王延峰+王艷麗

摘要：隨著云計算的日漸成熟，人們在享受方便快捷的同時，安全威脅問題也日趨嚴(yán)重。該文結(jié)合工作實踐，對云基礎(chǔ)架構(gòu)的系統(tǒng)安全和虛擬化安全進(jìn)行了分析設(shè)計。劃分公共區(qū)、過渡區(qū)、受限區(qū)及核心區(qū)四個區(qū)域?qū)崿F(xiàn)網(wǎng)絡(luò)安全框架；并針對虛擬化安全威脅，詳細(xì)設(shè)計了虛擬化安全。為基于云架構(gòu)的安全建設(shè)提供了可行的技術(shù)支持。

關(guān)鍵詞：云計算；安全；設(shè)計

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）22-0040-02

伴隨著云計算技術(shù)的出現(xiàn)及其在各領(lǐng)域的應(yīng)用實踐，使得我們的工作生活發(fā)生了翻天覆地的變化，智慧醫(yī)療、智慧城市、智慧校園等等。我們在充分享受云計算技術(shù)應(yīng)用成果的同時，基于云計算的系統(tǒng)安全架構(gòu)也成了擺在我們面前的一個熱門課題。那么如何設(shè)計系統(tǒng)安全架構(gòu)，更好的保障各系統(tǒng)的安全穩(wěn)定運行，本文做如下闡述。

1 安全框架簡介

本文認(rèn)為數(shù)據(jù)中心安全解決方案要從整體出發(fā)，作為安全基礎(chǔ)設(shè)施，服務(wù)于整體信息安全的需要。分析信息安全的發(fā)展趨勢，可以看到安全合規(guī)、安全管理、應(yīng)用與數(shù)據(jù)安全、云計算安全、無邊界的網(wǎng)絡(luò)安全、安全產(chǎn)品與服務(wù)資質(zhì)是安全關(guān)注的重點，其中包含了安全服務(wù)、物理設(shè)施安全、應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全、虛擬化安全、數(shù)據(jù)保護(hù)、用戶管理、安全管理等九大安全子模塊。作為整體安全體系架構(gòu)的每一個安全子模塊是各種工具、系統(tǒng)及設(shè)備的集合，在技術(shù)層面提供安全控制。

2 系統(tǒng)網(wǎng)絡(luò)安全設(shè)計

系統(tǒng)網(wǎng)絡(luò)安全設(shè)計主要就是安全域劃分，采用合理的安全域劃分，將數(shù)據(jù)中心的網(wǎng)絡(luò)功能分別劃分到各自安全區(qū)域內(nèi)。安全域是邏輯上的區(qū)域，同一個安全域內(nèi)的資產(chǎn)具有一樣或類似的安全屬性，如自身的安全級別、來自外部的安全威脅、安全弱點及安全風(fēng)險等，同一安全域內(nèi)的系統(tǒng)相互信任。

2.1 劃分安全區(qū)域

數(shù)據(jù)中心的網(wǎng)絡(luò)功能分區(qū)可劃分為公共區(qū)、過渡區(qū)、受限區(qū)和核心區(qū)四個安全區(qū)域。

公共區(qū)是指公有網(wǎng)絡(luò)與數(shù)據(jù)中心直接連接的區(qū)域，其安全實體包括自身所擁有的互聯(lián)網(wǎng)接入設(shè)備。該區(qū)域?qū)⒉辉诰W(wǎng)絡(luò)直接控制范圍內(nèi)的實體和區(qū)域進(jìn)行連接，包括來自互聯(lián)網(wǎng)的用戶及線路資源。此區(qū)域安全風(fēng)險等級高，屬于非安全區(qū)域，需要進(jìn)行嚴(yán)格的數(shù)據(jù)流控制。

過渡區(qū)用于分割公共區(qū)與受限區(qū)及核心區(qū)的直接聯(lián)系，在邏輯上位于它們的中間地帶。設(shè)置過渡區(qū)是為了保護(hù)受限區(qū)及核心區(qū)的信息，使之不被外部掌握，避免直接的網(wǎng)絡(luò)數(shù)據(jù)流在這兩個分隔的區(qū)域間通過。所有能被非信任來源直接訪問并提供服務(wù)的系統(tǒng)和設(shè)備構(gòu)成了它安全實體，是易受攻擊的半信任區(qū)，機(jī)密數(shù)據(jù)應(yīng)盡量不放置于此。

