劉勝娃+陳思錦+李衛(wèi)+高翔
摘 要: 云計(jì)算是一種基于互聯(lián)網(wǎng)的新興應(yīng)用計(jì)算機(jī)技術(shù)。私有云是在企業(yè)自有數(shù)據(jù)中心內(nèi)部搭建云管理環(huán)境系統(tǒng)的基礎(chǔ)支撐,為定義、運(yùn)行云應(yīng)用提供計(jì)算、存儲和網(wǎng)絡(luò)資源管控平臺。對企業(yè)私有云建設(shè)方案進(jìn)行了探討 ,介紹和分析了企業(yè)私有云建設(shè)內(nèi)容 、目標(biāo)及效益分析,并進(jìn)一步分析了私有云所面臨的安全問題,提出了私有云的安全框架,為企業(yè)私有云建設(shè)提供參考。
關(guān)鍵詞: 云計(jì)算; 網(wǎng)絡(luò)安全; 私有云; 計(jì)算機(jī)技術(shù)
中圖分類號: TN915?34; TP309 文獻(xiàn)標(biāo)識碼: A 文章編號: 1004?373X(2014)04?0034?03
Research on security framework of enterprise private cloud computing platform
LIU Sheng?wa1, CHEN Si?jin1, LI Wei1, GAO Xiang2
(1. CNPC Chuanqing Drilling Engineering Company, Xian 710018, China; 2. Northwestern Polytechnical University, Xian 710072, China)
Abstract:Cloud computing is an Internet?based emerging application of computer technology. Private cloud is a basic support for setting up the cloud management system in the internal of enterprise private datacenter. It provides a platform of computation, storage and network resource management and control for definition and running of cloud. The enterprise private cloud construction plan is discussed in this paper. The enterprise private cloud construction content, goal and benefit are analyzed. this paper also analyzes The further analysis on security problems of cloud platform are conducted. A security framework for dealing with this problem is proposed. A reference for the enterprise private cloud construction is presented in this paper.
Keywords: cloud computing; network security; private cloud; computer technology
0 引 言
自從2006年云的概念被谷歌首次提出以來,隨著虛擬化,網(wǎng)絡(luò)寬帶、分布式計(jì)算等關(guān)鍵技術(shù)的飛速發(fā)展,云應(yīng)用的時代已經(jīng)悄然開啟,越來越多的企業(yè)把自己的信息平臺從原有的客戶機(jī)/服務(wù)器架構(gòu)中轉(zhuǎn)移到了嶄新的云平臺上。云計(jì)算作為一個新生事物,在被人們了解和接受的同時,也受到了來自網(wǎng)絡(luò)信息安全方面的巨大挑戰(zhàn)。自2011年以來,谷歌、亞馬遜、微軟等公司的云平臺都受到了規(guī)模不等的攻擊,給客戶造成了極大的影響,而且在全球范圍內(nèi),針對云平臺的攻擊次數(shù)逐年增長,呈顯出愈演愈烈的趨勢。如何保證企業(yè)私有云平臺的數(shù)據(jù)安全、計(jì)算可靠,已經(jīng)成為企業(yè)私有云的構(gòu)建者不得不面對的問題。本文根據(jù)現(xiàn)有的云安全現(xiàn)狀,結(jié)合本企業(yè)建設(shè)的實(shí)際經(jīng)驗(yàn),介紹了一種較為通用的云安全框架,希望對其他企業(yè)的云搭建提供有價值的參考。
1 私有云的概念
