中國電信云計算業務平臺安全建設淺析

李 洪，渠 凱，伍思源，周文紅

（中國電信集團公司網絡運行維護事業部 北京100032）

1 引言

云計算為電信運營商帶來了良好機遇，為實現精細化運營、推進轉型深化提供了利器，作為承載中國電信集團公司增值業務的業務平臺系統逐步遷移到云計算環境，也將是今后發展的趨勢。

安全性是客戶選擇云計算時的首要考慮因素之一，也是在建設云計算業務平臺時所要重點考慮的關鍵問題。本文首先分析了在遷移到云計算環境后新增的安全問題，進一步提出了云計算業務平臺的安全防護體系和部署方案建議。

2 云計算業務平臺的安全重點

2.1 云計算業務平臺新增的安全問題

當業務平臺遷移到云計算環境后，由于虛擬化技術的引入，原本運行在物理服務器上的業務系統轉而運行到虛擬機上，因此出現了新的安全需求和問題。云計算業務平臺和傳統業務平臺相比，新增的安全問題主要包括以下幾個方面。

·主機層安全：基于以虛擬化技術為核心的云資源池，使得主機層安全需要重新考慮。一方面要考慮運行在虛擬機之上的操作系統、數據庫系統等的安全問題，同時還要考慮虛擬機管理程序（VMM）的安全問題。

·網絡層安全：虛擬化技術的引入使得傳統的基于物理服務器為單元劃分網絡安全域的方法發生了改變，與傳統的基于安全域隔離的模型不同，云計算模型不再有物理機的隔離，測試虛擬機可能與生產虛擬機在同一臺物理機上，相應的網絡隔離也不再存在。

·數據層安全：在虛擬化環境下，由于云計算平臺的多租戶特性，數據安全將更為復雜，需要考慮虛擬環境的用戶數據隔離、鏡像文件存儲、殘留數據處理等安全問題。

2.2 云計算業務平臺安全框架

基于上述對于云計算業務平臺的新增安全問題的分析，設計的遷移到云計算平臺后的業務平臺系統安全體系架構如圖1所示。

云計算業務系統重點需要考慮的安全問題主要包括以下內容。

·網絡層安全：除傳統的安全問題之外，需重點考慮虛擬安全域的問題，包括虛擬安全域劃分方式、虛擬安全域訪問控制以及相應的虛擬防火墻部署和配置等。

·主機層安全：主要分為虛擬機管理程序（VMM）安全和用戶虛擬機（Guest OS）安全兩個層面的問題。VMM安全是云計算系統新增的安全問題，主要包括VMM安全漏洞檢測、VMM用戶身份鑒別、VMM物理和網絡訪問控制、VMM安全審計等問題。Guest OS安全與傳統的主機安全需求基本一致。

·數據層安全：除了傳統業務平臺的機密數據保護和數據備份恢復之外，還需要重點考慮虛擬環境下的用戶數據隔離、用戶鏡像文件保護、殘余數據的銷毀和處理等問題。

·物理安全、應用安全、安全管理方面與傳統的業務平臺安全需求基本相同。

3 云計算業務平臺安全防護體系建設方案建議

3.1 云計算網絡安全防護體系建設重點

3.1.1 網絡安全防護體系建設整體思路

網絡架構建議采用云中心（cloud center）架構，可以將傳統的網絡安全技術和基礎設施平滑地轉移到云中。網絡安全防護建設的重點是分區規劃和分層部署。

分區規劃就是以VLAN為基礎，按照不同業務需求和安全需求劃分安全域，此部分與傳統安全防護手段基本相同，本文中將不再贅述。

分層部署是在每個區域的邊界處，根據實際情況進行相應的安全需求部署，包括防DDoS（distributed denial of service,分布式拒絕服務）攻擊、虛擬防火墻、流量分析與控制、VPN、入侵防御以及負載均衡等需求。考慮到云計算的特點，在分層部署時應重點考慮虛擬防火墻和抗DDoS攻擊設備的策略配置以及邊界安全設備的性能指標、可靠性和擴展性。

虛擬防火墻技術是實現云計算中心的安全域邊界防護的重要手段。所謂虛擬防火墻就是在一臺物理防火墻上虛擬出多臺邏輯上的防火墻，具有各自的管理員，并可以根據需要配置出完全不同的安全策略，各虛擬防火墻的安全策略互不影響。虛擬防火墻支持VPN實例綁定和VLAN實例綁定，提供相互隔離的安全服務，具備私有的區域、ACL（access control list，訪問控制列表）規則組和NAT（network address translation，網絡地址轉換）地址池，并且能夠將綁定接口加入私有區域。同時由于虛擬防火墻功能可將資源分別獨立分配給各個虛擬的系統，彼此之間互不干擾，因此當一個虛擬系統因抵御黑客攻擊耗費大量資源時，另一個虛擬系統的資源卻不受任何影響，從而有效保證網絡其他應用的正常運行。

