淺談企業(yè)私有云安全

鄧烜

摘要：隨著云計算、大數(shù)據(jù)等新一代信息技術(shù)的成熟，企業(yè)建設(shè)私有云成為信息化建設(shè)的一個趨勢，，傳統(tǒng)的信息安全防護(hù)方式和防護(hù)理念已不能適應(yīng)云環(huán)境下靈活多變的安全防護(hù)需求。本文主要針對私有云所面臨的安全挑戰(zhàn)進(jìn)行分析，并對企業(yè)的云安全防護(hù)從網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)、安全審計等層面提出了安全防護(hù)的建議。

關(guān)鍵詞：云計算;虛擬化;云安全;安全防護(hù)

1.緒論

近年來，云計算在各個領(lǐng)域都由了大規(guī)模的應(yīng)用，技術(shù)逐漸發(fā)展應(yīng)用成熟，其能夠?qū)ζ髽I(yè)中現(xiàn)有的IT資源進(jìn)行量化的管理與整合，具有良好的資源彈性和敏捷性，相較于傳統(tǒng)的IT資源的應(yīng)用部署方式，優(yōu)勢明顯。“上云“成了企業(yè)一個熱門的話題，企業(yè)紛紛啟動私有云平臺的建設(shè)來替換企業(yè)現(xiàn)有的信息化基礎(chǔ)設(shè)施。

在談及云架構(gòu)建設(shè)時，企業(yè)往往把關(guān)注的重點(diǎn)放在云架構(gòu)的性能，業(yè)務(wù)交付的靈捷性與高可用上，其實，在云架構(gòu)中，安全性問題更是需要企業(yè)去考慮的重要環(huán)節(jié)，但在實際的建設(shè)過程中，卻往往被忽視。

2.面臨風(fēng)險與挑戰(zhàn)

2.1管理復(fù)雜度提高

虛擬化讓資源邊界變得模糊，動態(tài)擴(kuò)展了計算、存儲、網(wǎng)絡(luò)資源，打破了傳統(tǒng)的物理隔離，使得原有的管理環(huán)境復(fù)雜起來。無論是基礎(chǔ)設(shè)施還是系統(tǒng)架構(gòu)，都有可能隨著業(yè)務(wù)需求的變化而加大不確定性，給運(yùn)維管理提出了新的挑戰(zhàn)。

2.2傳統(tǒng)的企業(yè)安全防護(hù)模式面臨挑戰(zhàn)

在云環(huán)境下，網(wǎng)絡(luò)數(shù)據(jù)流在虛擬機(jī)之間傳輸，企業(yè)用戶對敏感信息和高級惡意軟件的監(jiān)視和控制能力會被削弱，傳統(tǒng)的基于網(wǎng)絡(luò)邊界和物理設(shè)備的防護(hù)模式大打折扣;同時端口流量對數(shù)據(jù)中心的網(wǎng)絡(luò)性能和可靠性提出了更高的要求，在流量承載和業(yè)務(wù)匹配也變得更為靈活和高時效性，這就導(dǎo)致原有的安全策略不再適用于新的環(huán)境，需要動態(tài)的匹配機(jī)制。

2.3數(shù)據(jù)安全問題不然忽視

企業(yè)私有云的數(shù)據(jù)存儲方式雖不像公有云那么多變，在云環(huán)境下，存儲資源也進(jìn)行了虛擬化，數(shù)據(jù)的存儲位置是隨機(jī)分配的，不同保密層級的資源會放在同一個存儲介質(zhì)內(nèi)，存在調(diào)用資源時安全級別低的負(fù)載可以“跨級”訪問到高敏感度的信息的問題，同樣需要考慮資源隔離、加密保護(hù)、入侵檢測、數(shù)據(jù)銷毀等問題。

3.私有云平臺建設(shè)安全防護(hù)建議

3.1網(wǎng)絡(luò)安全

應(yīng)至少將云網(wǎng)絡(luò)劃分為運(yùn)維管理區(qū)和云服務(wù)器區(qū)等網(wǎng)絡(luò)區(qū)域;

應(yīng)保證關(guān)鍵網(wǎng)絡(luò)設(shè)備及虛擬化網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要;

應(yīng)保證核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要;

應(yīng)在不同網(wǎng)絡(luò)區(qū)域之間設(shè)置訪問控制策略;

應(yīng)只允許被授權(quán)的服務(wù)和協(xié)議傳輸，未經(jīng)授權(quán)的數(shù)據(jù)包將被自動丟棄;

應(yīng)控制網(wǎng)絡(luò)流量和邊界，使用訪問控制列表技術(shù)對網(wǎng)絡(luò)進(jìn)行隔離;

應(yīng)對網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量等進(jìn)行審計;

應(yīng)通過自定義的前端服務(wù)器或設(shè)備定向所有外部流量的路由，可幫助檢測和禁止惡意的請求;