云計(jì)算的技術(shù)實(shí)現(xiàn)手段更多地表現(xiàn)為一種商業(yè)模式,它將將計(jì)算資源、存儲資源、網(wǎng)絡(luò)資源以虛擬化和自動化的方式通過網(wǎng)絡(luò)來提交。“云”是一些可以自我維護(hù)和管理的虛擬計(jì)算資源,通常是一些大型服務(wù)器集群,包括云控制器服務(wù)器,云配置服務(wù)器,云配置服務(wù)器,云配置服務(wù)器等。云計(jì)算通過網(wǎng)絡(luò)提供用戶所需的計(jì)算力、存儲空間、軟件功能和信息服務(wù)等。支持各種應(yīng)用程序的運(yùn)轉(zhuǎn)。云計(jì)算是并行計(jì)算(Parallel Computing)、分布式計(jì)算(Distributed Computing)和網(wǎng)格計(jì)算(Grid Computing)的發(fā)展。私有云(Private Clouds)是為一個客戶單獨(dú)使用而構(gòu)建的,因而提供對數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制。該公司擁有基礎(chǔ)設(shè)施,并可以控制在此基礎(chǔ)設(shè)施上部署應(yīng)用程序的方式。私有云可部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi),也可以將它們部署在一個安全的主機(jī)托管場所。私有云可由公司自己的 IT 機(jī)構(gòu),也可由云提供商進(jìn)行構(gòu)建。在此“托管式專用”模式中,像 Sun,IBM這樣的云計(jì)算提供商可以安裝、配置和運(yùn)營基礎(chǔ)設(shè)施,以支持一個公司企業(yè)數(shù)據(jù)中心內(nèi)的專用云。此模式賦予公司對于云資源使用情況的極高水平的控制能力,同時帶來建立并運(yùn)作該環(huán)境所需的專門知識。
2 云計(jì)算實(shí)現(xiàn)機(jī)制
云計(jì)算技術(shù)體系結(jié)構(gòu)分為四層:物理資源層、資源池層、管理中間件層和SOA構(gòu)建層。物理資源層直接面向?qū)嶋H承擔(dān)數(shù)據(jù)傳輸?shù)奈锢砻襟w。管理中間件層中間件層充當(dāng)了應(yīng)用層和資源層之間的橋梁。這層提供了資源代理,通信服務(wù)、任務(wù)分析器、任務(wù)調(diào)度器、安全訪問、可靠性控制和信息服務(wù)能力。SOA構(gòu)建層是面向服務(wù)的體系架構(gòu),包括服務(wù)接口、服務(wù)注冊、服務(wù)查找、服務(wù)訪問和服務(wù)工作流等。管理中間件層和資源池層是云計(jì)算技術(shù)的最關(guān)鍵部分,外部設(shè)施提供了SOA構(gòu)建層的功能。云計(jì)算的管理中間件層負(fù)責(zé)資源管理、任務(wù)管理、用戶管理和安全管理等工作。資源管理負(fù)責(zé)底層硬件資源,處理能力(服務(wù)器),網(wǎng)絡(luò)傳輸(局域網(wǎng)、外網(wǎng)),存儲能力(虛擬存儲領(lǐng)域),對VM資源的控制與管理(包含系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫)等資源的管理;任務(wù)管理負(fù)責(zé)任務(wù)狀態(tài)遷移、任務(wù)控制塊、內(nèi)核中各種隊(duì)列、調(diào)度算法和內(nèi)核時鐘等內(nèi)容;用戶管理在后臺管理節(jié)點(diǎn)內(nèi)所有用戶的功能,包括提供用戶交互接口、管理和識別用戶身份、創(chuàng)建用戶程序的執(zhí)行環(huán)境、對用戶的使用進(jìn)行計(jì)費(fèi)等;安全管理分析和研究各種不安全因素,從技術(shù)上、組織上和管理上采取有力的措施,解決和消除各種不安全因素,防止事故的發(fā)生,包括身份認(rèn)證、訪問授權(quán)、綜合防護(hù)和安全審計(jì)等。
基于上述體系結(jié)構(gòu),云計(jì)算的實(shí)現(xiàn)機(jī)制有虛擬化機(jī)制,海量數(shù)據(jù)分布式存儲管理機(jī)制和分布式計(jì)算機(jī)制。虛擬化機(jī)制通過對物理資源抽象、映射和展現(xiàn),將實(shí)際物理資源隱藏在其后,為上層系統(tǒng)提供統(tǒng)一的設(shè)備使用形式。海量數(shù)據(jù)分布式存儲管理機(jī)制采用分布式存儲的方式來存儲數(shù)據(jù),用冗余存儲的方式保證數(shù)據(jù)的可靠性。分布式計(jì)算機(jī)制把一個大的應(yīng)用程序分解成若干可以并行處理的子程序,基于互聯(lián)網(wǎng)由許多計(jì)算機(jī)分別計(jì)算,然后對結(jié)果進(jìn)行組合得出數(shù)據(jù)結(jié)論。
