IDC基礎設施云的安全策略研究

段 勇，朱 源

（中國電信股份有限公司上海研究院 上海 200122）

1 引言

雖然云計算已廣為人知，但是到底什么是云計算目前還沒有形成統一的看法或定義。業界有影響力的機構組織或商業公司對于云計算給出了不同的描述，不過大家普遍認同云計算應該具有以下5個基本特征。

（1）按需的自助服務

云服務不同于傳統的網絡服務或普通IT服務的一個鮮明特征就是無需人工干預的自助服務，如服務開通、配置變更、繳費、取消等操作都是自助完成的。

（2）寬帶接入

該特征要求云服務通過網絡提供，并且應該涵蓋基本上所有的客戶端，包括各種電腦、上網本、智能手機等。

（3）虛擬化的資源池

該特征來源于云服務的多客戶性質。在同一套物理資源之上給多個客戶提供服務，需要將原來孤立的、個體的物理資源通過虛擬化技術映射成為虛擬的、功能模塊化的、面向多用戶服務的資源池，并由系統統一、動態、按需地分配給各個客戶。由此帶來的另外一個結果就是客戶不再關心且基本上無法知道自己的某個服務在某個時刻運行在哪個物理位置的物理硬件之上。這些資源包括CPU計算能力、內存、存儲、進程、網絡帶寬、虛擬機、備份數據、維護人員等。

（4）快速彈性架構

這個特征被認為是云計算帶來的最大好處之一。用戶不再為系統擴容跟不上用戶需求預測而苦惱，也不用為短期項目完工后閑置的IT資源而擔心。系統規模的擴大/減小對于云服務的用戶來說變成了鼠標點擊事件，就好像云里的服務和虛擬資源是無限的、“召之即來、揮之即去”的。

（5）可測量的服務

這里強調的 “服務”，它應該是可以測量的、有明確價格和收費政策的。在使用過程中，各種服務（例如存儲、帶寬、活動用戶賬號、各種計算資源等）的使用、監視、控制等對于服務提供者和用戶都是透明的。

除了上述5個關鍵特征之外，多租戶也是云計算的重要特征。這些關鍵特征與云計算的網絡安全息息相關。

在互聯網進入Web 2.0時代以后，網絡安全威脅的發展趨勢有了很大的變化。云計算服務大量涌現，個人計算和企業計算大量向云服務遷移進一步加劇了圍繞著 Web的各種安全威脅。IDC于 2008年8月就云計算開展了調查活動，其中安全問題高居榜首。

IDC基礎設施云業務是基于云計算平臺的IT基礎設施租用服務。它通過虛擬化、自動化等云計算關鍵技術智能、動態地調配各種資源（如計算、存儲、帶寬、硬件、軟件等）提供給客戶,使客戶無需為繁瑣的細節而煩惱，從而能夠更加專注于自己的業務。

2 安全需求分析

對于IDC基礎設施云業務的安全需求，可以從兩個層面來分析：一方面，IDC基礎設施云業務仍然基于傳統的IT環境，從這個層面來看，大多數環境下，IDC基礎設施云平臺面臨的風險和威脅與傳統的IT環境沒有太大的不同；另一方面，云服務模式、運營模式和云計算新技術的引入，給運營商帶來了比傳統的IT環境更多的安全風險。

2.1 網絡層

IDC基礎設施云是一類面向互聯網客戶的公共云服務，要保證業務的正常運維，必須解決客戶與IDC基礎設施云之間的交互可能存在的風險，這部分由云計算技術的引入帶來的風險主要有虛擬化的網絡設備和云計算技術帶來的網絡區域和層次的隔離模型的變化。

（1）虛擬網絡設備

在IDC基礎設施云環境下，已經可以提供具備VLAN以及更多能力的虛擬交換設備，這些虛擬交換設備給在虛擬環境下部署支撐應用的靈活虛擬網絡多層架構提供了條件，如部署不同的應用服務器、Web服務器甚至數據服務器。如果采用傳統的部署在虛擬環境外的安全組件，是無法完成對虛擬網絡架構的各個服務器流量的監控和審計的，發生在虛擬交換機間的流量也是無法監控的，那么虛擬環境就成了整個安全的黑盒子，任何一臺虛擬環境下的服務器受到攻擊，將極容易擴散到其他的虛擬服務器或主機。

（2）網絡區域和層次的變化

以往的網絡區域和層次的隔離模型在公共的云計算模式下發生了很大的變化。多年來，網絡安全依靠分區，如內部網與外部網、開發環境和生產環境，通過隔離網絡流量提高網絡的安全性，該模型是基于只有特定的個人和系統有權訪問特定區域。同樣，在一個特定的層的系統往往只有特定的訪問權限，例如，在展現層的系統不能直接與數據庫層通信，但可以與授權的應用系統通信。

