云網融合趨勢下運營商的數據安全防護體系探討
當前,新一代信息通信網絡正在從以信息傳遞為核心的網絡基礎設施,向融合計算、存儲、傳送資源的智能化云網基礎設施發生轉變。在 5G 網絡的加持下,以網為基礎、以云為核心,深度融合“云 + 網”IT 系統的云網融合一體化服務,已成為助力基礎電信運營商從單純通信類業務向綜合信息服務轉型的重要抓手與業務著力點。然而以軟件定義網絡(SDN)、網絡功能虛擬化(NFV)為代表的云網融合技術,對網絡、業務、計算的融合重構、多云互聯等,使得數據安全的技術、建設、運營管理模式均與傳統網絡存在較大的差異,運營商的數字基礎設施面臨著新型的數據安全挑戰。
一、云網融合下運營商面臨的數據安全風險與挑戰
(一)“封閉”網絡演進為“開放”網絡
相對于傳統電信網基于專用硬件以及軟硬件緊耦合的技術體系,以通用硬件、云計算和虛擬化為代表的新的技術體系解耦了軟硬件封閉關系,電信系統的扁平化和分層化引入了更廣的攻擊界面,同時多地點、多種類終端的遠程接入導致業務系統的物理安全邊界模糊,云上業務的暴露面擴大,再加上部分系統采用開源組件或技術而引入的安全漏洞等,使得數據泄露或被非法竊取的風險增大且難以防范。
(二)安全邊界和策略的動態變化,要求彈性的安全編排能力
云網融合應用中所有網元功能可根據業務的需求動態進行擴/縮容、遷移。相應地,在 SDN控制器的調度下,網絡的拓撲可能根據業務的需要進行動態變化,如果安全策略無法根據這種變化及時、快速地調整,就可能被攻擊者利用,導致安全事故(比如業務數據泄露、業務中斷等)。因此,云網融合環境對數據安全能力的情報共享、原子化服務及編排化協同提出了更高要求。
(三)架構重構,增加了安全防護和運營的難度
為滿足智能化、自服務、高速、靈活等云網融合業務需求,需在通用物理資源、基礎能力平臺和數字化應用等各個層面進行統一管理或邏輯技術架構的統一重構,此過程中涉及大量新系統和網元的引入,同時虛擬化技術進一步增加了系統組件的數量,需要管理運營的實體數量呈指數級上升,這又進一步增加了賬戶、權限管理的復雜度。如何快速地發現和解決問題、靈活地部署業務、規避安全攻擊、降低安全運維成本,成為安全運營管理面臨的巨大挑戰。
二、總體解決思路
云網融合也促使網數安全能力的融合,基于云網融合的數據安全風險分析,運營商應首先解決引入云計算、SDN 和 NFV 等新技術后,帶來的數據訪問邊界變化的安全風險,確保數據訪問的安全可控。在此基礎上,實現基于業務、權限、敏感等級、風險情況等對數據細粒度的動態防護,以及安全能力的靈活部署及按需服務等需求。
(一)基于安全服務邊緣(SSE)框架構建數據的動態可信訪問能力
在云網融合趨勢下,數據中心變得無處不在,傳統基于已知問題的靜態式、被動式防護已無法滿足云網融合時代因訪問場景多變而產生的權限動態調整、控制智能決策等新需求。應著眼云網融合資源布局的多組織、大體系環境下的數據安全需求,聚焦身份、信任、業務訪問和動態訪問控制等維度,采用依靠云訪問安全代理、云安全 Web 網關、零信任網絡訪問等核心安全組件構建的 SSE 安全模型,對業務場景的人、流程、環境、訪問上下文等多維因素的信任進行持續評估,并通過信任等級對權限進行動態調整,構建以身份為基石的動態可信訪問控制能力。
云訪問安全代理(CASB),通過安全準則精確控制對云中應用程序及數據的任何訪問,抵御未經授權的訪問嘗試,并聯動如加密、審計、脫敏等安全原子能力,實施不同實體的安全訪問防護,從而防止數據丟失。
