“云朵”方案化解“私有云”安全過(guò)渡期難題


作者:?jiǎn)⒚鳌 ⌒浅健 〉詣佘?   時(shí)間:2014-06-17





  云計(jì)算因?yàn)槟軌蛱峁┨摂M化的資源池、彈性的服務(wù)能力、自助服務(wù)等,深得CIO們的青睞,為了提高企業(yè)IT設(shè)備的利用率,提高服務(wù)容災(zāi)的能力,提高對(duì)業(yè)務(wù)支撐的快速響應(yīng)能力,大多數(shù)的企業(yè)都開始嘗試企業(yè)私有云的建設(shè)。

  私有云安全的尷尬現(xiàn)狀

  一般來(lái)說(shuō),從現(xiàn)有的IT管理體系過(guò)渡到私有云平臺(tái),大致需要幾個(gè)步驟:數(shù)據(jù)大集中、業(yè)務(wù)系統(tǒng)整合、IT資源的虛擬化、管理平臺(tái)云化、云服務(wù)提供。(很多人認(rèn)為私有云就是信息中心的建設(shè),其實(shí)信息中心的虛擬化改造一般是最后兩個(gè)階段合并為信息中心的統(tǒng)一運(yùn)維管理平臺(tái),而不一定會(huì)提供云服務(wù),因此,不能稱為嚴(yán)格意義上的私有云。)這個(gè)過(guò)程中,資源虛擬化是關(guān)鍵,因?yàn)橹挥匈Y源都虛擬化管理,才可以談得上動(dòng)態(tài)的調(diào)配,才能夠提供彈性服務(wù)支撐能力。哪些資源可以且需要虛擬化管理?計(jì)算資源,包括CPU與內(nèi)容,以及存儲(chǔ)資源、網(wǎng)絡(luò)資源。我們注意到,一般都沒(méi)有涉及到安全資源。這不奇怪,因?yàn)樘摂M化平臺(tái)廠家都是先以業(yè)務(wù)服務(wù)實(shí)現(xiàn)為主,安全問(wèn)題大多是放在后邊考慮的。

  這就給CIO們出了一個(gè)難題:私有云為企業(yè)各個(gè)業(yè)務(wù)部門提供統(tǒng)一服務(wù),不僅僅包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源,還應(yīng)該包括安全資源,如身份認(rèn)證、病毒查殺、入侵檢測(cè)、行為審計(jì)等,只分配了計(jì)算資源與存儲(chǔ)資源的系統(tǒng),對(duì)用戶來(lái)講,無(wú)異于“裸奔”。私有云與公用云不同,公用云的業(yè)務(wù)單一,可以建立統(tǒng)一的安全策略;而私有云不同業(yè)務(wù)系統(tǒng)的安全需求差異很大,在一個(gè)“云”內(nèi),為不同業(yè)務(wù)系統(tǒng)提供不同的安全策略,安全策略如何部署?部署在哪里?

  云計(jì)算的安全問(wèn)題一直是業(yè)界爭(zhēng)論的熱點(diǎn),還有個(gè)專門的組織CSA(云安全聯(lián)盟)制定了一些指導(dǎo)性意見(jiàn),但落地都比較困難。總結(jié)起來(lái),云計(jì)算的安全落地有兩方面的難題:

  第一,是云計(jì)算系統(tǒng)架構(gòu)本身的問(wèn)題。由于采用了虛擬化的資源管理,用戶業(yè)務(wù)系統(tǒng)的服務(wù)器不再明確地運(yùn)行在哪臺(tái)服務(wù)器上,而是動(dòng)態(tài)漂移的VM(虛擬機(jī)),不同業(yè)務(wù)系統(tǒng)的用戶都在一個(gè)“大雜院”內(nèi)進(jìn)進(jìn)出出,各個(gè)業(yè)務(wù)系統(tǒng)之間沒(méi)有了“邊界”,如何保證那些不安分的用戶偷窺其他系統(tǒng)的數(shù)據(jù),只靠虛擬化操作系統(tǒng)的管理,能夠滿足用戶業(yè)務(wù)流之間的隔離嗎?且不說(shuō)虛擬機(jī)逃逸方面的研究,如“藍(lán)色藥丸”,傳統(tǒng)的操作系統(tǒng)都是漏洞一堆,虛擬化操作系統(tǒng)的漏洞就會(huì)很少嗎?危害程度可是更大。

