隨著城市軌道交通信息化高速發展,智慧城市軌道云平臺建設已經成為必然趨勢,各項業務系統上云,對軌道交通行業的數據安全保障工作提出了新的挑戰,企業面臨著云環境網絡邊界模糊、細粒度管控需求難以實現等難題,針對上述行業用戶痛點,發布本期牛品推薦:天琴科技——基于標記的強制訪問行為控制體系(簡稱標記強訪控制體系),該體系通過主客代理模塊對數據和用戶進行標記,并與服務資源代理、安全隔離網關、集中配置模塊和可視化集中展示模塊協同聯動,實現了對云應用相關數據安全流轉的保障。
標簽
01
精細化管控,高適配度,數字化管控,標記性管控,可視化管控
用戶痛點
02
隨著云計算和關基建設的要求,城市軌道交通行業著力打造“智慧城軌云”,城軌相關業務上云,業務數據流的環境發生巨大的變化,不再在傳統的網絡中進行,原有的針對網絡層的防護“老三樣”——防火墻、入侵檢測和防病毒由于其被動防御的特征和防御對象的局限性,對城軌云整個網絡環境中數據流的保護力度減弱,而針對云環境的惡意攻擊手段在不斷的演進,使得城軌云環境中的數據安全防護面臨著更多的風險:
1、隱蔽通道和越權訪問
虛擬化技術是云計算平臺的核心,虛擬化技術提供了大量的共享資源,數據資源流向開放,催生了隱蔽通道和越權訪問的各種條件,云內的非正常操作和各種攻擊的隱蔽性更強,更難發現;
2、惡意訪問高速傳播
由于云環境內邊界模糊,一旦產生惡意訪問,惡意代碼的橫向傳播速度極快,輕則消耗云內計算資源,重則對業務應用造成影響,導致業務停滯甚至癱瘓,恢復難度大、成本高;
3、數據管控粒度粗
現有監測手段對云環境內數據交換過程的管控力度不足,無法對各個組成模塊下的業務運行狀態和通信過程進行細粒度把控,發生異常時,難以覺察,一旦發現,可能已經造成較大的損失。
解決方案
03
智慧城軌云在建設時,結合城軌業務需求及應用特征,將云環境劃分為外部服務網、內部管理網、安全生產網和運維管理網四個獨立的安全區域,不同安全域的安全級別不同,部署對應安全級別的業務或者管理系統。相同安全域內的訪問和跨安全域的數據交互,構成了整個城軌云業務應用系統的數字運行體系,成為城市軌道交通業務運行的重要基礎設施。
智慧城軌云的計算環境及業務運行產生的數據呈現出明顯的多源異構的特征:不同系統應用遵循的業務邏輯不同,進行安全管控的策略也有較大差異,這增大了全網安全策略統一實施和控制的難度,傳統防護手段對數據訪問控制的粒度較粗,無法深入應用內部,云內數據面臨較大的安全隱患。
標記強訪控制體系將所有應用系統間抽象的業務數據流細化為具體的訪問行為,并作為基礎的控制單元,對訪問行為的主體(通常指用戶,或者進程)和客體(通常指由用戶啟動的進程,或者各類業務數據)進行伴隨其整個生命周期的標記,記錄它們的安全屬性、應用屬性、訪問行為等相關信息,并以此為基礎,將城軌云環境內的所有訪問行為轉換為相同的格式進行描述,在訪問行為發生時,對主客體標記進行分析,與安全策略進行對比,放行正常訪問的報文,截棄非正常訪問的報文,記錄非正常訪問行為,從而實現對云環境內各應用系統運行和云內數據傳輸過程進行細粒度的監測及管控。
面向智慧城軌云的標記強訪體系架構,通過主客體保護模塊、服務資源代理、安全隔離網關、集中配置模塊和可視化集中展示五大模塊覆蓋至城軌云環境中,協同作用形成完整的數據流安全控制體系,保障了智慧城軌云應用系統在云內的安全運行。
1、主客體保護模塊
城軌云環境下,通常采用虛擬主機部署各類應用。在虛擬主機(或主機)上部署主客體保護模塊,實現對主機計算環境內部I/O訪問和網絡訪問的管控,從而對系統內的主客體完整性進行保護,也為計算環境內的客體資源提供額外的加解密保護手段。
2、服務資源代理
城軌云環境下,業務應用系統部署于多個安全區域內,服務資源代理實現不同應用之間的數據流轉及跨應用訪問。服務資源代理提供標準接口服務,彌補不同應用系統數據的格式差異,并通過標記強訪為不同應用系統間的數據交換提供便利、安全的總線。
3、安全隔離網關
