基于容器化微服務的安全中臺架構設計

趙予汐

（國家廣播電視總局廣播電視衛星直播管理中心，北京 100866）

1 引言

目前廣電傳統播出機構逐步開展廣播電視系統IP化改造，并對配套的管理系統進行云化改造，同時陸續誕生了多個廣電大數據平臺。伴隨新技術、新應用的落地，廣播電視系統面臨的網絡安全風險形勢愈加嚴峻。由于廣播電視系統重要的宣傳屬性，更容易吸引高級別、規?；?、組織化甚至國家級的網絡攻擊，所面臨的安全風險和威脅更加復雜和多樣性。另外，隨著廣電行業業務形態更新迭代，廣播電視系統對外暴露面不斷擴大，進一步增加了遭受網絡攻擊的可能性。因此，加強廣播電視系統的網絡安全防護能力勢在必行。

現有的廣播電視系統通常已經滿足了等級保護的有關要求，配備了常規的網絡安全軟硬件設施。但是在業務系統升級改造的同時，傳統的安全防護架構已經出現不適配新型業務架構的情況。并且廣播電視系統中存在子系統獨自規劃、獨立建設的情況，配套安全設施獨自建設，安全能力無法復用。安全中臺能夠將分散的安全能力進行融合，以統一框架和規范來快速集成新建的安全設施，快速響應業務發展對安全能力的彈性化需求。

2 安全中臺建設的意義

在傳統的廣電系統升級迭代的過程中，出現了一系列的網絡安全問題。本文列舉其中部分問題，并探索利用安全中臺解決該問題的方案。

（1）業務架構變更導致安全設施不適配

越來越多的廣播電視系統在開展業務云化建設，以公有云、私有云、混合云等方式促進業務靈活擴展、提升資源利用效率。容器化、微服務等技術逐步落地應用。業務架構的變更，導致原有的安全設備不能很好的適配新型業務架構。這時可能會在原有的安全體系之外新建一套基于云環境的安全設施，不僅一定程度上造成了資源浪費，還使安全管理工作更為復雜。

（2）新的業務系統獨立建設導致安全資源浪費

廣播電視系統的建設是一個長期的過程。各個子系統在規劃和建設時，為了減少不必要的系統外聯，經常獨立規劃并建設配套的安全設施。例如為新建系統配備獨立的入侵檢測、運維審計、日志審計、訪問控制等安全設施。子系統建成后，新舊安全設備并行運行。這種建設思路下，每套安全設備可能并未發揮最大的價值。

（3）安全數據無法有效整合

在當前嚴峻的安全形勢下，網絡安全管理和防護必須具有越來越高的水平。目前網絡安全等級保護和關鍵信息基礎設施安全保護的相關標準規定要建設態勢感知、自動化編排、流量分析等具備一定統計分析能力的安全設施。此類分析平臺種類繁多，功能各異。在建設過程中，需要與原有的、以安全管理中心為核心的安全體系進行充分融合?？赡苡捎诙ㄖ苹潭炔桓?、兼容性不夠等問題，導致融合效果不佳。不僅使得安全數據不能有效整合，也不利于未來建設新的安全設施融合應用。

安全中臺能夠基于標準的協議和流程，將現有的安全資源和安全能力進行整合，為業務應用提供靈活的、快速響應的安全服務，能夠降低安全集成成本、提高安全資源利用率。安全中臺的建設能夠有針對性的解決上述問題，能夠實現從“安全運維”到“安全運營”的轉變。

3 安全中臺架構設計

安全中臺與業務中臺、數據中臺相類似，是將安全能力進行整合并提供標準化、規范化的安全能力的一種形式。微服務和容器是現在系統建設經常使用的技術［1］。微服務能夠獨立發布和跨平臺獨立部署，而容器也是跨平臺、可以獨立運行的執行單元，所以微服務可以將容器作為自己的運行載體［2］。利用微服務的高內聚、松耦合、強自治性的特點，將安全功能解耦后分散到微服務之中，降低安全系統的耦合性，實現解耦上云和容器化，構建容器化安全中臺。

基于中臺化思想，將安全中臺作為構建安全能力體系的能力中樞，對接并整合存量的多種安全能力，同時基于安全中臺以安全即服務的方式為新應用按需提供安全能力，實現智能決策、自動化處置和集中管控［3］。

本文設計的安全中臺架構包括基礎設施、安全中臺、安全應用等三個層面，總體架構如圖1。

圖1 安全中臺架構設計

其中，安全基礎設施層包含資產庫、網絡流量、安全設備、威脅情報庫等安全基礎設施資源，通過容器化安全能力池實現安全能力云化、池化?；A設施層產生的與安全相關的數據按需上傳至安全數據中心。

