王 哲，區(qū)洪輝，朱培軍

（中國(guó)電信股份有限公司廣東分公司 廣州 510081）

1 前言

云計(jì)算是一種將池化的集群計(jì)算能力通過(guò)互聯(lián)網(wǎng)向內(nèi)外部用戶提供按需服務(wù)的互聯(lián)網(wǎng)新業(yè)務(wù)，是傳統(tǒng)IT領(lǐng)域和通信領(lǐng)域技術(shù)進(jìn)步、需求推動(dòng)和商業(yè)模式變化共同促進(jìn)的結(jié)果，具有以網(wǎng)絡(luò)為中心、以服務(wù)為提供方式、高擴(kuò)展與高可靠性、資源池化與透明化四大特點(diǎn)。目前，云計(jì)算快速發(fā)展，但在部署中仍然面臨著大量挑戰(zhàn)，其中安全問(wèn)題排在首位。全球有多個(gè)研究組織對(duì)云計(jì)算的安全進(jìn)行了研究，但大多從云計(jì)算使用者的角度分析研究了公有云的安全，針對(duì)私有云安全的研究較少，尚未形成成熟的成果。

《計(jì)算機(jī)世界》對(duì)155名調(diào)查者進(jìn)行調(diào)查的結(jié)果顯示，未來(lái)企業(yè)在云計(jì)算投入方面私有云排名第一，私有云是目前云計(jì)算應(yīng)用的主要模式。下面將結(jié)合私有云的典型部署，給出私有云的安全方案與部署建議。

2 私有云典型部署方案

一種基于虛擬化技術(shù)的大規(guī)模私有云典型部署方案如圖1所示。云計(jì)算的規(guī)劃建設(shè)以集群為最小單位，一個(gè)集群是配置了一定數(shù)量的相同CPU廠商的x86服務(wù)器、共享存儲(chǔ)和網(wǎng)絡(luò)設(shè)備，使用同類型虛擬化軟件的資源組織單位。同一集群中可進(jìn)行動(dòng)態(tài)遷移、HA（high availability，高可用性）等云特性的操作。若干個(gè)集群通過(guò)接入交換機(jī)連接到匯聚交換機(jī)，匯聚流量通過(guò)核心路由器統(tǒng)一連接到外部網(wǎng)絡(luò)，構(gòu)成了一個(gè)典型的私有云。在云計(jì)算部署中，一般采用云管理平臺(tái)對(duì)云資源進(jìn)行統(tǒng)一的資源管理和調(diào)度，實(shí)現(xiàn)運(yùn)營(yíng)管理。

同一個(gè)集群內(nèi)的技術(shù)特性是一致的，對(duì)外提供統(tǒng)一的服務(wù)等級(jí)。但目前虛擬化軟件的技術(shù)因素導(dǎo)致一個(gè)集群內(nèi)x86物理服務(wù)器的數(shù)量有所限制，如VMware ESX中一個(gè)集群的物理服務(wù)器限制為24臺(tái)。另外大型私有云所承載的業(yè)務(wù)也是多種多樣的，因此在大規(guī)模私有云部署方案中，針對(duì)不同的業(yè)務(wù)需求，可以組合虛擬化軟件、x86服務(wù)器和存儲(chǔ)系統(tǒng)形成不同的虛擬化解決方案，構(gòu)建不同種類的集群，如應(yīng)用VMware構(gòu)建核心業(yè)務(wù)集群、應(yīng)用KVM虛擬化軟件構(gòu)建創(chuàng)新孵化集群等。采用多個(gè)不同類型的集群

125構(gòu)建大規(guī)模私有云，既充分發(fā)揮了同一集群中虛擬化資源彈性靈活調(diào)整的特點(diǎn)，又可以突破單個(gè)集群的技術(shù)限制，滿足多種業(yè)務(wù)承載的需求。

