摘 要:云计算是新的技术和商业模式。鉴于企业用户对安全性与可靠性等方面的考虑,企业云计算的发展路径通常会是先虚拟化、私有云,进而向共有云、混合云演进。为关系相对闭合、应用特征有相似性的多企业租户提供集约化运营的共有云服务,对云平台提出了更高的安全要求,需要进行系统的研究,针对由云计算和特定多企业租户而引入的新安全问题,给出相应对策,并在整体上提出适宜的安全框架与演进策略。
关键词:云计算;共有云;云安全;演进策略
中图分类号:TP311.11 文献标识码:A
1 引言(Introduction)
云是互联网的一个隐喻,云计算指使用互联网来接入远端存储或者运行在远程服务器端的应用、数据或服务。Garnter公司在对云计算的调研中,70%的人认为云计算最大的问题是安全[1]。
值得强调的是,相关联的企业群集采用专有云模式有其在安全方面的突出优势。由于共有云平台运营商的集约化经营,使得安全更专业、安全成本更低[2]。这包括专业技术人员和安全专家、集中的补丁关注和辅助分发、更完备的动态可调度的安全资源(虚拟防火墙、DDOS清洗设备、IDP等设施)等。
这种IDC运营商提供的专有云,因其物理资源多租户共享而不同于企业私有云,同时因其客户群既有信任与协作关系,以及共享某些特定SaaS的要求,也有别于任意多租户公有云的安全特征。这种针对特定用户群体、集约化运营的云平台,称为“共有云”。
IDC运营商需要针对此种需求,建设企业共有云数据中心,契合此类企业集群的云服务需求,特别是打消企业的安全顾虑,使企业群体在共有云数据中心“安居乐业”。
2 安全问题分析(Security problem analysis)
2.1 数据中心的传统安全问题
数据中心的传统安全首先是场地基础设施和IT基础设施的安全问题,包括物理安全和设备安全。物理安全涉及进出入门禁、视频监控、安保防卫和抗震防汛等机房因素。设备安全问题来自设备的可用性,关注数据中心是否双电、双网、UPS配置等[3]。
其次是网络与应用所带来的安全问题,网络为用户访问提供传输与控制通道,而应用系统本身在云或非云环境中行为逻辑没有发生本质的变化,用户接入、网络攻击、网络病毒感染等已是必须纳入应对的标配安全问题,相应对数据中心提出的安全需求包括:防火墙、IDS/IPS、Anti-DDOS、传输安全(SSL VPN)等。
进而,部分数据中心托管用户对于其系统或生产数据,还有备份的安全需求;如果租用数据中心的存储资源,对存储资源的专用性、对存储数据的安全性都会有相应的要求。
2.2 IaaS云安全问题
虚拟化技术、多租户业务模式和特权用户(云平台运营商系统管理员)问题使得IaaS服务面临着更大的风险。
具体可分为四类问题:一是系统与虚拟化安全问题;二是网络与边界安全问题;三是应用与数据安全问题;四是身份与安全管理问题。
2.2.1 系统与虚拟化安全问题
在多租户环境下内存的动态分配对安全是一个威胁。许多高等级的攻击极有可能利用剩余信息通过复杂的技术来获得其他用户的敏感信息。如果云操作系统在将内存重新分配给用户时,不能对分配的内存作写“零”处理,就不能防止新启动虚机中或有恶意内存检测软件检测到其他用户有用信息的可能[4]。
概况之,从云平台的角度看,虚拟机是云计算操作系统的一个应用;而从虚拟机的角度看,Hypervisor就是原来的硬件层。因此,云安全的核心控制点在云操作系统,云操作系统需要安全可控。
2.2.2 应用与数据安全问题
IaaS使用共享存储。存储系统创建逻辑卷,并维护逻辑卷与磁盘条带化之间的对应关系。Hypervisor(或称云操作系统)则建立和维护不同的虚机与后端存储系统逻辑卷之间的映射关系,并根据这个映射关系提供存储路由控制。如果云操作系统不是安全可信的,就不能保证不同虚机间的存储隔离,不能防止不同虚机之间逻辑卷的非法访问。
同时,应用与数据安全要求企业客户的诸使用者分权分域,“各行其道”,不能有权限使用不该使用的资源;如客户顾虑到云端数据有被运营通过非法挂卷等手段而窃取的可能,还会有磁盘加密的要求。
