民航机场行业的IT架构，就现在这个时间节点而言，绝大部分还是比较传统的，极少采用云计算及虚拟化架构，基本上还是“烟囱式”的架构：一个应用系统运行在一台或几台物理实体服务器上。然而，互联网的冲击无疑是迅猛的，纵观其他行业，如电力、金融等，已经有云计算及虚拟化架构比较成熟的商用案例了，趋势无法阻挡，作为机场行业，也需要进行探索和实践云计算及虚拟化对机场行业业务系统的支撑。这就带来一个更深层次的问题，在网络安全已经提升到国家战略的背景下，云计算及虚拟化架构的安全该如何考虑呢？ 

一、 民航机场云架构环境

我们所说的云架构环境主要是指数据中心内部的系统及网络部分，而民航机场传统IT架构向云架构发展的方向也将是由各个分散的独立业务系统集中至云化数据中心中，物理服务器架构向虚拟化物理主机架构整合的方式来发展，同时保留对传统业务系统环境支撑，从图可知，网络仍然可能保持传统的网络架构，仅在数据中心内部通过“大二层”等网络技术实现虚拟主机“东西“方向的迁移，同时引入SDN等技术，实现业务主机迁移后网络的动态迁移。既然，IT架构即将实现全面虚拟化，这就引入了我下面要阐述的问题，从网络安全的角度出发，我们将如何配合云架构环境，实现安全需求，我们应该关注哪些方面的问题？

二、 安全关注点

上面已经描绘了民航机场未来的云架构环境的演进方向，即是传统的网络架构匹配了虚拟化的业务系统架构。从这个原则出发，引入安全关注的思维，我们可以将关注点描述成如下几个层面：

1. 安全域划分

在进行机场IT架构安全分析时，首先必须考虑安全区域的划分，遵循的原则应参考国家网络安全等级保护要求，只有实现了安全区域的合理划分，才能针对性的做好安全关注点分析。一般民航机场网络安全域划分包含：数据中心区、安全管理区、互联网接入区、外联区、内联区、终端接入区等。同时要考虑各个区域间的安全隔离措施，可采用防火墙、路由隔离等。数据中心内部可采用硬件防火墙及软件防火墙共存的架构，即实现南北向流量可控，还实现东西向流量可管。终端接入区还可采用MPLSVPN隔离不同类业务终端之间的访问。

2. 数据安全

云架构时代，数据的安全往往显得尤为重要。数据是否得到很好的保护将影响到整个架构体系的安全性。其实无论什么架构，最终都是要保护信息资产，也就是数据的安全性。包含：数据的有效保护、数据库的安全访问、数据的访问合规性、不合法数据的清洗等。可考虑使用数据加密传输、数据防泄漏、数据库防火墙、数据水印、网闸等措施。针对旅客信息等敏感数据，更应采用数据脱敏的方案完善对于隐私的保护。

3. 网络及安全

就现在民航机场的虚拟化架构而言，网络一般还是传统的架构。网络的安全关注点包含：互联网接入安全、各个安全子网与骨干网络互连的安全、数据中心内部网络与骨干网之间的安全、外部单位和数据互联单位的数据访问安全、网络设备自身的安全、网络配置的安全性原则、高强度持续性隐蔽攻击、接入用户的安全性认证和审核、各接入网终端的安全性。针对于此，可在网络中部署态势感知系统，配合部署于网络关键节点中的探针，能够实时掌握和分析网络流量，同时通过搜集部署在安全域间的安全设备日志，深层次的识别和分析网络攻击行为。网络中可以部署的安全设备包括：防火墙、入侵检测/防御设备、网络准入控制、上网行为管理等。

4. 虚拟机架构安全

保护虚拟机的安全，主要涵盖两个层面：虚拟宿主机及虚拟主机安全。包含：虚拟化层的自身安全、虚拟化管理用户的安全与审计、虚拟化系统的安全性、虚拟主机初始化模板的安全、虚拟主机之间的安全隔离、虚拟化平台自身漏洞防护、漏洞的监控及发现、在虚拟主机上运行的应用安全，特别是网页安全性。虚拟机安全可以通过部署基于底层虚拟化平台架构的安全产品，实现云化资源池的“微隔离”，包含防火墙、防病毒、入侵防御等功能。这里应慎重选择传统的服务器防病毒产品，避免发生“扫描风暴”的问题，为云化资源池带来极大的资源消耗，影响到业务系统运行的正常性。

5. 身份安全

考虑到云化环境下，云管理员的权限是非常大的。一旦管理员失控，导致的不是一个业务系统的问题，而是整个IT基础环境的大问题，所以用户登录管理、权限控制、操作审计等就显得尤为重要，在这里有必要部署身份认证系统、堡垒机、双因素认证等措施，一方面保证管理员及上层业务管理人员的登录安全，另一方面限制管理员的非法操作。

三、 技术解决方案

针对上述各种安全关注点的描述，结合业内技术跟进的情况研究，基本存在如下几种解决方案：

1. 公有云安全架构移植

互联网厂商是云架构推广最大助推力量，而他们也是云架构最早的践行者，自然云架构的安全性也走在前面。他们的解决方法基本是将监控发挥至极致，而孕育而生的就是将公有云安全架构移植至企业私有云中。解决方案：在公有云上建立一套大数据分析的平台，运用蜜罐、攻击捕获等手段，不断搜集来自互联网的安全风险，并进行海量安全数据的关联运算和分析，而后在企业网的安全关注点处部署监控和应用阻断设备，通过公有云的大数据分析的结果直接反馈至企业网内的安全设备上，形成第一时间的安全风险态势感知并加固。此种方案在云架构环境下，网络边界渐渐模糊的时代，带来了一种“动态安全“的可能性，同时它不但关注云架构本身，还关注了整个IT运行的环境。