3 私有云安全要素

典型的私有云架構(gòu)可以實(shí)現(xiàn)企業(yè)IT資源的高度集約管理，有效提升了資源部署效率和使用效率，但同時(shí)也帶來(lái)了集中的安全問(wèn)題，如病毒、數(shù)據(jù)泄露等，可能造成由原來(lái)單一系統(tǒng)、單一應(yīng)用不可用擴(kuò)展為多個(gè)系統(tǒng)、多個(gè)應(yīng)用甚至全部IT基礎(chǔ)設(shè)施不可用的后果，因此安全問(wèn)題已經(jīng)成為規(guī)模部署云計(jì)算技術(shù)的最關(guān)鍵環(huán)節(jié)。

CSA（云安全聯(lián)盟）于2010年3月發(fā)表了云計(jì)算的七大威脅，獲得了業(yè)界廣泛的引用和認(rèn)可，圖2是CSA云安全架構(gòu)模型，從全局安全控制、虛擬化技術(shù)安全控制和業(yè)務(wù)連續(xù)性3個(gè)方面介紹了云服務(wù)安全架構(gòu)，但其主要是從云計(jì)算使用者的角度針對(duì)公有云的云服務(wù)進(jìn)行安全分析和防范。

對(duì)于企業(yè)大規(guī)模私有云來(lái)說(shuō)，如何從私有云部署的角度綜合應(yīng)用各種安全舉措進(jìn)行安全分析和防范，是目前云計(jì)算規(guī)模應(yīng)用過(guò)程中迫切需要解決的問(wèn)題。參考CSA模型中的安全控制要點(diǎn)，針對(duì)典型的私有云部署架構(gòu)，對(duì)云計(jì)算的集群、網(wǎng)絡(luò)出口、云管理平臺(tái)3個(gè)重要組成部分進(jìn)行安全分析，歸納出各部分的安全要點(diǎn)，見(jiàn)表1。

根據(jù)上述分析，私有云部署的各組成部分中，由于云計(jì)算引入帶來(lái)的安全重點(diǎn)和難點(diǎn)集中在共享存儲(chǔ)、虛擬化軟件及虛擬機(jī)、網(wǎng)絡(luò)、管理平臺(tái)4個(gè)方面。

4 私有云安全方案及部署建議

圖2 CSA云安全架構(gòu)模型

在私有云安全部署中，x86服務(wù)器和網(wǎng)絡(luò)出口兩個(gè)部分可以通過(guò)部署服務(wù)器冗余硬件、網(wǎng)絡(luò)入侵檢測(cè)、網(wǎng)絡(luò)流量清洗、網(wǎng)絡(luò)防火墻等傳統(tǒng)的安全防護(hù)措施達(dá)到相應(yīng)的安全等級(jí)；而共享存儲(chǔ)、虛擬化軟件及虛擬機(jī)、網(wǎng)絡(luò)、管理平臺(tái)4個(gè)方面就必須在傳統(tǒng)安全防護(hù)措施的基礎(chǔ)上，再針對(duì)云的新特性進(jìn)行安全防范。

4.1 共享存儲(chǔ)安全方案

共享存儲(chǔ)中存放的是私有云的關(guān)鍵數(shù)據(jù)，數(shù)據(jù)的重要性不言而喻。云計(jì)算環(huán)境下的數(shù)據(jù)安全由于多租戶共享資源（存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)）的模式，產(chǎn)生了更多的安全隱患，如各種虛擬機(jī)安全基線控制、多租戶數(shù)據(jù)備份和恢復(fù)、租戶之間的數(shù)據(jù)泄漏 （尤其是虛擬機(jī)被刪除后原來(lái)的業(yè)務(wù)數(shù)據(jù)泄漏給其他用戶）等。私有云中的數(shù)據(jù)安全要點(diǎn)分為數(shù)據(jù)加密保護(hù)、數(shù)據(jù)隔離、存儲(chǔ)數(shù)據(jù)備份和虛擬主機(jī)數(shù)據(jù)備份/恢復(fù)。

表1 私有云安全要點(diǎn)

