◎成都安美勤信息技術(shù)股份有限公司 代翎云

一、引言

60年代中期，計(jì)算機(jī)數(shù)量較少，基本上為大型機(jī)，其服務(wù)對象僅為少數(shù)特殊的企業(yè)或機(jī)構(gòu)，而絕大部分企業(yè)無法使用；在80年代，PC機(jī)與小型機(jī)逐漸普及，企業(yè)可通過自行搭建機(jī)房，購買硬件設(shè)備來完成系統(tǒng)部署，但存在架構(gòu)不靈活，資源利用性不高等問題；在90年代，企業(yè)通過數(shù)據(jù)中心租用設(shè)備來代替自己搭建環(huán)境，但當(dāng)企業(yè)業(yè)務(wù)發(fā)展較快、需求變化較快時(shí)，仍存在數(shù)據(jù)中心設(shè)備采購周期過長、無法滿足企業(yè)需求的問題。

云計(jì)算發(fā)展歷史

在此基礎(chǔ)上，云計(jì)算應(yīng)運(yùn)而生，目前已有越來越多企業(yè)逐漸將系統(tǒng)遷移到云上，因?yàn)樵朴?jì)算平臺(tái)能夠快速獲取計(jì)算服務(wù)、存儲(chǔ)服務(wù)，用戶可以按需購買，按量計(jì)費(fèi)，可滿足企業(yè)需求。甚至一些技術(shù)和資本方面相對成熟的企業(yè)已經(jīng)開始搭建自己的云平臺(tái)，并從對內(nèi)服務(wù)逐步擴(kuò)大為對外提供服務(wù)。同時(shí)，當(dāng)前相關(guān)政府單位也搭建了多個(gè)政務(wù)云平臺(tái)，逐漸將各類政務(wù)系統(tǒng)同一集合到一起，從而實(shí)現(xiàn)政務(wù)工作的互聯(lián)互通，以加強(qiáng)各單位之間的聯(lián)系，提高辦事效率。

與傳統(tǒng)的IT架構(gòu)相比，使用云計(jì)算平臺(tái)可以實(shí)現(xiàn)用戶需要什么服務(wù)只需要簡單操作就可獲取，而不需要自身搭建，服務(wù)底層的設(shè)備不需要用戶自身去維護(hù)，這將大大降低運(yùn)維成本。因此，云計(jì)算的發(fā)展已成為必然趨勢，但與此同時(shí)，云計(jì)算的安全防護(hù)問題也成為亟需解決的問題。

二、云計(jì)算基礎(chǔ)

（一）部署模式

云計(jì)算的部署模式主要由以下三種組成：

公有云：通過Internet向多組織用戶提供按需使用的IT資源服務(wù)，并按量付費(fèi)。其典型特點(diǎn)為：多租戶、按需使用、按量付費(fèi)。

私有云：通過專用網(wǎng)絡(luò)向特定組織（通常情況下為單一組織）提供按需交付的IT資源。

混合云：融合了公有云和私有云，企業(yè)可選擇將臨時(shí)性、按需付費(fèi)的業(yè)務(wù)組件部署在公有云中，將主要業(yè)務(wù)數(shù)據(jù)、敏感信息等部署在私有云中，增強(qiáng)安全性。

（二）服務(wù)方式

云計(jì)算服務(wù)商提供的服務(wù)方式主要有三種，分別為：IAAS（基礎(chǔ)設(shè)施即服務(wù)），PAAS（平臺(tái)即服務(wù)）和 SAAS（軟件即服務(wù)）。

各類云計(jì)算服務(wù)商并不會(huì)只提供一種服務(wù)，由于三種服務(wù)模式彼此之間有較多交互的地方，特別位于中間層的PaaS模式，所以很多云計(jì)算服務(wù)商逐步在自身服務(wù)體系中對服務(wù)模式進(jìn)行了擴(kuò)展和融合，最終實(shí)現(xiàn)一站式服務(wù)。

IaaS: Infrastructure-as-a-Service(基礎(chǔ)設(shè)施即服務(wù))

