云計算環(huán)境下的安全建設思路

　　云計算環(huán)境下的安全問題分析

　　1.云計算已經成為當前IT巨頭建設的重點

　　在云計算進行得如火如荼的今天，眾多IT巨頭開始投入到云計算的建設之中，包括亞馬遜、IBM、Google、微軟等都陸續(xù)推出了云計算服務，以求在這個影響未來IT應用模型的市場中找到自己的位置。比較知名的云計算服務有：

　　亞馬遜的在線存儲服務(S3)。S3服務對新型企業(yè)和用戶的強大吸引力在于這項服務能夠與亞馬遜的其它在線服務聯(lián)系在一起，如彈性的云計算和亞馬遜的SimpleDB服務。使用這三項服務，新型企業(yè)能夠節(jié)省大量的存儲開支，并且可能節(jié)省客戶的時間和金錢；

　　Google正式宣布Google Apps Marketplace開始運營。Google Apps軟件應用商店包括了Gmail、Docs、Sites和Calendar等應用，通過這種免費商店吸引用戶選擇Google產品，截止到目前已經吸納了2500多萬用戶；

　　繼Windows Azure操作系統(tǒng)和云計算數據庫SQL Azure開始收費后，微軟近期宣布，Windows Azure平臺AppFabric也將投入商用。從2010年4月9日開始，全球用戶都可以購買AppFabric用以實現云計算和云計算應用程序的輕松通信。

　　2.云計算服務發(fā)展過程中的安全事故

　　在云計算快速推進的過程中，安全故障也頻繁發(fā)生，包括亞馬遜、Google、微軟等都沒能幸免。比較嚴重的有：

　　2008年7月，亞馬遜在線計算服務的主要組件簡單存儲服務(S3)發(fā)生故障，整個系統(tǒng)宕機時間超過6小時，使用亞馬遜服務的一些網站，例如網絡照片和視頻提供商SmugMug也報告了這個故障，這家網站存儲在S3服務中的大量照片和視頻都無法訪問。在那年更早些時候，Amazon也曾遭遇罕見問題，美國地區(qū)服務器無法訪問，時間持續(xù)約兩小時；

　　2009年12月，亞馬遜基于云計算的EC2(彈性計算云)服務在一個星期里發(fā)生了兩起事故：一起是僵尸網絡引起的內部服務故障，另一起是在弗吉尼亞州的一個數據中心發(fā)生的電源故障；

　　2009年9月份，Google的Gmail服務先后發(fā)生2次宕機事件導致用戶無法訪問郵件系統(tǒng)，Google News服務也發(fā)生中斷，而這種安全事故在整個2009年已經先后出現了超過5次；

　　2010年2月25日，由于一個備份數據中心發(fā)生故障，谷歌應用開發(fā)者服務Google App Engine(谷歌應用引擎)宕機，對很多谷歌客戶造成了影響；

　　2009年10月，微軟云計算又遭遇類似尷尬，服務器故障導致用戶數據丟失，甚至備份服務器上的用戶個人數據也丟失了。微軟和Sidekick手機運營商T-Mobile均未披露丟失的數據量和受影響用戶數，但在Sidekick手機支持論壇上出現了大量的尋求恢復數據的求助帖子。

　　在云計算服務推出之時，人們曾樂觀的估計，今后的電腦無需大容量硬盤，因為所有的應用和個人數據(包括圖片、視頻、文檔和電子郵件)都將被存儲于遠程服務器中，用戶只要很少的投入就可以得到按需分配的存儲資源，而這些安全事件的出現，加深了人們對云計算安全的擔憂；部分安全專家也指出，云計算的廣泛運用需要向云計算架構中加入更強大的安全措施才能確保其安全性，否則，云計算機中存儲的數據量以及處理量不僅將無法控制，而且將對用戶的數據以及與數據有關的人構成安全和隱私風險。

