企業(yè)云安全風(fēng)險(xiǎn)管控規(guī)劃

確立建設(shè)目標(biāo)

1.建設(shè)高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系

為了應(yīng)對(duì)云計(jì)算環(huán)境下的流量模型變化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在現(xiàn)階段企業(yè)私有云的建設(shè)過程中，多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對(duì)高密度的10GE甚至100G接口的處理能力。無論是獨(dú)立的機(jī)架式安全設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種安全業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建設(shè)思路進(jìn)行合理配置。同時(shí)，考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。

2.建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系

從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度（如狀態(tài)防火墻的安全隔離和訪問控制），需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN等映射到不同的虛擬化實(shí)例中，每個(gè)虛擬化實(shí)例具備獨(dú)立的安全控制策略，以及獨(dú)立的管理職能。從安全服務(wù)的角度，云計(jì)算服務(wù)商聯(lián)合內(nèi)容安全提供商提供類似防病毒和反垃圾郵件等服務(wù)，也必須考慮配合虛擬化平臺(tái)中間件實(shí)現(xiàn)操作系統(tǒng)層面的虛擬化實(shí)例，同一服務(wù)器運(yùn)行多個(gè)相互獨(dú)立的操作系統(tǒng)及應(yīng)用軟件，每個(gè)用戶的保密數(shù)據(jù)在進(jìn)行防病毒和反垃圾郵件檢查的時(shí)候，數(shù)據(jù)不能被其他虛擬化系統(tǒng)引擎所訪問，只有這樣才能保證用戶數(shù)據(jù)的安全。

3.以集中的安全服務(wù)中心應(yīng)對(duì)無邊界的安全防護(hù)

和傳統(tǒng)的安全建設(shè)模型強(qiáng)調(diào)邊界防護(hù)不同，存儲(chǔ)計(jì)算等資源的高度整合，使得不同的企業(yè)用戶在申請(qǐng)?jiān)朴?jì)算服務(wù)時(shí)，只能實(shí)現(xiàn)基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個(gè)或每類型用戶進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此，安全服務(wù)部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護(hù)，轉(zhuǎn)移到基于整個(gè)云計(jì)算網(wǎng)絡(luò)的安全防護(hù)，建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。

統(tǒng)籌建設(shè)原則

在設(shè)計(jì)技術(shù)方案時(shí)要遵從以下原則：實(shí)用性原則，完整性原則，整體均衡原則，安全目標(biāo)與效率、投入之間的平衡原則，動(dòng)態(tài)發(fā)展原則和節(jié)省投資原則。

設(shè)計(jì)建設(shè)模型

云計(jì)算環(huán)境安全首先考慮傳統(tǒng)IT安全技術(shù)向云計(jì)算環(huán)境延伸。在云計(jì)算環(huán)境安全建設(shè)的“傳統(tǒng)技術(shù)延伸”包含兩個(gè)方面，第一，雖然云計(jì)算環(huán)境是依托虛擬化技術(shù)，通過對(duì)物理資源的調(diào)度和共享實(shí)現(xiàn)資源合理使用和分配，其仍然是以物理環(huán)境作為支撐基礎(chǔ)，因此需要考慮云計(jì)算環(huán)境傳統(tǒng)網(wǎng)絡(luò)環(huán)境部分的安全；第二個(gè)傳統(tǒng)性體現(xiàn)在云計(jì)算環(huán)境是新型的資源使用方式，但安全防護(hù)威脅和漏洞仍然受傳統(tǒng)IT環(huán)境的影響，因此需要將現(xiàn)有傳統(tǒng)IT環(huán)境的安全防護(hù)手段運(yùn)行在虛擬環(huán)境下得以實(shí)現(xiàn)。