城軌云環境下,用戶的跨域訪問,或者數據的跨域傳輸,都需要對請求報文進行處理以確保安全。安全隔離網關部署在不同安全區域的邊界,通過識別請求報文中的會話信息,對其傳輸路徑、安全級別和是否符合安全策略進行判斷,不符合安全策略的報文進行丟棄,對正確的報文進行安全屬性的重新匹配,并確保該報文傳輸到目標地址所在的受保護區域的資源代理或者操作系統。
4、集中配置模塊
為應對不同規模、形式的云平臺建設需求,標記強訪控制體系提供了豐富的落地方案,通過集中配置模塊對全局安全策略進行統一配置,實現對云內業務數據的分級、分類及多場景多模式的管理,充分滿足安全管理的不同層次的需求:
面對阻斷需求,能夠直接截斷云內的非正常訪問并進行詳細記錄便于審計;面對云內安全監測的需求,能夠通過標記相關日志對所有訪問行為進行詳細記錄,對非正常訪問進行預警并依安全策略進行干預;面對更高層次的溯源、主動防御需求,能夠提供仿真環境及異常訪問引導,捕獲更多數據以深入分析進行入侵溯源。
5、可視化集中展示
城軌云環境內,標記強訪控制體系的部署對普通業務用戶來說是無感的,安全策略在云環境內的部署也是透明的,符合安全策略的正常應用可以按照既定的路徑進行數據交互和業務訪問,而沒有按照既定路徑進行訪問的數據報文經過安全模塊、資源代理、安全網關的時候會根據安全策略的要求被處理,達到系統防護的目標,并通過可視化集中展示模塊為安全管理人員提供直觀的預警、查詢、處理、調度界面,協同其他網絡安全防護措施對云環境內的安全問題進行及時響應和處理。
標記強訪控制體系的部署,相當于在云環境內建立了一整套數據訪問通道白名單的立體網絡,正確的訪問行為才能夠通過層層通道完成數據交互,而未經授權的訪問和惡意的程序、代碼在云內的擴展和傳播則能夠得到有效的杜絕。
標記強訪控制體系對計算環境I/O的管控,基本阻斷了云內非正常應用的進行,對網絡的監測能夠對云內應用的故障進行快速定位,在云內透明的運行機制保障了業務之間交互和數據流轉的高性能,綜合來看,標記強訪控制體系充分提升了云平臺用戶對云環境網絡安全的控制能力。
智慧城軌云內復雜多樣的業務應用系統,通過標記強訪體系,實現了所有交互通信都按照統一格式、遵循相同的安全管控策略進行,這樣一來,覆蓋于網絡范圍的安全策略,通過標記滲透到計算環境和應用當中,不僅簡化了多源異構環境下繁復的安全策略邏輯,更解決了城軌云環境中全局安全策略穿透性弱的問題,確保整個網絡內應用運行及訪問行為的安全進行。
用戶反饋
04
天琴科技的標記強訪控制體系在合法合規的基礎上,精準的屏蔽了云環境中的異常訪問行為,并提供了詳細的屏蔽記錄,使蠕蟲、礦機等惡意代碼和惡意程序的非法訪問被快速識別,此外,該體系對我司云系統的聯調聯試助力很大,解決了不同人員誤操作時造成業務停滯的問題。
——某地鐵用戶設備部門負責人
城軌建設公司業務上云后的合規性建設十分重要,同時需要先進的技術支持。在對天琴科技標記強訪控制體系的配置測試階段,我們發現該體系在保證業務運行效率的基礎上實現了多方對接聯調,這進一步提升了我們對后續建設方案中加入標記強訪問方案的信心。
——某城軌建設公司技術負責人
《城市軌道交通云平臺構建技術規范T/CAMET 11002-2020》和等保在網絡安全方面都提出了使用標記強訪控制,該體系在我司與天琴科技共建的試點項目中發揮了重要作用,標記強訪控制體系讓業務系統更加透明化,實現了安全策略和應用系統匹配過程的精細化管理,其對異常行為的精準阻斷、告警能力加強了對系統的安全防護水平,異常行為記錄可查、可追溯,有效解決了應用上云數據丟失包定位等關鍵問題。
——某地鐵應用開發公司技術負責人
安全牛評
工業互聯網應用的特殊性和復雜性,使其訪問控制安全的重要性比企業級的遠程訪問重要和復雜得多,適用于工業環境的安全防護框架具有很高的挑戰。天琴科技在本方案中基于ABAC的“安全標記”在城軌工業網絡中打造了集網絡、主機、業務及管理中心的系統化訪問控制體系,符合信息系統“一個中心三層防護”的合規設計理念。
在該合規框架基礎上可以構建彈性的增強防護以滿足不同安全等級要求的工業控制環境,能為其它工業場景的安全建設提供很好的借鑒。