在IDC基礎設施云里，傳統網絡分區和層的概念已被公共云的“安全組”、“安全域””或“虛擬數據中心”替換，相比以前分區和層的模型，它是一個邏輯性更強的模型。例如，安全組可讓用戶的虛擬機使用物理或虛擬防火墻限制彼此訪問，實現基于IP地址的過濾等能力。

以往基于網絡分區和層的模型，不同的主機之間不僅從網絡邏輯結構上分開，這兩組系統在物理主機上也是分開的。但是有了云計算，這種分離不再存在。云計算的安全域之間都是邏輯分離，不再是物理分離，因為現在邏輯分開的兩個域可能都在一臺物理主機上。

2.2 主機和操作系統層

目前幾乎所有的IDC基礎設施云提供的服務都是采用了基于主機的虛擬化技術，因此這部分由云計算引入的風險主要考慮兩個方面，一個是虛擬化軟件的安全性，另一個是使用虛擬化技術的虛擬服務器的安全性。

（1）虛擬化軟件的安全性

該軟件層是一個非常重要的層次，坐落于裸機頂部，提供能夠創建、運行和銷毀虛擬服務器的能力。實現虛擬化的方法不止一種，實際上，有幾種方法都可以通過不同層次的抽象來實現相同的結果，如操作系統級虛擬化、全虛擬化或半虛擬化。在IDC基礎設施云平臺中，云主機的客戶不必訪問此軟件層，它完全應該是由云服務提供商來管理的。

虛擬化軟件層是保證客戶的虛擬機在多租戶環境下相互隔離的重要層次，使得在一臺計算機上能夠安全地同時運行多個操作系統，任何未經授權的用戶必須嚴格限制訪問。虛擬化對于IaaS云架構來說非常關鍵，任何可能會影響該層次完整性的攻擊對于云上的所有客戶來說都是災難性的。云服務提供商應建立必要的安全控制措施，限制對于hypervisor和其他形式的虛擬化層次的物理和邏輯訪問控制。

虛擬化軟件層的完整性和可用性對于保證基于虛擬化技術構建的公有云的完整性和可用性是最重要的，也是最關鍵的。一個有漏洞的虛擬化軟件會暴露所有的業務域給惡意的入侵者。

（2）虛擬服務器的安全性

虛擬服務器位于虛擬化軟件之上，客戶可以通過自服務平臺選擇滿足需求的虛擬服務器。客戶可以充分利用虛擬服務器，就像訪問物理服務器一樣，并通過Internet管理和使用。

對于云主機的客戶來說，可以完全訪問基于虛擬化軟件之上的虛擬機，因此客戶有責任確保具有訪問權限的客戶和虛擬機的安全管理。

從攻擊面的角度來看，虛擬機可以提供給任何在互聯網上的客戶使用，因此需要采取一定的安全措施，限制訪問虛擬機實例。通常情況下，IDC基礎設施云服務提供商嚴格限制虛擬服務器端口訪問，并建議客戶使用安全接入方式（如SSH、IPSec VPN等）來管理虛擬服務器實例。

虛擬機在公共IDC基礎設施云服務中可能遇到的安全威脅包括：

·竊取密鑰用于訪問和管理主機（如SSH的私鑰）；

·攻擊未打補丁的、有漏洞的標準端口服務（如FTP、NetBIOS、SSH）；

·沒有采取適當的安全措施的賬戶劫持（即弱或沒有密碼的標準賬戶）；

·攻擊不正確的主機防火墻安全系統；

·部署木馬嵌入在虛擬機軟件組件或在虛擬機鏡像（操作系統）本身。

2.3 應用和數據層

通常情況下，IDC基礎設施云服務提供商，如Amazon等，將客戶在虛擬機上部署的應用看作是一個黑盒子，云服務提供商不必關心客戶應用的管理和運維，當然，通常客戶也不希望云服務提供商知道自己的應用和數據。客戶的應用程序無論運行在何種平臺上，都由客戶部署和管理，因此客戶將對云主機之上應用安全負全部責任。當然，云服務提供商可以通過增值服務的方式提供相應的安全服務，如保障用戶應用安全相關的防火墻策略等。

總之，云主機的客戶負責其應用安全的所有方面，并應采取必要的措施來保護他們的應用程序，以防范安全威脅。當然，云服務提供商也可以根據客戶的需求，提供必要的基礎安全服務和增值的安全服務，保障客戶應用的安全。