對(duì)于云計(jì)算安全建設(shè)應(yīng)重點(diǎn)考慮引入新的安全技術(shù)解決云計(jì)算特有的安全問題。在云計(jì)算環(huán)境下，邏輯上以獨(dú)立的虛擬機(jī)作為業(yè)務(wù)單元，需要在虛擬機(jī)上增減安全監(jiān)控手段，實(shí)現(xiàn)虛機(jī)運(yùn)行狀態(tài)、安全狀態(tài)的監(jiān)控和管理。虛擬化已經(jīng)成為云計(jì)算服務(wù)商提供了“按需服務(wù)”的關(guān)鍵技術(shù)手段，包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲(chǔ)資源、計(jì)算資源以及應(yīng)用資源都已經(jīng)向虛擬化方面向前邁進(jìn)了一大步，只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲(chǔ)計(jì)算及應(yīng)用資源的合理分配，并利用虛擬化實(shí)例間的邏輯隔離實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)安全。安全無論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，還是基于安全即服務(wù)的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。

具體思路如圖1所示。

1.基礎(chǔ)架構(gòu)安全：基礎(chǔ)架構(gòu)安全重點(diǎn)實(shí)現(xiàn)保障虛擬化、分布式計(jì)算等平臺(tái)架構(gòu)層系統(tǒng)架構(gòu)安全，具體包括：

主機(jī)安全。虛擬機(jī)監(jiān)視器安全：完整性驗(yàn)證、補(bǔ)丁管理、配置檢查；虛擬機(jī)安全：虛擬機(jī)隔離、惡意VM防護(hù)；HA、FT。

網(wǎng)絡(luò)安全。網(wǎng)絡(luò)隔離：采用虛擬交換機(jī)或VLAN實(shí)現(xiàn)網(wǎng)絡(luò)隔離。接入控制：端口限速，禁止混雜模式。訪問控制：部署虛擬防火墻，設(shè)置訪問控制策略。

數(shù)據(jù)災(zāi)備：數(shù)據(jù)冗余保護(hù)，虛擬機(jī)異地容災(zāi)。

應(yīng)用安全：SDLC、二進(jìn)制代碼分析、代碼簽名、應(yīng)用防火墻。

2.用戶數(shù)據(jù)安全：延續(xù)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下對(duì)于信息安全保護(hù)思想，實(shí)現(xiàn)用戶信息的可用性、保密性和完整性，具體包括：

數(shù)據(jù)安全隔離：通過虛擬化層安全機(jī)制，實(shí)現(xiàn)虛擬機(jī)間存儲(chǔ)訪問隔離。

數(shù)據(jù)存儲(chǔ)安全：為用戶提供加密存儲(chǔ)服務(wù)。

數(shù)據(jù)訪問控制：設(shè)置數(shù)據(jù)訪問控制策略，確保數(shù)據(jù)的私密性和完整性。

數(shù)據(jù)傳輸安全：采用數(shù)據(jù)加密、VPN等技術(shù)保障用戶數(shù)據(jù)的傳輸安全。

數(shù)據(jù)備份恢復(fù)：支持文件級(jí)完整和增量備份；VM鏡像級(jí)恢復(fù)和單個(gè)文件的恢復(fù)。

3.運(yùn)營(yíng)管理安全：云計(jì)算環(huán)境下更需要加強(qiáng)運(yùn)營(yíng)集中管理，利于運(yùn)營(yíng)的支撐和方便管理，實(shí)現(xiàn)虛機(jī)內(nèi)操作安全防護(hù)手段自動(dòng)管理，加強(qiáng)安全審計(jì)管理，具體包括：

用戶管理：對(duì)用戶賬號(hào)進(jìn)行集中維護(hù)管理，為集中訪問控制、集中授權(quán)、集中審計(jì)提供可靠的原始數(shù)據(jù)。

認(rèn)證授權(quán)：建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng)，以提高訪問的安全性。

安全審計(jì)：建立安全審計(jì)系統(tǒng)，進(jìn)行統(tǒng)一、完整的審計(jì)分析，通過對(duì)操作、維護(hù)等各類日志的安全審計(jì)，提高對(duì)違規(guī)溯源的事后審查能力。

管理規(guī)范：制定安全運(yùn)營(yíng)策略及安全維護(hù)規(guī)章要求。

應(yīng)急響應(yīng)：制定數(shù)據(jù)中心安全事件應(yīng)急響應(yīng)機(jī)制及流程，包括安全事件的等級(jí)劃分、處理流程、事件上報(bào)等規(guī)范要求。

