云计算以其按需购买、弹性扩展、价格低廉、统一管理等诸多优势，已被各行各业所使用。云计算在带来便利的同时，也带来了多种安全风险，如安全责任归属不清、安全边界模糊、虚拟化漏洞风险等。针对这些问题，国家出台政策，明确规定云平台、租户在IaaS、PaaS和SaaS等不同场景中的安全职责。各安全厂商针对云安全也开发出符合等保要求的云安全资源池。本文就云安全资源池中的关键技术进行分析和介绍。

安全资源池化

在传统的数据中心，安全能力由专用设备所提供，如硬件防火墙、硬件Web应用防护、硬件堡垒机等。但在云场景下，租户虚拟主机是按需购买的，对应的安全设备也需要按需购买。安全资源池化是云安全资源池的一个基础条件，针对安全资源池化的需求，主要有两种实现方式。

1. 专用安全设备虚拟化

传统的专用硬件设备支持虚拟化功能，如新华三的硬件防火墙支持context功能，一个context相当于一个独立的防火墙，当租户创建防火墙服务的时候，在硬件防火墙上创建一个context给租户使用，从而满足按需申请的需求。

图1 专用安全设备虚拟化

2. 虚拟网络功能（VNF）

安全设备支持虚拟化部署，即在通用X86服务器上以虚拟机的形态部署，如新华三虚拟防火墙（vFW）产品。当租户创建防火墙服务的时候，在通用X86服务器上从虚拟防火墙镜像创建防火墙虚拟机，并对虚拟机进行IP设置、产品授权等一系列初始化操作，从而满足按需申请的需求。

图2 虚拟化网络功能

上面两种方式各有利弊，专用安全设备虚拟化，由于其软件和硬件专门设计开发，在性能和高可靠上有优势；而虚拟网络功能是运行在通用服务器上，实现了软件和硬件的解耦，价格成本更低，大规模扩展性更强。

安全过程自动化

安全过程自动化是Gartner在2020年发布的九大安全和风险趋势的一种，安全过程自动化将安全人员从重复的劳动中解放出来，并且避免由于人为失误而导致的问题。在安全资源池的部署和使用过程中，安全过程自动化主要包含以下几个方面：

1. 引流自动化

云安全资源池的使用方式主要是旁挂在云核心交换机上，将防护流量牵引到云安全资源池进行防护，引流的过程需要自动化完成。现阶段自动化引流方式主要有策略路由方式和网络控制器（SDN）引流。

策略路由方式通过云安全资源池纳管云核心交换机，然后在租户的核心交换机上下行端口下发策略路由，将防护流量牵引到安全资源池，其中上行端口按目的地址下发策略路由，下行端口按源地址下发策略路由。

在有网络控制器的云环境中，网络设备由网络控制器集中管理，网络控制器提供服务链功能，将安全资源池当作服务链中的一个服务节点，网络控制器负责将防护流量调度到安全资源池节点，网络控制器引流方式中，云安全资源池通过调用网络控制器的接口来实现自动化引流。

2. 安全资源管理自动化

在安全资源池中，安全资源以服务的形式对外提供。当租户在云资源池管理平台创建安全服务的时候，云安全资源池根据资源池中已有的资源情况，从专业硬件创建context或者从虚拟化平台创建虚拟网络功能设备。同样，对应变更和删除安全服务的时候，云安全资源池管理平台也会进行相应的变更和删除操作。云安全资源池通过调用专用安全设备和虚拟化平台的接口来实现安全资源的完全自动化。

3. 安全资源编排自动化

根据等保规范要求，云租户的业务需要支持定义安全访问路径。在访问业务时，需要经过多个安全服务的过滤，从而保障业务的安全。如访问电子政务系统需要经过防火墙、入侵检测、Web应用防护等多个安全服务。为满足这样的需求，安全资源池需要支持服务编排功能，对需要防护的业务添加多个防护服务并将访问流量按防护路径进行编排。其中服务流量编排自动化有多种实现方案，下面介绍两种方案。

图3 两种流量编排方案

方案1 基于安全编排器的编排引流

通过配置流量编排器，将访问业务的流量引流到编排器，根据需要经过防护的安全服务节点，利用策略路由将流量串行起来。如图3所示，将访问租户B的流量牵引到流量编排器，在编排器上按顺序将流量调度到WAF、IPS、AV三个服务节点，最后将处理过的流量送至访问对象。

方案2 基于安全服务链的编排引流

通过特定报文封装，为服务链流量带上服务链标示，如图3所示，在编排交换机上根据服务链标示将流量转发到对应的安全服务节点。

管理平台和安全服务高可用

使用安全资源池为云计算提供安全防护的同时，也带来了新的风险。如果安全资源池发生故障，将导致云上业务异常，所以高可用是安全资源池的一个重要能力，安全资源池高可用主要包含安全资源池管理平台高可用和安全服务高可用。

1. 安全资源池管理平台高可用

安全资源池管理平台是使用安全服务、管理安全资源的入口，安全管理平台高可用保证用户在出现单点故障的时候仍然能使用管理平台。管理平台的高可用安全厂商使用主备模式和集群模式来实现。

2. 安全服务高可用

安全服务高可用，是指安全资源部署的高可用模式。在硬件设备部署时，可以使用硬件堆叠模式，如新华三防火墙支持堆叠部署；在X86上部署安全虚拟机时，通过主备模式实现高可用，如用户创建WAF服务时，会创建两台WAF虚拟机，并将这两台虚拟机配置为主备模式，对外提供WAF服务。

在企业上云的过程中，通常会同时建设多套云或者混合使用公有云和私有云，如在金融行业有开发测试云和生产云，并且部分企业仍然有传统的数据中心，需要通过建设云安全资源池来同时防护已有的数据中心和多套云内的业务。针对这样的场景，云安全资源池通过支持多云安全管理平台来实现。在多云安全管理平台中，支持管理多云中的安全设备，并且同步每朵云中的资产。为多云内资产添加防护的时候，会在云对应安全设备上分配安全资源，并自动化引流和编排，实现防护需求。

观点

通过支持软硬件混合形态的安全资源，提供多云统一纳管，并且以全自动化的方式来实现安全服务的全生命周期管理，为云安全保驾护航、满足等保合规要求。