電信運營商云計算業務的安全解決方案

中國聯合網絡通信有限公司江蘇省分公司 張旦融 崔留星

電信運營商云計算業務的安全解決方案

中國聯合網絡通信有限公司江蘇省分公司 張旦融 崔留星

通過對目前主流的云業務網絡架構安全分析，組合形成了一種既能最大化發揮云計算方便靈活的使用優勢，又能保障云業務的安全、穩定的應用方案。目前已經成功的應用在多個行業大客戶的云業務上，取得了良好的效果。

云計算；安全；方案

建起一整套完善云計算平臺需要很高的成本，其復雜的網絡架構、大量的計算設備、彈性的虛擬化操作系統以及相應安全設備，使很多中小企業對其望而卻步，無法享用這種的低成本、高效率的計算技術。這也給云計算企業租用業務帶來了廣闊商機。

在實際的云業務推廣中，用戶首先想到的就是云計算業務將大部分的信息化系統，甚至網絡與設備都租用電信運營商的，那么網絡可靠么？設備穩定么？數據安全么？傳輸是否會泄密？似乎既想享用云計算業務的成本低廉、使用方便，又能確保應用和數據的安全可靠成為一種矛盾。但隨著云計算技術的日趨成熟，這些問題目前已經有了兩者兼顧的結局方案。本文就是提供一種基于多個網絡層面，結合多種安全方法的綜合解決方案，從而打消用戶對租用運營商云業務的擔心。

1 安全靈活的云業務網絡架構方案

目前，電信運營商結合自身優勢及用戶需求，主要對外推出的云計算業務包括云主機、云存儲、云數據中心、云辦公等應用。用戶的應用場景也主要集中在移動或固定場景下的網絡接入，獲取云計算平臺的計算資源，或通過云平臺使用具體某項應用，等等。主要的網絡架構包括：用戶接入層，運營商云平臺層，用戶應用層，等等。如：云存儲。其中，各網絡架構之間的數據傳輸可以使用專用網絡或公用網絡，網絡方式可以是有線網絡，也可以是無線網絡。如圖1所示。

采用上述的網絡架構本身就是一種安全上的提升。這比僅包括接入層和云平臺層的二層架構多了一種應用安全的保障，也多了很多靈活性。如初期云業務可以只包含接入層和平臺層，這種將很多應用和云平臺和在一起的方法雖然簡單，但如果云平臺一旦出了問題，很多應用及數據也相應得不到保障。而且，很多用戶級的應用可能還是需要在自身的網絡系統中，如很多金融、醫療機構等等。不可能將所有的數據全部放在運營商機房，這樣本身就不安全，針對于應用的增加也不靈活。而采用平臺層與應用層分離的方法就解決了上述問題。既方便用戶的應用靈活部署，又能夠比傳統的私有云具備一定的靈活性。

2 接入層的安全

一般來說，用戶最擔心的是云平臺的安全。覺得云計算平臺在運營商側，看不到也摸不著，一旦出現問題，輕則業務無法使用，嚴重的還會影響用戶自身的應用安全。但真實的情況恰恰相反，運營商側的云平臺使用的都是成熟的大型云操作系統，包括多種冗余與備份方案，還有基于運營商級別的各項安全設備，可以很好地降低絕大多數的攻擊及其他系統風險。而目前絕大多數的不安全因素都來自與接入層面，他相當于整個系統的第一道門。所以接入層的安全至關重要。

接入層安全主要包括兩個方面，接入層設備和傳輸網絡。常用的接入層設備包括PC（個人計算機），平板電腦及智能手機，特別是后兩者，隨著移動移動互聯網的飛速發展，基于后兩者的云計算應用逐步占了主流。而且無拘無束的使用計算資源也是云計算快速普及的主要原因。但這無疑會大大增加整個云業務受攻擊的幾率。相比與PC，平板電腦及智能手機帶來的威脅不僅僅是使用頻次的增加，更多的是移動設備的難以管理性。PC因為大多是企業配備而且更新期較長，所以很容易統一硬件，統一軟件。而移動設備大多是用戶自帶，而且更新期較短，經常不到一年就更換了一大半，操作系統也包括很多版本。很難統一軟硬件版本。在這里就需要一方面繼續做好PC端的管理同時，還需要對移動設備進行很好的管理。目前比較成熟的可行方案主要是引入MDM（移動設備管理）系統。他可以很好為用戶提供統一管理移動設備方案，包括接入的應用、終端的認證、終端的設置、終端的網絡及攝像頭等一系列軟硬件方面等等。

