全的效率和準確性。

五. 總結

在云環境中需根據云服務交付模型（IaaS，PaaS和SaaS）中相關要素考慮網絡訪問控制技術所應具備的能力。云化趨勢下的訪問控制技術具備云計算的基本特征，例如泛在的網絡訪問、能力資源池化、能力可彈性伸縮，以及可計量的服務等。針對IaaS、PaaS和SaaS的不同特點，存在不同的訪問控制技術和關注點。隨著網絡的定義不斷延展和云計算業務的不斷演進，云計算網絡訪問控制能力也在不斷發展，演化出當前還有許多問題仍然懸而未決。隨著云原生化、多云不斷發展，云環境下的網絡訪問控制技術仍將進一步發展。