云安全管理體系和建設研究*

汪 芳，張云勇，房秉毅

（中國聯通集團研究院 北京 100048）

1 引言

在云計算環境下，多租戶、資源共享、數據存儲的非本地化、承載業務類型的多元化以及用戶規模的指數增長將導致安全問題變得非常突出。因為高度集中了用戶和資源，云計算可能會帶來比傳統應用更高的安全風險。根據IDC和Gartner的調查報告，服務安全性、穩定性和性能表現是云計算服務的前三大挑戰，而數據的安全性和隱私問題是目前70%以上受訪企業近期不打算采用云計算的首要原因。近年來，幾大云計算領先服務商，如谷歌、微軟和亞馬遜都出現了云服務的重大安全事件，造成了范圍廣泛的服務中斷。由此可見，安全性是云計算面臨的關鍵性問題。

云計算對于用戶使用與訪問信息和計算資源的模式帶來的變革是全方位的，這意味著云安全所涉及的技術和管理方面的問題也是多方面的。云安全對傳統的信息安全技術的依賴不會降低，甚至會提高，特別是身份認證和訪問控制技術、數據傳輸和存儲加密技術、漏洞掃描和系統安全加固技術等。同時，云計算技術的應用也產生了新的信息安全問題，需要在這些方面加強防護，如虛擬機安全問題、資源共享后的用戶隔離和數據保護問題、云終端接入安全問題等。

企業積極穩妥地發展云計算，構建可控的云系統、云應用和云服務，對內提供云計算支撐能力，對外提供云服務能力，對云安全問題、技術和管理的研究刻不容緩。

2 云安全需求

2.1 企業的云計算建設

企業的云計算建設一般包括集中資源、統一數據、平臺接口統一化封裝和豐富的業務應用。

（1）集中資源

通過虛擬化、自動化管理技術，運用集約、規模、專業化手段，集中管理基礎IT資源，以共享、按需方式為業務應用提供IT基礎資源。物理上，對各系統IT資源集中統一管理，通過規?；托录夹g，構建云計算數據中心，形成統一主機托管、租賃和IaaS的對內支撐和對外服務基礎。邏輯上，通過虛擬化、集中調度管理、資源智能監控以及自動化配置管理等技術，形成面向服務的集中IT資源管理服務體系。服務上，通過自動化、人工相結合的方式，形成企業統一的IT基礎資源能力提供、服務、維護及安全保障的體系。

（2）統一數據

建設標準化的企業全景數據視圖，實現企業業務數據的規范、完整、一致、安全，通過云架構提供標準、統一的數據服務支撐和高效的分布式處理基礎，實現數據的統一管理和分布式計算的能力。一方面，規范、統一的企業級數據資源沉淀，形成企業全景、海量數據視圖和數據資源，為企業決策、管理、運營提供全面的數據分析與支撐服務。另一方面，規范、統一的實時/準實時運營數據存儲，支撐企業日常生產、運營、管理，保障數據的完整性、一致性。

（3）平臺接口統一化封裝

在集中、統一的數據基礎上，以分布式處理（分布式計算、分布式數據庫以及中間件）技術，形成支撐上層應用的分布式處理服務引擎。分布式處理引擎以大數據分析為基礎，并進行標準化的應用接口封裝,以RESTful接口承接應用，提供大數據處理效用和應用分布式處理能力，上層應用可專注于流程梳理、需求挖掘以及應用開發和部署。

（4）豐富的業務應用

基于分布式處理技術，以統一的接口封裝，形成多樣、靈活、簡捷的應用開發與運行能力引擎。

2.2 對云安全提出的需求

企業云計算的建設對云安全提出了以下需求。

（1）資源集中的安全

網絡和主機等基礎資源集中后將承擔更大的安全風險，在資源管理和攻擊抵抗方面將承擔更大的壓力。需要強有力的抵抗網絡攻擊的能力，保障主機資源可用性，保障虛擬機和虛擬化環境安全以及虛擬機動態遷移和自動管理的有效性，形成集中基礎資源安全保障體系。

