云安全建設(shè)思路

1、云計(jì)算已經(jīng)成為當(dāng)前IT巨頭建設(shè)的重點(diǎn)，而其快速推進(jìn)過程中頻繁發(fā)生的安全故障，讓人們對(duì)云計(jì)算安全不無擔(dān)憂。若不能為云計(jì)算架構(gòu)加入更強(qiáng)大的安全措施來確保其安全性，將會(huì)對(duì)用戶數(shù)據(jù)以及與數(shù)據(jù)相關(guān)的人帶來安全和隱私風(fēng)險(xiǎn)。云計(jì)算環(huán)境下的安全問題分析1. 云計(jì)算已經(jīng)成為當(dāng)前IT巨頭建設(shè)的重點(diǎn)在云計(jì)算進(jìn)行得如火如荼的今天，眾多IT巨頭開始投入到云計(jì)算的建設(shè)之中，包括亞馬遜、IBM、Google、微軟等都陸續(xù)推出了云計(jì)算服務(wù)，以求在這個(gè)影響未來IT應(yīng)用模型的市場(chǎng)中找到自己的位置。比較知名的云計(jì)算服務(wù)有：l 亞馬遜的在線存儲(chǔ)服務(wù)（S3）。S3服務(wù)對(duì)新型企業(yè)和用戶的強(qiáng)大吸引力在于這項(xiàng)服務(wù)能夠與亞馬遜的其它在線服務(wù)聯(lián)

2、系在一起，如彈性的云計(jì)算和亞馬遜的SimpleDB服務(wù)。使用這三項(xiàng)服務(wù)，新型企業(yè)能夠節(jié)省大量的存儲(chǔ)開支，并且可能節(jié)省客戶的時(shí)間和金錢；l Google正式宣布Google Apps Marketplace開始運(yùn)營。Google Apps軟件應(yīng)用商店包括了Gmail、Docs、Sites和Calendar等應(yīng)用，通過這種免費(fèi)商店吸引用戶選擇Google產(chǎn)品，截止到目前已經(jīng)吸納了2500多萬用戶；l 繼Windows Azure操作系統(tǒng)和云計(jì)算數(shù)據(jù)庫SQL Azure開始收費(fèi)后，微軟近期宣布，Windows Azure平臺(tái)AppFabric也將投入商用。從2010年4月9日開始，全球用戶都可以購買

3、AppFabric用以實(shí)現(xiàn)云計(jì)算和云計(jì)算應(yīng)用程序的輕松通信。2. 云計(jì)算服務(wù)發(fā)展過程中的安全事故在云計(jì)算快速推進(jìn)的過程中，安全故障也頻繁發(fā)生，包括亞馬遜、Google、微軟等都沒能幸免。比較嚴(yán)重的有：l 2008年7月，亞馬遜在線計(jì)算服務(wù)的主要組件簡單存儲(chǔ)服務(wù)（S3）發(fā)生故障，整個(gè)系統(tǒng)宕機(jī)時(shí)間超過6小時(shí)，使用亞馬遜服務(wù)的一些網(wǎng)站，例如網(wǎng)絡(luò)照片和視頻提供商SmugMug也報(bào)告了這個(gè)故障，這家網(wǎng)站存儲(chǔ)在S3服務(wù)中的大量照片和視頻都無法訪問。在那年更早些時(shí)候，Amazon也曾遭遇罕見問題，美國地區(qū)服務(wù)器無法訪問，時(shí)間持續(xù)約兩小時(shí)；l 2009年12月，亞馬遜基于云計(jì)算的EC2（彈性計(jì)算云）服務(wù)在一個(gè)

