摘要：混合云安全管理是云计算向纵深发展的关键技术。针对从公有云访问和管控私有云的关键应用场景，分析了现有VPN、SD-WAN等技术的不足之处。基于零信任（ZTNA）原则和安全访问服务边缘（SAES）安全架构，研究设计并实现了基于反向代理（Reverse Proxy）连接器的混合云安全访问和管理方案，并给出该系统典型架构、关键模块及实践分析。实践表明，基于反向代理连接器方案的混合云安全访问和管理方案具有安全、轻量、灵活等优势，适用于典型的混合云用户和IT管控场景，可为混合云部署提供安全解决方案，具有推广和实践意义。

关键字：混合云；反向代理连接器；ZTNA；SAES

引言

云计算正向纵深发展，以公有云和私有云相结合的混合云（Hybrid Cloud）是全球主流企业客户的选择。混合云采用多类型云部署模型并应用零信任（ZTNA）原则等，提高用户对跨云资源访问的效率，进而催生新使用场景和业务模式（如远程办公和数字资产管理等）。典型地，业界将混合云从广义和狭义上进行定义，目前，应用较多的是私有云加公有云的混合部署[1]。混合云在拥有公有云灵活性和效率的同时，也保障私有云的安全，从而支持遗留系统的关键应用和数据资产，使得IT可以结合私有云和公有云实现部署和管控的“最佳云执行环境”。

1 混合云发展和挑战

混合云仍处于高速发展和演进中，其典型架构包括公有和私有，以及边缘系统，如图1所示。

全球企业在部署混合云方案中，仍关注和面临以下关键挑战[2]：

1.数据和系统安全：这关系到企业生命，目前较为典型的解决方案包括ZTNA和安全访问服务边缘（SAES）安全架构，在边缘系统中部署网关防火墙，VPN或SD-WAN等设备。

2.性能及响应时间：提供跨网络边缘的高性能访问及低响应时间关乎生产力，混合云性能和响应优化仍是业界在部署混合云时面临的最重要技术挑战。

3.灵活性：高速发展依赖于IT系统高效的部署和灵活扩展能力，混合云系统的弹性伸缩和灵活扩展是发展的关键，比如，是否能适时采纳云原生、基础架构即代码（IaaC）等能力来部署、扩展和配置其IT系统等。

4.成本及管理复杂度：边缘系统中部署硬件设备的成本，及其管理复杂性（如，是否能提供灵活安全的多网络安全接入管理和监控等）也是IT关键决策因素。

本文后续章节分析基于VPN和SD-WAN等典型混合云技术，研究其优缺点；提出、并重点阐述了基于反向代理连机器的混合云安全管理方案设计，并进一步结合ZTNA和SAES安全架构实践，总结并给出进一步研究展望。

2 典型混合云安全管理方案分析

2.1基于VPN技术的混合云安全管理分析

基于不同网络协议建立不同层的网络安全通道，典型的VPN技术包括基于IPsec VPN方案和基于SSL/TLS VPN方案的混合云部署，二者都能实现传输数据的安全加密并都对沿途转发节点没有额外技术要求；二者在连通性和安全性方面各有差异，并应用于不同的场景[4]。

在常见的基于VPN的混合云方案中，其边缘系统的IPsec VPN通道提供私有云部署之间的网络连接；远程用户从公共互联网通过SSL/TLS VPN通道访问私有云部分；在网络边界仍需部署防火墙等。基于SSL/TLS协议的VPN通道位于IP层协议与应用层协议之间，可以做到主机，端口等精细化管控，但存在应用兼容性问题，且要求网络边界部署SSL/TLS网关和防火墙等设备，成本高；且需在网络边界暴露VPN接入点IP和端口等关键信息，远程用户一端进入网络就被视为“受信任”用户被授予横向网络访问权限，系统整体受攻击表面大大增加。

基于IPSec协议构建的VPN通道是网络层VPN技术，加密隧道建立后即对应用层透明是其优点，常用于企业站点或不同数据中心之间互联；但基于IPSec的VPN常需要向远端开放网段，实现细粒度比如针对单个主机和端口的安全管控较复杂，如很难实现多租户安全隔离等；且IPSec VPN需要在网络两端成对部署IPSec 网关，成本大大增加，且和基于SSL/TLS的 VPN有同样的整体网络暴漏安全弊端。