風(fēng)險(xiǎn)管控覆蓋范圍

1.虛擬網(wǎng)絡(luò)安全

無論在虛擬數(shù)據(jù)中心內(nèi)部署什么應(yīng)用程序，安全策略都應(yīng)該能夠保證應(yīng)用程序的數(shù)據(jù)與運(yùn)行在物理基礎(chǔ)架構(gòu)時(shí)是完全相同的。因此，為這些應(yīng)用程序部署的所有安全措施(防火墻規(guī)則、網(wǎng)絡(luò)分片、反病毒程序和數(shù)據(jù)控制)都必須復(fù)制到虛擬化基礎(chǔ)設(shè)施。

但是，網(wǎng)絡(luò)安全控制和網(wǎng)絡(luò)管理員在物理基礎(chǔ)架構(gòu)中使用的方法不能應(yīng)用于虛擬數(shù)據(jù)中心。例如在物理基礎(chǔ)架構(gòu)中，管理員可以使用防火墻分隔服務(wù)器，但在虛擬環(huán)境中是不可行的。可能有一臺(tái)Web服務(wù)器連接外部網(wǎng)絡(luò)，另一臺(tái)服務(wù)器則在內(nèi)部網(wǎng)絡(luò)中，當(dāng)我們將這兩臺(tái)服務(wù)器轉(zhuǎn)移到虛擬基礎(chǔ)架構(gòu)時(shí)，它們就不再運(yùn)行在兩個(gè)獨(dú)立的硬件上，而可能是運(yùn)行在同一臺(tái)服務(wù)器的兩臺(tái)虛擬機(jī)上，但是它們?nèi)匀恍枰綦x。

2.虛擬網(wǎng)絡(luò)與物理網(wǎng)絡(luò)安全

虛擬化建設(shè)不可能一蹴而就，在建設(shè)的過程中應(yīng)該是逐漸向虛擬化過渡，在過渡的過程中，傳統(tǒng)物理網(wǎng)絡(luò)的邊界依然存在，傳統(tǒng)網(wǎng)絡(luò)中的安全問題也依然存在。并且由于虛擬化的加入，使這個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)顯示異常的復(fù)雜。

信息系統(tǒng)的邊界之內(nèi)包含多個(gè)局域網(wǎng)以及計(jì)算資源組件。邊界環(huán)境是比較復(fù)雜的。如果在邊界沒有一個(gè)可集中控制訪問請(qǐng)求的措施，很容易被惡意攻擊者或其他人員利用這些邊界進(jìn)行非法入侵。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYN Flood攻擊、IP欺騙攻擊等獲取系統(tǒng)權(quán)限，進(jìn)入系統(tǒng)內(nèi)部。所以需要對(duì)邊界部署訪問控制系統(tǒng)，有效監(jiān)控內(nèi)部網(wǎng)和公共網(wǎng)之間的活動(dòng)，并對(duì)數(shù)據(jù)進(jìn)行過濾與控制，保證內(nèi)部網(wǎng)絡(luò)的安全。

3.虛擬機(jī)安全

虛擬化與云計(jì)算是當(dāng)今最熱的技術(shù)之一，目前云計(jì)算平臺(tái)的應(yīng)用服務(wù)也計(jì)劃部署在虛擬化的平臺(tái)之上。但是隨著時(shí)間的推移，越來越多的基于虛擬化平臺(tái)的漏洞顯現(xiàn)出來。虛擬機(jī)逃逸就是其中典型的一種漏洞，虛擬機(jī)逃逸是指在已控制一個(gè)VM的前提下，通過利用安全漏洞，使虛擬化技術(shù)的安全模型失效，進(jìn)一步拓展?jié)B透到Hypervisor甚至其他VM中，其本質(zhì)未“逃逸”出傳統(tǒng)安全威脅的范疇。