4、星期里發(fā)生了兩起事故：一起是僵尸網(wǎng)絡(luò)引起的內(nèi)部服務(wù)故障，另一起是在弗吉尼亞州的一個(gè)數(shù)據(jù)中心發(fā)生的電源故障；l 2009年9月份，Google的Gmail服務(wù)先后發(fā)生2次宕機(jī)事件導(dǎo)致用戶無法訪問郵件系統(tǒng)，Google News服務(wù)也發(fā)生中斷，而這種安全事故在整個(gè)2009年已經(jīng)先后出現(xiàn)了超過5次；l 2010年2月25日，由于一個(gè)備份數(shù)據(jù)中心發(fā)生故障，谷歌應(yīng)用開發(fā)者服務(wù)Google App Engine（谷歌應(yīng)用引擎)宕機(jī)，對(duì)很多谷歌客戶造成了影響；l 2009年10月，微軟云計(jì)算又遭遇類似尷尬，服務(wù)器故障導(dǎo)致用戶數(shù)據(jù)丟失，甚至備份服務(wù)器上的用戶個(gè)人數(shù)據(jù)也丟失了。微軟和Sidekick手機(jī)運(yùn)營商T

5、-Mobile均未披露丟失的數(shù)據(jù)量和受影響用戶數(shù)，但在Sidekick手機(jī)支持論壇上出現(xiàn)了大量的尋求恢復(fù)數(shù)據(jù)的求助帖子。在云計(jì)算服務(wù)推出之時(shí)，人們?cè)鴺酚^的估計(jì)，今后的電腦無需大容量硬盤，因?yàn)樗械膽?yīng)用和個(gè)人數(shù)據(jù)（包括圖片、視頻、文檔和電子郵件)都將被存儲(chǔ)于遠(yuǎn)程服務(wù)器中，用戶只要很少的投入就可以得到按需分配的存儲(chǔ)資源，而這些安全事件的出現(xiàn)，加深了人們對(duì)云計(jì)算安全的擔(dān)憂；部分安全專家也指出，云計(jì)算的廣泛運(yùn)用需要向云計(jì)算架構(gòu)中加入更強(qiáng)大的安全措施才能確保其安全性，否則，云計(jì)算機(jī)中存儲(chǔ)的數(shù)據(jù)量以及處理量不僅將無法控制，而且將對(duì)用戶的數(shù)據(jù)以及與數(shù)據(jù)有關(guān)的人構(gòu)成安全和隱私風(fēng)險(xiǎn)。3. 用戶在選擇云計(jì)算服務(wù)時(shí)

6、的潛在安全風(fēng)險(xiǎn)分析從“云計(jì)算”的概念提出以來，關(guān)于其數(shù)據(jù)安全性的質(zhì)疑就一直不曾平息，這里的安全性主要包括兩個(gè)方面：一是自己的信息不會(huì)被泄露避免造成不必要的損失，二是在需要時(shí)能夠保證準(zhǔn)確無誤地獲取這些信息?？偨Y(jié)起來，用戶在選擇云計(jì)算服務(wù)時(shí)主要關(guān)注的安全風(fēng)險(xiǎn)有以下幾方面。1) 數(shù)據(jù)傳輸安全 通常情況下，企業(yè)數(shù)據(jù)中心保存有大量的企業(yè)私密數(shù)據(jù)，這些數(shù)據(jù)往往代表了企業(yè)的核心競爭力，如企業(yè)的客戶信息、財(cái)務(wù)信息、關(guān)鍵業(yè)務(wù)流程等等。在云計(jì)算模式下，企業(yè)將數(shù)據(jù)通過網(wǎng)絡(luò)傳遞到云計(jì)算服務(wù)商進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問題：一是如何確保企業(yè)的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中嚴(yán)格加密不被竊??；二是如何保證云計(jì)算服務(wù)商在得到數(shù)據(jù)時(shí)不

7、將企業(yè)絕密數(shù)據(jù)泄露出去；三是在云計(jì)算服務(wù)商處存儲(chǔ)時(shí)，如何保證訪問用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪問，并保證企業(yè)在任何時(shí)候都可以安全訪問到自身的數(shù)據(jù)。2) 數(shù)據(jù)存儲(chǔ)安全企業(yè)的數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié)，其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云計(jì)算模式下，云計(jì)算服務(wù)商在高度整合的大容量存儲(chǔ)空間上，開辟出一部分存儲(chǔ)空間提供給企業(yè)使用。但客戶并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上，甚至根本不了解這臺(tái)服務(wù)器放置在哪個(gè)國家；云計(jì)算服務(wù)商在存儲(chǔ)資源所在國是否會(huì)存在信息安全等問題，能否確保企業(yè)數(shù)據(jù)不被泄露；同時(shí)，在這種數(shù)據(jù)存儲(chǔ)資源共享的環(huán)境下，即使采用了加密方式，云計(jì)算服務(wù)商是否能