應(yīng)具備抵御分布式拒絕服務(wù)攻擊和應(yīng)用攻擊的防御能力，防御架構(gòu)應(yīng)具備高彈性、可擴(kuò)展能力，保證云計算平臺防御能力不隨用戶增加而降低性能;

應(yīng)具備異常流量檢測、流量調(diào)度、流量清洗能力，為云服務(wù)和用戶提供實時惡意流量清洗，清洗范圍包括網(wǎng)絡(luò)層、傳輸層、應(yīng)用層的拒絕服務(wù)攻擊、垃圾郵件等;

應(yīng)嚴(yán)格限制由內(nèi)部發(fā)起的對外連接，對內(nèi)部采取必要的安全措施，進(jìn)行內(nèi)部行為監(jiān)控。

完整的網(wǎng)絡(luò)環(huán)境下應(yīng)包含防火墻、路由器、交換機(jī)、主機(jī)等，在云平臺環(huán)境下，可利用其自身虛擬化的特點(diǎn)，采用靈活的配置策略的虛擬子網(wǎng)內(nèi)可根據(jù)管理的顆粒度針對主機(jī)設(shè)置不同的虛擬防護(hù)墻，虛擬交換機(jī)等。

3.2云主機(jī)安全

云主機(jī)安全管理的基本原則是實現(xiàn)同一物理機(jī)上不同云主機(jī)之間的資源隔離，避免云主機(jī)之間的數(shù)據(jù)竊取或惡意攻擊，保證云主機(jī)的資源使用不受周邊云主機(jī)的影響。終端用戶使用云主機(jī)時，僅能訪問屬于自己的云主機(jī)的資源（如硬件、軟件和數(shù)據(jù)），不能訪問其他云主機(jī)的資源，保證云主機(jī)隔離安全。云主機(jī)安全主要包括主機(jī)安全和操作系統(tǒng)安全兩個部分。

3.2.1主機(jī)安全

應(yīng)在虛擬化實例的鏡像生產(chǎn)環(huán)節(jié)通過加入?yún)f(xié)議級、服務(wù)級、必要的補(bǔ)丁升級及防入侵安全客戶端等措施實現(xiàn)安全加固;

應(yīng)保證虛擬化實例的鏡像和快照文件的完整性，防止被惡意篡改，鏡像和快照文件應(yīng)具備容災(zāi)措施;

應(yīng)在虛擬機(jī)實例上安裝主機(jī)入侵防御系統(tǒng)或模塊，可提供帳號暴力破解攻擊防護(hù)、webshell查殺等功能。

3.2.2分布式操作系統(tǒng)安全

應(yīng)確保分布式操作系統(tǒng)的安全，包括虛擬化實例對計算存儲設(shè)備的訪問控制，虛擬化實例之間的安全隔離，虛擬化實例的可靠性，確保虛擬化實例釋放時其數(shù)據(jù)完全被清除。

應(yīng)限制虛擬化實例對計算存儲設(shè)備的直接訪問，保證其對計算存儲設(shè)備的調(diào)度和管理均在資源抽象與控制層內(nèi)完成;

應(yīng)實現(xiàn)不同虛擬化實例對同一物理主機(jī)CPU和內(nèi)存的計算資源相互隔離和質(zhì)量控制，確保同一物理主機(jī)上的不同虛擬化實例不會出現(xiàn)計算資源爭搶;

應(yīng)保證虛擬化實例的可用性，確保部分?jǐn)?shù)據(jù)損壞不會影響其它實例，損壞的數(shù)據(jù)應(yīng)自動修復(fù);

應(yīng)采用數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層訪問控制技術(shù)實現(xiàn)對不同虛擬化實例的隔離;

應(yīng)對ARP攻擊實施隔離;

應(yīng)對資源抽象與控制層的運(yùn)維操作實時監(jiān)控和審計;

對于多租戶模式，在統(tǒng)一物理計算、內(nèi)存和存儲資源被回收后，應(yīng)支持按策略徹底釋放和完全清除虛擬化實例數(shù)據(jù)。

3.3數(shù)據(jù)安全

數(shù)據(jù)安全應(yīng)同時考慮實時副本與備份兩種方式，實時副本主要用于災(zāi)難恢復(fù)，保證硬件設(shè)備出現(xiàn)問題時數(shù)據(jù)不丟失;而備份則是用于保存業(yè)務(wù)數(shù)據(jù)的里程碑狀態(tài)，以便在從業(yè)務(wù)到硬件的任何一個層面出問題時恢復(fù)數(shù)據(jù)。

3.3.1多重實時副本

云平臺應(yīng)使用多重副本來保障數(shù)據(jù)安全，副本必須做到實時副本，而且可以做到至少包含一份異地副本，這樣即使源數(shù)據(jù)所在的主機(jī)出現(xiàn)問題，通過異地副本也能快速恢復(fù)。可采用分布式塊存儲技術(shù)或?qū)憰r拷貝技術(shù)實現(xiàn)多重副本。