3 安全框架

IDC基礎設施云的安全需求來自于多個維度，分布在管理、技術、業務、人員多個層面，采用分散的、獨立的安全技術和措施無法有效解決。安全是云計算的必要組成部分，需要作為一個整體進行系統考慮。

如圖1所示，IDC基礎設施云的安全要求包括技術要求、安全管理能力要求、接口要求以及法律和法規的遵從4個部分，這4個部分既相對獨立，又有機結合，形成IDC基礎設施云的整體安全框架。

（1）技術要求

技術要求從網絡層安全、虛擬層安全、操作系統層安全、應用層安全和數據層安全5個層面提出。

·網絡層安全主要指物理網絡（含存儲網絡）的安全。

·虛擬層安全指hypervisor（含管理平臺）、虛擬存儲和虛擬網絡的安全。

·操作系統層安全包括IDC基礎設施云中物理主機、虛擬化軟件、虛擬機鏡像和存儲平臺的操作系統安全。

·應用層安全包括IDC基礎設施云管理平臺相關的應用、用戶自服務平臺和中間件的安全。用戶在IDC基礎設施云中構建的應用安全由用戶自己保證，如果需要，可以增值服務方式提供給用戶。

·數據層安全包括IDC基礎設施云管理平臺相關的數據安全。用戶在IDC基礎設施云中的數據安全由用戶自己保證，如果需要，可以增值服務方式提供給用戶。

各層次需考慮的安全要素參見表1。

（2）安全管理能力要求

結合IDC基礎設施云的安全需求，安全管理能力要求涵蓋了以下7個方面。

·用戶管理

有了云計算，網絡、系統和應用的組織邊界將擴展到云服務提供商的網絡。采用云服務之后，整個云服務提供商網絡的信任邊界將變得動態化和模糊化，并且有可能不受控制。這種失控將挑戰既定的信任管理和控制模型，如果管理不善，會嚴重影響云服務的運營。

用戶管理最終目標是將用戶及其擁有的所有應用系統賬號關聯，集中進行管理維護，使用戶更高效地使用運營商的云服務，并為云服務的訪問控制、授權、審計提供了可靠的原始數據基礎。

·訪問認證

為了彌補損失的網絡控制能力，并降低網絡安全風險，云服務提供商將不得不依靠更高安全級別的手段來增強控制。這些控制表現為基于角色的強認證和授權機制、準確可靠的來源屬性、身份聯邦、單點登錄（SSO）以及用戶活動監控和審計。

訪問認證是指基于用戶的屬性對用戶的真實身份進行鑒別的系統。用戶訪問認證系統實現各設備及系統用戶的集中認證，并為多個系統提供單點登錄能力，由認證、授權、訪問控制、適配器（代理等）模塊構成。

集中的訪問認證目標是建立統一、集中的認證和授權系統，授權用戶對云服務的使用權，同時防止非授權用戶的訪問。在云計算的消費模式中，用戶可以從任何連接到互聯網的主機訪問云服務，而集中的訪問認證可以削弱這種不受控的訪問能力。

·安全審計

云服務提供商應建立安全審計平臺，收集各類網絡、主機、應用和業務層面的日志，并在審計平臺上進行統一的、完整的審計分析。審計平臺應涵蓋網絡層面的集中監控管理和業務層面的安全審計。云端的安全審計主要指云服務的使用和訪問監控方面，包括網絡層面、系統層面、應用層面和業務層面的安全審計。

·漏洞管理

漏洞管理是一個重要的威脅管理功能，云服務引入漏洞管理的主要目的是幫助保護主機、網絡設備以及應用程序不受已知漏洞的攻擊。云服務提供商需要建立漏洞管理機制和流程以應對安全風險。

·補丁管理

和漏洞管理一樣，補丁管理的主要目的是防止未經授權用戶利用已知漏洞攻擊云服務的主機、網絡設備以及應用程序，它也是云服務的一個重要的威脅管理模塊。

·安全配置管理

安全配置管理是另一個非常重要的威脅管理模塊，它主要用于保護主機和網絡設備，防止未經授權用戶利用配置漏洞。配置管理模塊是整體IT配置管理的一個子集，它和漏洞管理模塊緊密相關。配置管理模塊保護網絡、主機、應用程序的配置，并限定對關鍵系統和數據庫的配置文件的監控和訪問控制。

