汪 芳,張?jiān)朴拢勘?/p>
(中國聯(lián)通集團(tuán)研究院 北京 100048)
在云計(jì)算環(huán)境下,多租戶、資源共享、數(shù)據(jù)存儲(chǔ)的非本地化、承載業(yè)務(wù)類型的多元化以及用戶規(guī)模的指數(shù)增長將導(dǎo)致安全問題變得非常突出。因?yàn)楦叨燃辛擞脩艉唾Y源,云計(jì)算可能會(huì)帶來比傳統(tǒng)應(yīng)用更高的安全風(fēng)險(xiǎn)。根據(jù)IDC和Gartner的調(diào)查報(bào)告,服務(wù)安全性、穩(wěn)定性和性能表現(xiàn)是云計(jì)算服務(wù)的前三大挑戰(zhàn),而數(shù)據(jù)的安全性和隱私問題是目前70%以上受訪企業(yè)近期不打算采用云計(jì)算的首要原因。近年來,幾大云計(jì)算領(lǐng)先服務(wù)商,如谷歌、微軟和亞馬遜都出現(xiàn)了云服務(wù)的重大安全事件,造成了范圍廣泛的服務(wù)中斷。由此可見,安全性是云計(jì)算面臨的關(guān)鍵性問題。
云計(jì)算對(duì)于用戶使用與訪問信息和計(jì)算資源的模式帶來的變革是全方位的,這意味著云安全所涉及的技術(shù)和管理方面的問題也是多方面的。云安全對(duì)傳統(tǒng)的信息安全技術(shù)的依賴不會(huì)降低,甚至?xí)岣?,特別是身份認(rèn)證和訪問控制技術(shù)、數(shù)據(jù)傳輸和存儲(chǔ)加密技術(shù)、漏洞掃描和系統(tǒng)安全加固技術(shù)等。同時(shí),云計(jì)算技術(shù)的應(yīng)用也產(chǎn)生了新的信息安全問題,需要在這些方面加強(qiáng)防護(hù),如虛擬機(jī)安全問題、資源共享后的用戶隔離和數(shù)據(jù)保護(hù)問題、云終端接入安全問題等。
企業(yè)積極穩(wěn)妥地發(fā)展云計(jì)算,構(gòu)建可控的云系統(tǒng)、云應(yīng)用和云服務(wù),對(duì)內(nèi)提供云計(jì)算支撐能力,對(duì)外提供云服務(wù)能力,對(duì)云安全問題、技術(shù)和管理的研究刻不容緩。
企業(yè)的云計(jì)算建設(shè)一般包括集中資源、統(tǒng)一數(shù)據(jù)、平臺(tái)接口統(tǒng)一化封裝和豐富的業(yè)務(wù)應(yīng)用。
(1)集中資源
通過虛擬化、自動(dòng)化管理技術(shù),運(yùn)用集約、規(guī)模、專業(yè)化手段,集中管理基礎(chǔ)IT資源,以共享、按需方式為業(yè)務(wù)應(yīng)用提供IT基礎(chǔ)資源。物理上,對(duì)各系統(tǒng)IT資源集中統(tǒng)一管理,通過規(guī)?;托录夹g(shù),構(gòu)建云計(jì)算數(shù)據(jù)中心,形成統(tǒng)一主機(jī)托管、租賃和IaaS的對(duì)內(nèi)支撐和對(duì)外服務(wù)基礎(chǔ)。邏輯上,通過虛擬化、集中調(diào)度管理、資源智能監(jiān)控以及自動(dòng)化配置管理等技術(shù),形成面向服務(wù)的集中IT資源管理服務(wù)體系。服務(wù)上,通過自動(dòng)化、人工相結(jié)合的方式,形成企業(yè)統(tǒng)一的IT基礎(chǔ)資源能力提供、服務(wù)、維護(hù)及安全保障的體系。
(2)統(tǒng)一數(shù)據(jù)