　　3.用戶在選擇云計算服務時的潛在安全風險分析

　　從“云計算”的概念提出以來，關于其數據安全性的質疑就一直不曾平息，這里的安全性主要包括兩個方面：一是自己的信息不會被泄露避免造成不必要的損失，二是在需要時能夠保證準確無誤地獲取這些信息。總結起來，用戶在選擇云計算服務時主要關注的安全風險有以下幾方面。

　　1)數據傳輸安全

　　通常情況下，企業(yè)數據中心保存有大量的企業(yè)私密數據，這些數據往往代表了企業(yè)的核心競爭力，如企業(yè)的客戶信息、財務信息、關鍵業(yè)務流程等等。在云計算模式下，企業(yè)將數據通過網絡傳遞到云計算服務商進行處理時，面臨著幾個方面的問題：一是如何確保企業(yè)的數據在網絡傳輸過程中嚴格加密不被竊取；二是如何保證云計算服務商在得到數據時不將企業(yè)絕密數據泄露出去；三是在云計算服務商處存儲時，如何保證訪問用戶經過嚴格的權限認證并且是合法的數據訪問，并保證企業(yè)在任何時候都可以安全訪問到自身的數據。

　　2)數據存儲安全

　　企業(yè)的數據存儲是非常重要的環(huán)節(jié)，其中包括數據的存儲位置、數據的相互隔離、數據的災難恢復等。在云計算模式下，云計算服務商在高度整合的大容量存儲空間上，開辟出一部分存儲空間提供給企業(yè)使用。但客戶并不清楚自己的數據被放置在哪臺服務器上，甚至根本不了解這臺服務器放置在哪個國家；云計算服務商在存儲資源所在國是否會存在信息安全等問題，能否確保企業(yè)數據不被泄露；同時，在這種數據存儲資源共享的環(huán)境下，即使采用了加密方式，云計算服務商是否能夠保證數據之間的有限隔離；另外，即使企業(yè)用戶了解數據存放的服務器的準確位置，也必須要求服務商作出承諾，對所托管數據進行備份，以防止出現重大事故時，企業(yè)用戶的數據無法得到恢復。

　　3)數據審計安全

　　企業(yè)進行內部數據管理時，為了保證數據的準確性往往會引入第三方的認證機構進行審計或是認證。但是在云計算環(huán)境下，云計算服務商如何在確保不對其他企業(yè)的數據計算帶來風險的同時，又提供必要的信息支持，以便協(xié)助第三方機構對數據的產生進行安全性和準確性的審計，實現企業(yè)的合規(guī)性要求;另外，企業(yè)對云計算服務商的可持續(xù)性發(fā)展進行認證的過程中，如何確保云計算服務商既能提供有效的數據，又不損害其他已有客戶的利益，使得企業(yè)能夠選擇一家可以長期存在的、有技術實力的云計算服務商進行業(yè)務交付，也是安全方面的潛在風險。

　　4.云計算服務的安全風險控制策略

　　為了更好的消除這些潛在的安全風險，讓更多用戶享受到云計算服務的優(yōu)點，在選擇云計算服務時，一方面要根據自身的業(yè)務需要，將風險可控的業(yè)務模型提交到云計算服務商，其他關鍵業(yè)務模型可以選擇建立企業(yè)私有云模型進行保障;另一方面需要和云計算服務商建立規(guī)范的條款來規(guī)避風險，包括選擇較高信譽度的服務商、要求企業(yè)和云計算服務商之間的數據傳統(tǒng)通道進行加密傳輸、要求云計算服務商承諾數據存儲位置的安全性以及和其他企業(yè)數據之間的加密隔離，同時和服務商簽訂SLA服務質量保證協(xié)議，明確服務商要具備數據恢復的能力并定義清楚數據恢復的時間限制等。

　　云計算環(huán)境下安全模型與傳統(tǒng)安全模型的差異

　　在云計算服務商建設資源高度整合的云計算中心時，安全更多的是作為一種服務提供給云計算客戶，也即大家常說的SaaS(安全即服務)。在SaaS建設思路的指引下，云計算中心的安全建設模型和傳統(tǒng)的企業(yè)安全防護思路存在非常明顯的差異，歸結起來主要有以下幾個方面。

