何軍

摘 要：云計算是新的技術和商業(yè)模式。鑒于企業(yè)用戶對安全性與可靠性等方面的考慮，企業(yè)云計算的發(fā)展路徑通常會是先虛擬化、私有云，進而向共有云、混合云演進。為關系相對閉合、應用特征有相似性的多企業(yè)租戶提供集約化運營的共有云服務，對云平臺提出了更高的安全要求，需要進行系統(tǒng)的研究，針對由云計算和特定多企業(yè)租戶而引入的新安全問題，給出相應對策，并在整體上提出適宜的安全框架與演進策略。

關鍵詞：云計算；共有云；云安全；演進策略

中圖分類號：TP311.11 文獻標識碼：A

1 引言（Introduction）

云是互聯(lián)網(wǎng)的一個隱喻，云計算指使用互聯(lián)網(wǎng)來接入遠端存儲或者運行在遠程服務器端的應用、數(shù)據(jù)或服務。Garnter公司在對云計算的調(diào)研中，70%的人認為云計算最大的問題是安全[1]。

值得強調(diào)的是，相關聯(lián)的企業(yè)群集采用專有云模式有其在安全方面的突出優(yōu)勢。由于共有云平臺運營商的集約化經(jīng)營，使得安全更專業(yè)、安全成本更低[2]。這包括專業(yè)技術人員和安全專家、集中的補丁關注和輔助分發(fā)、更完備的動態(tài)可調(diào)度的安全資源（虛擬防火墻、DDOS清洗設備、IDP等設施）等。

這種IDC運營商提供的專有云，因其物理資源多租戶共享而不同于企業(yè)私有云，同時因其客戶群既有信任與協(xié)作關系，以及共享某些特定SaaS的要求，也有別于任意多租戶公有云的安全特征。這種針對特定用戶群體、集約化運營的云平臺，稱為“共有云”。

IDC運營商需要針對此種需求，建設企業(yè)共有云數(shù)據(jù)中心，契合此類企業(yè)集群的云服務需求，特別是打消企業(yè)的安全顧慮，使企業(yè)群體在共有云數(shù)據(jù)中心“安居樂業(yè)”。

2 安全問題分析（Security problem analysis）

2.1 數(shù)據(jù)中心的傳統(tǒng)安全問題

數(shù)據(jù)中心的傳統(tǒng)安全首先是場地基礎設施和IT基礎設施的安全問題，包括物理安全和設備安全。物理安全涉及進出入門禁、視頻監(jiān)控、安保防衛(wèi)和抗震防汛等機房因素。設備安全問題來自設備的可用性，關注數(shù)據(jù)中心是否雙電、雙網(wǎng)、UPS配置等[3]。

其次是網(wǎng)絡與應用所帶來的安全問題，網(wǎng)絡為用戶訪問提供傳輸與控制通道，而應用系統(tǒng)本身在云或非云環(huán)境中行為邏輯沒有發(fā)生本質的變化，用戶接入、網(wǎng)絡攻擊、網(wǎng)絡病毒感染等已是必須納入應對的標配安全問題，相應對數(shù)據(jù)中心提出的安全需求包括：防火墻、IDS/IPS、Anti-DDOS、傳輸安全（SSL VPN）等。

進而，部分數(shù)據(jù)中心托管用戶對于其系統(tǒng)或生產(chǎn)數(shù)據(jù)，還有備份的安全需求；如果租用數(shù)據(jù)中心的存儲資源，對存儲資源的專用性、對存儲數(shù)據(jù)的安全性都會有相應的要求。