建設(shè)標(biāo)準(zhǔn)化的企業(yè)全景數(shù)據(jù)視圖,實(shí)現(xiàn)企業(yè)業(yè)務(wù)數(shù)據(jù)的規(guī)范、完整、一致、安全,通過云架構(gòu)提供標(biāo)準(zhǔn)、統(tǒng)一的數(shù)據(jù)服務(wù)支撐和高效的分布式處理基礎(chǔ),實(shí)現(xiàn)數(shù)據(jù)的統(tǒng)一管理和分布式計(jì)算的能力。一方面,規(guī)范、統(tǒng)一的企業(yè)級(jí)數(shù)據(jù)資源沉淀,形成企業(yè)全景、海量數(shù)據(jù)視圖和數(shù)據(jù)資源,為企業(yè)決策、管理、運(yùn)營提供全面的數(shù)據(jù)分析與支撐服務(wù)。另一方面,規(guī)范、統(tǒng)一的實(shí)時(shí)/準(zhǔn)實(shí)時(shí)運(yùn)營數(shù)據(jù)存儲(chǔ),支撐企業(yè)日常生產(chǎn)、運(yùn)營、管理,保障數(shù)據(jù)的完整性、一致性。
(3)平臺(tái)接口統(tǒng)一化封裝
在集中、統(tǒng)一的數(shù)據(jù)基礎(chǔ)上,以分布式處理(分布式計(jì)算、分布式數(shù)據(jù)庫以及中間件)技術(shù),形成支撐上層應(yīng)用的分布式處理服務(wù)引擎。分布式處理引擎以大數(shù)據(jù)分析為基礎(chǔ),并進(jìn)行標(biāo)準(zhǔn)化的應(yīng)用接口封裝,以RESTful接口承接應(yīng)用,提供大數(shù)據(jù)處理效用和應(yīng)用分布式處理能力,上層應(yīng)用可專注于流程梳理、需求挖掘以及應(yīng)用開發(fā)和部署。
(4)豐富的業(yè)務(wù)應(yīng)用
基于分布式處理技術(shù),以統(tǒng)一的接口封裝,形成多樣、靈活、簡捷的應(yīng)用開發(fā)與運(yùn)行能力引擎。
企業(yè)云計(jì)算的建設(shè)對(duì)云安全提出了以下需求。
(1)資源集中的安全
網(wǎng)絡(luò)和主機(jī)等基礎(chǔ)資源集中后將承擔(dān)更大的安全風(fēng)險(xiǎn),在資源管理和攻擊抵抗方面將承擔(dān)更大的壓力。需要強(qiáng)有力的抵抗網(wǎng)絡(luò)攻擊的能力,保障主機(jī)資源可用性,保障虛擬機(jī)和虛擬化環(huán)境安全以及虛擬機(jī)動(dòng)態(tài)遷移和自動(dòng)管理的有效性,形成集中基礎(chǔ)資源安全保障體系。
(2)數(shù)據(jù)集中的安全
云計(jì)算集中大量用戶的數(shù)據(jù),如果在數(shù)據(jù)存儲(chǔ)、處理和傳輸?shù)倪^程中關(guān)鍵信息或隱私信息的丟失、竊取會(huì)對(duì)用戶造成致命的損失。需要保障海量數(shù)據(jù)的存儲(chǔ)、處理和傳輸?shù)陌踩院涂煽啃裕U闲畔⒌耐暾院涂捎眯?,并提供完善的用戶認(rèn)證和訪問控制機(jī)制,提供有效的數(shù)據(jù)安全評(píng)測、審計(jì)和監(jiān)管方法,形成集中數(shù)據(jù)安全保障體系。
(3)云平臺(tái)和接口的安全
用戶和資源高度集中后,云計(jì)算平臺(tái)需要保障其抵抗攻擊能力和服務(wù)連續(xù)性,對(duì)云平臺(tái)的安全策略等提出了挑戰(zhàn)?;赑aaS服務(wù)的云平臺(tái)為大量用戶提供應(yīng)用編程接口,需要保障接口的安全,避免惡意的接口調(diào)用。此外,為了給構(gòu)建于平臺(tái)之上的各類應(yīng)用提供安全能力,平臺(tái)層可以開放部分安全能力,讓應(yīng)用得以快速開發(fā)和部署并規(guī)避安全風(fēng)險(xiǎn)。
(4)云應(yīng)用的安全
云應(yīng)用對(duì)公眾開放后,具有相當(dāng)大的靈活性和開放性,給應(yīng)用安全帶來非常大的挑戰(zhàn)。
為建設(shè)企業(yè)內(nèi)部IT系統(tǒng)與外部業(yè)務(wù)相連的、成熟的、統(tǒng)一的、安全的云系統(tǒng),建議構(gòu)建統(tǒng)一的云安全管理體系,集成云計(jì)算所涉及各層次安全問題的解決方案,形成一個(gè)綜合的云安全支撐系統(tǒng),具備為云架構(gòu)和云服務(wù)提供全方位安全保障與服務(wù)的能力,如圖1所示。