  第二,是虛擬化操作系統(tǒng)廠商的問(wèn)題。目前,能夠提供虛擬化操作系統(tǒng)的廠商不是很多,如VMware、Microsoft、Citrix、Xen、RedHat、方物等。先說(shuō)市場(chǎng)份額最大的VMware,是一家與微軟一樣的私有代碼廠商,只提供第三方的開發(fā)接口API。VMware提供系統(tǒng)底層的安全接口,如VMSafe,但這個(gè)接口目前還沒(méi)有對(duì)國(guó)內(nèi)的安全廠商開放,也就是說(shuō),實(shí)現(xiàn)安全部署,只能采購(gòu)國(guó)外的第三方安全廠商產(chǎn)品。其他的廠商,如Xen是開源的,是沒(méi)有接口問(wèn)題,但需要用戶自己的技術(shù)力量非常強(qiáng)才可以部署與維護(hù)。

  一句話:云內(nèi)的安全問(wèn)題是嚴(yán)重的,最好的方法,就是安全設(shè)備可以如同存儲(chǔ)設(shè)備一樣,形成池化的資源池,在用戶申請(qǐng)?jiān)品?wù)器時(shí),與計(jì)算資源、存儲(chǔ)資源一起按需分配給用戶。

  但是,就目前安全廠商的現(xiàn)狀,完全達(dá)到這個(gè)階段還需要一段時(shí)間;為了應(yīng)對(duì)過(guò)渡時(shí)期的私有云服務(wù)運(yùn)行的安全,我們提出了過(guò)渡時(shí)期的安全解決方案——“云朵”方案。

  “云朵”方案的設(shè)計(jì)思路

  在沒(méi)有辦法確定多個(gè)不同業(yè)務(wù)系統(tǒng)在一個(gè)云中運(yùn)行可以做到安全的隔離的情況下,根據(jù)不同業(yè)務(wù)系統(tǒng)的安全需求,把安全需求近似的、服務(wù)對(duì)象相似的業(yè)務(wù)系統(tǒng)部署在一個(gè)云內(nèi),否則就部署在不同的云中,這樣在企業(yè)中就形成了一個(gè)一個(gè)的云朵,如辦公業(yè)務(wù)云、生產(chǎn)業(yè)務(wù)云、互聯(lián)網(wǎng)服務(wù)云等,或者按照等級(jí)保護(hù)的級(jí)別,分為一級(jí)系統(tǒng)云、二級(jí)系統(tǒng)云、三級(jí)系統(tǒng)云等。

  企業(yè)核心網(wǎng)絡(luò)是“物理”的,不同的業(yè)務(wù)服務(wù)云朵連接在核心網(wǎng)絡(luò)上,每個(gè)云朵內(nèi)部有自己的云朵管理中心,負(fù)責(zé)云朵內(nèi)的計(jì)算、存儲(chǔ)、安全資源管理;企業(yè)用戶分為虛擬終端(如運(yùn)行虛擬桌面的“傻終端”)與真實(shí)終端(如PC等“富終端”),通過(guò)企業(yè)網(wǎng)絡(luò),可以登錄不同的云朵;整個(gè)網(wǎng)絡(luò)的用戶采用統(tǒng)一的身份認(rèn)證,并建立云朵安全管理的中心平臺(tái),該平臺(tái)通過(guò)各個(gè)云朵的管理中心接口,可以直接監(jiān)控云朵內(nèi)虛擬機(jī)的運(yùn)行狀態(tài)。

  云朵方案的優(yōu)點(diǎn)是明顯的:一朵云內(nèi)的業(yè)務(wù)系統(tǒng)安全需求是相近的、用戶是相同的,安全隔離的需求大大降低了,這樣就解決了不同業(yè)務(wù)系統(tǒng)在一個(gè)云內(nèi)安全隔離的安全難題,在云朵之間的網(wǎng)絡(luò)是“物理”可見(jiàn)的,傳統(tǒng)的安全邊界思路完全適用;當(dāng)然,不同云朵可以采用不同的虛擬化操作系統(tǒng),減少對(duì)一個(gè)廠家的過(guò)度依賴(桌面操作系統(tǒng)對(duì)微軟的依賴是很多CIO頭痛的難題);最后,若一朵云出現(xiàn)問(wèn)題,也不會(huì)影響其他云朵內(nèi)的業(yè)務(wù)系統(tǒng)。

  云朵方案的缺點(diǎn)也是明顯的:IT資源利用率提高有限,這與采用虛擬化技術(shù)的目標(biāo)顯然是違背的;人為地建設(shè)多個(gè)云朵,多個(gè)管理運(yùn)營(yíng)平臺(tái),管理復(fù)雜度明顯是加大的。