综上，基于VPN的混合云关键缺点有：

●网络边界暴露IP和端口等关键信息不符合ZTNA零暴露原则；

●单点安全失败，一端VPN网关被攻破，企业整体网络即暴露；

●难实现细粒度灵活配置管控；

●需布置独立网关和防火墙，成本较高等。

因此，几乎所有基于VPN技术构建的混合云系统已经被业界认为是易受攻击，且较难实施符合ZTNA安全原则的部署[4][5][6]。

2.2 基于SD-WAN技术的混合云安全管理分析

软件定义的广域网SD-WAN将网络管控从企业网络基础设施中分离，实现软件定义和控制，通过可视化的网络管控界面，将网络基础设施应用在不同混合链路（如MPLS， Internet， 5G， LTE等）之间选择最优的传输，以提高总部和分支网络的可靠性、灵活性和运维效率；SD-WAN通常提供集中式的基于云部署和管控界面，更易于管理。业界标准SD-WAN定义如下基本特性：

●支持分支网络间的混合链路接入和承载，如MPLS、Internet、5G、LTE等；

●支持用户流量路径的动态调整优化，允许跨越广域网（WAN）进行负载分担和调度；

●简单快捷的集中式管理和业务发放，如支持分支机构快速配置等；支持VPN及其他三方增值业务，如广域网优化控制器，防火墙等。

基于SD-WAN的混合云部署能提供数据中心网络分支与分支、分支与数据中心，分支与Internet公共互联网等之间的按需互联，并能通过智能混合链路优化、动态隧道构建、隧道加密技术等为用户带来更好业务体验和扩展。在典型基于SD-WAN 技术混合云技术部署中，私有云部署分支间通过部署在边界SD-WAN的边缘设备接受集中式SD-WAN控制器下发的网络策略，动态构建传输隧道，通过公共互联网混合链路（如MPLS、Internet、5G、LTE等）智能化网络连接；远程用户通过SD-WAN接入网关访问企业内部网络。SD-WAN技术通过边缘硬件设备及骨干加速可较好的解决互联网不稳定，VPN专线造价昂贵等问题，而且能极大满足当下越来越多的互联网实时性的应用场景需求（比如远程办公，远程桌面，远程医疗等）。

然而，基于ZTNA原则和SAES安全架构，SD-WAN技术的边缘设备（如CPE）需要暴露在互联网上，仍需提供基本的预置安全策略保证，在用户内网与公网之间也需要提供不同的访问策略（如ACL访问控制等）[5]；SD-WAN传输需跨越有高风险的公共互联网；且SD-WAN几乎难实现业务的端到端QoS保证；SD-WAN设备价格高昂且难以维护等[6]。

3 基于反向代理连接器的混合云安全管理方案

3.1 基于反向代理连接器方案优点

如前所述，基于VPN和SD-WAN等技术解决了混合云中的诸多挑战，但它们并非为后疫情远程办公时代众多的基于云原生的IT应用而设计，并没有旨在提供确保IT安全的设计。ZTNA原则和SAES安全架构业界标准为后疫情时代的混合云部署提供了完备的系统设计核心原则和解决方案：

●更安全的零暴露网络边界：根据Gartner定义，SAES安全架构将网络和安全云服务结合，基于ZTNA最小暴露原则，混合云应能提供更简单、更安全网络连接模型和最小化（如：零暴露）网络边界，以避免将IT资源暴露在危险之中。

●全新定义的网络信任和授权模式：根据SAES架构，IT网络边界将变得更模糊，无需在内网和外网之间划分固定的网络边界并预置设备（如防火墙等）。符合ZTNA原则，基于SAES安全架构部署的混合云系统应提供更灵活的、以用户为中心的软件定义边界（SDP），将基于用户身份、设备和应用上下文等进行资源访问和授权，而不再依赖于网络地址，网络隔离，及边界防火墙等进行资源隔离，访问控制和授权。

●更灵活的按需部署：将ZTNA和SAES完美结合的混合云方案应提供更智能（如：按业务需求动态部署云服务）的基于云原生的企业IT部署、充分利用如基础设施即服务（IaaS）等技术，实现IT基础设施和网络服务动态按需扩展，灵活配置，而不是预先固定配置。

本文给出的基于反向代理连接器实现混合云部署方案能满足以上ZTNA原则和SAES架构标准，较好解决基于VPN和SD-WAN等方案中网络资源边界暴露，网络安全策略预先配置，需固定网络边缘设备等缺点，实现零暴露，以用户上下文环境定义信任边界和动态创建、按需扩展的企业混合云部署。