云安全管理體系可以分成5個(gè)方面:數(shù)據(jù)安全和隱私保護(hù)、虛擬化運(yùn)行環(huán)境安全、差異化移動(dòng)云安全接入、基于SLA的動(dòng)態(tài)云安全服務(wù)、風(fēng)險(xiǎn)評(píng)估及監(jiān)管體系。其中,數(shù)據(jù)安全和隱私保護(hù)的方案貫穿安全技術(shù)體系的不同層次,而數(shù)據(jù)的所有權(quán)和管理權(quán)的分離也正是云計(jì)算模式下最大的安全問題;虛擬化運(yùn)行環(huán)境安全、差異化移動(dòng)云安全接入、基于SLA的動(dòng)態(tài)云安全服務(wù)分別是不同層次的安全問題研究點(diǎn);風(fēng)險(xiǎn)評(píng)估及監(jiān)管體系能夠?qū)碜圆煌瑢哟蔚陌踩L(fēng)險(xiǎn)做出全面評(píng)估,并對(duì)其安全現(xiàn)狀進(jìn)行監(jiān)控管理,反過來也能夠促進(jìn)安全技術(shù)體系的完善,從而形成整個(gè)安全體系的良性循環(huán)。
按技術(shù)成熟度和實(shí)施的復(fù)雜度,企業(yè)可以分3個(gè)階段發(fā)展云計(jì)算。
第一階段:此階段建設(shè)重點(diǎn)為云基礎(chǔ)設(shè)施的建設(shè)。此階段云安全建設(shè)重點(diǎn)為基礎(chǔ)設(shè)施安全,包括服務(wù)器整合、桌面虛擬化安全和VDC云安全等。
第二階段:此階段建設(shè)重點(diǎn)為將新系統(tǒng)架構(gòu)在云系統(tǒng)上,同步進(jìn)行適合云架構(gòu)的老舊系統(tǒng)的模塊改造工作。此階段云安全建設(shè)重點(diǎn)為公眾應(yīng)用云安全。
第三階段:此階段建設(shè)重點(diǎn)為建設(shè)統(tǒng)一的PaaS平臺(tái)。此階段云安全建設(shè)重點(diǎn)為云平臺(tái)安全。
服務(wù)器整合的目的,是通過將企業(yè)部分業(yè)務(wù)遷移到虛擬化平臺(tái)之上運(yùn)行,達(dá)到節(jié)省系統(tǒng)資源、易于更新擴(kuò)容和方便管理的目的。服務(wù)器整合過程中,建議重點(diǎn)關(guān)注以下幾點(diǎn):
·合理配置不同的業(yè)務(wù)系統(tǒng)區(qū)域,不同重要級(jí)別的業(yè)務(wù)在設(shè)計(jì)中盡量不部署在同一臺(tái)物理服務(wù)器上;
·進(jìn)行合理的VLAN和安全域劃分,在安全域劃分中,關(guān)注公網(wǎng)訪問、第三方接口、運(yùn)維管理等需求;
·設(shè)備充分利舊,確保業(yè)務(wù)之間的隔離,需要注意服務(wù)器整合之后,對(duì)多業(yè)務(wù)共同使用的公共防火墻性能要求進(jìn)行評(píng)估,在現(xiàn)有設(shè)備不能滿足需求的情況下,可能需要新增防火墻設(shè)備;
·虛擬化平臺(tái)防護(hù)措施,對(duì)虛擬化平臺(tái)進(jìn)行保護(hù),保護(hù)措施可能包括啟用虛擬化平臺(tái)固有的安全選項(xiàng)(如Xen所在的Linux平臺(tái)中的SELinux)進(jìn)行系統(tǒng)加固等;
·虛擬化平臺(tái)安全功能,關(guān)注虛擬防火墻實(shí)現(xiàn)、補(bǔ)丁管理以及對(duì)業(yè)界漏洞掃描軟件的整合;
·關(guān)注云計(jì)算平臺(tái)的備份恢復(fù)能力。
虛擬桌面是將客戶的電腦環(huán)境移植到虛擬化主機(jī)環(huán)境中進(jìn)行集中管理和維護(hù)的云產(chǎn)品。終端只需要一臺(tái)瘦終端以及鼠標(biāo)、鍵盤等簡單的外設(shè),便可以降低運(yùn)營成本、提高維護(hù)效率。虛擬桌面云用于企業(yè)內(nèi)部座席業(yè)務(wù)、辦公網(wǎng)絡(luò)等。在虛擬桌面云中,需要重點(diǎn)關(guān)注如下內(nèi)容。