受限區(qū)是被信任區(qū)域，其在內(nèi)部網(wǎng)絡(luò)中的安全級別較高，僅次于核心區(qū)，安全實體由業(yè)務(wù)終端、辦公終端等內(nèi)部終端構(gòu)成，非核心的OA辦公應(yīng)用、開發(fā)測試服務(wù)器區(qū)域也可以定義為受限區(qū)。數(shù)據(jù)流一般不允許從公共區(qū)到受限區(qū)直接通過，需使用代理服務(wù)器或網(wǎng)關(guān)進(jìn)行中轉(zhuǎn)，否則，必須進(jìn)行嚴(yán)格的安全控制。

核心區(qū)是安全級別最高的網(wǎng)絡(luò)區(qū)域，包含了重要的應(yīng)用服務(wù)器，提供關(guān)鍵的業(yè)務(wù)應(yīng)用；也包含核心的數(shù)據(jù)庫服務(wù)器，保存有機(jī)密數(shù)據(jù)；還包含管理控制臺和管理服務(wù)器，具有管理所有系統(tǒng)的權(quán)限和功能。因此核心區(qū)應(yīng)該受到最全面的安全技術(shù)手段的保護(hù)，同時對其內(nèi)部系統(tǒng)和設(shè)備的訪問及操作都需要通過嚴(yán)格的安全管理流程。

2.2 劃分安全子域

每個安全域類別內(nèi)部可定義安全子域。

公共區(qū)為Internet安全域，數(shù)據(jù)中心網(wǎng)絡(luò)Internet接入?yún)^(qū)內(nèi)與Internet連接的接入設(shè)備歸屬該安全域。區(qū)為Internet DMZ安全域，數(shù)據(jù)中心網(wǎng)絡(luò)中所定義的Internet接入?yún)^(qū)內(nèi)的DMZ區(qū)（部署外部服務(wù)器）歸屬該安全域。受限區(qū)內(nèi)包含遠(yuǎn)程接入?yún)^(qū)，辦公網(wǎng)接入?yún)^(qū)和開發(fā)測試區(qū)三個受限區(qū)安全子域：（1）遠(yuǎn)程接入?yún)^(qū)包含生產(chǎn)數(shù)據(jù)中心與合作單位、分支機(jī)構(gòu)和災(zāi)備數(shù)據(jù)中心相連接的網(wǎng)絡(luò)設(shè)備；（2）辦公網(wǎng)接入?yún)^(qū)包含生產(chǎn)數(shù)據(jù)中心與辦公網(wǎng)相連接的網(wǎng)絡(luò)設(shè)備；（3）開發(fā)測試區(qū)包含數(shù)據(jù)中心中所提供的用于開發(fā)測試目的的各類設(shè)備，該區(qū)域可定義多個受限區(qū)安全域?qū)嵗?，以隔離開發(fā)、測試、或支撐多個并行進(jìn)行的開發(fā)測試工作。

核心區(qū)包含OA區(qū)、一般業(yè)務(wù)生產(chǎn)區(qū)、運行管理區(qū)和高安全業(yè)務(wù)生產(chǎn)區(qū)三個安全子域，其中高安全業(yè)務(wù)生產(chǎn)區(qū)、運行管理區(qū)在安全防護(hù)級別上應(yīng)高于一般業(yè)務(wù)生產(chǎn)區(qū)和OA區(qū)。（1）OA辦公應(yīng)用區(qū)包含支撐各類OA應(yīng)用的服務(wù)器和其他設(shè)備，對于有較高安全要求的OA類應(yīng)用也可以劃入到高安全業(yè)務(wù)生產(chǎn)區(qū)；（2）一般業(yè)務(wù)生產(chǎn)區(qū)包含非關(guān)鍵的業(yè)務(wù)應(yīng)用，可以按照需求定義多個安全域?qū)嵗詫崿F(xiàn)業(yè)務(wù)應(yīng)用的隔離；（3）運行管理區(qū)內(nèi)包含數(shù)據(jù)中心運行管理系統(tǒng)的各類設(shè)備，包含網(wǎng)絡(luò)管理、系統(tǒng)管理、安全管理，可以按照需求定義多個安全域?qū)嵗綦x上述不同管理目的的系統(tǒng)應(yīng)用。（4）高安全業(yè)務(wù)生產(chǎn)區(qū)包含安全要求最高的核心業(yè)務(wù)應(yīng)用、數(shù)據(jù)等資產(chǎn)，可以按照需求定義多個安全域?qū)嵗黝惒煌母甙踩珮I(yè)務(wù)。