數(shù)據(jù)加密保護(hù)主要解決云計(jì)算用戶可能面臨的租戶之間數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)，從而實(shí)現(xiàn)私有云中的數(shù)據(jù)加密保護(hù)和數(shù)據(jù)隔離。通過(guò)全盤加密將磁盤中的文件以密文形式保存，文件的讀取必須通過(guò)系統(tǒng)授權(quán)才能正常進(jìn)行，管理員或其他用戶對(duì)其原始數(shù)據(jù)進(jìn)行了非法獲取也無(wú)法解讀，既實(shí)現(xiàn)了數(shù)據(jù)加密保護(hù)，又實(shí)現(xiàn)了數(shù)據(jù)隔離，防止租戶之間的數(shù)據(jù)泄漏，為云計(jì)算應(yīng)用提供了安全的數(shù)據(jù)存儲(chǔ)方案。數(shù)據(jù)加密方案目前主要有共享存儲(chǔ)設(shè)備底層加密和文件系統(tǒng)級(jí)加密兩種。共享存儲(chǔ)設(shè)備底層部署加密是目前比較理想的方案，大部分主流存儲(chǔ)設(shè)備都有所支持，對(duì)服務(wù)器性能沒(méi)有影響，對(duì)不同虛擬化軟件的兼容性較好；文件系統(tǒng)及加密需要其與虛擬化軟件的兼容性要好，對(duì)服務(wù)器處理能力也有一定的消耗，目前應(yīng)用較少。

虛擬化環(huán)境下的存儲(chǔ)數(shù)據(jù)備份/恢復(fù)與傳統(tǒng)方式相比，只是增加了虛擬機(jī)Image備份，操作系統(tǒng)以上的文件系統(tǒng)備份與傳統(tǒng)方式是一致的。虛擬機(jī)Image備份需與虛擬化軟件提供接口配合才能實(shí)現(xiàn)，目前針對(duì)VMware ESX已有比較成熟的方案，不少主流備份軟件支持VMware ESX的虛擬機(jī)Image備份，如Symantec公司的Backup Exec 12.5、CA公司的ArcServe r12，這里不做詳細(xì)介紹。同時(shí)虛擬機(jī)鏡像備份與快速恢復(fù)，可以快速生成同一安全控制基線的虛擬機(jī)，很好地保障虛擬機(jī)安全策略的一致性，為虛擬機(jī)的安全控制提供了新的技術(shù)支撐手段。

4.2 虛擬化與虛擬機(jī)安全方案

云計(jì)算構(gòu)建于虛擬化技術(shù)之上，因此虛擬化層的安全程度基本決定了云計(jì)算整體的安全程度。目前主流服務(wù)器虛擬化軟件主要有VMware ESX、Citrix XenServer、Microsoft Hyper-V和RedHat KVM 4種。從架構(gòu)上可以分有兩大類型:VMware ESX和Citrix XenServer兩個(gè)虛擬軟件都直接部署在硬件之上，物理機(jī)無(wú)需額外的操作系統(tǒng)；Microsoft Hyper-V和RedHat KVM則將服務(wù)器虛擬軟件融入操作系統(tǒng)，使虛擬化軟件成為操作系統(tǒng)的一個(gè)組成部分。VMware ESX發(fā)展最為成熟，支撐的操作系統(tǒng)最多，應(yīng)用最廣泛，安全解決方案最為豐富，但部署成本較高；Citrix XenServer和RedHat KVM重點(diǎn)支持虛擬機(jī)采用Unix/Linux系統(tǒng)，采用產(chǎn)品免費(fèi)、技術(shù)支撐收費(fèi)的模式，應(yīng)用較少但部署成本較低；Microsoft Hyper-V從支持Windows平臺(tái)出發(fā)拓展到支持主流Linux，應(yīng)用發(fā)展很快，采用與操作系統(tǒng)捆綁銷售的方式，部署成本中等，當(dāng)虛擬機(jī)大量采用Windows平臺(tái)時(shí)部署成本將進(jìn)一步降低。目前主流的x86服務(wù)器虛擬化軟件及其特點(diǎn)見(jiàn)表2。