(1)終端安全
虛擬桌面的接入終端有多種形態(tài),可以通過普通臺(tái)式機(jī)、筆記本電腦,也可以通過瘦終端和各類智能終端接入,終端安全的重要性較高。在虛擬桌面云終端中,關(guān)注病毒查殺或黑白名單機(jī)制,特別是專用的終端,如瘦終端,可以通過配置黑白名單的方式僅允許操作員運(yùn)行某些特定的進(jìn)程,如瀏覽器。
(2)接入安全
虛擬桌面有多種接入方式,如有線接入、無線接入(Wi-Fi、3G等),在終端安全可以保證的情況下,需要關(guān)注數(shù)據(jù)傳輸過程中的安全。對(duì)于一定需要外部網(wǎng)絡(luò)接入的場景,如外網(wǎng)登錄辦公等,配置VPN網(wǎng)關(guān)是非常必要的,只有用戶登錄VPN之后,才能夠連接桌面辦公環(huán)境。在用戶登錄階段,可以使用OTP一次性密碼或通過USBKey的方式實(shí)現(xiàn)雙因子認(rèn)證。
(3)虛擬桌面防病毒
虛擬桌面防病毒可以采用普通的桌面防病毒軟件,但是用普通的桌面級(jí)防病毒軟件可能存在掃描風(fēng)暴、病毒庫更新風(fēng)暴等問題。建議采用專門針對(duì)虛擬桌面設(shè)計(jì)或優(yōu)化的防病毒系統(tǒng)。此類系統(tǒng)減輕了虛擬桌面本身的負(fù)載,有任務(wù)調(diào)度能力,可以有效避免大量虛擬桌面同時(shí)進(jìn)行病毒掃描或病毒庫更新的操作,減輕系統(tǒng)負(fù)載。
VDC主要面向大型行業(yè)或集團(tuán)用戶提供虛擬專有云服務(wù),如VPS云主機(jī)、彈性云主機(jī)、在線云存儲(chǔ)以及與云終端相結(jié)合的服務(wù),同時(shí)開展相應(yīng)的VDC增值服務(wù),如云安全服務(wù)、云災(zāi)備服務(wù)等。從根本上來說是IaaS云的一種應(yīng)用。因此其安全需求與普通的IaaS云一致。同時(shí),為了為用戶提供更加豐富的增值服務(wù),VDC云安全應(yīng)有兩方面的系統(tǒng)建設(shè)目標(biāo)。
(1)系統(tǒng)級(jí)安全
系統(tǒng)級(jí)安全主要保證為用戶提供的系統(tǒng)環(huán)境是安全的,目標(biāo)是保障系統(tǒng)平臺(tái)安全,保證云計(jì)算平臺(tái)自身的安全性。系統(tǒng)級(jí)安全的實(shí)現(xiàn)手段是通過網(wǎng)絡(luò)層/系統(tǒng)層和部分應(yīng)用層措施,提升系統(tǒng)的安全性,面對(duì)云計(jì)算的安全風(fēng)險(xiǎn),著重關(guān)注虛擬化安全以及特定場景下的數(shù)據(jù)安全。主要包括用戶之間的隔離(通過物理防火墻或虛擬防火墻實(shí)現(xiàn));網(wǎng)絡(luò)防病毒網(wǎng)關(guān);防DDoS的流量清洗等措施。
(2)用戶級(jí)安全
用戶級(jí)安全作為增值服務(wù)提供給用戶進(jìn)行選擇。在IaaS云中,云服務(wù)提供商并不負(fù)責(zé)租給用戶的操作系統(tǒng)以及其上業(yè)務(wù)的安全。但是通過增值服務(wù)的方式提供部分安全能力,可以給用戶更大的選擇余地。用戶級(jí)安全的目標(biāo)是為用戶提供可定制、按需付費(fèi)的安全服務(wù),以達(dá)到為用戶提供“低價(jià)格、高質(zhì)量的增值服務(wù)”的系統(tǒng)建設(shè)目標(biāo)。用戶級(jí)安全的實(shí)現(xiàn)手段是在達(dá)成系統(tǒng)級(jí)安全目標(biāo)的基礎(chǔ)上,為用戶提供安全能力,增強(qiáng)用戶對(duì)安全的控制和感知。具體可以考慮以下安全措施:VPN接入;服務(wù)器防病毒;用戶可自定義規(guī)則的虛擬防火墻;用戶自助的漏洞掃描;IPS入侵防御;統(tǒng)一日志關(guān)聯(lián)分析(統(tǒng)一威脅管理);容災(zāi)備份能力。