3.2 基于反向代理连接器方案的设计和实现

3.2.1 反向代理连接器模型

反向代理是以代理服务的形式接受连接请求，然后将请求转发给内部网络对应服务处理，并将结果返回给连接请求端，具体呈现形式为运行中的某种服务器软件或一个或多个运行中的云服务等，其优点为配置灵活，具有较好的对内部网络隐蔽特性等[7]。本方案设计的反向代理连接器为运行在公有云上的一个或多个云服务形式呈现。反向代理连接器抽象技术模型如图2所示。

3.2.2 基于反向代理连接器的混合云系统设计

混合云系统既要提供给内部用户在内网访问，也要提供给用户在外网接入时远程办公访问。为用户提供灵活办公和管控需求，典型的基于反向代理连接器的系统架构设计如图3所示。

系统包括三个核心主体部分：

1.外向网络连接： 由位于私有云边缘部署的边缘连接器从内网发起单向网络连接，建立起与公有云中反向代理服务之间的外向网络长连接，此长连接可在私有云部署系统初始化时由内向外发起而建立，负责混合云系统中公有云与私有云之间的一切网络通信承载。此网络连接将确保私有云部署对外不暴露任何网络资源如IP等信息，从而在私有云网络边缘形成符合ZTNA原则和SAES安全架构的零暴露隐藏网络边界。

2.反向代理服务： 运行于公有云部署中，可位于租用虚拟私有云（VPC）网络内，反向代理服务可基于业务负载横向动态扩展至多实例，以资源池形式与私有云部署形成一对一或多对多服务关系（图3例中的反向代理服务1对应于私有云部署1），并提供负载均衡能力。

3.边缘连接器： 以软件进程形式运行于私有云部署边界内网，具备依据业务负载横向扩展能力，以承载更多网络连接负载。实践部署中，可选择运行于虚拟机或容器内，具备灵活动态扩展能力。

3.2.2.1 外向网络连接部分设计与实现

为了实现网络零暴露边界隐藏，外向网络连接部分设计与实现如下：

设计由内网的边缘连接器发起向部署在公有云的反向代理服务的安全网络长连接，使用HTTPS协议由边缘连接器发起，实现中采用WebSocket 基于TLS 安全协议实现。

关闭位于内网边缘的所有外向网络端口从而形成无IP无端口暴露，配置默认丢弃（Default Drop）拒绝所有网络请求接入，实践中边缘连接器可配置可选防火墙，也可在边缘连接器中配置网络实现。

单包授权（SPA： Single Package Authorization）服务。设计采用SPA网络隐身协议建立外向连接，软件交互流程如图4所示，其中SPA服务实现中可以采用基于开源Fwknop实现，可基于用户客户端接入设备是否植入有合法的受信任客户端证书或私钥模块等判断接入用户及设备合法。

3.2.2.2 反向代理服务设计与实现

运行于公有云中的反向代理服务基于微服务（Micro Services）架构设计，实现为多实例池化运行的后台服务。每个反向代理服务（如反向代理服务1）运行于独立的容器化（Containerized）中，设计为可基于容器动态扩展的池化运行模式，反向代理服务1，2…….N为同一软件模块的多个运行时部署实例，服务于对应的企业私有部署分支，它接受，保持和维护与企业边缘连接器之间的网络长连接，系统主要子模块如图5所示。

其内部子模块设计功能如下：

●IP和端口激活：和SPA服务交互，接受初始边缘连接器发起的合法接入请求，并调用平台系统API实现随机服务及端口启用，从而接收、建立并维护与私有云部署部分的网络长连接。

●Session管理：系统为每一位内网用户或远程用户创建Session，保存其身份及客户端信息，访问请求等，并提供生命周期管理功能。

●代理服务端：位于公有云部署的Web网关将每一位合法用户的应用和数据的请求转发给代理服务端，代理服务端负责分解和分发对应请求给相对应的Web应用，SaaS应用或部署于私有云内网的应用和数据模块，并将用户的返回地址重定向到响应返回模块。