云安全 WEB 網關,對實體訪問流量進行實時檢測,過濾流量中的惡意或非必要的軟件,并執行數據安全相關合規策略。
零信任網絡訪問,對不同訪問實體接入的連接進行微邊界定義(SDP)、加密、持續的行為檢測及信任評估、訪問控制等,實現數據資源的最小范圍和權限的可控訪問。
(二)構建層次化的安全原子能力庫,彈性編排安全能力
在網絡與數據資源高度融合的環境下,圍繞數據全生命周期,從采集、傳輸、存儲、處理、共享、銷毀等環節,以數據為核心對業務流量和各類網絡、安全設備日志進行關聯分析,同時將數據安全能力原子化、服務化,整合原生和外掛的安全能力,構建數據底層識別、中層防護、高層管控及運營的安全原子能力庫,并通過統一的安全能力平臺進行統一匯聚、管理、編排及調度,形成覆蓋“云、網、應用、數據、終端”的一體化安全運營體系,從被動響應轉向主動防御,從單點防御轉向全網聯防聯動,實現全域安全能力的按需編排和彈性調度。
在數據采集環節,實施連接限制、敏感數據識別、數據一致性和合法性校驗等手段,保證各類數據采集活動的合規性和安全性;對采集的數據進行分類分級標識,對不同類和級別的數據實施相應的安全管理策略和保障措施。
在數據傳輸環節,利用鏈路加密、協議加密、數據加密、認證鑒權等機制對數據傳輸進行安全管理,構建傳輸安全通道;防止數據丟失、泄露、篡改。建立數據傳輸接口安全管理工作規范,包括安全域內、安全域間等數據傳輸接口規范。
在數據存儲與加工環節,采用數據脫敏、加密等手段。實現數據保密,提高敏感信息的安全性;加強數據的安全監控,以及日志分析和操作審計等。
在數據應用與共享環節,實施數據脫敏、數據水印、數據流轉監測、接口行為監測、導出管理、訪問控制、風險處置、事件溯源等手段,實現對數據、表的共享訪問控制、操作控制、應急響應和事后溯源。
在數據銷毀環境,針對不同的存儲方式、存儲內容,建立數據銷毀周期管理能力,明確需要進行數據銷毀的數據、方式和要求,明確銷毀數據范圍和流程;遵循可審計原則,建立數據刪除策略和管理制度,記錄數據刪除的操作時間、操作人、操作方式、數據內容等相關信息。
(三)打造共享、共治的數據安全資源庫,構建數據安全生態
云網融合產業生態復雜,業務場景多變,所需要的安全防護能力的形態、策略或性能差異較大,安全能力需自適應網絡業務變化,實現安全能力的自動注入。一是需要借助云網虛擬化能力,實現安全資源的自動分發與流動部署,以適應網絡業務變化。二是需要利用大數據技術,將運行的各類安全能力知識庫、管理制度及流程、安全防護策略庫、安全防護日志等數據進行關聯分析,并結合 AI 學習、智能推理,提煉行之有效的安全防護策略及實施方法,挖掘數據共性特征,形成面向行業、租戶、主題、數據資產等類型的數據安全資源庫,使安全能力、安全策略自動匹配數據資產、業務環境等能力需求,形成多網元、多層次的協同安全生態。
三、總結
云網融合趨勢下,通信技術(CT)、信息技術(IT)和數據技術(DT)走向融合,在海量聯接、海量用戶、海量數據、高速互聯和海量融合應用下,數據安全應更加重視安全架構的構建。一是采用安全能力中臺統籌構建數據融通、能力聚合、架構統一、生態開放的云網端到端安全能力體系,逐步實現安全數據集中化,安全分析智能化、安全運行編排化、安全服務能力化。二是加強數據安全共享、共治,構建面向不同主題的統一安全合規標準及能力,讓安全基因不斷融入 IT 系統,打造持續信任的安全環境,形成共同協作的數據安全生態。