（2）數據集中的安全

云計算集中大量用戶的數據，如果在數據存儲、處理和傳輸的過程中關鍵信息或隱私信息的丟失、竊取會對用戶造成致命的損失。需要保障海量數據的存儲、處理和傳輸的安全性和可靠性，保障信息的完整性和可用性，并提供完善的用戶認證和訪問控制機制，提供有效的數據安全評測、審計和監管方法，形成集中數據安全保障體系。

（3）云平臺和接口的安全

用戶和資源高度集中后，云計算平臺需要保障其抵抗攻擊能力和服務連續性，對云平臺的安全策略等提出了挑戰。基于PaaS服務的云平臺為大量用戶提供應用編程接口，需要保障接口的安全，避免惡意的接口調用。此外，為了給構建于平臺之上的各類應用提供安全能力，平臺層可以開放部分安全能力，讓應用得以快速開發和部署并規避安全風險。

（4）云應用的安全

云應用對公眾開放后，具有相當大的靈活性和開放性，給應用安全帶來非常大的挑戰。

3 云安全管理體系建議

為建設企業內部IT系統與外部業務相連的、成熟的、統一的、安全的云系統，建議構建統一的云安全管理體系，集成云計算所涉及各層次安全問題的解決方案，形成一個綜合的云安全支撐系統，具備為云架構和云服務提供全方位安全保障與服務的能力，如圖1所示。

云安全管理體系可以分成5個方面：數據安全和隱私保護、虛擬化運行環境安全、差異化移動云安全接入、基于SLA的動態云安全服務、風險評估及監管體系。其中，數據安全和隱私保護的方案貫穿安全技術體系的不同層次，而數據的所有權和管理權的分離也正是云計算模式下最大的安全問題；虛擬化運行環境安全、差異化移動云安全接入、基于SLA的動態云安全服務分別是不同層次的安全問題研究點；風險評估及監管體系能夠對來自不同層次的安全風險做出全面評估，并對其安全現狀進行監控管理，反過來也能夠促進安全技術體系的完善，從而形成整個安全體系的良性循環。

4 云安全建設重點建議

按技術成熟度和實施的復雜度，企業可以分3個階段發展云計算。

第一階段：此階段建設重點為云基礎設施的建設。此階段云安全建設重點為基礎設施安全，包括服務器整合、桌面虛擬化安全和VDC云安全等。

第二階段：此階段建設重點為將新系統架構在云系統上，同步進行適合云架構的老舊系統的模塊改造工作。此階段云安全建設重點為公眾應用云安全。

第三階段：此階段建設重點為建設統一的PaaS平臺。此階段云安全建設重點為云平臺安全。

4.1 服務器整合安全

服務器整合的目的，是通過將企業部分業務遷移到虛擬化平臺之上運行，達到節省系統資源、易于更新擴容和方便管理的目的。服務器整合過程中，建議重點關注以下幾點：

·合理配置不同的業務系統區域，不同重要級別的業務在設計中盡量不部署在同一臺物理服務器上；

·進行合理的VLAN和安全域劃分，在安全域劃分中，關注公網訪問、第三方接口、運維管理等需求；

·設備充分利舊，確保業務之間的隔離，需要注意服務器整合之后，對多業務共同使用的公共防火墻性能要求進行評估，在現有設備不能滿足需求的情況下，可能需要新增防火墻設備；

·虛擬化平臺防護措施，對虛擬化平臺進行保護，保護措施可能包括啟用虛擬化平臺固有的安全選項（如Xen所在的Linux平臺中的SELinux）進行系統加固等；

·虛擬化平臺安全功能，關注虛擬防火墻實現、補丁管理以及對業界漏洞掃描軟件的整合；

·關注云計算平臺的備份恢復能力。

4.2 虛擬桌面云安全

虛擬桌面是將客戶的電腦環境移植到虛擬化主機環境中進行集中管理和維護的云產品。終端只需要一臺瘦終端以及鼠標、鍵盤等簡單的外設，便可以降低運營成本、提高維護效率。虛擬桌面云用于企業內部座席業務、辦公網絡等。在虛擬桌面云中，需要重點關注如下內容。