8、夠保證數(shù)據(jù)之間的有限隔離；另外，即使企業(yè)用戶了解數(shù)據(jù)存放的服務(wù)器的準(zhǔn)確位置，也必須要求服務(wù)商作出承諾，對(duì)所托管數(shù)據(jù)進(jìn)行備份，以防止出現(xiàn)重大事故時(shí)，企業(yè)用戶的數(shù)據(jù)無法得到恢復(fù)。3) 數(shù)據(jù)審計(jì)安全企業(yè)進(jìn)行內(nèi)部數(shù)據(jù)管理時(shí)，為了保證數(shù)據(jù)的準(zhǔn)確性往往會(huì)引入第三方的認(rèn)證機(jī)構(gòu)進(jìn)行審計(jì)或是認(rèn)證。但是在云計(jì)算環(huán)境下，云計(jì)算服務(wù)商如何在確保不對(duì)其他企業(yè)的數(shù)據(jù)計(jì)算帶來風(fēng)險(xiǎn)的同時(shí)，又提供必要的信息支持，以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì)，實(shí)現(xiàn)企業(yè)的合規(guī)性要求；另外，企業(yè)對(duì)云計(jì)算服務(wù)商的可持續(xù)性發(fā)展進(jìn)行認(rèn)證的過程中，如何確保云計(jì)算服務(wù)商既能提供有效的數(shù)據(jù)，又不損害其他已有客戶的利益，使得企業(yè)能夠選擇

9、一家可以長期存在的、有技術(shù)實(shí)力的云計(jì)算服務(wù)商進(jìn)行業(yè)務(wù)交付，也是安全方面的潛在風(fēng)險(xiǎn)。4. 云計(jì)算服務(wù)的安全風(fēng)險(xiǎn)控制策略為了更好的消除這些潛在的安全風(fēng)險(xiǎn)，讓更多用戶享受到云計(jì)算服務(wù)的優(yōu)點(diǎn)，在選擇云計(jì)算服務(wù)時(shí)，一方面要根據(jù)自身的業(yè)務(wù)需要，將風(fēng)險(xiǎn)可控的業(yè)務(wù)模型提交到云計(jì)算服務(wù)商，其他關(guān)鍵業(yè)務(wù)模型可以選擇建立企業(yè)私有云模型進(jìn)行保障；另一方面需要和云計(jì)算服務(wù)商建立規(guī)范的條款來規(guī)避風(fēng)險(xiǎn)，包括選擇較高信譽(yù)度的服務(wù)商、要求企業(yè)和云計(jì)算服務(wù)商之間的數(shù)據(jù)傳統(tǒng)通道進(jìn)行加密傳輸、要求云計(jì)算服務(wù)商承諾數(shù)據(jù)存儲(chǔ)位置的安全性以及和其他企業(yè)數(shù)據(jù)之間的加密隔離，同時(shí)和服務(wù)商簽訂SLA服務(wù)質(zhì)量保證協(xié)議，明確服務(wù)商要具備數(shù)據(jù)恢復(fù)的能

10、力并定義清楚數(shù)據(jù)恢復(fù)的時(shí)間限制等。云計(jì)算環(huán)境下安全模型與傳統(tǒng)安全模型的差異在云計(jì)算服務(wù)商建設(shè)資源高度整合的云計(jì)算中心時(shí)，安全更多的是作為一種服務(wù)提供給云計(jì)算客戶，也即大家常說的SaaS(安全即服務(wù))。在SaaS建設(shè)思路的指引下，云計(jì)算中心的安全建設(shè)模型和傳統(tǒng)的企業(yè)安全防護(hù)思路存在非常明顯的差異，歸結(jié)起來主要有以下幾個(gè)方面。1. 流量模型的轉(zhuǎn)變：從分散走向高度集中，設(shè)備性能面臨壓力傳統(tǒng)的企業(yè)流量模型相對(duì)比較簡單，各種應(yīng)用基準(zhǔn)流量及突發(fā)流量有規(guī)律可循，即使對(duì)較大型的數(shù)據(jù)中心，仍然可以根據(jù)web應(yīng)用服務(wù)器的重要程度進(jìn)行有針對(duì)性的防護(hù)，對(duì)安全設(shè)備的處理能力沒有太高的要求；而在云計(jì)算環(huán)境下，服務(wù)商建設(shè)的

