云計(jì)算因?yàn)槟軌蛱峁┨摂M化的資源池�����、彈性的服務(wù)能力、自助服務(wù)等���,深得CIO們的青睞���,為了提高企業(yè)IT設(shè)備的利用率,提高服務(wù)容災(zāi)的能力�,提高對(duì)業(yè)務(wù)支撐的快速響應(yīng)能力,大多數(shù)的企業(yè)都開始嘗試企業(yè)私有云的建設(shè)����。
私有云安全的尷尬現(xiàn)狀
一般來說,從現(xiàn)有的IT管理體系過渡到私有云平臺(tái)��,大致需要幾個(gè)步驟:數(shù)據(jù)大集中��、業(yè)務(wù)系統(tǒng)整合�����、IT資源的虛擬化���、管理平臺(tái)云化�、云服務(wù)提供���。(很多人認(rèn)為私有云就是信息中心的建設(shè)���,其實(shí)信息中心的虛擬化改造一般是最后兩個(gè)階段合并為信息中心的統(tǒng)一運(yùn)維管理平臺(tái)���,而不一定會(huì)提供云服務(wù),因此����,不能稱為嚴(yán)格意義上的私有云。)這個(gè)過程中�����,資源虛擬化是關(guān)鍵�����,因?yàn)橹挥匈Y源都虛擬化管理�����,才可以談得上動(dòng)態(tài)的調(diào)配�,才能夠提供彈性服務(wù)支撐能力���。哪些資源可以且需要虛擬化管理�����?計(jì)算資源��,包括CPU與內(nèi)容����,以及存儲(chǔ)資源、網(wǎng)絡(luò)資源�����。我們注意到���,一般都沒有涉及到安全資源�。這不奇怪���,因?yàn)樘摂M化平臺(tái)廠家都是先以業(yè)務(wù)服務(wù)實(shí)現(xiàn)為主��,安全問題大多是放在后邊考慮的���。
這就給CIO們出了一個(gè)難題:私有云為企業(yè)各個(gè)業(yè)務(wù)部門提供統(tǒng)一服務(wù)�����,不僅僅包括計(jì)算資源����、存儲(chǔ)資源��、網(wǎng)絡(luò)資源�����,還應(yīng)該包括安全資源����,如身份認(rèn)證�����、病毒查殺��、入侵檢測(cè)��、行為審計(jì)等�����,只分配了計(jì)算資源與存儲(chǔ)資源的系統(tǒng),對(duì)用戶來講���,無異于“裸奔”�����。私有云與公用云不同�����,公用云的業(yè)務(wù)單一����,可以建立統(tǒng)一的安全策略�����;而私有云不同業(yè)務(wù)系統(tǒng)的安全需求差異很大�����,在一個(gè)“云”內(nèi),為不同業(yè)務(wù)系統(tǒng)提供不同的安全策略�,安全策略如何部署?部署在哪里����?
云計(jì)算的安全問題一直是業(yè)界爭(zhēng)論的熱點(diǎn),還有個(gè)專門的組織CSA(云安全聯(lián)盟)制定了一些指導(dǎo)性意見���,但落地都比較困難�?���?偨Y(jié)起來,云計(jì)算的安全落地有兩方面的難題:
第一�����,是云計(jì)算系統(tǒng)架構(gòu)本身的問題�。由于采用了虛擬化的資源管理,用戶業(yè)務(wù)系統(tǒng)的服務(wù)器不再明確地運(yùn)行在哪臺(tái)服務(wù)器上��,而是動(dòng)態(tài)漂移的VM(虛擬機(jī))�����,不同業(yè)務(wù)系統(tǒng)的用戶都在一個(gè)“大雜院”內(nèi)進(jìn)進(jìn)出出�,各個(gè)業(yè)務(wù)系統(tǒng)之間沒有了“邊界”,如何保證那些不安分的用戶偷窺其他系統(tǒng)的數(shù)據(jù)��,只靠虛擬化操作系統(tǒng)的管理�,能夠滿足用戶業(yè)務(wù)流之間的隔離嗎?且不說虛擬機(jī)逃逸方面的研究��,如“藍(lán)色藥丸”����,傳統(tǒng)的操作系統(tǒng)都是漏洞一堆,虛擬化操作系統(tǒng)的漏洞就會(huì)很少嗎�����?危害程度可是更大���。