4.身份認(rèn)證

為了保證信息資產(chǎn)與數(shù)據(jù)安全，企業(yè)必須無縫采用身份管理來連接到云端。要實(shí)現(xiàn)成功的云端身份管理，業(yè)者必須保證身份符合云端獨(dú)特的架構(gòu)需要，把身份看作一種會(huì)整合、抽象、擴(kuò)展的結(jié)構(gòu)，把身份當(dāng)作IaaS交付，就像它所支持的云平臺(tái)一樣。

身份必須符合云端需求，身份概念層次結(jié)構(gòu)的五個(gè)領(lǐng)域必須有所發(fā)展來實(shí)現(xiàn)云級(jí)別的身份結(jié)構(gòu)：訪問控制和授權(quán)；驗(yàn)證和單點(diǎn)登錄（SSO）；用戶賬戶管理和準(zhǔn)備；審計(jì)和合規(guī)。

訪問控制和授權(quán)同時(shí)管理自身場(chǎng)地部署的和云端部署的應(yīng)用是一個(gè)復(fù)雜的任務(wù)。在云端，沒有防火墻的保護(hù)，即使對(duì)于二進(jìn)制訪問來說，也無法依靠網(wǎng)絡(luò)邊界來控制。今天很多用戶在私有網(wǎng)絡(luò)之外，通過互聯(lián)網(wǎng)來訪問SaaS，不需要通過公司網(wǎng)絡(luò)。這樣授權(quán)就必須進(jìn)化成為分布式模型來支持網(wǎng)絡(luò)防火墻外的用戶。

5.數(shù)據(jù)存儲(chǔ)安全

在云計(jì)算時(shí)代，數(shù)據(jù)安全中的安全三要求：保密性、完整性、可用性依然存在。我們?nèi)匀粚?duì)數(shù)據(jù)的真實(shí)性、授權(quán)、認(rèn)證和不可抵賴性，比以前有著更深的不安與困惑。

數(shù)據(jù)存放位置：必須保證所有的數(shù)據(jù)包括所有副本和備份，存儲(chǔ)在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。例如，使用由歐盟的“法規(guī)遵從存儲(chǔ)條例”管理的電子健康記錄，可能對(duì)數(shù)據(jù)擁有者和云服務(wù)提供商都是一種挑戰(zhàn)。

數(shù)據(jù)刪除或持久性：數(shù)據(jù)必須徹底有效地去除才被視為銷毀。因此，必須具備一種可用的技術(shù)，能保證全面和有效地定位云計(jì)算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或使其無法恢復(fù)。

不同客戶數(shù)據(jù)的混合：數(shù)據(jù)尤其是保密/敏感數(shù)據(jù)，不能在使用、儲(chǔ)存或傳輸過程中，在沒有任何補(bǔ)償控制的情況下與其他客戶數(shù)據(jù)混合。數(shù)據(jù)的混合將在數(shù)據(jù)安全和地緣位置等方面增加安全挑戰(zhàn)。

數(shù)據(jù)備份和恢復(fù)重建(Recovery and Restoration)計(jì)劃：必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和云恢復(fù)計(jì)劃必須到位和有效，以防止數(shù)據(jù)丟失、意外的數(shù)據(jù)覆蓋和破壞。不要隨便假定云模式的數(shù)據(jù)肯定有備份并可恢復(fù)。

6.數(shù)據(jù)審計(jì)安全

除了上述的云計(jì)算中，數(shù)據(jù)存儲(chǔ)安全問題以外，對(duì)于數(shù)據(jù)的訪問以及審計(jì)也是我們值得重視的一個(gè)風(fēng)險(xiǎn)點(diǎn)：數(shù)據(jù)被未知的超級(jí)用戶訪問風(fēng)險(xiǎn)；合規(guī)性檢查風(fēng)險(xiǎn)；數(shù)據(jù)沒有被真正隔離的風(fēng)險(xiǎn)；數(shù)據(jù)恢復(fù)風(fēng)險(xiǎn)；增加司法調(diào)查困難的風(fēng)險(xiǎn)；長(zhǎng)期可用性保證的風(fēng)險(xiǎn)。