企業共有云安全策略研究

何軍

摘 要：云計算是新的技術和商業模式。鑒于企業用戶對安全性與可靠性等方面的考慮，企業云計算的發展路徑通常會是先虛擬化、私有云，進而向共有云、混合云演進。為關系相對閉合、應用特征有相似性的多企業租戶提供集約化運營的共有云服務，對云平臺提出了更高的安全要求，需要進行系統的研究，針對由云計算和特定多企業租戶而引入的新安全問題，給出相應對策，并在整體上提出適宜的安全框架與演進策略。

關鍵詞：云計算；共有云；云安全；演進策略

中圖分類號：TP311.11 文獻標識碼：A

1 引言（Introduction）

云是互聯網的一個隱喻，云計算指使用互聯網來接入遠端存儲或者運行在遠程服務器端的應用、數據或服務。Garnter公司在對云計算的調研中，70%的人認為云計算最大的問題是安全[1]。

值得強調的是，相關聯的企業群集采用專有云模式有其在安全方面的突出優勢。由于共有云平臺運營商的集約化經營，使得安全更專業、安全成本更低[2]。這包括專業技術人員和安全專家、集中的補丁關注和輔助分發、更完備的動態可調度的安全資源（虛擬防火墻、DDOS清洗設備、IDP等設施）等。

這種IDC運營商提供的專有云，因其物理資源多租戶共享而不同于企業私有云，同時因其客戶群既有信任與協作關系，以及共享某些特定SaaS的要求，也有別于任意多租戶公有云的安全特征。這種針對特定用戶群體、集約化運營的云平臺，稱為“共有云”。

IDC運營商需要針對此種需求，建設企業共有云數據中心，契合此類企業集群的云服務需求，特別是打消企業的安全顧慮，使企業群體在共有云數據中心“安居樂業”。

2 安全問題分析（Security problem analysis）

2.1 數據中心的傳統安全問題

數據中心的傳統安全首先是場地基礎設施和IT基礎設施的安全問題，包括物理安全和設備安全。物理安全涉及進出入門禁、視頻監控、安保防衛和抗震防汛等機房因素。設備安全問題來自設備的可用性，關注數據中心是否雙電、雙網、UPS配置等[3]。

其次是網絡與應用所帶來的安全問題，網絡為用戶訪問提供傳輸與控制通道，而應用系統本身在云或非云環境中行為邏輯沒有發生本質的變化，用戶接入、網絡攻擊、網絡病毒感染等已是必須納入應對的標配安全問題，相應對數據中心提出的安全需求包括：防火墻、IDS/IPS、Anti-DDOS、傳輸安全（SSL VPN）等。

進而，部分數據中心托管用戶對于其系統或生產數據，還有備份的安全需求；如果租用數據中心的存儲資源，對存儲資源的專用性、對存儲數據的安全性都會有相應的要求。

2.2 IaaS云安全問題

虛擬化技術、多租戶業務模式和特權用戶（云平臺運營商系統管理員）問題使得IaaS服務面臨著更大的風險。

具體可分為四類問題：一是系統與虛擬化安全問題；二是網絡與邊界安全問題；三是應用與數據安全問題；四是身份與安全管理問題。

2.2.1 系統與虛擬化安全問題

在多租戶環境下內存的動態分配對安全是一個威脅。許多高等級的攻擊極有可能利用剩余信息通過復雜的技術來獲得其他用戶的敏感信息。如果云操作系統在將內存重新分配給用戶時，不能對分配的內存作寫“零”處理，就不能防止新啟動虛機中或有惡意內存檢測軟件檢測到其他用戶有用信息的可能[4]。

概況之，從云平臺的角度看，虛擬機是云計算操作系統的一個應用；而從虛擬機的角度看，Hypervisor就是原來的硬件層。因此，云安全的核心控制點在云操作系統，云操作系統需要安全可控。

2.2.2 應用與數據安全問題

IaaS使用共享存儲。存儲系統創建邏輯卷，并維護邏輯卷與磁盤條帶化之間的對應關系。Hypervisor（或稱云操作系統）則建立和維護不同的虛機與后端存儲系統邏輯卷之間的映射關系，并根據這個映射關系提供存儲路由控制。如果云操作系統不是安全可信的，就不能保證不同虛機間的存儲隔離，不能防止不同虛機之間邏輯卷的非法訪問。

同時，應用與數據安全要求企業客戶的諸使用者分權分域，“各行其道”，不能有權限使用不該使用的資源；如客戶顧慮到云端數據有被運營通過非法掛卷等手段而竊取的可能，還會有磁盤加密的要求。

2.3 共有云的安全問題

多租戶的企業間、租戶與云平臺運營商之間，因為具有所有制背景、業務合作或隸屬等關系紐帶，具有相當程度的熟悉與信任。這為許多企業出于安全考慮而暫避公有云但能接受共有云奠定了基礎。同時，共有云的租戶也同樣具有對自身應用相互隔離、對于共享應用確保集群內高安全高可用的安全需求。