安全域劃分后，安全域間的信息流控制遵循如下原則：（1）由邊界控制組件控制所有跨域經(jīng)過的數(shù)據(jù)流；（2）在邊界控制組件中，缺省情況下，除了明確被允許的流量，所有的流量都將被阻止；（3）邊界控制組件的故障將不會導(dǎo)致跨越安全域的非授權(quán)訪問；（4）嚴(yán)格控制和監(jiān)管外部流量，每個連接必須被授權(quán)和審計。

2 虛擬化安全設(shè)計

2.1 虛擬化安全威脅

用戶在利用虛擬化技術(shù)帶來好處的同時，也帶來新的安全風(fēng)險。首先是虛擬層能否真正把虛擬機(jī)和主機(jī)、虛擬機(jī)和虛擬機(jī)之間安全地隔離開來，這一點正是保障虛擬機(jī)安全性的根本。另預(yù)防云內(nèi)部虛擬機(jī)之間的惡意攻擊，傳統(tǒng)意義上的網(wǎng)絡(luò)安全防護(hù)設(shè)備對虛擬化層防護(hù)已經(jīng)不能完全滿足要求。

數(shù)據(jù)中心生產(chǎn)數(shù)據(jù)部署在虛擬化平臺，目前，針對虛擬化平臺的安全風(fēng)險主要包括以下幾個方面：

1）攻擊虛擬機(jī)Hypervisor；

2）虛擬機(jī)與虛擬機(jī)的攻擊和嗅探；

3）Hypervisor自身漏洞產(chǎn)生的威脅；

4）可以導(dǎo)致虛擬機(jī)無法提供正常服務(wù)，數(shù)據(jù)的機(jī)密性、完整性和可用性被破壞；

5）病毒蠕蟲帶來的數(shù)據(jù)完整性和可用性損失，以及虛擬化網(wǎng)絡(luò)可用性損失；

6）系統(tǒng)自身存在安全缺陷，使攻擊、濫用、誤用等存在可能。

2.2 虛擬化安全設(shè)計

綜上，虛擬機(jī)安全設(shè)計應(yīng)該包括：

1）支持VLAN的網(wǎng)絡(luò)隔離，通過虛擬網(wǎng)橋?qū)崿F(xiàn)虛擬交換功能。

2）支持安全組的網(wǎng)絡(luò)隔離：若干虛擬機(jī)的集合構(gòu)成虛擬機(jī)安全組，也是安全組自身網(wǎng)絡(luò)安全規(guī)則的集合。同一安全組中的虛擬機(jī)無須部署在同一位置，可在多個物理位置分散部署。因此，虛擬機(jī)安全組的作用是在一個物理網(wǎng)絡(luò)中，劃分出相互隔離的邏輯虛擬局域網(wǎng)，提高網(wǎng)絡(luò)安全性。本功能允許最終用戶自行控制自己的虛擬機(jī)與自己的其他虛擬機(jī)，或與其他人員的虛擬機(jī)之間的互聯(lián)互通關(guān)系。虛擬機(jī)之間的互通限制是通過配置安全組組間互通規(guī)則來實現(xiàn)的。一個用戶可以創(chuàng)建多個安全組，但一個安全組僅屬于一個用戶所有。用戶在創(chuàng)建虛擬機(jī)時，可以制定該虛擬機(jī)所在的安全組。屬于同一個安全組的虛擬機(jī)，是默認(rèn)全部互聯(lián)互通的。屬于不同安全組的虛擬機(jī)，是默認(rèn)全部隔離的。安全組規(guī)則屬于單向的白名單規(guī)則。用戶可以設(shè)置允許自己的某個安全組內(nèi)的虛擬機(jī)接收來自其他安全組內(nèi)的虛擬機(jī)的請求，或來自某個IP地址段的請求。請求類型也是可以配置的，比如TCP，ICMP等等。安全組規(guī)則隨虛擬機(jī)啟動而自動生效，隨虛擬機(jī)的遷移在計算服務(wù)器間遷移。用戶只需要設(shè)定規(guī)則，無須關(guān)心虛擬機(jī)在哪里運行。