2.2 IaaS云安全問題

虛擬化技術、多租戶業(yè)務模式和特權用戶（云平臺運營商系統(tǒng)管理員）問題使得IaaS服務面臨著更大的風險。

具體可分為四類問題：一是系統(tǒng)與虛擬化安全問題；二是網(wǎng)絡與邊界安全問題；三是應用與數(shù)據(jù)安全問題；四是身份與安全管理問題。

2.2.1 系統(tǒng)與虛擬化安全問題

在多租戶環(huán)境下內(nèi)存的動態(tài)分配對安全是一個威脅。許多高等級的攻擊極有可能利用剩余信息通過復雜的技術來獲得其他用戶的敏感信息。如果云操作系統(tǒng)在將內(nèi)存重新分配給用戶時，不能對分配的內(nèi)存作寫“零”處理，就不能防止新啟動虛機中或有惡意內(nèi)存檢測軟件檢測到其他用戶有用信息的可能[4]。

概況之，從云平臺的角度看，虛擬機是云計算操作系統(tǒng)的一個應用；而從虛擬機的角度看，Hypervisor就是原來的硬件層。因此，云安全的核心控制點在云操作系統(tǒng)，云操作系統(tǒng)需要安全可控。

2.2.2 應用與數(shù)據(jù)安全問題

IaaS使用共享存儲。存儲系統(tǒng)創(chuàng)建邏輯卷，并維護邏輯卷與磁盤條帶化之間的對應關系。Hypervisor（或稱云操作系統(tǒng)）則建立和維護不同的虛機與后端存儲系統(tǒng)邏輯卷之間的映射關系，并根據(jù)這個映射關系提供存儲路由控制。如果云操作系統(tǒng)不是安全可信的，就不能保證不同虛機間的存儲隔離，不能防止不同虛機之間邏輯卷的非法訪問。

同時，應用與數(shù)據(jù)安全要求企業(yè)客戶的諸使用者分權分域，“各行其道”，不能有權限使用不該使用的資源；如客戶顧慮到云端數(shù)據(jù)有被運營通過非法掛卷等手段而竊取的可能，還會有磁盤加密的要求。

2.3 共有云的安全問題

多租戶的企業(yè)間、租戶與云平臺運營商之間，因為具有所有制背景、業(yè)務合作或隸屬等關系紐帶，具有相當程度的熟悉與信任。這為許多企業(yè)出于安全考慮而暫避公有云但能接受共有云奠定了基礎。同時，共有云的租戶也同樣具有對自身應用相互隔離、對于共享應用確保集群內(nèi)高安全高可用的安全需求。

2.4 內(nèi)部SaaS應用可訪問的問題

企業(yè)租戶在共有云平臺上架構自用VPC，也通過共建VPC來實現(xiàn)高安全共享的特定業(yè)務，要求通過統(tǒng)一的網(wǎng)絡入口接入云平臺，同時各連接在網(wǎng)絡層的邏輯上相區(qū)隔。這要求通過虛擬化技術、地址空間對外不可達等實現(xiàn)多通道防護的傳輸安全、接入認證和接入可靠性。

3 安全框架（Security framework）

基于系統(tǒng)考慮，安全框架包括安全技術、安全管理功能、接口安全和法規(guī)遵從四個方面。

這四個部分既相對獨立，又有機結合構成共有云整體安全框架。其中安全技術覆蓋了IaaS云服務數(shù)據(jù)中心的物理場地、設備高可用、網(wǎng)絡層、虛擬化層、數(shù)據(jù)與應用層五個部分。

3.1 安全技術

針對不同層面的安全需求，結合共有云多租戶所特有的既信任又相對獨立、既資源共享卻彼此隔離、私有應用為主公有應用為輔等特征，提出如表3所示的共有云安全技術應用的層次框架。

傳統(tǒng)的應用于高標準數(shù)據(jù)中心的安全技術繼續(xù)適用。同時，在構建虛擬化安全、應對共有云網(wǎng)絡安全的高性能要求，以及對共有云多租戶接入安全（傳輸、內(nèi)網(wǎng)地址規(guī)劃）方面有新的技術對策。

3.1.1 虛擬化安全

虛擬化安全包括虛擬機安全（包括虛擬化防病毒、多因素的認證、應用程序保護等措施）和VM管理系統(tǒng)（VMM）安全。后者可細分為虛擬機可信、虛擬化條件下的輕量級代理甚至無代理的防病毒解決方案、虛擬化防火墻、Hypervisor加固、虛擬機隔離等。