11、云計(jì)算中心，同類型存儲(chǔ)服務(wù)器的規(guī)模以萬為單位進(jìn)行擴(kuò)展，并且基于統(tǒng)一基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)進(jìn)行承載，無法實(shí)現(xiàn)分而治之，因此對(duì)安全設(shè)備提出了很高的性能要求。2. 虛擬化要求：安全作為一種服務(wù)（SaaS），如何實(shí)現(xiàn)虛擬化交付？基于存儲(chǔ)資源和服務(wù)器資源的高度整合，云計(jì)算服務(wù)商在向客戶提供各項(xiàng)服務(wù)的時(shí)候，存儲(chǔ)計(jì)算資源的按需分配、數(shù)據(jù)之間的安全隔離成為基礎(chǔ)要求，這也是虛擬化成為云計(jì)算中心關(guān)鍵技術(shù)的原因。在這種情況下，安全設(shè)備如何適應(yīng)云計(jì)算中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)和應(yīng)用服務(wù)的虛擬化，實(shí)現(xiàn)基礎(chǔ)架構(gòu)和安全的統(tǒng)一虛擬交付，是云計(jì)算環(huán)境下安全建設(shè)關(guān)注的重點(diǎn)。3. 安全邊界消失；云計(jì)算環(huán)境下的安全部署邊界在哪里？在傳統(tǒng)安全防護(hù)中，很

12、重要的一個(gè)原則就是基于邊界的安全隔離和訪問控制，并且強(qiáng)調(diào)針對(duì)不同的安全區(qū)域設(shè)置有差異化的安全防護(hù)策略，在很大程度上依賴各區(qū)域之間明顯清晰的區(qū)域邊界；而在云計(jì)算環(huán)境下，存儲(chǔ)和計(jì)算資源高度整合，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化，安全設(shè)備的部署邊界已經(jīng)消失，這也意味著安全設(shè)備的部署方式將不再類似于傳統(tǒng)的安全建設(shè)模型，云計(jì)算環(huán)境下的安全部署需要尋找新的模式。4. 未知威脅檢測(cè)引擎的變更：客戶端將從主體檢測(cè)引擎轉(zhuǎn)變?yōu)檩o助檢測(cè)的傳感器傳統(tǒng)的安全威脅檢測(cè)模式中，客戶端安全軟件或硬件安全網(wǎng)關(guān)充當(dāng)了威脅檢測(cè)的主體，所有的流量都將在客戶端或網(wǎng)關(guān)上完成全部的威脅檢測(cè)。這種模式的優(yōu)點(diǎn)是全部檢測(cè)基于本地處理延時(shí)較小，但是由于客戶端相

13、互獨(dú)立，系統(tǒng)之間的隔離阻止了威脅檢測(cè)結(jié)果的共享。這也意味著在企業(yè)A已經(jīng)檢測(cè)到的新型威脅在企業(yè)B依然可能造成破壞，沒有形成整體的安全防護(hù)。而在云計(jì)算環(huán)境下，客戶端更多的將充當(dāng)未知威脅的傳感器，將本地不能識(shí)別的可疑流量送到云端，充分利用云端的超強(qiáng)計(jì)算能力進(jìn)行未知威脅的檢測(cè)，從而實(shí)現(xiàn)云模式的安全檢測(cè)。云計(jì)算環(huán)境下安全防護(hù)的主要思路1. 建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系為了應(yīng)對(duì)云計(jì)算環(huán)境下的流量模型變化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在現(xiàn)階段企業(yè)私有云的建設(shè)過程中，多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對(duì)高密度的10GE甚至100G接口的處理能力