　　1.流量模型的轉變：從分散走向高度集中，設備性能面臨壓力

　　傳統(tǒng)的企業(yè)流量模型相對比較簡單，各種應用基準流量及突發(fā)流量有規(guī)律可循，即使對較大型的數據中心，仍然可以根據web應用服務器的重要程度進行有針對性的防護，對安全設備的處理能力沒有太高的要求；而在云計算環(huán)境下，服務商建設的云計算中心，同類型存儲服務器的規(guī)模以萬為單位進行擴展，并且基于統(tǒng)一基礎架構的網絡進行承載，無法實現分而治之，因此對安全設備提出了很高的性能要求。

　　2.虛擬化要求：安全作為一種服務(SaaS)，如何實現虛擬化交付?

　　基于存儲資源和服務器資源的高度整合，云計算服務商在向客戶提供各項服務的時候，存儲計算資源的按需分配、數據之間的安全隔離成為基礎要求，這也是虛擬化成為云計算中心關鍵技術的原因。在這種情況下，安全設備如何適應云計算中心基礎網絡架構和應用服務的虛擬化，實現基礎架構和安全的統(tǒng)一虛擬交付，是云計算環(huán)境下安全建設關注的重點。

　　3.安全邊界消失;云計算環(huán)境下的安全部署邊界在哪里?

　　在傳統(tǒng)安全防護中，很重要的一個原則就是基于邊界的安全隔離和訪問控制，并且強調針對不同的安全區(qū)域設置有差異化的安全防護策略，在很大程度上依賴各區(qū)域之間明顯清晰的區(qū)域邊界；而在云計算環(huán)境下，存儲和計算資源高度整合，基礎網絡架構統(tǒng)一化，安全設備的部署邊界已經消失，這也意味著安全設備的部署方式將不再類似于傳統(tǒng)的安全建設模型，云計算環(huán)境下的安全部署需要尋找新的模式。

　　4.未知威脅檢測引擎的變更：客戶端將從主體檢測引擎轉變?yōu)?FONT color=#0b3b8c>輔助檢測的傳感器

　　傳統(tǒng)的安全威脅檢測模式中，客戶端安全軟件或硬件安全網關充當了威脅檢測的主體，所有的流量都將在客戶端或網關上完成全部的威脅檢測。這種模式的優(yōu)點是全部檢測基于本地處理延時較小，但是由于客戶端相互獨立，系統(tǒng)之間的隔離阻止了威脅檢測結果的共享。這也意味著在企業(yè)A已經檢測到的新型威脅在企業(yè)B依然可能造成破壞，沒有形成整體的安全防護。而在云計算環(huán)境下，客戶端更多的將充當未知威脅的傳感器，將本地不能識別的可疑流量送到云端，充分利用云端的超強計算能力進行未知威脅的檢測，從而實現云模式的安全檢測。

　　云計算環(huán)境下安全防護的主要思路

　　1.建設高性能高可靠的網絡安全一體化防護體系

　　為了應對云計算環(huán)境下的流量模型變化，安全防護體系的部署需要朝著高性能的方向調整。在現階段企業(yè)私有云的建設過程中，多條高速鏈路匯聚成的大流量已經比較普遍，在這種情況下，安全設備必然要具備對高密度的10GE甚至100G接口的處理能力;無論是獨立的機架式安全設備，還是配合數據中心高端交換機的各種安全業(yè)務引擎，都可以根據用戶的云規(guī)模和建設思路進行合理配置;同時，考慮到云計算環(huán)境的業(yè)務永續(xù)性，設備的部署必須要考慮到高可靠性的支持，諸如雙機熱備、配置同步、電源風扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實現大流量匯聚情況下的基礎安全防護。

