云网融合趋势下运营商的数据安全防护体系探讨
当前,新一代信息通信网络正在从以信息传递为核心的网络基础设施,向融合计算、存储、传送资源的智能化云网基础设施发生转变。在 5G 网络的加持下,以网为基础、以云为核心,深度融合“云 + 网”IT 系统的云网融合一体化服务,已成为助力基础电信运营商从单纯通信类业务向综合信息服务转型的重要抓手与业务着力点。然而以软件定义网络(SDN)、网络功能虚拟化(NFV)为代表的云网融合技术,对网络、业务、计算的融合重构、多云互联等,使得数据安全的技术、建设、运营管理模式均与传统网络存在较大的差异,运营商的数字基础设施面临着新型的数据安全挑战。
一、云网融合下运营商面临的数据安全风险与挑战
(一)“封闭”网络演进为“开放”网络
相对于传统电信网基于专用硬件以及软硬件紧耦合的技术体系,以通用硬件、云计算和虚拟化为代表的新的技术体系解耦了软硬件封闭关系,电信系统的扁平化和分层化引入了更广的攻击界面,同时多地点、多种类终端的远程接入导致业务系统的物理安全边界模糊,云上业务的暴露面扩大,再加上部分系统采用开源组件或技术而引入的安全漏洞等,使得数据泄露或被非法窃取的风险增大且难以防范。
(二)安全边界和策略的动态变化,要求弹性的安全编排能力
云网融合应用中所有网元功能可根据业务的需求动态进行扩/缩容、迁移。相应地,在 SDN控制器的调度下,网络的拓扑可能根据业务的需要进行动态变化,如果安全策略无法根据这种变化及时、快速地调整,就可能被攻击者利用,导致安全事故(比如业务数据泄露、业务中断等)。因此,云网融合环境对数据安全能力的情报共享、原子化服务及编排化协同提出了更高要求。
(三)架构重构,增加了安全防护和运营的难度
为满足智能化、自服务、高速、灵活等云网融合业务需求,需在通用物理资源、基础能力平台和数字化应用等各个层面进行统一管理或逻辑技术架构的统一重构,此过程中涉及大量新系统和网元的引入,同时虚拟化技术进一步增加了系统组件的数量,需要管理运营的实体数量呈指数级上升,这又进一步增加了账户、权限管理的复杂度。如何快速地发现和解决问题、灵活地部署业务、规避安全攻击、降低安全运维成本,成为安全运营管理面临的巨大挑战。
二、总体解决思路
云网融合也促使网数安全能力的融合,基于云网融合的数据安全风险分析,运营商应首先解决引入云计算、SDN 和 NFV 等新技术后,带来的数据访问边界变化的安全风险,确保数据访问的安全可控。在此基础上,实现基于业务、权限、敏感等级、风险情况等对数据细粒度的动态防护,以及安全能力的灵活部署及按需服务等需求。
(一)基于安全服务边缘(SSE)框架构建数据的动态可信访问能力
在云网融合趋势下,数据中心变得无处不在,传统基于已知问题的静态式、被动式防护已无法满足云网融合时代因访问场景多变而产生的权限动态调整、控制智能决策等新需求。应着眼云网融合资源布局的多组织、大体系环境下的数据安全需求,聚焦身份、信任、业务访问和动态访问控制等维度,采用依靠云访问安全代理、云安全 Web 网关、零信任网络访问等核心安全组件构建的 SSE 安全模型,对业务场景的人、流程、环境、访问上下文等多维因素的信任进行持续评估,并通过信任等级对权限进行动态调整,构建以身份为基石的动态可信访问控制能力。
云访问安全代理(CASB),通过安全准则精确控制对云中应用程序及数据的任何访问,抵御未经授权的访问尝试,并联动如加密、审计、脱敏等安全原子能力,实施不同实体的安全访问防护,从而防止数据丢失。
云安全 WEB 网关,对实体访问流量进行实时检测,过滤流量中的恶意或非必要的软件,并执行数据安全相关合规策略。
零信任网络访问,对不同访问实体接入的连接进行微边界定义(SDP)、加密、持续的行为检测及信任评估、访问控制等,实现数据资源的最小范围和权限的可控访问。
(二)构建层次化的安全原子能力库,弹性编排安全能力
在网络与数据资源高度融合的环境下,围绕数据全生命周期,从采集、传输、存储、处理、共享、销毁等环节,以数据为核心对业务流量和各类网络、安全设备日志进行关联分析,同时将数据安全能力原子化、服务化,整合原生和外挂的安全能力,构建数据底层识别、中层防护、高层管控及运营的安全原子能力库,并通过统一的安全能力平台进行统一汇聚、管理、编排及调度,形成覆盖“云、网、应用、数据、终端”的一体化安全运营体系,从被动响应转向主动防御,从单点防御转向全网联防联动,实现全域安全能力的按需编排和弹性调度。
在数据采集环节,实施连接限制、敏感数据识别、数据一致性和合法性校验等手段,保证各类数据采集活动的合规性和安全性;对采集的数据进行分类分级标识,对不同类和级别的数据实施相应的安全管理策略和保障措施。
在数据传输环节,利用链路加密、协议加密、数据加密、认证鉴权等机制对数据传输进行安全管理,构建传输安全通道;防止数据丢失、泄露、篡改。建立数据传输接口安全管理工作规范,包括安全域内、安全域间等数据传输接口规范。
在数据存储与加工环节,采用数据脱敏、加密等手段。实现数据保密,提高敏感信息的安全性;加强数据的安全监控,以及日志分析和操作审计等。
在数据应用与共享环节,实施数据脱敏、数据水印、数据流转监测、接口行为监测、导出管理、访问控制、风险处置、事件溯源等手段,实现对数据、表的共享访问控制、操作控制、应急响应和事后溯源。
在数据销毁环境,针对不同的存储方式、存储内容,建立数据销毁周期管理能力,明确需要进行数据销毁的数据、方式和要求,明确销毁数据范围和流程;遵循可审计原则,建立数据删除策略和管理制度,记录数据删除的操作时间、操作人、操作方式、数据内容等相关信息。
(三)打造共享、共治的数据安全资源库,构建数据安全生态
云网融合产业生态复杂,业务场景多变,所需要的安全防护能力的形态、策略或性能差异较大,安全能力需自适应网络业务变化,实现安全能力的自动注入。一是需要借助云网虚拟化能力,实现安全资源的自动分发与流动部署,以适应网络业务变化。二是需要利用大数据技术,将运行的各类安全能力知识库、管理制度及流程、安全防护策略库、安全防护日志等数据进行关联分析,并结合 AI 学习、智能推理,提炼行之有效的安全防护策略及实施方法,挖掘数据共性特征,形成面向行业、租户、主题、数据资产等类型的数据安全资源库,使安全能力、安全策略自动匹配数据资产、业务环境等能力需求,形成多网元、多层次的协同安全生态。
三、总结
云网融合趋势下,通信技术(CT)、信息技术(IT)和数据技术(DT)走向融合,在海量联接、海量用户、海量数据、高速互联和海量融合应用下,数据安全应更加重视安全架构的构建。一是采用安全能力中台统筹构建数据融通、能力聚合、架构统一、生态开放的云网端到端安全能力体系,逐步实现安全数据集中化,安全分析智能化、安全运行编排化、安全服务能力化。二是加强数据安全共享、共治,构建面向不同主题的统一安全合规标准及能力,让安全基因不断融入 IT 系统,打造持续信任的安全环境,形成共同协作的数据安全生态。