14、；無論是獨(dú)立的機(jī)架式安全設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種安全業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建設(shè)思路進(jìn)行合理配置；同時(shí)，考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。2. 建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系目前，虛擬化已經(jīng)成為云計(jì)算服務(wù)商提供“按需服務(wù)”的關(guān)鍵技術(shù)手段，包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，

15、并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)安全。安全無論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，還是基于安全即服務(wù)的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。典型的示意圖如圖1所示：圖1 以虛擬化為技術(shù)支撐的安全防護(hù)體系從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度（如狀態(tài)防火墻的安全隔離和訪問控制），需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN等映射到不同的虛擬化實(shí)例中，每個(gè)虛擬化實(shí)例具備獨(dú)立的安全控制策略，以及獨(dú)立的管理職能（如圖2實(shí)例所示）。從安全即服務(wù)的角度，云計(jì)算服務(wù)商聯(lián)合內(nèi)容安全提供商提供類似防病毒和反垃圾郵件等服務(wù)，也必須考慮配合VMware等中間件實(shí)現(xiàn)操作系統(tǒng)層面的虛擬化實(shí)例，同一服務(wù)器運(yùn)行

16、多個(gè)相互獨(dú)立的操作系統(tǒng)及應(yīng)用軟件，每個(gè)用戶的保密數(shù)據(jù)在進(jìn)行防病毒和反垃圾郵件檢查的時(shí)候，數(shù)據(jù)不能被其他虛擬化系統(tǒng)引擎所訪問，只有這樣才能保證用戶數(shù)據(jù)的安全。圖2不同用戶基于VLAN映射到不同的虛擬化實(shí)例，每個(gè)虛擬化實(shí)例具備獨(dú)立的安全控制策略和管理職能3. 以集中的安全服務(wù)中心應(yīng)對(duì)無邊界的安全防護(hù)和傳統(tǒng)的安全建設(shè)模型強(qiáng)調(diào)邊界防護(hù)不同，存儲(chǔ)計(jì)算等資源的高度整合，使得不同的企業(yè)用戶在申請(qǐng)?jiān)朴?jì)算服務(wù)時(shí)，只能實(shí)現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個(gè)或每類型用戶進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此安全服務(wù)部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護(hù)，轉(zhuǎn)移到基于整個(gè)云計(jì)

17、算網(wǎng)絡(luò)的安全防護(hù)，建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。云計(jì)算服務(wù)商或企業(yè)私有云管理員可以將需要進(jìn)行安全服務(wù)的用戶流量，通過合理的技術(shù)手段引入到集中的安全服務(wù)中心，完成安全服務(wù)后再返回到原有的轉(zhuǎn)發(fā)路徑。這種集中的安全服務(wù)中心，既可以實(shí)現(xiàn)用戶安全服務(wù)的單獨(dú)配置提供，又能有效的節(jié)約建設(shè)投資，考慮在一定收斂比的基礎(chǔ)上提供安全服務(wù)能力。其部署示意圖見圖3所示：圖3 集中的安全服務(wù)中心部署4. 充分利用云安全模式加強(qiáng)云端和客戶端的關(guān)聯(lián)耦合在云安全建設(shè)中，充分利用云端的超強(qiáng)計(jì)算能力實(shí)現(xiàn)云模式的安全檢測(cè)和防護(hù)，是后續(xù)的一個(gè)重要方向。與傳統(tǒng)的安全防護(hù)模型相比，新的云安全模型除了要求掛在云端的海量本地客戶端具備基礎(chǔ)的威脅檢測(cè)和防護(hù)功能外，更強(qiáng)調(diào)其對(duì)未知安全威脅或是可疑安全威脅的傳感檢測(cè)能力。任何一個(gè)客戶端對(duì)于本地不能識(shí)別的可疑流量都要第一時(shí)間送到后臺(tái)的云檢測(cè)中心，利用云端的檢測(cè)計(jì)算能力快速定位解析安全威脅，并將安全威脅的協(xié)議特征推送到全部客戶端或安全網(wǎng)關(guān)，從而使得整個(gè)云中的客戶端和安全網(wǎng)關(guān)都具備對(duì)這種未知威脅的檢測(cè)能力，客戶