　　2.建設以虛擬化為技術支撐的安全防護體系

　　目前，虛擬化已經成為云計算服務商提供“按需服務”的關鍵技術手段，包括基礎網絡架構、存儲資源、計算資源以及應用資源都已經在支持虛擬化方面向前邁進了一大步，只有基于這種虛擬化技術，才可能根據不同用戶的需求，提供個性化的存儲計算及應用資源的合理分配，并利用虛擬化實例間的邏輯隔離實現不同用戶之間的數據安全。安全無論是作為基礎的網絡架構，還是基于安全即服務的理念，都需要支持虛擬化，這樣才能實現端到端的虛擬化計算。典型的示意圖如圖1所示：

　　圖1 以虛擬化為技術支撐的安全防護體系

　　從網絡基礎架構的角度(如狀態(tài)防火墻的安全隔離和訪問控制)，需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN等映射到不同的虛擬化實例中，每個虛擬化實例具備獨立的安全控制策略，以及獨立的管理職能(如圖2實例所示)。從安全即服務的角度，云計算服務商聯(lián)合內容安全提供商提供類似防病毒和反垃圾郵件等服務，也必須考慮配合VMware等中間件實現操作系統(tǒng)層面的虛擬化實例，同一服務器運行多個相互獨立的操作系統(tǒng)及應用軟件，每個用戶的保密數據在進行防病毒和反垃圾郵件檢查的時候，數據不能被其他虛擬化系統(tǒng)引擎所訪問，只有這樣才能保證用戶數據的安全。

　　圖2不同用戶基于VLAN映射到不同的虛擬化實例，每個虛擬化實例具備獨立的安全控制策略和管理職能

　　3.以集中的安全服務中心應對無邊界的安全防護

　　和傳統(tǒng)的安全建設模型強調邊界防護不同，存儲計算等資源的高度整合，使得不同的企業(yè)用戶在申請云計算服務時，只能實現基于邏輯的劃分隔離，不存在物理上的安全邊界。在這種情況下，已經不可能基于每個或每類型用戶進行流量的匯聚并部署獨立的安全系統(tǒng)。因此安全服務部署應該從原來的基于各子系統(tǒng)的安全防護，轉移到基于整個云計算網絡的安全防護，建設集中的安全服務中心，以適應這種邏輯隔離的物理模型。云計算服務商或企業(yè)私有云管理員可以將需要進行安全服務的用戶流量，通過合理的技術手段引入到集中的安全服務中心，完成安全服務后再返回到原有的轉發(fā)路徑。這種集中的安全服務中心，既可以實現用戶安全服務的單獨配置提供，又能有效的節(jié)約建設投資，考慮在一定收斂比的基礎上提供安全服務能力。其部署示意圖見圖3所示：

　　圖3 集中的安全服務中心部署

　　4.充分利用云安全模式加強云端和客戶端的關聯(lián)耦合

　　在云安全建設中，充分利用云端的超強計算能力實現云模式的安全檢測和防護，是后續(xù)的一個重要方向。與傳統(tǒng)的安全防護模型相比，新的云安全模型除了要求掛在云端的海量本地客戶端具備基礎的威脅檢測和防護功能外，更強調其對未知安全威脅或是可疑安全威脅的傳感檢測能力。任何一個客戶端對于本地不能識別的可疑流量都要第一時間送到后臺的云檢測中心，利用云端的檢測計算能力快速定位解析安全威脅，并將安全威脅的協(xié)議特征推送到全部客戶端或安全網關，從而使得整個云中的客戶端和安全網關都具備對這種未知威脅的檢測能力，客戶端和云端的耦合得到進一步加強?；谠撃Ｊ浇⒌陌踩雷o體系將真正實現PDRR(Protection、Detection、Reaction、Restore)的安全閉環(huán)(參考圖4的示意圖)，這也是云檢測模式的精髓所在。

　　圖4 云安全模式管理示意圖

　　結束語

　　盡管基于云計算環(huán)境的安全建設模型和思路還需要繼續(xù)實踐和探索，但是將安全內嵌到云計算中心的虛擬基礎網絡架構中，并通過安全服務的方式進行交互，不僅可以增強云計算中心的安全防護能力和安全服務的可視交付，還可以根據風險預警進行實時的策略控制。這將使得云計算的服務交付更加安全可靠，從而實現對傳統(tǒng)IT應用模式的轉變。