目前虛擬化層安全方案最為成熟的是VMware ESX上的安全方案，其他虛擬化軟件的安全方案原理基本與VMware ESX相同。VMware ESX安全方案的原理是通過(guò)在虛擬化軟件對(duì)外開(kāi)放統(tǒng)一管理接口 （如ESX的VMsafe接口）上部署對(duì)應(yīng)的第三方安全防護(hù)軟件，實(shí)現(xiàn)對(duì)鏡像文件的完整性監(jiān)控、虛擬化配置監(jiān)控、虛擬化軟件補(bǔ)丁管理和虛擬機(jī)防病毒、虛擬機(jī)異常操作監(jiān)控等功能，同時(shí)實(shí)現(xiàn)對(duì)虛擬化軟件和虛擬機(jī)的安全防護(hù)，如圖3所示。

圖3以VMsafe接口為例，該接口直接構(gòu)建于服務(wù)器硬件之上，通過(guò)一個(gè)虛擬機(jī)監(jiān)控程序以透明方式動(dòng)態(tài)分配硬件資源。VMsafe提供的接口可使第三方安全產(chǎn)品與該管理程序清晰地洞察虛擬機(jī)的運(yùn)行情況，從而發(fā)現(xiàn)并清除病毒、特洛伊木馬和擊鍵記錄程序等惡意軟件。安全供應(yīng)商可利用VMsafe檢測(cè)并消除無(wú)法在物理機(jī)上檢測(cè)到的惡意軟件，如趨勢(shì)科技的Deep Security，通過(guò)VMsafe API實(shí)現(xiàn)了虛擬機(jī)的入侵檢測(cè)與防護(hù)、網(wǎng)站應(yīng)用程序防護(hù)等功能。這種安全方案的關(guān)鍵是虛擬化軟件提供管理接口能力，因此要實(shí)現(xiàn)更高的安全控制要求就有待管理接口能力的進(jìn)一步完善，向更多的第三方安全廠商開(kāi)放。另外，管理接口監(jiān)控和操作的權(quán)限很高，因此接口自身的安全保護(hù)也需進(jìn)一步加強(qiáng)，可以采用雙向密匙校驗(yàn)等措施實(shí)現(xiàn)第三方與接口之間的鑒權(quán)，以減少非法調(diào)用的風(fēng)險(xiǎn)。

4.3 網(wǎng)絡(luò)安全方案

與傳統(tǒng)IDC的流量不同，云計(jì)算場(chǎng)景下的流量更多的是“東西走向”，又稱為橫向流量，因此云計(jì)算網(wǎng)絡(luò)安全的重點(diǎn)是云計(jì)算中心虛擬主機(jī)間的網(wǎng)絡(luò)流量控制問(wèn)題，也稱為橫向流量的監(jiān)控與隔離。其難點(diǎn)和重點(diǎn)是針對(duì)同一物理機(jī)內(nèi)部的虛擬機(jī)之間的網(wǎng)絡(luò)流量如何實(shí)現(xiàn)可見(jiàn)可控，目前主要的技術(shù)方案有虛擬化流量外部化、內(nèi)部流量管控兩種方式。

表2 主流x86服務(wù)器虛擬化軟件特點(diǎn)

圖3 虛擬層安全防護(hù)的原理

4.3.1 虛擬化流量外部化

虛擬化流量外部化技術(shù)目前主要有VEPA（由惠普牽頭提出）和VN-TAG（由思科提出）兩種協(xié)議標(biāo)準(zhǔn)，忽略技術(shù)細(xì)節(jié)，這兩種協(xié)議都是將內(nèi)部虛擬流量引至外部的接入交換機(jī)，然后在接入交換機(jī)側(cè)部署防火墻、入侵檢測(cè)、流量清洗等傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，實(shí)現(xiàn)內(nèi)部流量的安全控制，工作原理如圖4所示。