分布式塊存儲技術(shù)：將數(shù)據(jù)的多份拷貝分布存儲在不同的物理服務(wù)器上提供數(shù)據(jù)的可靠性，這樣的技術(shù)帶來的是讀寫I/O性能顯著提升，可以滿足并發(fā)用戶激增時對讀寫I/O性能的嚴(yán)格要求，并大大地節(jié)省了客戶投資。

寫時拷貝技術(shù)：寫時拷貝是一種可以推遲甚至免除拷貝數(shù)據(jù)的技術(shù)，只有在需要寫入的時候，數(shù)據(jù)才會被復(fù)制，從而使各個進(jìn)程擁有各自的拷貝。也就是說，資源的復(fù)制只有在需要寫入的時候才進(jìn)行，在此之前，只是以只讀方式共享。該技術(shù)大幅提升創(chuàng)建、改變和銷毀資源的速度。

3.3.2備份與災(zāi)難恢復(fù)

備份是用于捕捉硬盤在某一個時刻的狀態(tài)，未來可以隨時恢復(fù)到這個狀態(tài)。在某些時候，例如誤操作或者應(yīng)用邏輯的BUG，可能會導(dǎo)致業(yè)務(wù)數(shù)據(jù)的丟失，這種情況下實時副本無法恢復(fù)數(shù)據(jù)，因為硬件設(shè)備并沒有問題。這時候，就需要通過備份，從歷史備份點(diǎn)恢復(fù)數(shù)據(jù)。

除了被動副本之外，應(yīng)該同時對數(shù)據(jù)備份功能以避免誤操作等類似問題帶來的數(shù)據(jù)丟失。備份（Snapshot）用于在塊設(shè)備級別（blockdevicelevel）上進(jìn)行硬盤備份與恢復(fù)，可以同時對多張硬盤做備份（包括系統(tǒng)盤和數(shù)據(jù)盤），也可以對正在運(yùn)行的主機(jī)做在線備份。

3.4安全審計

建設(shè)私有云平臺后，企業(yè)的數(shù)據(jù)資產(chǎn)均集中與云上，更加需要對云平臺的運(yùn)營情況進(jìn)行監(jiān)控和審計。在云平臺的基礎(chǔ)上應(yīng)配置安全審計的功能或獨(dú)立的產(chǎn)品，能夠提供全方位的日志安全審計功能，采集和分析云計算和大數(shù)據(jù)各種系統(tǒng)日志，隨時掌握何人、何時、通過何種方式，對云平臺和大數(shù)據(jù)平臺做過何種操作，實現(xiàn)安全事件報警和風(fēng)險預(yù)測，為管理員提供客觀、完整、準(zhǔn)確的安全審計視角。

在安全審計方面，應(yīng)具備日志數(shù)據(jù)采集、用戶日志審計、統(tǒng)計報表等功能，能夠?qū)υ破脚_的賬戶行為、事件處置、變更記錄進(jìn)行審計。

3.4.1賬戶行為

包含云平臺主賬號、子賬號的所有活動記錄，賬號的權(quán)限，賬號活動與其所有權(quán)限是否一直，權(quán)限是否在有效期內(nèi)等。

3.4.2事件處置

云平臺每天觸發(fā)的安全事件都對安全事件的處置過程和處置結(jié)果進(jìn)行，同時應(yīng)能定期提供審計報表，以督促安全團(tuán)隊開展安全工作。

3.4.3變更記錄

所有對云上資源進(jìn)行操作的行為，包括：云主機(jī)開通和釋放，安全區(qū)創(chuàng)建、配置和刪除，SLB應(yīng)用配置和節(jié)點(diǎn)摘除，高防IP服務(wù)配置、WAF參數(shù)調(diào)整、OSS資源配置、財務(wù)信息變更等，做好變更審計能有效協(xié)助故障響應(yīng)和操作審計。

4.結(jié)語

在企業(yè)私有云環(huán)境下，各種的虛擬資源、數(shù)據(jù)都存儲在數(shù)據(jù)中心，企業(yè)用戶需要通過各種途徑進(jìn)行訪問和獲取，既要保證客戶訪問和獲取數(shù)據(jù)的便捷性，又要防范潛在的安全風(fēng)險，這是云服務(wù)所要達(dá)到的目標(biāo)。

總的而言，如果要做好云安全防護(hù)的工作，不僅要求云產(chǎn)品本身具備靈活強(qiáng)大的安全防護(hù)功能，同時能夠因地制宜與傳統(tǒng)的安全防護(hù)手段相結(jié)合，建立用戶終端-網(wǎng)絡(luò)-數(shù)據(jù)中心全面的防護(hù)體系。面對越來越龐大的資源池和主機(jī)規(guī)模，私有云環(huán)境的安全性要做到管理的平臺化和自動化。