·安全事件管理

安全事件管理主要完成對事件的集中收集、管理和分析，主要的功能包括事件收集、事件集中處理和實時關聯分析。

表1 IDC基礎設施云需考慮的安全要素

（3）接口要求

IDC基礎設施云平臺不是一個獨立的業務系統，它將通過相關的外部接口實現業務的開通、受理、報表等功能，未來IDC基礎設施云的一些接口可能直接提供給客戶，與客戶的業務系統集成，因此在相關接口的設計中需要充分考慮接口的安全。

·可靠性

接口方式是信息模型的載體，無論采取何種接口方式，都應保證所傳遞的信息是可靠、完整和一致的。接口可靠性不僅要求交互方式的可靠與穩定，還要求接口的實現不能對參與接口的系統的可靠性造成任何不良影響，如當采集鏈路或程序異常時，不應造成數據丟失以及對接口相關系統的正常工作造成影響。

·保密性

IDC云平臺與外部系統通過接口交互的信息有著不同的安全保密要求，如配置信息通常比性能信息的保密要求更高，根據信息的安全級別可采取傳輸加密等多種方式進行保護。

·高效性

IDC云平臺的運行效率與接口效率密切相關，接口的高效性要求采用的接口方式與實現技術必須保證接口的暢通及不會造成待交互信息的積壓或延遲。

（4）法律與法規的遵從

合規性也是云安全一個非常重要的內容，作為云服務提供商，對外提供服務，需要考慮滿足相關的法律和法規的要求；作為云服務的消費者，在選擇云服務時需要考慮自身的合規性要求；云服務的提供商和消費者應該能夠滿足日益復雜的法規要求，不論是行業標準、管理制度或客戶特定的要求。表2列出了部分與信息安全相關的標準。

4 演進策略

4.1 演進原則

IDC基礎設施云安全體系的建設受IDC業務的驅動，通過分析云模式的IDC安全需求，并參照信息安全等級保護的四大基本原則（自主保護原則、重點保護原則、同步建設原則、動態調整原則），制定 IDC基礎設施云安全體系的演進策略，演進策略的制定將基于以下3大原則。

原則一：全方位、多層次綜合防護。IDC基礎設施云安全防護體系包括網絡防護、重要業務系統防護、基礎設施安全防護等多個方面，需要部署立體的防護措施。

原則二：在安全建設方面要適度。由于通常情況下，信息安全性與相應的成本及可用性成反比，因此在考慮安全性的時候應該考慮到各因素之間的平衡。

原則三：總體規劃、分步實施。根據業務模式和建設時序，逐步實現基礎設施層、數據層和應用層的安全體系。

4.2 演進階段劃分建議

對任何IDC基礎設施云服務提供商而言，實現上述安全功能和技術要求并非一蹴而就的，根據IDC基礎設施云的業務模式、建設時序和演進原則，筆者認為安全體系建設可以分為基礎安全服務、安全增值服務、集中安全管理3個階段，如圖2所示。

（1）基礎安全服務階段

本階段將完成云模式IDC基礎設施層和云管理平臺層的安全建設，主要包括：網絡層、虛擬層、操作系統層、云管理平臺自身應用和數據的身份鑒別、訪問控制、邊界保護、安全審計、入侵防范和資源控制等；云管理平臺自身的身份鑒別、訪問控制、認證和安全審計等。

表2 信息安全相關標準參考

（2）安全增值服務階段

本階段將在基礎設施層的安全體系的基礎上，實現用戶應用、數據和服務安全等增值服務，如用戶數據備份恢復、用戶應用和數據的機密性和完整性、用戶應用的密鑰管理等，同時進一步完善安全管理平臺的相關功能。

（3）集中安全管理階段

本階段將實現IDC層面的基礎設施、數據和應用的統一安全管理，并與現有安全管理平臺集成，如網管和服務平臺等，進一步提高云模式IDC的服務質量。

5 結束語

通過構建基于云計算的基礎設施平臺，可以降低電信業務的運營成本和新業務的引入成本，同時，運營商在數據中心、網絡、用戶和渠道上的積累，使其構建成本低、拓展優勢大、存儲能力強的資源平臺成為可能。但是云計算的概念和業務模式都很新，很多技術和業務都還在形成和發展當中，在云安全方面可以參考的標準目前僅有云安全聯盟（CSA）發布的《云計算關鍵領域的安全指南》。通過對云安全方面的研究和實踐，希望能夠找到符合IDC基礎設施云產品特點的安全解決方案，利用有效的技術和管理手段消除客戶的安全顧慮，提升客戶對此類產品的接受程度，以有效支撐產品的銷售。

1 石屹嶸,段勇.云計算在電信IT領域的應用探討.電信科學,2009,25（9）:24～28