IaaS公司提供給消費(fèi)者的服務(wù)是對所有計(jì)算基礎(chǔ)設(shè)施的利用，為不同用戶提供虛擬化環(huán)境，提供了計(jì)算和存儲(chǔ)功能，具備數(shù)據(jù)存儲(chǔ)服務(wù)、同步服務(wù)、管理服務(wù)和備份服務(wù)等功能。而IaaS模式也是目前云計(jì)算模式中占主導(dǎo)地位的模式，目前IaaS占全球云計(jì)算細(xì)分市場一半以上的規(guī)模。中國IaaS市場，阿里云獨(dú)占半壁江山，同樣也是一家獨(dú)大。

PaaS: Platform-as-a-Service(平臺(tái)即服務(wù))

PaaS使得所有開發(fā)都在這一層進(jìn)行，因此可以節(jié)省大量時(shí)間和資源。PaaS公司在網(wǎng)上提供如虛擬服務(wù)器和操作系統(tǒng)的各種開發(fā)和分發(fā)應(yīng)用的解決方案。PaaS當(dāng)前的市場占有率遠(yuǎn)遠(yuǎn)不如IaaS或SaaS兩種模式，因此對于單純的PaaS服務(wù)商來說，如今所面臨的壓力巨大，具有被底層的IaaS或上層的SaaS所取代的風(fēng)險(xiǎn)。但當(dāng)前云計(jì)算行業(yè)還尚未完全成熟，PaaS模式會(huì)逐步走向融合還是漸漸獨(dú)立，現(xiàn)在依然無法下定論。

云計(jì)算的服務(wù)方式

SaaS: Software-as-a-Service(軟件即服務(wù))

SaaS，也是大眾接觸最多的模式，使用SaaS將不在需要在自己的電腦中額外安裝相應(yīng)組件。例如通過瀏覽器使用Google、百度等搜索系統(tǒng)，使用E-mail發(fā)送，這其實(shí)就是SaaS。而當(dāng)前CRM、ERP、eHR、SCM 等 管 理系統(tǒng)都已經(jīng)逐步開始SaaS化，究其原因是因?yàn)镾aaS模式的便利性，它不需要再自行管理維護(hù)繁雜的硬件系統(tǒng)及軟件，而是可以直接向軟件提供商租用基于Web或其他結(jié)構(gòu)的軟件就可以使用。

三、測評(píng)重點(diǎn)

（一）準(zhǔn)備階段

1、前期準(zhǔn)備

“準(zhǔn)備階段”顧名思義就是對接下來的工作做好準(zhǔn)備，除了需要了解傳統(tǒng)測評(píng)項(xiàng)目問題外，在準(zhǔn)備階段云上項(xiàng)目還應(yīng)該對以下問題進(jìn)行確認(rèn)：

（1）確定測評(píng)對象為：云服務(wù)商的云平臺(tái)或云租戶的應(yīng)用系統(tǒng)；

（2）確定部署模式為：公有云、私有云或混合云；

（3）確 定 服 務(wù)方 式 為：SAAS、PAAS或IAAS；

（4）若測評(píng)對象為云租戶的應(yīng)用系統(tǒng)，還需確定所在云平臺(tái)是否已完成相應(yīng)等級(jí)的保護(hù)測評(píng)工作。

2、系統(tǒng)調(diào)研

由于虛擬化等新技術(shù)的應(yīng)用，IaaS/PaaS/SaaS按需服務(wù)模式的引入，云計(jì)算和傳統(tǒng)信息系統(tǒng)保護(hù)對象的區(qū)別如下表所示，其中加黑部分為云計(jì)算系統(tǒng)所特有的保護(hù)對象，在前期調(diào)研的過程中，應(yīng)特別注意以下方面。

表1 云計(jì)算和傳統(tǒng)信息系統(tǒng)保護(hù)對象區(qū)別

（二）現(xiàn)場測評(píng)

云計(jì)算測評(píng)工作的開展首先要明確測評(píng)對象是云服務(wù)商還是云租戶，因?yàn)榧词故峭粭l測評(píng)實(shí)施內(nèi)容，針對云服務(wù)商與云租戶仍具有不同含義，部分條款僅適用于云服務(wù)商，也有部分條款僅適用于云租戶。例如測評(píng)實(shí)施中：“應(yīng)檢查云服務(wù)商的網(wǎng)絡(luò)邊界設(shè)備或虛擬化網(wǎng)絡(luò)邊界設(shè)備，查看安全保障機(jī)制、訪問控制規(guī)則或訪問控制策略等”，該條僅適用于云服務(wù)商，而不適用于云租戶，因此在現(xiàn)場測評(píng)階段需要注意區(qū)分云計(jì)算擴(kuò)展對云平臺(tái)和云租戶的不同要求。