虛擬化流量外部化技術(shù)實(shí)際上是通過(guò)內(nèi)部流量的導(dǎo)出，使得傳統(tǒng)的網(wǎng)絡(luò)安全控制技術(shù)繼續(xù)在云計(jì)算場(chǎng)景下使用，優(yōu)點(diǎn)是容易部署并與傳統(tǒng)網(wǎng)絡(luò)安全策略兼容，缺點(diǎn)是犧牲了云計(jì)算高密度資源復(fù)用的優(yōu)勢(shì)（網(wǎng)絡(luò)端口）。下一階段可以通過(guò)加快推進(jìn)10GE標(biāo)準(zhǔn)成熟并在服務(wù)器與接入交換機(jī)中大規(guī)模應(yīng)用，以減輕這種方案帶來(lái)的問(wèn)題。

4.3.2 虛擬機(jī)內(nèi)部流量管控

內(nèi)部流量管控技術(shù)是新增VSG（虛擬安全網(wǎng)關(guān)），通過(guò)VSG與虛擬軟件接口的結(jié)合實(shí)現(xiàn)虛擬機(jī)內(nèi)部流量管控。虛擬服務(wù)器之間的所有通信必須先經(jīng)過(guò)VSG，實(shí)現(xiàn)有效流量管控和隔離，主要部署如圖5所示。

目前思科、VMware、趨勢(shì)科技、賽門鐵克等公司都推出了VSG相關(guān)方案，思科、VMware推出的VSG側(cè)重網(wǎng)絡(luò)安全，如防火墻控制、異常流量監(jiān)控；趨勢(shì)科技、賽門鐵克等公司推出的VSG功能更為豐富，在網(wǎng)絡(luò)安全的基礎(chǔ)上還提供網(wǎng)絡(luò)病毒傳播控制等附加安全防護(hù)能力。與流量外部化方案相比，內(nèi)部流量管控技術(shù)方案的優(yōu)點(diǎn)是沒(méi)有產(chǎn)生額外流量，缺點(diǎn)是需針對(duì)VSG另外制定對(duì)應(yīng)的網(wǎng)絡(luò)安全策略，安全管理復(fù)雜度上升。因此應(yīng)進(jìn)一步加強(qiáng)VSG與傳統(tǒng)網(wǎng)絡(luò)安全控制的集成，實(shí)現(xiàn)安全策略統(tǒng)一部署控制，簡(jiǎn)化安全管理流程。

圖4 虛擬化流量外部化工作原理

圖5 虛擬安全網(wǎng)關(guān)部署架構(gòu)

4.4 管理平臺(tái)安全方案

云計(jì)算實(shí)現(xiàn)了資源的集中部署、集約管理和統(tǒng)一調(diào)度，資源管理權(quán)限的集中也帶來(lái)了更多的安全需求。大規(guī)模私有云用戶種類多、數(shù)量龐大，有物理設(shè)備管理員、虛擬化設(shè)備管理員、企業(yè)內(nèi)部業(yè)務(wù)用戶、不同級(jí)別業(yè)務(wù)合作伙伴等，用戶對(duì)虛擬資源的操作更加復(fù)雜化，安全控制精細(xì)程度更高且操作審計(jì)覆蓋面更廣。傳統(tǒng)的物理服務(wù)器安全管理基于4A的用戶訪問(wèn)控制系統(tǒng)，即用戶賬號(hào)（account）管理、認(rèn)證（authentication）管理、授權(quán)（authorization）管理和安全審計(jì)（audit），無(wú)法滿足云計(jì)算環(huán)境下的安全控制需求。因此云計(jì)算環(huán)境下的權(quán)限管理必須要對(duì)現(xiàn)有4A系統(tǒng)進(jìn)一步加強(qiáng)，包括身份識(shí)別與訪問(wèn)操作的控制和審計(jì)，實(shí)現(xiàn)與已有4A系統(tǒng)和信息安全管理中心的對(duì)接，從而實(shí)現(xiàn)云資源管理的安全。