3）虛擬機(jī)防護(hù)：客戶在虛擬機(jī)中安裝的操作系統(tǒng)與實際物理系統(tǒng)同樣存在安全風(fēng)險，無法通過虛擬化來規(guī)避風(fēng)險。但是，針對某獨立虛擬機(jī)安全風(fēng)險的攻擊只會對該虛擬機(jī)自身造成危害，而不會它所在的虛擬化服務(wù)器。虛擬機(jī)病毒防護(hù)系統(tǒng)由端點保護(hù)服務(wù)器和虛擬化服務(wù)器上的端點保護(hù)客戶端構(gòu)成，端點保護(hù)服務(wù)器統(tǒng)一管控整個網(wǎng)絡(luò)的端點保護(hù)客戶端，包括主機(jī)防病毒、主機(jī)IPS、主機(jī)防火墻策略的設(shè)定和配置，日志的收集，病毒碼、掃描引擎等組件的更新。通過在每一個運行的虛擬機(jī)上部署防病毒客戶端，用于保護(hù)虛擬機(jī)的安全。

4）虛擬機(jī)系統(tǒng)模型加固：通過制定基本系統(tǒng)模型，并對模型進(jìn)行必要的安全加固，不安裝其他未知應(yīng)用程序，供用戶創(chuàng)建虛擬機(jī)時使用，可以確保所有新建虛擬機(jī)都具有基本安全防護(hù)水平。其他特定應(yīng)用程序模型可以使用該模型進(jìn)行創(chuàng)建，并在虛擬機(jī)中部署，確保隨時更新模型中的修補程序和安全工具。

5）虛擬機(jī)資源管理：利用云平臺的資源管理功能，虛擬化平臺可以準(zhǔn)確控制各虛擬主機(jī)的資源分配。當(dāng)某臺虛擬機(jī)受到攻擊時，不會影響同一臺物理主機(jī)上的其他虛擬機(jī)的正常運行。這一特點可用來防止拒絕服務(wù)攻擊，避免因此攻擊導(dǎo)致虛擬機(jī)資源的大量消耗，致使同一臺主機(jī)上的其他虛擬機(jī)無法正常運行。

6）虛擬機(jī)與物理主機(jī)間的通信管理：虛擬機(jī)通常把排除故障信息存入虛擬機(jī)日志，并在云平臺系統(tǒng)中保存。對虛擬機(jī)用戶和進(jìn)程有意或無意的配置會導(dǎo)致其濫用日志記錄功能，將大量數(shù)據(jù)注入日志文件。經(jīng)過長時間運行，物理主機(jī)文件系統(tǒng)會被日志文件大量占用，致使主機(jī)系統(tǒng)無法正常運行，也就是通常所說的拒絕服務(wù)攻擊?？赏ㄟ^系統(tǒng)配置定期或當(dāng)日志文件占用空間較大時輪換或刪除日志文件加以解決。

為了更好的保障整體信息安全的需要，作為安全基礎(chǔ)設(shè)施，我們還要從數(shù)據(jù)保護(hù)、應(yīng)用安全以及用戶管理等多方入手，才能確保基于云架構(gòu)的應(yīng)用建設(shè)真正達(dá)到安全、穩(wěn)定、智能。

參考文獻(xiàn)：

[1] 王慶波，金涬，何樂，等.虛擬化與云計算 [M].北京：電子工業(yè)出版社，2009.

[2] 騰云.云計算和大數(shù)據(jù)時代網(wǎng)絡(luò)技術(shù)揭秘[M].北京：人民郵電出版社，2013.

[3] 陳康，鄭緯民，云計算：系統(tǒng)實例與研究現(xiàn)狀[J].軟件學(xué)報，2009.

[4] 2012年中國云計算大會.[EB/OL] http：//www.ciecloud.org/2012/live.html

[5] IBM 云解決方案.[EB/OL] http：//www-01.ibm.com/software/cn/spsm/cloudcomputing/.

[6] 馮登國.云計算安全研究[J].軟件學(xué)報，2011，22（1）：71-83.