1、資源隔離

云計(jì)算運(yùn)用了虛擬化等技術(shù)，將資源量化進(jìn)行重新分配并交付給用戶，但這在帶來方便的同時(shí)也增加了內(nèi)部風(fēng)險(xiǎn)，類似Intel處理器Meltdown及Spectre等類似漏洞對云平臺(tái)的危害非常大，因此資源的有效隔離顯得尤為重要，擴(kuò)展標(biāo)準(zhǔn)中對于云計(jì)算環(huán)境下資源隔離的要求總結(jié)如下：

（1）應(yīng)對虛擬機(jī)逃逸行為進(jìn)行檢測和告警；

（2）禁止虛擬實(shí)例直接訪問宿主機(jī)上的物理硬件；

（3）不同虛擬機(jī)之間的虛擬CPU指令、內(nèi)存空間應(yīng)隔離；

（4）應(yīng)根據(jù)云租戶業(yè)務(wù)系統(tǒng)的安全等級(jí)劃分網(wǎng)絡(luò)安全區(qū)域并設(shè)置區(qū)域間訪問控制規(guī)則；

（5）應(yīng)保證云平臺(tái)管理流量與云租戶業(yè)務(wù)流量分離；

（6）應(yīng)保證虛擬機(jī)僅能遷移至相同安全保護(hù)等級(jí)的資源池。

2、訪問控制

針對于云計(jì)算，訪問控制涉及了安全區(qū)域邊界、安全計(jì)算環(huán)境等多個(gè)層面，其重點(diǎn)主要在于云平臺(tái)管理方和云租戶方的權(quán)限分離方面，可以總結(jié)為以下4個(gè)要點(diǎn)：

（1）依據(jù)訪問控制策略控制虛擬機(jī)之間訪問；

（2）實(shí)現(xiàn)云平臺(tái)管理用戶權(quán)限分離機(jī)制，為網(wǎng)絡(luò)管理員、系統(tǒng)管理員建立不同賬戶并分配相應(yīng)的權(quán)限；

（3）確保只有在云租戶授權(quán)下，云服務(wù)方或第三方才具有云租戶數(shù)據(jù)的管理權(quán)限；

（4）云計(jì)算平臺(tái)應(yīng)提供開放接口或開放性安全服務(wù)，允許云租戶接入第三方安全產(chǎn)品或在云平臺(tái)選擇第三方安全服務(wù)。

3、數(shù)據(jù)安全

由于云租戶的數(shù)據(jù)存儲(chǔ)在云平臺(tái)中，等保2.0對數(shù)據(jù)的感知、遷移及數(shù)據(jù)保密性、可用性、完整性都有更高層次的要求，數(shù)據(jù)安全需要云平臺(tái)和云租戶方共同來承擔(dān)，其區(qū)別于通用要求的有如下幾點(diǎn)：

（1）用戶可感知：應(yīng)提供查詢云租戶數(shù)據(jù)及備份存儲(chǔ)位置的方式；

（2）用戶可遷移：應(yīng)保證云租戶業(yè)務(wù)及數(shù)據(jù)能移植到其他云平臺(tái)或者遷移到本地信息系統(tǒng)；

（3）虛擬機(jī)安全：確保虛擬機(jī)遷移過程中的完整性保護(hù)和信息防泄漏；

實(shí)驗(yàn)組35人（92.11%）對教學(xué)模式滿意，與對照組27人（72.97%）相比，差異有統(tǒng)計(jì)學(xué)意義（P＜0.05）。實(shí)驗(yàn)組36人（94.74%）認(rèn)為所接受的教學(xué)能激發(fā)學(xué)習(xí)興趣，與對照組29人（78.38%）相比，差異有統(tǒng)計(jì)學(xué)意義（P＜0.05）（見表3）。