（1）終端安全

虛擬桌面的接入終端有多種形態，可以通過普通臺式機、筆記本電腦，也可以通過瘦終端和各類智能終端接入，終端安全的重要性較高。在虛擬桌面云終端中，關注病毒查殺或黑白名單機制，特別是專用的終端，如瘦終端，可以通過配置黑白名單的方式僅允許操作員運行某些特定的進程，如瀏覽器。

（2）接入安全

虛擬桌面有多種接入方式，如有線接入、無線接入（Wi-Fi、3G等），在終端安全可以保證的情況下，需要關注數據傳輸過程中的安全。對于一定需要外部網絡接入的場景，如外網登錄辦公等，配置VPN網關是非常必要的，只有用戶登錄VPN之后，才能夠連接桌面辦公環境。在用戶登錄階段，可以使用OTP一次性密碼或通過USBKey的方式實現雙因子認證。

（3）虛擬桌面防病毒

虛擬桌面防病毒可以采用普通的桌面防病毒軟件，但是用普通的桌面級防病毒軟件可能存在掃描風暴、病毒庫更新風暴等問題。建議采用專門針對虛擬桌面設計或優化的防病毒系統。此類系統減輕了虛擬桌面本身的負載，有任務調度能力，可以有效避免大量虛擬桌面同時進行病毒掃描或病毒庫更新的操作，減輕系統負載。

4.3 VDC云安全

VDC主要面向大型行業或集團用戶提供虛擬專有云服務，如VPS云主機、彈性云主機、在線云存儲以及與云終端相結合的服務，同時開展相應的VDC增值服務,如云安全服務、云災備服務等。從根本上來說是IaaS云的一種應用。因此其安全需求與普通的IaaS云一致。同時，為了為用戶提供更加豐富的增值服務，VDC云安全應有兩方面的系統建設目標。

（1）系統級安全

系統級安全主要保證為用戶提供的系統環境是安全的，目標是保障系統平臺安全，保證云計算平臺自身的安全性。系統級安全的實現手段是通過網絡層/系統層和部分應用層措施，提升系統的安全性，面對云計算的安全風險，著重關注虛擬化安全以及特定場景下的數據安全。主要包括用戶之間的隔離（通過物理防火墻或虛擬防火墻實現）；網絡防病毒網關；防DDoS的流量清洗等措施。

（2）用戶級安全

用戶級安全作為增值服務提供給用戶進行選擇。在IaaS云中，云服務提供商并不負責租給用戶的操作系統以及其上業務的安全。但是通過增值服務的方式提供部分安全能力，可以給用戶更大的選擇余地。用戶級安全的目標是為用戶提供可定制、按需付費的安全服務，以達到為用戶提供“低價格、高質量的增值服務”的系統建設目標。用戶級安全的實現手段是在達成系統級安全目標的基礎上，為用戶提供安全能力，增強用戶對安全的控制和感知。具體可以考慮以下安全措施：VPN接入；服務器防病毒；用戶可自定義規則的虛擬防火墻；用戶自助的漏洞掃描；IPS入侵防御；統一日志關聯分析（統一威脅管理）；容災備份能力。

4.4 公共應用云服務安全

公共應用云服務是指企業提供SaaS業務模式。SaaS業務模式與PaaS、IaaS業務模式有較大不同。SaaS業務模式與傳統的應用服務提供商業務有很多類似之處，從應用服務提供商業務模式演變而來。但與應用服務提供商的業務模式相比，SaaS又有諸多不同：SaaS為一對多的服務，同時為很多用戶提供應用；SaaS服務領域比較寬，不僅是對某個應用系統的托管，而且包括了很多Internet相關服務，如企業電子郵箱、在線辦公協同、CRM、ERP等，這些系統可以有機地集成在一起；在技術實現上，SaaS與傳統的應用服務也有很大的不同，更加強調平臺共享，廣泛使用虛擬化技術。