對于云計算，其最大需求是實現計算、存儲等IT資源靈活調度，讓資源得到最充分利用，而實現這一需求的基礎是以數據中心的虛擬機作為主要的計算資源為客戶提供服務。較傳統網絡，云計算網絡的流量模型發生了兩個變化：一是從外部到內部的縱向流量加大；二是云業務內部虛擬機之間的橫向流量加大。

為保證未來業務開展，整個云計算數據中心必須具有高的吞吐能力和處理能力，在數據轉發和控制的各個節點上不能存在阻塞，同時具備突發流量的承受能力。對于安全設備選擇具體體現在以下兩個方面。

·安全設備接入數據中心，應具備10GE級接入、10GE級性能處理為基礎，并且要具備根據業務需求的靈活擴展能力。

·隨著服務器的虛擬化及多租戶業務部署，云計算環境下的網絡流量無序突發沖擊會越來越嚴重，為保證云計算服務的服務質量，安全設備必須具備突發流量時的處理能力，尤其是一些對時延要求嚴格的業務。

3.1.2 網絡安全防護體系部署示例

圖2給出了一個業務系統云平臺的網絡安全防護體系的網絡部署示意。建議在云數據中心邊界部署專業的抗DDoS攻擊設備，防火墻建議采用旁掛式設備部署在核心交換機之上，啟用雙機模式。防火墻設備和抗DDoS攻擊設備在選型時要充分考慮云數據中心的業務類型、業務容量、業務擴容性預期等，從而對設備架構、功能、性能指標、可靠性、擴展性等進行嚴格的遴選和測試。建議將云平臺中的每個業務系統單獨劃分為一個安全域，啟用硬件防火墻上的虛擬防火墻功能，通過VLAN ID將不同安全域綁定到不同的虛擬防火墻，這樣每個業務系統可以有獨立的安全邊界和管理員，通過虛擬防火墻可以設置獨立的安全訪問控制策略。對于虛擬防火墻和虛擬主機安全產品的選擇，要重點考慮啟用安全特性之后的性能損耗和產品的集中配置管理能力。

3.2 虛擬主機安全防護體系建設

在云計算數據中心中，由于虛擬化技術打破了物理邊界，使得傳統的基于物理服務器和物理邊界的主機安全防護體系難以有效地應用在虛擬主機的安全隔離和防護上。虛擬主機安全防護體系建設需要重點考慮的問題包括以下幾點。

·虛擬機安全隔離：傳統的基于物理邊界建立安全域的方法只適用于物理主機，對于虛擬主機如何實現有效的安全隔離，是安全防護體系需要重點考慮的問題。

·虛擬機安全監控：同一物理主機中的虛擬機之間的數據交互是通過虛擬交換機（vSwitch）實現的，這部分流量不會出現在物理交換機上，因此傳統的安全防護設備無法監控虛擬機之間的數據流量，也無法察覺虛擬機之間的攻擊行為。

·虛擬機自身安全保護：客戶虛擬機與傳統主機一樣，面臨病毒、木馬、惡意入侵等安全威脅；而對于VMM的安全防護，包括VMM的身份鑒權、訪問控制、安全漏洞修補、防止虛擬機逃逸等也是主機安全防護體系的重點。

對于解決虛擬主機的安全隔離和安全監控問題，目前業內主要有兩種技術方案。

（1）將虛擬主機網絡管理的范圍從服務器內部轉移到網絡設備

將虛擬機內部的不同VM之間網絡流量全部交由與服務器相連的物理交換機進行處理，這將使得安全部署變得同傳統邊界防護一樣簡單。

這種思路目前有兩種解決方案，分別是基于VN-Tag（虛擬網絡標簽）的IEEE 802.1Qbh和基于VEPA（虛擬以太網端口聚合）的IEEE 802.1Qbg。目前這兩個標準還處于草案階段，尚未正式發布。

這種解決思路的最大優點是：將復雜的控制功能重新交給技術成熟的網絡設備，可以繼續沿用傳統的網絡安全控制機制。但目前相關產品的技術成熟度和商品化程度不夠，VN-Tag由思科一家獨大，VEPA的支持廠商雖多，但成熟的產品尚未投放市場。因此該解決方案目前尚不適用，需要根據后續產品的成熟度而定。

