云環(huán)境下的安全現(xiàn)狀

從技術(shù)上看，云計(jì)算采用資源池化的方式為用戶提供服務(wù)，傳統(tǒng)的安全集中投入的方式很難滿足云計(jì)算中資源的按需擴(kuò)展需求。另外，如何滿足不同租戶差異化的安全需求也是一項(xiàng)很大的挑戰(zhàn)。

從管理模式上看，傳統(tǒng)的IT系統(tǒng)提供方和用戶之間有清晰的安全職責(zé)劃分。在云計(jì)算的這種以服務(wù)為核心的模式下，整個(gè)IT系統(tǒng)會(huì)面臨云服務(wù)提供方、云租戶和云用戶多方的關(guān)系，如何明確各自的職責(zé)，是確保云計(jì)算系統(tǒng)安全的一個(gè)重要前提。

從法律和合規(guī)的角度看，國(guó)內(nèi)外的云安全標(biāo)準(zhǔn)機(jī)構(gòu)近年來(lái)也是陸續(xù)發(fā)布了多個(gè)云安全的相關(guān)標(biāo)準(zhǔn)，比如云安全聯(lián)盟（CSA）發(fā)布的《身份管理與接入控制指導(dǎo)建議書(shū)》(白皮書(shū))、《如何保護(hù)云數(shù)據(jù)》（白皮書(shū)），國(guó)內(nèi)等保標(biāo)準(zhǔn)里的《信息系統(tǒng)安全等級(jí)保護(hù) 云計(jì)算安全擴(kuò)展要求》（草案）、《信息系統(tǒng)安全等級(jí)保護(hù) 云計(jì)算安全擴(kuò)展測(cè)評(píng)要求》（草案）等。如何建設(shè)云計(jì)算系統(tǒng)的安全措施，保證符合法律和合規(guī)的要求，也是用戶業(yè)務(wù)云化面臨的一個(gè)重要的問(wèn)題。

軟件定義

1.SDN

軟件定義網(wǎng)絡(luò)（SDN）提出了一種全新的網(wǎng)絡(luò)架構(gòu)，能夠通過(guò)邏輯上集中的控制平面，實(shí)現(xiàn)網(wǎng)絡(luò)管理、控制的集中化、自動(dòng)化。那么SDN和安全又有什么樣的關(guān)系呢？

SDN有三個(gè)本質(zhì)的屬性：控制與轉(zhuǎn)發(fā)分離、集中化的網(wǎng)絡(luò)控制、開(kāi)放的編程接口。

控制與轉(zhuǎn)發(fā)分離，使得邏輯上集中的控制平面能夠擁有全網(wǎng)的完整視圖，這樣控制平面就能夠看到任何正常的、或者不正常的流量；集中化的網(wǎng)絡(luò)控制，使得控制平面能夠控制任何流量能走、不能走、怎么走；開(kāi)放的編程接口能夠?qū)⑸鲜鏊械牟僮鲗?shí)現(xiàn)可編程以及自動(dòng)化。這樣看來(lái)，SDN天然的就為網(wǎng)絡(luò)的安全問(wèn)題提出了很好的解決辦法。當(dāng)然，OpenFlow也是在某種程度上為了解決安全問(wèn)題。

2. NFV

網(wǎng)絡(luò)功能虛擬化（NFV）利用IT虛擬化技術(shù)，將現(xiàn)有的各類網(wǎng)絡(luò)設(shè)備功能整合進(jìn)標(biāo)準(zhǔn)的IT設(shè)備，如高密度服務(wù)器、交換機(jī)、存儲(chǔ)等，通過(guò)管理控制平面，實(shí)現(xiàn)網(wǎng)絡(luò)/安全功能的自動(dòng)化編排。

NFV-I提供了虛擬化網(wǎng)絡(luò)功能運(yùn)行所必須的基礎(chǔ)設(shè)施。

VNF-M即各種虛擬化的網(wǎng)絡(luò)功能層，通過(guò)VNF+EMS實(shí)現(xiàn)多種虛擬網(wǎng)元的網(wǎng)絡(luò)功能，這些VNFs由VNF-M進(jìn)行統(tǒng)一的管理。

NFV-O是最上面的業(yè)務(wù)層，根據(jù)OSS/BSS的業(yè)務(wù)邏輯和業(yè)務(wù)需求，NFV-O動(dòng)態(tài)的對(duì)下層的VNFs進(jìn)行編排，以滿足業(yè)務(wù)系統(tǒng)對(duì)不同網(wǎng)絡(luò)功能的需求。

VNF-M和NFV-O共同組成了NFV架構(gòu)中的管理編排域，簡(jiǎn)稱為MANO，MANO負(fù)責(zé)對(duì)整個(gè)NFV-I資源的管理和編排，負(fù)責(zé)業(yè)務(wù)網(wǎng)絡(luò)和NFV-I資源的映射和關(guān)聯(lián)，負(fù)責(zé)OSS業(yè)務(wù)資源流程的實(shí)施等。

3.基于SDN/NFV的安全架構(gòu)

基于SDN/NFV技術(shù)可以構(gòu)建一個(gè)完整的、開(kāi)放的虛擬化網(wǎng)絡(luò)平臺(tái)，那么能否在此基礎(chǔ)上整合構(gòu)建出一個(gè)虛擬化的安全解決方案呢？答案當(dāng)然是肯定的。

有一種基于SDN/NFV的安全方案架構(gòu)，除去計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等硬件基礎(chǔ)設(shè)施之外，整個(gè)架構(gòu)自底向上共分為資源池、安全控制平臺(tái)和安全應(yīng)用三個(gè)層次。