2.4 內部SaaS應用可訪問的問題

企業租戶在共有云平臺上架構自用VPC，也通過共建VPC來實現高安全共享的特定業務，要求通過統一的網絡入口接入云平臺，同時各連接在網絡層的邏輯上相區隔。這要求通過虛擬化技術、地址空間對外不可達等實現多通道防護的傳輸安全、接入認證和接入可靠性。

3 安全框架（Security framework）

基于系統考慮，安全框架包括安全技術、安全管理功能、接口安全和法規遵從四個方面。

這四個部分既相對獨立，又有機結合構成共有云整體安全框架。其中安全技術覆蓋了IaaS云服務數據中心的物理場地、設備高可用、網絡層、虛擬化層、數據與應用層五個部分。

3.1 安全技術

針對不同層面的安全需求，結合共有云多租戶所特有的既信任又相對獨立、既資源共享卻彼此隔離、私有應用為主公有應用為輔等特征，提出如表3所示的共有云安全技術應用的層次框架。

傳統的應用于高標準數據中心的安全技術繼續適用。同時，在構建虛擬化安全、應對共有云網絡安全的高性能要求，以及對共有云多租戶接入安全（傳輸、內網地址規劃）方面有新的技術對策。

3.1.1 虛擬化安全

虛擬化安全包括虛擬機安全（包括虛擬化防病毒、多因素的認證、應用程序保護等措施）和VM管理系統（VMM）安全。后者可細分為虛擬機可信、虛擬化條件下的輕量級代理甚至無代理的防病毒解決方案、虛擬化防火墻、Hypervisor加固、虛擬機隔離等。

數據中心云可信操作系統利用服務器上TPM芯片，提供云操作系統完整性保護方案，實現云操作系統的可信啟動和可信運行。磁盤加密則實現虛擬機上用戶卷的全盤透明加密解密。

為防止虛擬機之間的攻擊，主要是防止VM的地址欺騙。Hypervisor中的虛擬交換機可將VM的IP地址和MAC地址綁定，限制虛擬機只能發送本機地址的報文，防止VM IP地址欺騙和ARP地址欺騙。

3.1.2 安全設備

針對安全設備性能與高可用需求，可采用具有網絡虛擬化功能的安全設備，將多臺物理安全設備虛擬成一臺邏輯設備，結合Vlan等隔離技術，提供既集約又可靠的安全服務。

3.1.3 共有云接入

當前階段，企業核心應用平臺（云或非云）與企業總部、企業分支節點的接入方式有廣域網專線和通過Internet接入兩種。使用VPN進行加密傳輸是通用的選擇。不同的企業采納不同的VPN技術（如IPsec VPN+GRE；或SSL VPN/L2TP+IPSec）。隨著企業信息化的深入發展，從企業集群角度看，將有多種VPN類型客戶的認證方式和繁復的訪問權限劃分。結合共有云的建設，引導企業使用統一的VPN接入平臺，規范并統一VPN用戶的權限控制，統一接入認證的方式，將給企業IT日常維護管理帶來極大方便，提升整個企業群體的安全水平。

3.2 法律與法規的遵從

云服務供方和企業需方應滿足日益復雜的法規要求，不論是行業標準，管理制度，或客戶特定的要求。信息安全相關標準可參考表3。

4 結論（Conclusion）

未來經濟對云計算能力的依賴，將像傳統工業對電的依賴一樣。企業云平臺建設與應用部署時，客觀上存在著諸多可復用或可集約的環節，企業在政策上也趨于更多地采購IT服務而非資產投資。更有意義的是，企業集群具有共同的上級監管部門或控股公司，或有相同的孵化器或產業協作鏈，從發展來看，其在業務上或職能上要求有標準統一、數據集中的大數據系統或聯動的O2O服務模式。構建共有云服務平臺，在企業群體相互安全可信、云平臺安全架構完備的基礎上，工業化的IT運營加互聯網思維的業務耦合，云數據中心運營商必然大有可為。

循著服務于多租戶的運營創新，在云計算IaaS層安全之外，平臺型信息服務企業在大數據、O2O等方面的研究和探索將有更為廣闊的天地。

參考文獻（References）

[1] 鄭葉來，陳世峻.分布式云數據中心的建設與管理[M].北京：清

華大學出版社，2013：78-84.

[2] 杭州華三通信技術有限公司.新一代網絡建設理論與實踐（第

2版）[M].北京：電子工業出版社，2013：510-512.

[3] vForum2013大會資料[J].2013：20-27.

[4] 周寶曜，劉偉，范承工.大數據戰略·技術·實踐[M].北京：電

子工業出版社，2013：127-130.

作者簡介：

何 軍（1972-），男，博士，高級工程師.研究領域：云計算，

IDC增值業務.