（2）在虛擬化層實施安全隔離和安全監控

由于虛擬機之間的通信在虛擬化層可見，因此虛擬化軟件公司可以將虛擬化層接口開放給合作公司，由第三方開發虛擬化安全防護軟件。如VMware公司在虛擬化層提供了vShield安全套件，可提供虛擬安全邊界、防火墻、流量監控、防病毒等安全功能。

此方案不僅解決了虛擬主機的安全隔離和安全監控問題，也提供了客戶虛擬機的安全保護能力，同時實現了安全策略配置的自動遷移，應該說提供了虛擬主機安全防護體系的一攬子解決方案。但此方案也存在一定的缺點，一方面，安全套件在虛擬化層實現，沒有備份，存在單點故障；另一方面，安全套件以軟件形式實現，處理能力相對有限，而且會影響虛擬化層的性能。

綜上，基于虛擬化層的安全套件目前有較為成熟的商業產品，并且提供了針對虛擬主機安全防護體系的一攬子解決方案，因此是目前較為合適的選擇。但由于虛擬化安全套件有單點故障和性能影響等方面的缺陷，因此應與傳統的安全設備和技術手段相結合，建立縱深的安全防護體系。

3.3 數據安全防護體系建設

對于云數據中心的數據安全核心需求主要包括以下幾點。

·數據傳輸安全：數據在傳輸過程中不被泄露、篡改，以保障數據機密性、完整性、可用性。

·數據存儲安全：不同用戶數據在共享存儲介質中應安全隔離，并對訪問權限進行控制，用戶數據應保障隱私。

·數據可靠性：具備容災備份能力，當存儲設備發生故障時，可快速恢復。

具體到業務系統云平臺，建議對于不同業務系統單獨劃分安全域，不同業務系統的數據存儲在各自的安全域存儲系統中，這樣可以通過網絡邊界訪問控制實現數據存儲安全。在每個安全域的虛擬防火墻中制定相應的數據訪問控制策略，主要包括以下兩個方面。

·用戶級權限控制：定義不同的用戶和權限，通過權限控制限制不同權限用戶訪問和操作不同的數據。

·定義數據存儲對象的ACL控制：所有的對象都存儲于指定的存儲容器中，限定數據存儲對象的訪問IP列表、角色、用戶等ACL控制。

對于數據傳輸安全，主要應保證對于業務系統的管理維護以及數據傳輸使用加密通道，可以采用以下措施：

·啟用虛擬防火墻的VPN功能，實現從外網到業務系統云平臺數據傳輸通道的安全；

·對于業務系統設備的維護管理操作應采用加密通道，使用SSH、HTTPS等安全協議進行登錄和操作。

而對于虛擬系統的數據備份和數據恢復也是云平臺數據安全的重點，目前主流的虛擬系統都推出了相應的數據備份和恢復產品。

VMware公司推出的VMware data recovery支持快速備份到磁盤，支持快速和完全的恢復，從而能夠預防虛擬環境中的數據丟失，VMware data recovery部署架構如圖3所示，主要特點包括如下3個方面：

·基于磁盤的備份和恢復，可實現快速的虛擬機恢復；

·易于部署，VMware data recovery是一個運行于VMware ESX和ESXi主機上的虛擬機；

·根據需要恢復單個文件或整個鏡像。

思杰系統公司也提供了虛擬機鏡像備份恢復應用程序——VM protection and recovery（VMPR），可以基于策略對虛擬機做快照和歸檔，并為快照和歸檔分別設置計劃選項，從而實現虛擬機的備份和恢復。

4 結束語

云計算作為電信運營商下一步發展的戰略重點，同時其面臨的安全挑戰也是前所未有的。本文以業務平臺為切入點，就云計算安全防護體系建設進行了探討，闡述了云計算安全防護中的核心問題及對策，并提出了云計算業務平臺安全防護體系的建設方案，希望能給今后云數據中心建設一定的借鑒和參考。

為了實現云計算的安全目標，還需要在具體云計算平臺實現的基礎上，深入研究各個安全關鍵技術，并且逐步建立健全云計算安全管理體系和安全運維體系，這也將是今后需要進一步努力的研究方向。

1 中國電信集團公司.中國電信新建業務平臺安全驗收管理辦法，2011

2 張建勛，古志民，鄭超.云計算研究進展綜述.計算機應用研究，2010，27（2）：429～433

3 Craig Balding.Biggest cloud challenge:security.http://cloudsecurity.org/2008/10/14/biggest-cloud-challenge-security/，2008

4 CSA.Top Threats to Cloud Computing V1.0.https://cloudsecurity alliance.org/topthreats/csathreats.v1.0.pdf,2010

5 林兆驥，付雄，王汝傳等.云計算安全關鍵問題研究.信息化研究，2011（4）