公共應(yīng)用云服務(wù)是指企業(yè)提供SaaS業(yè)務(wù)模式。SaaS業(yè)務(wù)模式與PaaS、IaaS業(yè)務(wù)模式有較大不同。SaaS業(yè)務(wù)模式與傳統(tǒng)的應(yīng)用服務(wù)提供商業(yè)務(wù)有很多類似之處,從應(yīng)用服務(wù)提供商業(yè)務(wù)模式演變而來。但與應(yīng)用服務(wù)提供商的業(yè)務(wù)模式相比,SaaS又有諸多不同:SaaS為一對(duì)多的服務(wù),同時(shí)為很多用戶提供應(yīng)用;SaaS服務(wù)領(lǐng)域比較寬,不僅是對(duì)某個(gè)應(yīng)用系統(tǒng)的托管,而且包括了很多Internet相關(guān)服務(wù),如企業(yè)電子郵箱、在線辦公協(xié)同、CRM、ERP等,這些系統(tǒng)可以有機(jī)地集成在一起;在技術(shù)實(shí)現(xiàn)上,SaaS與傳統(tǒng)的應(yīng)用服務(wù)也有很大的不同,更加強(qiáng)調(diào)平臺(tái)共享,廣泛使用虛擬化技術(shù)。
在確定公共應(yīng)用云服務(wù)安全之前的首要工作是明確需要做哪些服務(wù),也就是提供哪些業(yè)務(wù)作為服務(wù),這些業(yè)務(wù)之間是否有關(guān)聯(lián);其次是確定使用哪些技術(shù)實(shí)現(xiàn)業(yè)務(wù)功能(如是否采用虛擬化、采用何種虛擬化)。確定了服務(wù)業(yè)務(wù)內(nèi)容和業(yè)務(wù)關(guān)系以及技術(shù)方向之后,根據(jù)服務(wù)業(yè)務(wù)的風(fēng)險(xiǎn)級(jí)別、敏感性來確定具體的安全策略。
從通用角度分析,根據(jù)公共應(yīng)用云服務(wù)固有的特點(diǎn),應(yīng)著重考慮以下幾方面的安全。
(1)明確各角色的責(zé)任義務(wù)
法律法規(guī)層面,明確各角色的責(zé)任義務(wù)。設(shè)計(jì)研發(fā)層面,因SaaS是直接向最終用戶提供服務(wù),因此從設(shè)計(jì)階段就應(yīng)考慮安全,設(shè)計(jì)開發(fā)階段應(yīng)重點(diǎn)考慮。
(2)登錄認(rèn)證安全/身份管理
對(duì)重要的業(yè)務(wù)系統(tǒng),應(yīng)強(qiáng)制用戶使用高強(qiáng)度密碼,在系統(tǒng)內(nèi)部應(yīng)加密保存。建議采用雙因子密碼機(jī)制,如動(dòng)態(tài)密碼加靜態(tài)密碼或USBKey加靜態(tài)密碼,防止賬號(hào)密碼被盜。如SaaS中提供多個(gè)有機(jī)結(jié)合的業(yè)務(wù),應(yīng)提供單點(diǎn)登錄功能。
(3)傳輸安全
保證在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)不被截獲,對(duì)數(shù)據(jù)采用加密傳輸(SSL等)。比如,SaaS方面的領(lǐng)導(dǎo)廠商SalesForce、XToolsCRM都是采取全程加密的,全部頁面均采用HTTPS訪問。在必要的情況下,應(yīng)該實(shí)現(xiàn)服務(wù)器與客戶端的雙向證書認(rèn)證。
(4)數(shù)據(jù)私密性安全
針對(duì)具體業(yè)務(wù)需求分析確定數(shù)據(jù)是否需要加密。
(5)數(shù)據(jù)可用性安全
提供專業(yè)的數(shù)據(jù)容災(zāi)備份措施,建立容災(zāi)備份中心,發(fā)生重大問題時(shí),可以較快地恢復(fù)用戶數(shù)據(jù),恢復(fù)服務(wù)能力。可考慮建立流量清洗中心,防止DDoS攻擊。