數(shù)據(jù)中心云可信操作系統(tǒng)利用服務器上TPM芯片，提供云操作系統(tǒng)完整性保護方案，實現(xiàn)云操作系統(tǒng)的可信啟動和可信運行。磁盤加密則實現(xiàn)虛擬機上用戶卷的全盤透明加密解密。

為防止虛擬機之間的攻擊，主要是防止VM的地址欺騙。Hypervisor中的虛擬交換機可將VM的IP地址和MAC地址綁定，限制虛擬機只能發(fā)送本機地址的報文，防止VM IP地址欺騙和ARP地址欺騙。

3.1.2 安全設備

針對安全設備性能與高可用需求，可采用具有網(wǎng)絡虛擬化功能的安全設備，將多臺物理安全設備虛擬成一臺邏輯設備，結合Vlan等隔離技術，提供既集約又可靠的安全服務。

3.1.3 共有云接入

當前階段，企業(yè)核心應用平臺（云或非云）與企業(yè)總部、企業(yè)分支節(jié)點的接入方式有廣域網(wǎng)專線和通過Internet接入兩種。使用VPN進行加密傳輸是通用的選擇。不同的企業(yè)采納不同的VPN技術（如IPsec VPN+GRE；或SSL VPN/L2TP+IPSec）。隨著企業(yè)信息化的深入發(fā)展，從企業(yè)集群角度看，將有多種VPN類型客戶的認證方式和繁復的訪問權限劃分。結合共有云的建設，引導企業(yè)使用統(tǒng)一的VPN接入平臺，規(guī)范并統(tǒng)一VPN用戶的權限控制，統(tǒng)一接入認證的方式，將給企業(yè)IT日常維護管理帶來極大方便，提升整個企業(yè)群體的安全水平。

3.2 法律與法規(guī)的遵從

云服務供方和企業(yè)需方應滿足日益復雜的法規(guī)要求，不論是行業(yè)標準，管理制度，或客戶特定的要求。信息安全相關標準可參考表3。

4 結論（Conclusion）

未來經(jīng)濟對云計算能力的依賴，將像傳統(tǒng)工業(yè)對電的依賴一樣。企業(yè)云平臺建設與應用部署時，客觀上存在著諸多可復用或可集約的環(huán)節(jié)，企業(yè)在政策上也趨于更多地采購IT服務而非資產(chǎn)投資。更有意義的是，企業(yè)集群具有共同的上級監(jiān)管部門或控股公司，或有相同的孵化器或產(chǎn)業(yè)協(xié)作鏈，從發(fā)展來看，其在業(yè)務上或職能上要求有標準統(tǒng)一、數(shù)據(jù)集中的大數(shù)據(jù)系統(tǒng)或聯(lián)動的O2O服務模式。構建共有云服務平臺，在企業(yè)群體相互安全可信、云平臺安全架構完備的基礎上，工業(yè)化的IT運營加互聯(lián)網(wǎng)思維的業(yè)務耦合，云數(shù)據(jù)中心運營商必然大有可為。

循著服務于多租戶的運營創(chuàng)新，在云計算IaaS層安全之外，平臺型信息服務企業(yè)在大數(shù)據(jù)、O2O等方面的研究和探索將有更為廣闊的天地。

參考文獻（References）

[1] 鄭葉來，陳世峻.分布式云數(shù)據(jù)中心的建設與管理[M].北京：清

華大學出版社，2013：78-84.

[2] 杭州華三通信技術有限公司.新一代網(wǎng)絡建設理論與實踐（第

2版）[M].北京：電子工業(yè)出版社，2013：510-512.

[3] vForum2013大會資料[J].2013：20-27.

[4] 周寶曜，劉偉，范承工.大數(shù)據(jù)戰(zhàn)略·技術·實踐[M].北京：電

子工業(yè)出版社，2013：127-130.

作者簡介：

何 軍（1972-），男，博士，高級工程師.研究領域：云計算，

IDC增值業(yè)務.