2.3 共有云的安全问题
多租户的企业间、租户与云平台运营商之间,因为具有所有制背景、业务合作或隶属等关系纽带,具有相当程度的熟悉与信任。这为许多企业出于安全考虑而暂避公有云但能接受共有云奠定了基础。同时,共有云的租户也同样具有对自身应用相互隔离、对于共享应用确保集群内高安全高可用的安全需求。
2.4 内部SaaS应用可访问的问题
企业租户在共有云平台上架构自用VPC,也通过共建VPC来实现高安全共享的特定业务,要求通过统一的网络入口接入云平台,同时各连接在网络层的逻辑上相区隔。这要求通过虚拟化技术、地址空间对外不可达等实现多通道防护的传输安全、接入认证和接入可靠性。
3 安全框架(Security framework)
基于系统考虑,安全框架包括安全技术、安全管理功能、接口安全和法规遵从四个方面。
这四个部分既相对独立,又有机结合构成共有云整体安全框架。其中安全技术覆盖了IaaS云服务数据中心的物理场地、设备高可用、网络层、虚拟化层、数据与应用层五个部分。
3.1 安全技术
针对不同层面的安全需求,结合共有云多租户所特有的既信任又相对独立、既资源共享却彼此隔离、私有应用为主公有应用为辅等特征,提出如表3所示的共有云安全技术应用的层次框架。
传统的应用于高标准数据中心的安全技术继续适用。同时,在构建虚拟化安全、应对共有云网络安全的高性能要求,以及对共有云多租户接入安全(传输、内网地址规划)方面有新的技术对策。 3.1.1 虚拟化安全
虚拟化安全包括虚拟机安全(包括虚拟化防病毒、多因素的认证、应用程序保护等措施)和VM管理系统(VMM)安全。后者可细分为虚拟机可信、虚拟化条件下的轻量级代理甚至无代理的防病毒解决方案、虚拟化防火墙、Hypervisor加固、虚拟机隔离等。
数据中心云可信操作系统利用服务器上TPM芯片,提供云操作系统完整性保护方案,实现云操作系统的可信启动和可信运行。磁盘加密则实现虚拟机上用户卷的全盘透明加密解密。
为防止虚拟机之间的攻击,主要是防止VM的地址欺骗。Hypervisor中的虚拟交换机可将VM的IP地址和MAC地址绑定,限制虚拟机只能发送本机地址的报文,防止VM IP地址欺骗和ARP地址欺骗。
针对安全设备性能与高可用需求,可采用具有网络虚拟化功能的安全设备,将多台物理安全设备虚拟成一台逻辑设备,结合Vlan等隔离技术,提供既集约又可靠的安全服务。
3.1.3 共有云接入
当前阶段,企业核心应用平台(云或非云)与企业总部、企业分支节点的接入方式有广域网专线和通过Internet接入两种。使用VPN进行加密传输是通用的选择。不同的企业采纳不同的VPN技术(如IPsec VPN+GRE;或SSL VPN/L2TP+IPSec)。随着企业信息化的深入发展,从企业集群角度看,将有多种VPN类型客户的认证方式和繁复的访问权限划分。结合共有云的建设,引导企业使用统一的VPN接入平台,规范并统一VPN用户的权限控制,统一接入认证的方式,将给企业IT日常维护管理带来极大方便,提升整个企业群体的安全水平。
3.2 法律与法规的遵从
云服务供方和企业需方应满足日益复杂的法规要求,不论是行业标准,管理制度,或客户特定的要求。信息安全相关标准可参考表3。
4 结论(Conclusion)
未来经济对云计算能力的依赖,将像传统工业对电的依赖一样。企业云平台建设与应用部署时,客观上存在着诸多可复用或可集约的环节,企业在政策上也趋于更多地采购IT服务而非资产投资。更有意义的是,企业集群具有共同的上级监管部门或控股公司,或有相同的孵化器或产业协作链,从发展来看,其在业务上或职能上要求有标准统
一、数据集中的大数据系统或联动的O2O服务模式。构建共有云服务平台,在企业群体相互安全可信、云平台安全架构完备的基础上,工业化的IT运营加互联网思维的业务耦合,云数据中心运营商必然大有可为。
循着服务于多租户的运营创新,在云计算IaaS层安全之外,平台型信息服务企业在大数据、O2O等方面的研究和探索将有更为广阔的天地。