(6)數(shù)據(jù)隔離安全/認(rèn)證授權(quán)
SaaS服務(wù)的特點(diǎn)是提供一對(duì)多的服務(wù),因此要在設(shè)計(jì)開發(fā)階段(代碼層面)嚴(yán)格限制不同用戶之間的數(shù)據(jù)訪問,防止用戶數(shù)據(jù)泄漏。隔離可能是多個(gè)層次的,從應(yīng)用層的業(yè)務(wù)邏輯隔離,到數(shù)據(jù)庫層的數(shù)據(jù)隔離,在必要的情況下,可能需要為重要客戶提供單獨(dú)的存儲(chǔ)空間以確保物理隔離。
(7)虛擬化安全
如果使用了虛擬化技術(shù),應(yīng)保障虛擬化安全。
(8)日志及審計(jì)
確保SaaS操作中各個(gè)層面均存在日志及審計(jì)措施,以進(jìn)行問題追溯。
開發(fā)者在集成應(yīng)用開發(fā)框架、中間件、數(shù)據(jù)庫和消息隊(duì)列等功能的云平臺(tái)上,利用云平臺(tái)提供的開發(fā)語言和工具進(jìn)行開發(fā)。云平臺(tái)本身的技術(shù)復(fù)雜、成熟度不高,提供云平臺(tái)的服務(wù)模式將是企業(yè)實(shí)施云計(jì)算面臨的最大挑戰(zhàn)。為保障云平臺(tái)安全,特別需要保證接口安全和運(yùn)行安全。
(1)接口安全
利用云平臺(tái)接口進(jìn)行對(duì)內(nèi)和對(duì)外的攻擊和云服務(wù)的濫用,是云平臺(tái)開放接口后面臨的最大威脅,應(yīng)有加強(qiáng)訪問控制的措施,如接口的強(qiáng)用戶認(rèn)證、確保加密的有效性等。
(2)運(yùn)行安全
在云平臺(tái)上搭載的用戶IT系統(tǒng)也是云平臺(tái)開放面臨的問題,需確保其不會(huì)在云內(nèi)部發(fā)起攻擊,因此需要加強(qiáng)用戶應(yīng)用的安全審核和監(jiān)控、加強(qiáng)不同用戶系統(tǒng)的隔離。
1 Cloud Security Alliance.Security Guidance for Critical Areas of Focus in Cloud Computing,2011
2 Udo Helmbrecht.European Network and Information Security Agency.Proceedings of Cloud Computing,Benefits,Risks and Recommendations for Information Security,Heraklion,Greece,2004
3 Tim Mather,Subra Kumaraswamy,Shahed Latif.Cloud Security and Privacy,an Enterprise Perspective on Risks and Compliance.USA:O’Reilly,2009
4 The NationalInstitute ofStandards and Technology,US Department of Commerce. Guide to Security for Full Virtualization Technologies,2011
5 Vic Winkler.Securing the cloud,cloud computersecurity techniques and tactics.Elsevier,2011
6 James E S,Ravi N,Morgan K.Virtual machines:versatile platforms for systems and processes,Morgan Kaufmann,2005
7 英特爾開源軟件技術(shù)中心,復(fù)旦大學(xué)并行處理研究所.系統(tǒng)虛擬化——原理與實(shí)現(xiàn).北京:清華大學(xué)出版社,2009
8 馮登國,張敏,張妍等.云安全研究.軟件學(xué)報(bào),2011,22(1):71~83