第二�����,是虛擬化操作系統(tǒng)廠商的問題���。目前,能夠提供虛擬化操作系統(tǒng)的廠商不是很多,如VMware���、Microsoft���、Citrix、Xen�����、RedHat��、方物等�。先說市場(chǎng)份額最大的VMware,是一家與微軟一樣的私有代碼廠商��,只提供第三方的開發(fā)接口API�����。VMware提供系統(tǒng)底層的安全接口�����,如VMSafe�����,但這個(gè)接口目前還沒有對(duì)國內(nèi)的安全廠商開放��,也就是說����,實(shí)現(xiàn)安全部署,只能采購國外的第三方安全廠商產(chǎn)品���。其他的廠商���,如Xen是開源的,是沒有接口問題�,但需要用戶自己的技術(shù)力量非常強(qiáng)才可以部署與維護(hù)。
一句話:云內(nèi)的安全問題是嚴(yán)重的��,最好的方法�,就是安全設(shè)備可以如同存儲(chǔ)設(shè)備一樣,形成池化的資源池��,在用戶申請(qǐng)?jiān)品?wù)器時(shí)����,與計(jì)算資源�、存儲(chǔ)資源一起按需分配給用戶�。
但是,就目前安全廠商的現(xiàn)狀���,完全達(dá)到這個(gè)階段還需要一段時(shí)間���;為了應(yīng)對(duì)過渡時(shí)期的私有云服務(wù)運(yùn)行的安全,我們提出了過渡時(shí)期的安全解決方案——“云朵”方案���。
“云朵”方案的設(shè)計(jì)思路
在沒有辦法確定多個(gè)不同業(yè)務(wù)系統(tǒng)在一個(gè)云中運(yùn)行可以做到安全的隔離的情況下���,根據(jù)不同業(yè)務(wù)系統(tǒng)的安全需求,把安全需求近似的���、服務(wù)對(duì)象相似的業(yè)務(wù)系統(tǒng)部署在一個(gè)云內(nèi)�����,否則就部署在不同的云中�����,這樣在企業(yè)中就形成了一個(gè)一個(gè)的云朵��,如辦公業(yè)務(wù)云�����、生產(chǎn)業(yè)務(wù)云��、互聯(lián)網(wǎng)服務(wù)云等����,或者按照等級(jí)保護(hù)的級(jí)別�����,分為一級(jí)系統(tǒng)云�、二級(jí)系統(tǒng)云、三級(jí)系統(tǒng)云等�����。
企業(yè)核心網(wǎng)絡(luò)是“物理”的�,不同的業(yè)務(wù)服務(wù)云朵連接在核心網(wǎng)絡(luò)上,每個(gè)云朵內(nèi)部有自己的云朵管理中心�,負(fù)責(zé)云朵內(nèi)的計(jì)算、存儲(chǔ)�����、安全資源管理;企業(yè)用戶分為虛擬終端(如運(yùn)行虛擬桌面的“傻終端”)與真實(shí)終端(如PC等“富終端”)���,通過企業(yè)網(wǎng)絡(luò)���,可以登錄不同的云朵;整個(gè)網(wǎng)絡(luò)的用戶采用統(tǒng)一的身份認(rèn)證�����,并建立云朵安全管理的中心平臺(tái)�,該平臺(tái)通過各個(gè)云朵的管理中心接口,可以直接監(jiān)控云朵內(nèi)虛擬機(jī)的運(yùn)行狀態(tài)�。
云朵方案的優(yōu)點(diǎn)是明顯的:一朵云內(nèi)的業(yè)務(wù)系統(tǒng)安全需求是相近的、用戶是相同的�����,安全隔離的需求大大降低了�,這樣就解決了不同業(yè)務(wù)系統(tǒng)在一個(gè)云內(nèi)安全隔離的安全難題,在云朵之間的網(wǎng)絡(luò)是“物理”可見的�,傳統(tǒng)的安全邊界思路完全適用;當(dāng)然���,不同云朵可以采用不同的虛擬化操作系統(tǒng)���,減少對(duì)一個(gè)廠家的過度依賴(桌面操作系統(tǒng)對(duì)微軟的依賴是很多CIO頭痛的難題)���;最后,若一朵云出現(xiàn)問題�,也不會(huì)影響其他云朵內(nèi)的業(yè)務(wù)系統(tǒng)����。