●响应返回：接收用户请求的Web应用，SaaS应用及私有云内网应用和数据的响应并将结果返回给对应的用户端。

●负载监控：接收并监控本反向代理服务实例的性能及负载数据，基于可配置的边界条件将对应的负载动态扩展至其他反向代理服务实例。

●管控界面：提供对反向代理服务进行管理，配置和报告等IT管理员用户界面。

●代理服务池数据库：提供集中式全局反向代理服务池运行的所有结构化数据保存和缓存，实现中可设计为NoSQL内存数据库系统。

3.2.2.3 边缘连机器设计与实现

边缘连接器设计为运行与企业网络出口边缘系统的一台安全虚拟机，主要负责承载所有进出入内网的网络流量。其主要设计与实现关键模块包括：

●边缘中继（Relay）及代理（Proxy）：负责连接网络出入口所有流量，对内网用户承担透明代理（Proxy）功能，所有网络连接和流量出口需通过边缘中继模块向外转发；对外作为外向网络长连接客户端，负责向内网连接转发所有进入内网的数据和请求的中继（Relay）功能。

●安全虚拟机（VM）：运行于边缘系统的连接器需对外完全隐藏IP和端口，设计实现的边缘连接器虚拟机需有定制Linux操作系统网络模块和特定安全配置组成，同时内置建立外向网络长连接所需的GPG签名私钥。本系统实现基于开源BuildRoot构建SE Linux系统并配置iptables 隐藏和默认拒绝所有对外端口。

边缘连接器在部署混合云系统时由IT管理员初始化设置，可部署在私有云边缘也可以部署于公有云中的虚拟私有云VPC之中。

3.3 用户访问企业资源流程设计

基于本系统设计实现用户灵活办公场景需求。远程办公用户访问关键资源流程设计如下图6所示。

内网用户访问私有云关键资源流程设计如下图7所示。

3.4 系统实践及分析

实践中，本系统公有云部分基于微软Azure实现，基于微服务实现了Web网关，SPA服务和反向代理云服务等模块的容器化部署和发布，核心模块采用Java Spring Cloud 构建，并基于Azure Cosmos 数据库系统实现持久化，且整个系统公有云部分通过数据库分库分表设计实现支持多客户订阅运维模式；本系统私有云部分的边缘连接器实现为基于Linux的安全虚拟机模式，部署于网络边缘节点上，如物理服务器，或运行于ESXi， Xen 或KVM的虚拟化系统中；边缘连接器中的边缘中继及代理功能基于Python并基于Asyncio协议异步网络开源库实现外向网络长连接，业务进程基于容器运维模式，可根据实际业务负载进行多实例部署。

系统威胁模型分析表明，本系统网络安全受攻击面小，符合ZTNA原则和SAES安全框架要求。实践中本系统可将公有云模块部署于VPC受保护网络中从而进一步减少网络攻击受面，实践表明是切实有效的；系统边缘连接器部分部署于内网出口，对外实现零暴露网络边界，实践中，网络安全合规性测试符合我国计算机网络安全等级标准三级以上。

4 总结及展望

基于本企业的客户实践和反馈分析表明，本文提出并实现的基于反向代理连接器的混合云安全管理方案达到业界安全标准，符合ZTNA原则和SAES安全框架要求，符合我国计算机网络安全标准等级三，能较好地为用户提供远程办公需求；其成本合理，配置灵活，性能在一定的硬件配置下符合远程办公和IT管控要求，具备实践推广意义。未来典型研究和优化方向包括：跨边缘网络的数据面传输协议优化，基于细粒度边缘网络包侦测的高性能内容审核和内容授权，边缘节点加速技术方案等。

参考文献：

[1] Moumita Deb. Hybrid Cloud： A New Paradigm in Cloud Computing[J]. In book： Machine Learning Techniques and Analytics for Cloud Security （pp.1-23） 10.1002/9781119764113.ch1， 2003

[2] Roman Nedzelský. Hybrid cloud computing： Security Aspects and Challenges [J]. Conference： Security and Protection of Information 2015， 2015， （5）

[3] Aaron Raj. Gartner： 90% of organizations will adopt Hybrid Cloud through 2027[O]. https：//www.crnasia.com/news/2024/hybrid-cloud/gartner-90-of-organizations-will-adopt-hybrid-cloud-through， 2024 Nov.

[4] 张年英.计算机网络安全技术及其完善策略探讨[J].信息记录材料，2021，22（04）：65-67.

[5] 陈武.VPN安全运维的管理思路[J].网络安全和信息化，2021，（10）：141-142.

[6] 周益旻，刘方正，杜镇宇，等.IPSec VPN安全性漏洞分析及验证[J].计算机工程，2021，47（06）：142-151.

[7] 苏彪.运营商SD-WAN部署的难点解析[J].数字通信世界，2021，（09）：131-132.

[8] 赵凯.基于云环境的代理服务研究[J].网络安全技术与应用，2021，（08）：13-15.