安全中臺層：基于標準的協議和流程，將安全數據和安全能力等專業服務，按需開放共享給前臺的各個業務應用，實現對前臺業務變化及創新的快速響應，具備新的安全能力的快速集成與開放、按需編排與調度、安全數據集約化采集與處理等能力。安全中臺層包括安全數據中臺、安全能力中臺和容器化安全能力池三部分，兩個中臺之間通過開放式接口實現安全數據傳輸、數據服務與任務調度。容器化安全能力池，通過制定安全組件接口標準規范，要求接入安全資源池的安全組件進行主動適配，推動安全中臺對能力池異構安全能力的統一納管。

安全應用層：基于安全能力中心北向接口提供安全應用，可以基于場景的劇本化編排調用安全應用。安全應用主要包括態勢感知、攻防演練、重要保障等等。

4 安全中臺主要功能模塊設計

4.1 安全數據中臺

安全數據中臺是安全中臺的數據底座，通過標準化數據接口對基礎設施層、容器化安全能力池和安全能力中臺的各類安全能力、組件、設備、引擎的異構、異源安全數據提供集中化采集、數據標準化以及數據的關聯補齊能力，通過數據共享提供標準化的安全數據和安全分析結果的存儲與檢索服務。安全數據中臺可以集成大數據分析引擎、智能化分析引擎等功能，并能基于底層大數據分析能力和安全大數據實現全方位的態勢感知、差異化精準攻擊溯源等功能。

4.2 安全能力中臺

安全能力中臺將安全共性基礎能力下沉，形成安全中臺的能力中臺，實現安全設備功能復用。在安全能力中心通過異構組件接口對資源池內的安全能力進行統一納管，底層安全能力注冊到中臺，形成標準、規范的安全服務目錄，通過標準API被內外部應用調用?，F有安全系統模塊解耦，可復用的基礎能力下沉至安全能力中臺。同時按照場景化劇本設計，對安全能力進行自動化組合、編排、調度。結合下沉到安全數據中臺的安全檢測分析能力，最終在安全中臺形成涵蓋安全識別、安全防護、安全檢測分析和安全響應于一體的網絡和安全服務能力體系，通過安全能力中臺北向接口，以服務化的方式面向上層應用按需提供安全服務，實現安全服務的統一開放共享。

4.3 容器化安全能力池

容器化安全能力池將不同類型的安全組件抽象成原子能力，通過開放北向接口與安全能力管理平臺互通，實現原子能力注冊、接口授權、策略調度、配置與升級管理等功能［4］。安全組件的接口主要包括：

（1）安全識別：包括主機資產發現、軟件資產識別、基線配置檢查、Web漏洞掃描、代碼審計、敏感數據識別、主機漏洞掃描、空間資產測繪等。

（2）安全防護：包括數據庫審計、網絡訪問控制、網絡地址轉換、網絡隔離交換、終端訪問控制、VPN 接入、網絡入侵防御、惡意代碼防護、補丁管理、配置加固、網頁防篡改、拒絕服務防護、敏感數據防泄漏、垃圾郵件防護、Web應用防護、黑白名單管理等。

（3）安全檢測：包括網絡威脅檢測、惡意文件檢測、終端數據泄露檢測、網絡數據泄露檢測、終端威脅檢測、用戶異常行為檢測等。

（4）安全響應：包括網絡攻擊抑制、主機入侵抑制、網絡攻擊誘捕、備份恢復、主機取證等。

5 基于容器化微服務設計安全中臺架構的優勢

5.1 組件化靈活部署

在新形勢下，網絡安全要做到動態防御、主動防御，安全設備、安全配置以及業務數據隨時可能發生變化。安全數據集中化處理是安全建設的必經之路。容器化微服務架構在應對網絡安全狀態變化方面具有先天優勢。微服務架構可以將單體式的應用分解為多個微服務，服務之間相對獨立且松耦合。通過組件化、模塊化的方式將復雜的應用進行服務化呈現，使得單一功能的改變只需要重新構建部署相應的服務即可實現。

5.2 避免單個系統導致整體系統失效

隨著網絡安全防護系統不斷擴容，安全架構愈趨龐大，易出現牽一發動全身的架構性調整問題。而在微服務架構下，當某一組件發生故障時，故障會被隔離在單個微服務中，可以有效避免出現故障在進程內擴散等弊端和風險，提高系統整體韌性。

6 結論

本文主要分析了傳統廣播電視系統在業務架構升級過程中面臨的安全問題，并探索使用安全中臺解決上述問題的思路。本文提出了基于容器化微服務架構的安全中臺設計思路，能夠融合存量安全能力并以統一框架規范來對接和集成新建安全能力，提高安全體系建設的靈活性和便利性。安全中臺是適配未來新業務發展的有效技術措施，能夠成為業務與安全更好協同發展的橋梁紐帶。