3 私有云安全
3.1 私有云安全問題
云計(jì)算的技術(shù)基礎(chǔ)是在一個應(yīng)用的管理程序的基礎(chǔ)上的。管理程序能夠把計(jì)算(及其相關(guān)的安全威脅)與傳統(tǒng)的安全工具隔離開,檢查網(wǎng)絡(luò)通訊中不適當(dāng)?shù)幕蛘邜阂獾臄?shù)據(jù)包。由于在同一臺服務(wù)器中的虛擬機(jī)能夠完全通過管理程序中的通信進(jìn)行溝通,數(shù)據(jù)包能夠從一個虛擬機(jī)發(fā)送到另一個虛擬機(jī),不必經(jīng)過物理網(wǎng)絡(luò)。一般安裝的安全設(shè)備在物理網(wǎng)絡(luò)檢查通訊流量。至關(guān)重要的是,這意味著如果一個虛擬機(jī)被攻破,它能夠把危險的通信發(fā)送到另一個虛擬機(jī),機(jī)構(gòu)的防護(hù)措施甚至都不會察覺。換句話說,一個不安全的應(yīng)用程序能夠造成對其他虛擬機(jī)的攻擊,用戶采用的安全措施對此無能為力。由此,得出結(jié)論,私有云也是不安全的。
3.2 私有云安全框架的組成
由于云服務(wù)能夠以多種方式提供服務(wù)(SaaS,PaaS,IaaS和運(yùn)維模式),云安全框架解決方案依賴于上下文情景。因此,解決方案架構(gòu)應(yīng)該基于云應(yīng)用架構(gòu)去適配這些顧慮并構(gòu)建安全控件。公有云的云安全是用戶和云服務(wù)提供商共同的職責(zé),在私有云里面,消費(fèi)者自身需要管理云平臺的安全狀況。云服務(wù)提供商只負(fù)責(zé)確保基本的公用基礎(chǔ)設(shè)施。因此為了保證私有云的安全,必須保證以下四個方面的安全:運(yùn)行系統(tǒng)的安全;云上系統(tǒng)信息的安全;服務(wù)器間信息傳播安全和網(wǎng)絡(luò)上信息內(nèi)容的安全。與所有云安全技術(shù)類似,私有云安全框架也由終端和云端兩部分構(gòu)成。
3.2.1 終端組成
終端可以分為兩種角色:
(1) 負(fù)責(zé)數(shù)據(jù)采集的云安全設(shè)備。主要采用API監(jiān)控結(jié)合沙箱技術(shù)提供多文件、程序行為、關(guān)聯(lián)數(shù)據(jù)的采集能力。例如:Windows終端上通過API Hook技術(shù)對瀏覽器進(jìn)行監(jiān)控可以采集用戶下載的新可執(zhí)行文件、以及利用漏洞運(yùn)行的惡意代碼、用戶訪問過的URL等信息,通過關(guān)聯(lián)分析就可以發(fā)現(xiàn)利用未知漏洞運(yùn)行程序,為后續(xù)制定防御策略和追溯威脅來源提供數(shù)據(jù)支持。
(2) 負(fù)責(zé)安全防御與威脅處置的云安全軟件。主要利用云查殺技術(shù)和API監(jiān)控等傳統(tǒng)監(jiān)控能力與云結(jié)合實(shí)現(xiàn)多層級多緯度的安全策略。例如,在云安全設(shè)備中的防火墻可,在管理員發(fā)現(xiàn)威脅后,通過私有云安全平臺將該潛在威脅直接標(biāo)為不可信,并進(jìn)行阻斷處置,同時禁止該程序在任何計(jì)算機(jī)上運(yùn)行來達(dá)到防御的目的。這些防御和處置手段都是通過云安全軟件來實(shí)現(xiàn)的。在實(shí)際使用的過程中,經(jīng)常會有同一個終端充當(dāng)多個角色的情況。
3.2.2 云端分類
(1) 惡意代碼查殺云(也可稱為可信軟件查詢云、文件信譽(yù)云),負(fù)責(zé)為云安全軟件和下級惡意代碼查殺云提供惡意代碼和可信軟件程序的按需查詢服務(wù)。
(2) 安全基線云,負(fù)責(zé)為不同計(jì)算機(jī)提供不同的安全基線,位于基線內(nèi)的文件對于指定的計(jì)算機(jī)來說是可信的,不在基線內(nèi)則可以視為威脅。
(3) 程序、數(shù)據(jù)鑒定云,負(fù)責(zé)對云安全設(shè)備采集到的文件實(shí)體、數(shù)據(jù)分析鑒定并給出分析報告或鑒定結(jié)果。
(4) 文件追溯云。提供對全網(wǎng)可執(zhí)行文件和關(guān)鍵文件的追溯能力,利用云安全設(shè)備充當(dāng)探頭,完成對全網(wǎng)文件狀態(tài)的全面追溯。
3.2.3 私有云安全框架的特點(diǎn)
私有云安全框架具有以下特點(diǎn):
(1) 能提供不依賴黑名單的威脅防御能力,以企業(yè)內(nèi)部基本穩(wěn)定的軟件生態(tài)系統(tǒng)為基礎(chǔ)形成可分級的自定義的安全基線。利用安全基線,可以將原來單一依靠黑名單防護(hù)的“泛安全邏輯”轉(zhuǎn)換為“精確安全邏輯”。
