企業(yè)云計算平臺網(wǎng)絡安全加固方法

朱俊平

（中國電信湖北增值業(yè)務中心，湖北 武漢 430032）

1 企業(yè)云計算概述

向云計算平臺演化是目前企業(yè)IT架構正在發(fā)生的重大變化。對于云計算（cloud computing）的概念有不同的理解。一般來說，在互聯(lián)網(wǎng)服務領域，云計算指的是一種基于互聯(lián)網(wǎng)的相關服務的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經常是虛擬化的資源。按照美國國家標準與技術研究院（NIST）定義：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡訪問，進入可配置的計算資源共享池（資源包括網(wǎng)絡、服務器、存儲、應用軟件、服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。另外一種云計算平臺的定義是狹義的，即企業(yè)使用的一種主要基于虛擬化技術的IT基礎設施。本文主要講述的是后者，即基于虛擬化技術的企業(yè)云平臺的網(wǎng)絡安全加固。

“云”，最早是網(wǎng)絡、互聯(lián)網(wǎng)的一種比喻性的說法。20世紀90年代，SUN公司提出了“網(wǎng)絡就是計算機”的著名口號。從那以后，網(wǎng)絡和計算的概念逐漸融合了。后來的“云”，演化成一種互聯(lián)網(wǎng)和底層基礎設施的抽象描述。2006年，Google公司首席執(zhí)行官埃里克·施密特首次提出“云計算”（Cloud Computing）的概念。

對于企業(yè)私有云平臺來說，虛擬化技術是云計算平臺的核心和基礎。虛擬化是一個廣義的術語，在計算機方面通常是指計算元件在虛擬的基礎上而不是真實的基礎上運行。虛擬化技術可以提高設備的硬件資源利用率，簡化軟件部署的過程。對于企業(yè)云平臺來說，常見的一種虛擬化是操作系統(tǒng)虛擬化，例如一臺計算機可以運行相同類型的多個操作系統(tǒng)。這種虛擬化可以將一個操作系統(tǒng)的多個服務器隔離開來（這意味著必須全都使用相同類型和版本的操作系統(tǒng)）；后來的虛擬化，則大都是運行不同的操作系統(tǒng)的虛擬機，構建在一個虛擬機支持平臺上。目前常見的虛擬機支撐平臺有Solaris Container、微軟Virtual Server2005、VM－ware、Xen、Virtubox、以及華為的 FusionCloud、中興的ZXCLOUD等。

2 企業(yè)云平臺網(wǎng)絡安全加固的方法和步驟

現(xiàn)在人們已經意識到，對于一個IT系統(tǒng)來說，網(wǎng)絡安全是很重要的問題。網(wǎng)絡安全的一般含義，是指保護網(wǎng)絡系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞篡改和泄露，保證網(wǎng)絡系統(tǒng)的正常運行、網(wǎng)絡服務不中斷。而對于一個企業(yè)云平臺來說，由于系統(tǒng)的復雜性和重要性，網(wǎng)絡安全顯得尤其突出。下面，從幾個方面論述企業(yè)云平臺網(wǎng)絡安全加固的方法。

2.1 安全域的劃分

從企業(yè)云平臺的整體架構上來進行網(wǎng)絡安全加固。目前，典型的企業(yè)私有云平臺，主要是一些虛擬化的服務器、業(yè)務處理機，或者虛擬化的客戶機集合，運行在一些相對集中的云資源池中。云資源池通常需要和互聯(lián)網(wǎng)以及企業(yè)內網(wǎng)、辦公網(wǎng)等網(wǎng)絡連通。在外圍，還有維護終端設備、辦公終端通過網(wǎng)絡連接到云平臺，如果云平臺需要對外服務，還有遠程客戶端通過互聯(lián)網(wǎng)連接進來。這樣，云平臺的網(wǎng)絡威脅就來自方方面面。為了把這些網(wǎng)絡界面以及面臨的網(wǎng)絡威脅區(qū)分開來，使用網(wǎng)絡安全域劃分的方法，然后針對不同的安全域采用不同的安全策略。一個云計算平臺，包括其內部的虛擬機，通?？梢苑殖捎嬎阌?、服務域、維護域和網(wǎng)絡域等部分。計算域，一般是指平臺中的核心計算單元，例如數(shù)據(jù)庫服務器等，這是網(wǎng)絡安全要求最高的部分，一般不允許外網(wǎng)訪問。服務域，一般是接口服務器、WEB服務器等需要對外提供服務的網(wǎng)元組成，在這個域中的實體，通常一方面要和計算域聯(lián)系，也要和外部其他網(wǎng)絡的設備甚至互聯(lián)網(wǎng)進行數(shù)據(jù)交互，因此是網(wǎng)絡環(huán)境最復雜的一個區(qū)域，需要靈活設置各種網(wǎng)絡訪問策略，既要保證業(yè)務能正常提供，又要防止各種網(wǎng)絡入侵的威脅，還要防止被黑客入侵后成為攻擊其他設備的跳板。維護域，一般是指維護終端，或者辦公終端等設備，主要供內部人員對云平臺設備進行維護操作或者辦公使用，在這個域中的設備，具有一定的系統(tǒng)訪問權限，但是也要防止對系統(tǒng)進行誤操作，或者變成黑客以及病毒、木馬攻擊系統(tǒng)的跳板。網(wǎng)絡域，一般是指路由器、交換機、防火墻等網(wǎng)絡設備以及各種網(wǎng)絡連線。網(wǎng)絡域的正常穩(wěn)定運行是云平臺系統(tǒng)正常運行的基本保證，網(wǎng)絡域也是實施各種網(wǎng)絡安全策略配置的主要節(jié)點。