在確定公共應用云服務安全之前的首要工作是明確需要做哪些服務，也就是提供哪些業務作為服務，這些業務之間是否有關聯；其次是確定使用哪些技術實現業務功能（如是否采用虛擬化、采用何種虛擬化）。確定了服務業務內容和業務關系以及技術方向之后，根據服務業務的風險級別、敏感性來確定具體的安全策略。

從通用角度分析，根據公共應用云服務固有的特點，應著重考慮以下幾方面的安全。

（1）明確各角色的責任義務

法律法規層面，明確各角色的責任義務。設計研發層面，因SaaS是直接向最終用戶提供服務，因此從設計階段就應考慮安全，設計開發階段應重點考慮。

（2）登錄認證安全/身份管理

對重要的業務系統，應強制用戶使用高強度密碼，在系統內部應加密保存。建議采用雙因子密碼機制，如動態密碼加靜態密碼或USBKey加靜態密碼，防止賬號密碼被盜。如SaaS中提供多個有機結合的業務，應提供單點登錄功能。

（3）傳輸安全

保證在互聯網上傳輸的數據不被截獲，對數據采用加密傳輸（SSL等）。比如，SaaS方面的領導廠商SalesForce、XToolsCRM都是采取全程加密的，全部頁面均采用HTTPS訪問。在必要的情況下，應該實現服務器與客戶端的雙向證書認證。

（4）數據私密性安全

針對具體業務需求分析確定數據是否需要加密。

（5）數據可用性安全

提供專業的數據容災備份措施，建立容災備份中心，發生重大問題時，可以較快地恢復用戶數據，恢復服務能力?？煽紤]建立流量清洗中心，防止DDoS攻擊。

（6）數據隔離安全/認證授權

SaaS服務的特點是提供一對多的服務，因此要在設計開發階段（代碼層面）嚴格限制不同用戶之間的數據訪問，防止用戶數據泄漏。隔離可能是多個層次的，從應用層的業務邏輯隔離，到數據庫層的數據隔離，在必要的情況下，可能需要為重要客戶提供單獨的存儲空間以確保物理隔離。

（7）虛擬化安全

如果使用了虛擬化技術，應保障虛擬化安全。

（8）日志及審計

確保SaaS操作中各個層面均存在日志及審計措施，以進行問題追溯。

4.5 云平臺安全

開發者在集成應用開發框架、中間件、數據庫和消息隊列等功能的云平臺上，利用云平臺提供的開發語言和工具進行開發。云平臺本身的技術復雜、成熟度不高，提供云平臺的服務模式將是企業實施云計算面臨的最大挑戰。為保障云平臺安全，特別需要保證接口安全和運行安全。

（1）接口安全

利用云平臺接口進行對內和對外的攻擊和云服務的濫用，是云平臺開放接口后面臨的最大威脅，應有加強訪問控制的措施，如接口的強用戶認證、確保加密的有效性等。

（2）運行安全

在云平臺上搭載的用戶IT系統也是云平臺開放面臨的問題，需確保其不會在云內部發起攻擊，因此需要加強用戶應用的安全審核和監控、加強不同用戶系統的隔離。

1 Cloud Security Alliance.Security Guidance for Critical Areas of Focus in Cloud Computing,2011

2 Udo Helmbrecht.European Network and Information Security Agency.Proceedings of Cloud Computing,Benefits,Risks and Recommendations for Information Security,Heraklion,Greece,2004

3 Tim Mather,Subra Kumaraswamy,Shahed Latif.Cloud Security and Privacy,an Enterprise Perspective on Risks and Compliance.USA:O’Reilly,2009

4 The NationalInstitute ofStandards and Technology,US Department of Commerce. Guide to Security for Full Virtualization Technologies，2011

5 Vic Winkler.Securing the cloud,cloud computersecurity techniques and tactics.Elsevier,2011

6 James E S,Ravi N,Morgan K.Virtual machines:versatile platforms for systems and processes,Morgan Kaufmann,2005

7 英特爾開源軟件技術中心,復旦大學并行處理研究所.系統虛擬化——原理與實現.北京：清華大學出版社，2009

8 馮登國,張敏,張妍等.云安全研究.軟件學報，2011，22（1）：71～83