（4）鏡像安全：對虛擬機(jī)鏡像文件進(jìn)行完整性保護(hù)，可檢測到非授權(quán)修改；

（5）快照安全：對虛擬機(jī)快照文件進(jìn)行保密性保護(hù)。

4、安全管理

在安全管理層面，除云平臺(tái)等級(jí)應(yīng)不低于應(yīng)用系統(tǒng)的安全保護(hù)等級(jí)外，對于云租戶和云服務(wù)商之間的合同協(xié)議也應(yīng)該有更加嚴(yán)格的規(guī)定，主要包括以下兩點(diǎn)：

（1）應(yīng)以書面方式約定云服務(wù)商的權(quán)限與責(zé)任，包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等；

（2）簽訂服務(wù)水平協(xié)議和保密協(xié)議，并可提供相關(guān)證明。

四、安全防護(hù)重點(diǎn)

在實(shí)際應(yīng)用中，不同單位所需的模式不同，部署的方式和架構(gòu)也有所不同，這導(dǎo)致面臨的安全問題和自身安全需求也千差萬別，而常見模式已經(jīng)面臨的安全問題可以分為以下幾類：

（一）All in one 模式

All in one模式的特點(diǎn)為企業(yè)應(yīng)用較為簡單，業(yè)務(wù)需求不高，可部署在單一云服務(wù)器ECS上。其所面臨的問題有以下幾點(diǎn)：

1、登錄安全：防止黑客通過暴力破解等登錄ECS；

2、賬號(hào)授權(quán)管理：不同用戶登錄ECS，分配不同權(quán)限；

3、服務(wù)器安全漏洞：服務(wù)器本身是否存在漏洞，是否及時(shí)打補(bǔ)??；

4、應(yīng)用訪問攻擊：web端的用戶攻擊，如SQL注入、XSS；

5、數(shù)據(jù)備份加密：針對云服務(wù)器ECS數(shù)據(jù)進(jìn)行加密存儲(chǔ)，快照，防止被黑客竊取。

網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)：防止DDOS攻擊，保證可用性。

（二）應(yīng)用與數(shù)據(jù)分離模式

應(yīng)用與數(shù)據(jù)分離模式的主要特點(diǎn)為在云服務(wù)器ESC上部署應(yīng)用，數(shù)據(jù)存儲(chǔ)在云數(shù)據(jù)庫RDS上。其所面臨的問題有以下幾點(diǎn)：

1、數(shù)據(jù)傳輸安全：保證ECS與RDS間數(shù)據(jù)傳輸過程中的保密性與完整性；

2、網(wǎng)絡(luò)通信安全：保證ECS與RDS間網(wǎng)絡(luò)通信不中斷；

3、數(shù)據(jù)庫訪問白名單授權(quán)：防止黑客IP訪問數(shù)據(jù)庫；

4、數(shù)據(jù)庫備份容災(zāi)：對數(shù)據(jù)進(jìn)行備份，保證及時(shí)恢復(fù)。

（三）應(yīng)用集群部署

應(yīng)用集群部署的主要特點(diǎn)為部署負(fù)載均衡SLB，后端部署ESC集群，解決系統(tǒng)前端壓力，提高可用性。其所面臨的問題有以下幾點(diǎn)：

1、服務(wù)器訪問授權(quán)：僅授權(quán)SLB對ESC進(jìn)行訪問，提升前端訪問ECS的安全性；

2、服務(wù)器安全區(qū)域隔離：防止黑客通過一臺(tái)ECS作為跳板入侵其他ECS；

3、負(fù)載均衡加密訪問：加密證書上傳至SLB，保證加密訪問每個(gè)ECS。

（四）動(dòng)靜資源分離

動(dòng)靜字源分離的主要特點(diǎn)為對非結(jié)構(gòu)化直接存入云存儲(chǔ)OSS，降低系統(tǒng)存儲(chǔ)壓力。其所面臨的問題有以下幾點(diǎn)：

1、云存儲(chǔ)數(shù)據(jù)備份和加密：對云存儲(chǔ)中數(shù)據(jù)進(jìn)行備份，保證數(shù)據(jù)不丟失，對云存儲(chǔ)中數(shù)據(jù)進(jìn)行加密存儲(chǔ)，防止被黑客竊??；

2、云存儲(chǔ)數(shù)據(jù)容災(zāi)：防止云存儲(chǔ)服務(wù)不可用而導(dǎo)致數(shù)據(jù)丟失。