2.2 網(wǎng)絡層的安全配置

在劃分好安全域之后，就需要做好網(wǎng)絡層面的安全配置。在網(wǎng)絡層的設備中，防火墻是很重要的安全設備。當然，有些路由器和交換機也可以做一些簡單的網(wǎng)絡安全策略。在各個安全域之間，原則上都需要配置防火墻，并設置不同的策略。防火墻一般有兩種類型，一種是包過濾型防火墻，這種防火墻對通過的每一個數(shù)據(jù)包進行檢查，允許符合安全策略的數(shù)據(jù)包通過，阻止不符合策略的數(shù)據(jù)包，而這些策略一般是以源和目的IP地址以及端口號作為參數(shù)來進行設置的。另一種防火墻是代理型防火墻，這種防火墻通過一種代理技術參與到TCP／IP連接的全過程，這樣從內部發(fā)出的數(shù)據(jù)包經過這樣的防火墻，就好像從防火墻的外網(wǎng)網(wǎng)卡發(fā)出一樣，可以達到隱藏內部網(wǎng)絡結構的目的，同時代理型防火墻還有可能對應用層等高層協(xié)議進行安全方面的管控，因此也是防火墻技術的一種發(fā)展趨勢。除了硬件防火墻以外，現(xiàn)在還可以使用一種軟件防火墻，例如windows server自帶的防火墻，以及l(fā)inux系統(tǒng)的iptables等。這種軟件防火墻，通常只能保護服務器本身，但具有一定的靈活性，有時是不可替代的。例如，同一個云資源池里，有一些虛擬的服務器位于同一個網(wǎng)段下，互相之間無法通過其他網(wǎng)絡設備隔離，這時就可能需要用到安裝在虛擬機上的軟件防火墻，隔離虛擬機之間的訪問，避免被黑客的跳板攻擊或病毒的傳播。

2.3 主機和操作系統(tǒng)的安全加固

在做好了網(wǎng)絡層的安全配置和加固之后，可以對主機和操作系統(tǒng)進行加固。在企業(yè)云平臺中，主要存在兩種主機，一種是云平臺支撐系統(tǒng)的主機，這些主機構成云平臺的基礎，同時實現(xiàn)云平臺的資源分配、調度管理等功能；另一些主機是指運行在云資源池內的虛擬機，這些主機用來組建各種應用和服務系統(tǒng)。這些不同類型的主機具有不同的操作系統(tǒng)，云平臺支撐系統(tǒng)的主機，一般運行VMware、Xen等系統(tǒng)；而虛擬機則一般運行Linux、Windows、Unix等系統(tǒng)。這些不同的操作系統(tǒng)，具有一些不同的常見安全漏洞和隱患，需要進行有針對的安全整改和加固。對操作系統(tǒng)加固，首要的是保證操作系統(tǒng)盡量是最新版的，然后打上最新最全的操作系統(tǒng)補丁。對于云平臺支撐系統(tǒng)的主機，建議和外網(wǎng)隔離，不要允許從外網(wǎng)來訪問，也不要和虛擬機在同一網(wǎng)段，防止被攻擊后引起整個云平臺的宕機。對操作系統(tǒng)的加固，還涉及到操作系統(tǒng)層面的一些安全配置，例如密碼長度和修改周期等策略、日志審計策略、遠程管理權限等，由于操作系統(tǒng)的默認設置都不是很安全的，需要修改成最安全的選項。在操作系統(tǒng)的安全加固方面，在實踐中也總結和應用了一些技巧，比如說同類型的操作系統(tǒng)，進行安全配置的命令基本相同，因此可以編寫一些腳本程序，讓這些程序執(zhí)行做好安全配置的修改，以適合大批量的同類型主機系統(tǒng)加固，可以節(jié)省很多時間。還有一種方法是利用云平臺的特點，建立好一個虛擬機，并把這個虛擬機配置的很安全，然后作為模版通過克隆的方式，可以克隆出許多類似的安全主機來，這些安全主機不需要再進行大量的安全配置工作就可以投入使用。

2.4 應用程序的安全加固

對各個主機中運行的應用程序做好安全加固。各個虛擬機中都會運行很多應用程序，有些應用程序是必須的，有些是操作系統(tǒng)默認安裝的但不是必須的。這些應用程序可能具有一些漏洞或者隱患，可能被黑客利用或攻擊。舉個例子，很多l(xiāng)inux操作系統(tǒng)，都默認帶有ftp，而這些ftp常常默認允許匿名用戶登錄。檢查這些應用程序的問題，我們一般需要用到掃描器，通過掃描器檢查后，發(fā)現(xiàn)主機上開啟了哪些TCP／UDP服務端口，以及這些服務是否存在弱密碼。如果發(fā)現(xiàn)主機上存在不需要的服務，則關閉這些服務的進程。對于存在弱密碼的服務，則修改密碼或刪除弱密碼對應的帳號。還有些服務，即使沒有明顯的漏洞，但只有特定的IP地址需要訪問，可以在軟件配置里限定只讓特定的IP地址訪問。

除了各種應用程序的加固，如果云平臺中運行的服務器提供Web服務，還涉及到Web等程序的加固。Web服務主要是Web程序中存在的如Sql注入、跨站腳本、信息泄漏等問題，這些漏洞一般涉及到Web編程，專業(yè)性較強，需要Web程序員來進行處理。

3 結束語

總之，企業(yè)云計算平臺的安全加固是一個多層面的系統(tǒng)工程。根據(jù)木桶理論，任何短板的薄弱環(huán)節(jié)都可能造成系統(tǒng)的脆弱性。只有在對企業(yè)云平臺系統(tǒng)各個層次和組件進行安全分析和加固之后，才能充分保障系統(tǒng)的網(wǎng)絡安全。