另一方面是接入層的網絡安全。無論是有線還是無線，PC還是移動終端，目前運營商云應用都可以提供公用網絡和專用網絡二種方式。專用網絡無疑是提供了更好的安全性，當然也要犧牲掉一些方便性。這就需要用戶根據不同的資費、不同的應用自行把握。一般來說，我們建議一些核心的、私密的應用，如OA（辦公自動化）、財務等應用，建議盡可能采取VPN（虛擬專用網），移動接入可采取APN（接入點名稱）加入，其他常用的應用在確保設備安全管理的基礎上，使用公用網絡即可。

3 云平臺的安全

云平臺是整個云業務的核心，也是運營商重點關注的方向。運營商有條件使用已有的網絡條件，再結合云平臺特性，可以構建起完整的安全架構，避免出現安全真空，強化了網絡隔離和虛擬化隔離。此安全架構層面主要采用了分層和縱深防御的思想。

分層防御（layered defense）：分層防御旨在采用多種方法，在網絡中多個區域執行安全性策略，從而確保網絡中沒有單點安全故障發生。

縱深防御（defense in depth）：縱深防御思想使用多重防御策略來管理風險，以便在一層防御不夠時，另一層防御將會阻止完全的破壞。

云平臺的安全框架從分層、縱深防御思想出發，根據網絡層次分為物理、主機/虛擬化、網絡、業務和數據、管理維護等幾個層面，同時整體上考慮滿足合規性等需求，用來指導整個云平臺的安全系統的部署，如圖2所示。

從圖2可以看出，使用運營商的云平臺，不僅僅可以共享使用高可靠的、高安全的對云計算系統與硬件服務器，而且還能共享使用運營商的對于其平臺周圍網絡的安全設備。如基于網絡的：采取防止DDOS（分布式拒絕服務）攻擊，流量清洗，高規格的防火墻；雙備份、熱切換的網絡設備；基于云平臺設備的：多負載、高可靠的服務器；大容量，多冗余的存儲架構。這也是相比其他中小企業的云平臺的巨大優勢。

4 應用層的安全

采用平臺與應用的安全分層設計，雖然增加了整個云業務系統的復雜程度，但對于用戶來說，卻可以提升更高的靈活性。用戶甚至可以通過專網或IPsec VPN把企業內網和云計算中心的企業數據和應用無縫對接。在網絡規劃上，運營商的云平臺的企業數據和應用，可以由企業統一規劃內網的IP地址。因此，從企業內網用戶來看，訪問云計算中心企業的數據和應用就如同訪問企業內網一樣。而企業出差員工可以通過靈活的SSL（安全套接層）VPN連接安全的接入云計算中心，實現移動辦公。這樣就及時充分發揮用戶私有云系統的業務靈活性、私密性，又可以享用運營商公有云系統的訪問的便捷性、安全性。采用這種架構的網絡結構如圖3所示。

這種網絡架構也可以大大打消用戶擔心關鍵數據存在運營商的疑慮。運營商的云平臺只是起到虛擬化應用的接入與管理，提供虛擬桌面的操作，而核心數據及關鍵應用可以通過專線連接，仍然保留在用戶內部。這種方案目前已經成功地應用在金融和醫療行業，得到了用戶的高度的認可。

5 多種安全方式的組合與管理制度

云計算帶來了成本降低、效率提高等一系列好處的同時，由于計算、存儲的集中，對管理維護提出了更高的安全要求，以保障上述所有基礎設施的安全運行。

運營商還有豐富的安全管理經驗，這也是整個平臺安全體系中重要的一環。由于計算、存儲的集中，對管理維護提出了更高的安全要求，以保障基礎設施的安全運行。對于賬號的管理，對于操作日志的記錄，對于告警系統的實時監控。總之，好的安全體系中除了設備，安全管理規范也是至關重要。做到將上述安全結合起來，在加上與用戶系統一起配合，就可以構建起一個穩定、安全的云應用業務。如圖4所示，在用戶，平臺接入，客戶系統，系統管理4個層面，構建終端、接入審核、數據傳輸、網絡安全、云平臺安全多種防護體系。從而徹底打消用戶對于使用運營商的云業務安全的疑慮。

綜上所述，真正組建一個安全、高效的云業務體系，關鍵是需要將上述整個安全架構組合起來，同時在加上運營商的管理經驗，用戶的緊密配合，形成一種與之相匹配的安全管理規范，從而既能發揮出云計算最大的性能優勢，又能確保安全，達到魚和熊掌的兼得。