2. 虚拟主机间的隔离

此技术方案更针对于与云架构本身的安全。一般是一套基于虚拟化的安全软件，该软件的管理端可以部署在虚拟主机上，同时在其它的虚拟主机上安装客户端，客户端可以实现防火墙、防病毒、入侵检测等安全功能。同时，还可以针对新的虚拟主机建立安全标准模板。就市场而言，有三种部署方式：代理、轻代理、无代理，三种方式各有利弊。代理方式是将虚拟主机当做传统系统架构的设备来对待，每个虚拟主机运行一个代理软件，当安全软件同时运行病毒扫描时的硬件资源占用将是一个很大的问题，同时，当启动一个新的虚拟化主机至未安装代理软件时，将出现“安全真空期”。轻代理方式等同于代理方式，只是安装程序和代理的方式进行了一定的优化，避免了“扫描风暴”的产生，但是依然存在“安全真空期”问题。无代理方式是在虚拟宿主机上启用一台虚拟机作为安全代理服务器，对整个宿主机实现保护，避免了“安全真空期”问题，但是也势必将占用一定的虚拟机资源。

3. 数据资源保护

基于数据保护的方案，大多如此宣传，无论网络怎么样、云平台怎么样，但是只要保护好最重要的资源—数据就可以了。这样就出现高强度的数据资源保护的方案。解决方案主要集合了数据库监控、数据库日志审计、数据清新、数据单/双向访问（网闸）、数据防泄漏、数据加密机脱敏、数据访问安全认证等组合功能，实现对后台数据的保护。同时针对必要的业务系统之间的数据互访，设立不同安全级别的数据互访区域，将上述功能所对应的数据安全设备部署在此区域，以满足数据高安全性摆渡的要求。但，安全的引入必然会带来数据传输效率的降低，这个平衡需要在后续系统测试中优化。

4. 传统安全并行

就现在的民航机场行业的发展而言，必将存在传统的IT架构和虚拟化IT架构并存的问题。如此，就少不了相应的传统安全的管控手段，大家耳熟能详的包含：防火墙：实现网络边界处部署隔离非法访问；防病毒：对非云架构的系统主机实现传统的保护；入侵检测/防御：实现对非法入侵行为的防范；统一身份认证：实现对登陆系统用户的身份安全确认；漏洞扫描：实现对所有系统漏洞的动态掌握；终端安全管理：对内部用户的接入实现必要的安全管控，上述这些传统的安全措施大多基于网络安全的范畴，对于整个IT架构的安全是不可或缺的。

四、 管理解决方案

说到管理，范畴就比较大了。安全圈有句话叫：三分技术、七分管理。归根结底，安全管理都有一套管理方法论。

1. 实施身份管理

云化时代的最大问题是打破了传统系统与系统之间的安全边界。直接引入的问题是，云资源管理员的安全性直接影响到整个业务系统生态的安全性。如何对他们进行有效的管理是当务之急，基于一套完整的身份管理系统加上，加之堡垒机的配合，可以控制“超级”管理员的权限，同时可以审计和追查，也放置了管理员权限被非法滥用。基于身份的安全管理将是云化后，无论是系统管理、还是应用访问；无论是设备登录、还是系统运维都将提供很好的支撑。

2. 执行安全检测

在此有必要阐述一下安全检测的必要性，再好的安全技术架构也有必要定期或不定期的安全检测，就好比一个人身体再好，定期的体检也是很有必要一样。一次好的安全检测能够为整个IT环境提供一次健康检查，这当中包含：渗透测试、代码检测、攻防演练等方式，都可以有效促进组织安全水平的提升。

3. 构建安全体系

说到管理，范畴就比较大了。安全圈有句话叫：三分技术、七分管理。归根结底，安全的事情还是都有一套管理方法论，从方针到组织、从人员到设备、从备份到恢复、从灾难到应急，每一个能想到的环节都可能需要安全团队的参与。这里建议机场管理机构借鉴BS7799、ISO27000等管理策略组织和实施企业的管理框架，通过PDCA的循环，不断强化安全管理，降低和规避安全风险。

以上的安全研究，各有针对性，安全解决方案强调一个观点：不能希望一个安全解决方案解决所有安全问题。就现在民航机场的IT架构来说，一定是一个传统网络+虚拟化信息系统的架构，这样一来，传统的安全设备就不能解决所有的问题，就需要运用“互联网+”的思维，结合其他行业的已有的先进经验，考虑机场自身安全制度、数据交换、网络架构、接入用户的特点，制定适合民航机场行业的云架构环境，同时针对特定的云架构分析安全关注点，并在关注点上设置“关卡”，最终将安全问题层层剥离，层层分解，最终实现对数据的保护。与此同时，还需要强调，安全问题一方面是技术问题，另一个重要方面是管理的问题。再好的安全设备，如果不实现动态的管理和分析，是不可能发现潜在问题的，所以云架构环境下，更应该突出考虑网络安全管理平台的建设，将所有安全设备的日志搜集分析，对安全态势掌控了，才能实现真正的安全。