云朵方案的缺點(diǎn)也是明顯的:IT資源利用率提高有限,這與采用虛擬化技術(shù)的目標(biāo)顯然是違背的��;人為地建設(shè)多個(gè)云朵���,多個(gè)管理運(yùn)營平臺(tái)����,管理復(fù)雜度明顯是加大的����。
但是,云朵方案可以解決目前虛擬化平臺(tái)自身安全還不到位�����,業(yè)務(wù)需求推動(dòng)云計(jì)算模式紛紛上馬的矛盾。邊走邊學(xué)�����,“摸著石頭過河”�,總比因噎廢食要好。
云朵方案把企業(yè)私有云的安全問題進(jìn)行了分解:1�、云朵間的安全;2���、云朵內(nèi)的安全�����。
云朵間的安全設(shè)計(jì)思路
不同的云朵����,邏輯上如同傳統(tǒng)安全方案設(shè)計(jì)中的“安全域”����,具有明確的安全區(qū)域邊界,因此,云朵間的安全完全可以按照傳統(tǒng)的安全方案設(shè)計(jì)思路�,部署思路可以參考“花瓶模型”的三條基線一個(gè)平臺(tái),網(wǎng)絡(luò)邊界與安全域邊界的安全防護(hù)基線���;重要資源區(qū)域與核心匯聚的動(dòng)態(tài)監(jiān)控基線��;用戶與運(yùn)維人員的信用管理基線��;日常運(yùn)維與應(yīng)急處理的安全管理平臺(tái)���,具體的技術(shù)與管理要求,可以參照等級(jí)保護(hù)的要求���,這里就不贅述了。
云朵內(nèi)實(shí)際上是一個(gè)云朵平臺(tái)管理的系統(tǒng)范圍內(nèi)�����,也可以說是一個(gè)虛擬化操作系統(tǒng)的管理平臺(tái)下的安全設(shè)計(jì)�����。從系統(tǒng)角度看�,可以分為兩個(gè)層面的安全設(shè)計(jì):1、虛擬機(jī)內(nèi)的安全;2���、虛擬化平臺(tái)上的安全���。
虛擬機(jī)內(nèi)的安全
就是用戶申請(qǐng)到的虛擬機(jī),從用戶角度看起來與物理服務(wù)器是一樣的�����,用戶選定的操作系統(tǒng)與業(yè)務(wù)服務(wù)軟件�����,因此���,虛擬機(jī)內(nèi)的安全就如同對(duì)一個(gè)主機(jī)系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)�����。由于虛擬機(jī)的管理比起物理機(jī)要簡(jiǎn)單的多����,容易進(jìn)行配置修改與補(bǔ)丁升級(jí)管理�,開關(guān)機(jī)就是一個(gè)目錄下的文件運(yùn)行而已。
同時(shí),虛擬機(jī)的計(jì)算資源是可動(dòng)態(tài)申請(qǐng)的���,不再存在傳統(tǒng)主機(jī)內(nèi)安全與業(yè)務(wù)爭(zhēng)資源的矛盾��,因?yàn)轳v留主機(jī)內(nèi)部的安全監(jiān)控會(huì)降低業(yè)務(wù)運(yùn)行的效率�����,很多業(yè)務(wù)管理者拒絕安裝其他駐留軟件�����。當(dāng)然�,軟件間的兼容問題依然是存在的�,因此,在系統(tǒng)升級(jí)或安裝安全軟件前�,一定要在其他的虛擬機(jī)上測(cè)試��,保證不影響業(yè)務(wù)軟件的正常運(yùn)轉(zhuǎn)��。
虛擬機(jī)內(nèi)的安全須考慮如下幾個(gè)方面:
l身份鑒別與權(quán)限管理:身份鑒別可以與整個(gè)網(wǎng)絡(luò)的身份認(rèn)證系統(tǒng)統(tǒng)一起來����,但權(quán)限管理在云朵內(nèi)部有自己的明細(xì)管理,保證云朵內(nèi)部用戶可訪問業(yè)務(wù)的差異;