(2) 改進(jìn)的云安全軟件監(jiān)控,實(shí)時發(fā)現(xiàn)網(wǎng)內(nèi)新產(chǎn)生的程序、軟件或數(shù)據(jù)。
(3) 多級多維文件分析鑒定系統(tǒng),綜合多種靜態(tài)、動態(tài)文件鑒定系統(tǒng)提供對文件辨別是否安全可信的綜合依據(jù)。
(4) 實(shí)時的威脅風(fēng)險評估,通過各種云安全設(shè)備(客戶端終端軟件、基于云安全技術(shù)的網(wǎng)絡(luò)檢測設(shè)備、移動檢測設(shè)備等),對網(wǎng)內(nèi)威脅風(fēng)險進(jìn)行實(shí)時的變化反饋。
(5) 多級安全防御、威脅處置策略,根據(jù)威脅評估的結(jié)果和用戶對資產(chǎn)價值的評估結(jié)果,將安全防御與威脅處置策略的制定權(quán)力與建議方案提供給用戶。減少用戶對非核心價值資產(chǎn)的關(guān)注所導(dǎo)致人力物力投入的分散與浪費(fèi)。
3.3 私有云安全框架建立的意義
隨著企業(yè)管理信息化、政府政務(wù)信息化等各行業(yè)信息化全面的發(fā)展,對于企業(yè)、政府機(jī)關(guān)、組織機(jī)構(gòu)和特定的封閉環(huán)境對安全都有新的要求。要滿足在封閉環(huán)境可用又有廣泛的適用性,就必須改變基于惡意代碼特征檢測的安全防御方式,改變安全廠商完全封閉且用戶幾乎不可定義的安全防御模型。隨著“等級保護(hù) ”、“分級保護(hù) ”、“企業(yè)內(nèi)控 ”等相關(guān)法規(guī)與政策的相繼頒布,特別是與國計(jì)民生息息相關(guān)的大型國有企業(yè)與各級政府機(jī)關(guān), 對于實(shí)施知識產(chǎn)權(quán)和涉密信息保護(hù)的需求十分迫切。打破傳統(tǒng)網(wǎng)絡(luò)運(yùn)維和安全防護(hù)的界限,構(gòu)建自主可控的智能信息終端安全運(yùn)維體系, 實(shí)施業(yè)務(wù)網(wǎng)絡(luò)完整的“發(fā)現(xiàn)、評估、處置、審計(jì)”威脅監(jiān)控流程,是新形勢下確保關(guān)鍵信息系統(tǒng)安全穩(wěn)定運(yùn)營的重要前提。以完整的“監(jiān)測、發(fā)現(xiàn)、清除、恢復(fù)、審計(jì)”威脅監(jiān)控流程為基礎(chǔ),綜合利用云安全設(shè)備與云安全軟件的高度開放平臺即私有云安全平臺應(yīng)對未來安全的威脅是必要的。
4 結(jié) 語
本文詳細(xì)敘述了云技術(shù)的背景以及現(xiàn)狀,闡明私有云安全平臺建立的意義及必要性,給出了私有云安全的完整定義,通過分析私有云安全特點(diǎn)的同時,給出了一個私有云安全框架的設(shè)計(jì)。
參考文獻(xiàn)
[1] 林曉鵬.云計(jì)算及其關(guān)鍵技術(shù)問題[J].現(xiàn)代電子技術(shù),2013,36(12):67?70.
[2] 劉宇濤,夏虞斌,陳海波.基于體系結(jié)構(gòu)擴(kuò)展的云計(jì)算安全增強(qiáng)研究[J].集成技術(shù),2012(1):30?33.
[3] 白妙青.云計(jì)算技術(shù)在廣播電視網(wǎng)中的應(yīng)用[J].現(xiàn)代電子技術(shù),2013,36(11):142?144.
[4] 馬杰,羅東芳.云計(jì)算安全防范技術(shù)[J].電腦開發(fā)與應(yīng)用,2013(6):76?78.
[5] 田燕,張新剛,梁晶晶,等.基于身份認(rèn)證和訪問控制的云安全管理平臺[J].測控技術(shù),2013,32(2):97?99.
[6] 趙建.視覺零知識身份認(rèn)證的研究[J].現(xiàn)代電子技術(shù),2013,36(13):100?101.
[7] 劉東霖.SSL VPN技術(shù)研究及仿真分析[J].現(xiàn)代電子技術(shù), 2013,36(13):102?104.
[8] 馬曉昊.基于云計(jì)算的安全數(shù)據(jù)存儲服務(wù)的研究與實(shí)現(xiàn)[D].上海:同濟(jì)大學(xué),2008.
[9] 譚武征.云安全存儲解決方案[J].信息安全與通信保密,2012(11):147?149.
[10] 耿琳瑩,張要鵬,魯智勇,等.不可直接測量的網(wǎng)絡(luò)攻擊效能評估技術(shù)研究[J].現(xiàn)代電子技術(shù),2013,36(10):62?66.
[11] 陳真.云計(jì)算平臺入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].廈門:廈門大學(xué),2012.