云計(jì)算環(huán)境下的資源管理權(quán)限高度集中，一旦分配不當(dāng)容易造成很大的安全隱患，因此必須要對(duì)管理員進(jìn)行更細(xì)粒度的權(quán)限管理與操作審計(jì)，對(duì)各業(yè)務(wù)系統(tǒng)所管轄的云計(jì)算資源系統(tǒng)賬號(hào)和應(yīng)用賬號(hào)進(jìn)行集中管理、統(tǒng)一認(rèn)證、集中授權(quán)和綜合審計(jì)。云計(jì)算環(huán)境下的資源均納入云管理平臺(tái)管理，因此要實(shí)現(xiàn)物理資源與虛擬資源的用戶訪問(wèn)控制，必須將基于4A的傳統(tǒng)運(yùn)維系統(tǒng)與云管理平臺(tái)結(jié)合，形成兩層用戶訪問(wèn)控制，協(xié)同實(shí)現(xiàn)對(duì)物理資源與虛擬資源的全面訪問(wèn)管理?；?A的傳統(tǒng)運(yùn)維系統(tǒng)側(cè)重納管所有物理資源，包括私有云中的物理資源，對(duì)物理資源訪問(wèn)用戶進(jìn)行賬號(hào)管理、認(rèn)證、授權(quán)和操作審計(jì)；云管理平臺(tái)側(cè)重納管虛擬資源，對(duì)虛擬資源訪問(wèn)用戶進(jìn)行賬號(hào)管理、認(rèn)證、授權(quán)和操作審計(jì)等。

云管理平臺(tái)的安全保障措施包括:一要保障所有用戶操作虛擬資源時(shí)都必須經(jīng)過(guò)云管理平臺(tái)，關(guān)閉其他途徑；二要對(duì)虛擬機(jī)進(jìn)行的所有修改類操作（包括創(chuàng)建、刪除、啟動(dòng)、停止、備份、恢復(fù)等）進(jìn)行審計(jì)日志留存；另外，針對(duì)各類用戶提供多種靈活的訪問(wèn)認(rèn)證方式，如手機(jī)號(hào)碼的捆綁認(rèn)證、口令加動(dòng)態(tài)密碼雙因子認(rèn)證、硬件密匙認(rèn)證等，把安全措施顯性化，增強(qiáng)用戶對(duì)私有云安全的信心。

SOC（信息安全管理中心）是以安全事件管理為關(guān)鍵流程的集中安全管理系統(tǒng)，云管理平臺(tái)通過(guò)與SOC安全事件采集模塊的對(duì)接（如圖6所示），把虛擬化設(shè)備與虛擬化軟件安全接口所產(chǎn)生的安全事件上報(bào)SOC，將云計(jì)算安全事件管理納入SOC體系，有效實(shí)現(xiàn)安全事件的統(tǒng)一管理并做出積極響應(yīng)。

5 結(jié)束語(yǔ)

云計(jì)算已成為未來(lái)10年內(nèi)全球IT領(lǐng)域關(guān)注和投入的重點(diǎn)領(lǐng)域，其安全問(wèn)題也必將越來(lái)越成為關(guān)注的重點(diǎn)，隨著應(yīng)用的推廣和技術(shù)的成熟，只要分析清楚當(dāng)前環(huán)境中可能存在的安全風(fēng)險(xiǎn)，并通過(guò)技術(shù)和管理手段，制定和實(shí)施相應(yīng)的安全方案，就可以最大程度地實(shí)現(xiàn)云計(jì)算環(huán)境的系統(tǒng)安全，保證云計(jì)算業(yè)務(wù)的安全交付。

1 CSA.CSA云計(jì)算關(guān)鍵領(lǐng)域安全指南v3,2011

2 CSA.云計(jì)算7個(gè)方面主要威脅v1.0,2011

3 張?jiān)朴拢惽褰?，潘松柏?云計(jì)算安全關(guān)鍵技術(shù)分析.電信科學(xué),2010(9)

4 張健.全球云計(jì)算安全研究綜述.電信網(wǎng)技術(shù),2010(9)