  但是,云朵方案可以解決目前虛擬化平臺(tái)自身安全還不到位,業(yè)務(wù)需求推動(dòng)云計(jì)算模式紛紛上馬的矛盾。邊走邊學(xué),“摸著石頭過(guò)河”,總比因噎廢食要好。

  云朵方案把企業(yè)私有云的安全問(wèn)題進(jìn)行了分解:1、云朵間的安全;2、云朵內(nèi)的安全。

  云朵間的安全設(shè)計(jì)思路

  不同的云朵,邏輯上如同傳統(tǒng)安全方案設(shè)計(jì)中的“安全域”,具有明確的安全區(qū)域邊界,因此,云朵間的安全完全可以按照傳統(tǒng)的安全方案設(shè)計(jì)思路,部署思路可以參考“花瓶模型”的三條基線一個(gè)平臺(tái),網(wǎng)絡(luò)邊界與安全域邊界的安全防護(hù)基線;重要資源區(qū)域與核心匯聚的動(dòng)態(tài)監(jiān)控基線;用戶與運(yùn)維人員的信用管理基線;日常運(yùn)維與應(yīng)急處理的安全管理平臺(tái),具體的技術(shù)與管理要求,可以參照等級(jí)保護(hù)的要求,這里就不贅述了。

  云朵內(nèi)實(shí)際上是一個(gè)云朵平臺(tái)管理的系統(tǒng)范圍內(nèi),也可以說(shuō)是一個(gè)虛擬化操作系統(tǒng)的管理平臺(tái)下的安全設(shè)計(jì)。從系統(tǒng)角度看,可以分為兩個(gè)層面的安全設(shè)計(jì):1、虛擬機(jī)內(nèi)的安全;2、虛擬化平臺(tái)上的安全。

  虛擬機(jī)內(nèi)的安全

  就是用戶申請(qǐng)到的虛擬機(jī),從用戶角度看起來(lái)與物理服務(wù)器是一樣的,用戶選定的操作系統(tǒng)與業(yè)務(wù)服務(wù)軟件,因此,虛擬機(jī)內(nèi)的安全就如同對(duì)一個(gè)主機(jī)系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)。由于虛擬機(jī)的管理比起物理機(jī)要簡(jiǎn)單的多,容易進(jìn)行配置修改與補(bǔ)丁升級(jí)管理,開關(guān)機(jī)就是一個(gè)目錄下的文件運(yùn)行而已。

  同時(shí),虛擬機(jī)的計(jì)算資源是可動(dòng)態(tài)申請(qǐng)的,不再存在傳統(tǒng)主機(jī)內(nèi)安全與業(yè)務(wù)爭(zhēng)資源的矛盾,因?yàn)轳v留主機(jī)內(nèi)部的安全監(jiān)控會(huì)降低業(yè)務(wù)運(yùn)行的效率,很多業(yè)務(wù)管理者拒絕安裝其他駐留軟件。當(dāng)然,軟件間的兼容問(wèn)題依然是存在的,因此,在系統(tǒng)升級(jí)或安裝安全軟件前,一定要在其他的虛擬機(jī)上測(cè)試,保證不影響業(yè)務(wù)軟件的正常運(yùn)轉(zhuǎn)。

  虛擬機(jī)內(nèi)的安全須考慮如下幾個(gè)方面:

  l身份鑒別與權(quán)限管理:身份鑒別可以與整個(gè)網(wǎng)絡(luò)的身份認(rèn)證系統(tǒng)統(tǒng)一起來(lái),但權(quán)限管理在云朵內(nèi)部有自己的明細(xì)管理,保證云朵內(nèi)部用戶可訪問(wèn)業(yè)務(wù)的差異;

  

  l服務(wù)加固與反控制防御:這主要是針對(duì)服務(wù)器的,如同普通的業(yè)務(wù)服務(wù)器一樣,需要基本的安全加固,安裝適合的補(bǔ)丁、關(guān)閉不需要的服務(wù)、刪除不需要的賬戶等,但這還是不夠的。服務(wù)器是面向網(wǎng)絡(luò)服務(wù)的,中斷了服務(wù),僅僅是影響自己的業(yè)務(wù);若被黑客入侵,成為“肉雞”,就可能成為攻擊其他目標(biāo)的工具。由于云朵內(nèi)一般是多個(gè)業(yè)務(wù)系統(tǒng)在運(yùn)行,一個(gè)系統(tǒng)的漏洞被利用,就建立了黑客入侵的橋頭堡,成為內(nèi)部攻擊的跳板,很多黑客入侵正是這樣一步一步滲透到核心機(jī)密服務(wù)器中的。因此,服務(wù)器不被入侵者控制,不成為“肉雞”是服務(wù)器安全的最低底線要求,安裝反控制防御系統(tǒng),或?qū)ο到y(tǒng)進(jìn)行反控制加固是非常有必要的;