圖1 安全資源池內(nèi)的安全設(shè)備部署

資源池是各種安全防護(hù)功能的集合，具體包括但不限于：（1）安全預(yù)防類功能：系統(tǒng)漏洞掃描（vRSAS）、Web漏洞掃描（vWVSS）等；（2）安全檢測(cè)類功能：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（vNIDS）；（3）安全防護(hù)類功能：網(wǎng)絡(luò)入侵防御系統(tǒng)（vNIPS）、下一代防火墻（vNF）等；（4）安全響應(yīng)類功能 ：安全審計(jì)系統(tǒng)（vSAS）、堡壘機(jī)等。

在設(shè)備形態(tài)上，安全資源池內(nèi)的安全功能既可以是依托虛擬化的安全設(shè)備（VNFs），也可以是傳統(tǒng)的硬件安全設(shè)備；在基礎(chǔ)設(shè)施層面，既可以采用獨(dú)立的安全節(jié)點(diǎn)進(jìn)行部署，也可以依 托 OpenStack、VMware、FusionSphere等云計(jì)算IaaS平臺(tái)。具體可參考圖1。

安全控制平臺(tái)則包括了NFV架 構(gòu)中的 VI-M、VNF-M和NFV-O，具體到功能層面和NFV架構(gòu)中的類似，比如VI-M用來(lái)管理安全資源池的基礎(chǔ)設(shè)施資源，同時(shí)負(fù)責(zé)跟網(wǎng)絡(luò)系統(tǒng)的SDN控制器進(jìn)行對(duì)接；通過(guò)VNF-Manager/Agent的方式，實(shí)現(xiàn)各個(gè)安全功能的管理；通過(guò)NFV-O提供北向的應(yīng)用接口。

云安全實(shí)踐

這種基于SDN/NFV的安全架構(gòu)是如何實(shí)現(xiàn)云環(huán)境下的安全防護(hù)的，以下是兩種使用場(chǎng)景：（1）云計(jì)算、軟件定義數(shù)據(jù)中心這類的系統(tǒng)/平臺(tái) ；（2）NFV 系統(tǒng)。

對(duì)于第一類場(chǎng)景，可以直接將上述安全架構(gòu)和云平臺(tái)進(jìn)行對(duì)接，通過(guò)兩個(gè)控制平臺(tái)層面的交互實(shí)現(xiàn)資產(chǎn)以及防護(hù)策略的一致性，然后通過(guò)網(wǎng)絡(luò)將資源層打通，實(shí)現(xiàn)流量的靈活調(diào)度，完成整個(gè)虛擬化環(huán)境的安全防護(hù)。

對(duì)于第二類場(chǎng)景，一方面，可以按照第一類場(chǎng)景的方式進(jìn)行設(shè)計(jì)，即兩個(gè)控制平臺(tái)進(jìn)行對(duì)接；另一種方式則是將安全資源池集成到NFV的VNFs內(nèi)部，與NFV共用 VI-M、VNF-M和 NFV-O，這樣的話安全和網(wǎng)絡(luò)就實(shí)現(xiàn)了深度的整合，同時(shí)也帶來(lái)了高耦合的風(fēng)險(xiǎn)問(wèn)題。

下面我們從第一個(gè)場(chǎng)景著手，看一下是如何設(shè)計(jì)其安全解決方案的。如圖2所示，是方案的整體架構(gòu)圖，主要分為4個(gè)部分，最下面的VNFs，也就是安全的資源池，這里的安全功能提供者既可以是廠商的安全設(shè)備，設(shè)備之間通過(guò)SDN網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)。SIEM系統(tǒng)主要是用來(lái)收集下層安全設(shè)備的日志和告警等信息，提供威脅分析的數(shù)據(jù)來(lái)源。安全資源池控制器一方面負(fù)責(zé)VNFs的管理控制，同時(shí)還負(fù)責(zé)與云平臺(tái)進(jìn)行適配。最上面是云安全管理平臺(tái)的門(mén)戶，為用戶提供安全服務(wù)和運(yùn)維服務(wù)等多個(gè)使用門(mén)戶。

圖2 云計(jì)算、軟件定義數(shù)據(jù)中心系統(tǒng)/平臺(tái)架構(gòu)

圖3 南北向和東西向安流量安全調(diào)度

為用戶云上業(yè)務(wù)提供預(yù)防（RSAS、BVS等）、檢測(cè)（NIDS等）、保護(hù)（NIPS、NF等）和響應(yīng)（SAS、ESP等）全系列的安全服務(wù)，解決了用戶南北向和東西向流量安全問(wèn)題。

如圖3所示，提供南北向和東西向安全服務(wù)，云安全管理平臺(tái)與云計(jì)算系統(tǒng)對(duì)接，通過(guò)外置安全資源池和內(nèi)置資源池結(jié)合的方式，將南北向流量和東西向流量進(jìn)行調(diào)度，完成安全檢測(cè)和防護(hù)。

總結(jié)

在云計(jì)算架構(gòu)下，云計(jì)算開(kāi)放網(wǎng)絡(luò)和業(yè)務(wù)共享場(chǎng)景更加復(fù)雜多變，安全挑戰(zhàn)更加嚴(yán)峻；云計(jì)算系統(tǒng)較傳統(tǒng)IT系統(tǒng)，既涉及到管理模式、服務(wù)模式的創(chuàng)新，又涉及到虛擬化、隔離等技術(shù)層面的創(chuàng)新，因此其安全的著手點(diǎn)也是千姿百態(tài)。本文主要針對(duì)云上業(yè)務(wù)的安全，分析并展示了基于SDN/NFV技術(shù)的云安全實(shí)踐方案。