l服務(wù)加固與反控制防御:這主要是針對(duì)服務(wù)器的�,如同普通的業(yè)務(wù)服務(wù)器一樣,需要基本的安全加固����,安裝適合的補(bǔ)丁、關(guān)閉不需要的服務(wù)���、刪除不需要的賬戶等�����,但這還是不夠的���。服務(wù)器是面向網(wǎng)絡(luò)服務(wù)的,中斷了服務(wù)���,僅僅是影響自己的業(yè)務(wù)�����;若被黑客入侵�,成為“肉雞”��,就可能成為攻擊其他目標(biāo)的工具。由于云朵內(nèi)一般是多個(gè)業(yè)務(wù)系統(tǒng)在運(yùn)行�,一個(gè)系統(tǒng)的漏洞被利用,就建立了黑客入侵的橋頭堡��,成為內(nèi)部攻擊的跳板���,很多黑客入侵正是這樣一步一步滲透到核心機(jī)密服務(wù)器中的�����。因此����,服務(wù)器不被入侵者控制�,不成為“肉雞”是服務(wù)器安全的最低底線要求,安裝反控制防御系統(tǒng)�����,或?qū)ο到y(tǒng)進(jìn)行反控制加固是非常有必要的�����;
l終端防護(hù)系統(tǒng):這主要是針對(duì)遠(yuǎn)程桌面或BYOD的�����,因?yàn)樵L問者的終端種類繁多�,安全狀態(tài)千奇百怪,對(duì)訪問終端進(jìn)行適當(dāng)?shù)陌踩珯z查����,或限制其訪問云服務(wù)的權(quán)限都是必須的;當(dāng)然�,也可以利用“容器式”的遠(yuǎn)程桌面,隔離遠(yuǎn)程終端內(nèi)本業(yè)務(wù)與其他系統(tǒng)���,保證終端上的病毒�����、木馬不能入侵到云服務(wù)內(nèi)���;
l防病毒:病毒與木馬是無孔不入的,對(duì)用戶流量進(jìn)行病毒過濾是必要的��。當(dāng)然�����,防病毒也可以在云朵的入口處實(shí)現(xiàn),但對(duì)于應(yīng)用層的病毒����,還是要通過主機(jī)監(jiān)控查殺的方式更為有效。
虛擬化平臺(tái)上的安全
虛擬化平臺(tái)上的安全與廠家產(chǎn)品的開放性有直接的關(guān)系����,可以分為兩種情況:
第一種情況是開源的平臺(tái),或者是得到了廠家的底層安全API接口���,如VMware的VMSafe接口����,你可以利用接口插入自己的安全代碼�����,對(duì)虛擬機(jī)上的流量進(jìn)行安全檢查與控制�。
這種方式直接在虛擬化平臺(tái)的底層hypervisor上控制用戶數(shù)據(jù)流,有些像我們所理解的操作系統(tǒng)分為內(nèi)核態(tài)與用戶態(tài)�����,黑客要突破hypervisor到內(nèi)核層是比較困難的,想繞過這種安全監(jiān)控也是十分困難的�。
第二種情況是得不到虛擬化平臺(tái)的底層接口���,或者是希望通過第三方的安全控制措施�,用戶才放心虛擬化平臺(tái)自己管理���、自己控制的安全�����,總讓人有些疑惑�。這種方式是目前安全廠家流行的流量牽引的安全控制措施��。
實(shí)現(xiàn)的思路是利用SDN技術(shù)中的流量牽引控制協(xié)議openflow�,引導(dǎo)用戶業(yè)務(wù)流量按照規(guī)定的安全策略流向,結(jié)合安全產(chǎn)品的虛擬化技術(shù)��,建立防火墻���、入侵檢測(cè)�、用戶行為審計(jì)��、病毒過濾等資源池�����,在用戶申請(qǐng)?zhí)摂M機(jī)資源時(shí),隨著計(jì)算資源����、存儲(chǔ)資源一起下發(fā)給用戶,保證用戶業(yè)務(wù)的安全���。
實(shí)現(xiàn)的步驟大致如下:
l對(duì)安全資源虛擬池化:先對(duì)安全設(shè)備進(jìn)行“多到一”的虛擬化��,形成一個(gè)虛擬的�、邏輯的�����、高處理能力的安全設(shè)備���,如虛擬防火墻���、虛擬入侵檢測(cè)等;再對(duì)虛擬的安全設(shè)備進(jìn)行“一到多”的虛擬����,生成用戶定制的�、處理能力匹配的虛擬安全設(shè)備�����;
l部署流量控制服務(wù)器:它是流量控制管理的中心���,接受并部署用戶流量的安全策略,當(dāng)用戶業(yè)務(wù)虛擬機(jī)遷移時(shí)����,負(fù)責(zé)流量牽引策略的遷移落地;該服務(wù)器可以是雙機(jī)熱備���,提高系統(tǒng)安全性���,也可以采用虛擬機(jī)模式。同時(shí)���,在虛擬計(jì)算資源池內(nèi)安裝流量控制引擎:具體方法是在每個(gè)物理服務(wù)器內(nèi)開一個(gè)虛擬機(jī)運(yùn)行流量控制引擎���,負(fù)責(zé)引導(dǎo)該物理服務(wù)器上所有虛擬機(jī),按照安全策略進(jìn)行流量的牽引;
l用戶業(yè)務(wù)流量的牽引分為兩種模式:
a 鏡像模式:針對(duì)入侵檢測(cè)��、行為審計(jì)等旁路接入的安全設(shè)備����,把用戶流量復(fù)制出來即可,不影響原先的用戶業(yè)務(wù)流量����;
b 控制模式:針對(duì)防火墻等安全網(wǎng)關(guān)類安全設(shè)備,需要把用戶的流量先引導(dǎo)到安全設(shè)備虛擬化池中���,“清洗”流量以后����,再把流量引導(dǎo)到正常的業(yè)務(wù)處理虛擬機(jī)�����。
l因?yàn)樾枰淖冇脩袅髁康牧飨?����,需要?duì)目的MAC��、目的IP進(jìn)行修改。具體的方案很多�����,這里我們采用的是MAC in MAC 技術(shù)���,對(duì)數(shù)據(jù)包二次封裝�,經(jīng)過安全設(shè)備處理以后的“安全流量”恢復(fù)到“正?���!睜顟B(tài)���;在云朵中的物理交換機(jī)與虛擬交換機(jī)支持SDN 模式時(shí)�,也可以采用openflow 協(xié)議進(jìn)行導(dǎo)引時(shí)的封裝����;
l當(dāng)用戶業(yè)務(wù)服務(wù)的虛擬機(jī)在不同的物理服務(wù)中遷移時(shí),該用戶業(yè)務(wù)的安全策略也隨著遷移到目的物理服務(wù)內(nèi)的流量控制虛擬機(jī)�,繼續(xù)執(zhí)行對(duì)該用戶的業(yè)務(wù)流量進(jìn)行引導(dǎo)。
小結(jié)
“云朵”方案通過把不同安全需求的業(yè)務(wù)系統(tǒng)部署在不同的云朵內(nèi)�,降低了對(duì)云內(nèi)業(yè)務(wù)流隔離的需求,而在云朵內(nèi)部�����,通過流量牽引與虛擬機(jī)加固等辦法,實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全過濾�����,同時(shí)加強(qiáng)業(yè)務(wù)系統(tǒng)自身的安全管理����,如用戶權(quán)限管理、業(yè)務(wù)行為審計(jì)等���,實(shí)現(xiàn)應(yīng)用層面的訪問控制����,對(duì)敏感數(shù)據(jù)的存儲(chǔ)與傳輸都建議采用加密方式����。
“云朵”方案是個(gè)過渡性質(zhì)的方案,等到云朵內(nèi)的安全隔離與控制技術(shù)成熟�,多個(gè)云朵就可以合成一個(gè)云了。
來源:CCTIME飛象網(wǎng) 啟明 星辰 翟勝軍
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力����。凡轉(zhuǎn)載文章�,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056���。
延伸閱讀