  l終端防護(hù)系統(tǒng):這主要是針對(duì)遠(yuǎn)程桌面或BYOD的,因?yàn)樵L問(wèn)者的終端種類繁多,安全狀態(tài)千奇百怪,對(duì)訪問(wèn)終端進(jìn)行適當(dāng)?shù)陌踩珯z查,或限制其訪問(wèn)云服務(wù)的權(quán)限都是必須的;當(dāng)然,也可以利用“容器式”的遠(yuǎn)程桌面,隔離遠(yuǎn)程終端內(nèi)本業(yè)務(wù)與其他系統(tǒng),保證終端上的病毒、木馬不能入侵到云服務(wù)內(nèi);

  l防病毒:病毒與木馬是無(wú)孔不入的,對(duì)用戶流量進(jìn)行病毒過(guò)濾是必要的。當(dāng)然,防病毒也可以在云朵的入口處實(shí)現(xiàn),但對(duì)于應(yīng)用層的病毒,還是要通過(guò)主機(jī)監(jiān)控查殺的方式更為有效。

  虛擬化平臺(tái)上的安全

  虛擬化平臺(tái)上的安全與廠家產(chǎn)品的開放性有直接的關(guān)系,可以分為兩種情況:



  第一種情況是開源的平臺(tái),或者是得到了廠家的底層安全API接口,如VMware的VMSafe接口,你可以利用接口插入自己的安全代碼,對(duì)虛擬機(jī)上的流量進(jìn)行安全檢查與控制。

  這種方式直接在虛擬化平臺(tái)的底層hypervisor上控制用戶數(shù)據(jù)流,有些像我們所理解的操作系統(tǒng)分為內(nèi)核態(tài)與用戶態(tài),黑客要突破hypervisor到內(nèi)核層是比較困難的,想繞過(guò)這種安全監(jiān)控也是十分困難的。

  第二種情況是得不到虛擬化平臺(tái)的底層接口,或者是希望通過(guò)第三方的安全控制措施,用戶才放心虛擬化平臺(tái)自己管理、自己控制的安全,總讓人有些疑惑。這種方式是目前安全廠家流行的流量牽引的安全控制措施。

  實(shí)現(xiàn)的思路是利用SDN技術(shù)中的流量牽引控制協(xié)議openflow,引導(dǎo)用戶業(yè)務(wù)流量按照規(guī)定的安全策略流向,結(jié)合安全產(chǎn)品的虛擬化技術(shù),建立防火墻、入侵檢測(cè)、用戶行為審計(jì)、病毒過(guò)濾等資源池,在用戶申請(qǐng)?zhí)摂M機(jī)資源時(shí),隨著計(jì)算資源、存儲(chǔ)資源一起下發(fā)給用戶,保證用戶業(yè)務(wù)的安全。

  實(shí)現(xiàn)的步驟大致如下:

  l對(duì)安全資源虛擬池化:先對(duì)安全設(shè)備進(jìn)行“多到一”的虛擬化,形成一個(gè)虛擬的、邏輯的、高處理能力的安全設(shè)備,如虛擬防火墻、虛擬入侵檢測(cè)等;再對(duì)虛擬的安全設(shè)備進(jìn)行“一到多”的虛擬,生成用戶定制的、處理能力匹配的虛擬安全設(shè)備;

  l部署流量控制服務(wù)器:它是流量控制管理的中心,接受并部署用戶流量的安全策略,當(dāng)用戶業(yè)務(wù)虛擬機(jī)遷移時(shí),負(fù)責(zé)流量牽引策略的遷移落地;該服務(wù)器可以是雙機(jī)熱備,提高系統(tǒng)安全性,也可以采用虛擬機(jī)模式。同時(shí),在虛擬計(jì)算資源池內(nèi)安裝流量控制引擎:具體方法是在每個(gè)物理服務(wù)器內(nèi)開一個(gè)虛擬機(jī)運(yùn)行流量控制引擎,負(fù)責(zé)引導(dǎo)該物理服務(wù)器上所有虛擬機(jī),按照安全策略進(jìn)行流量的牽引;

  l用戶業(yè)務(wù)流量的牽引分為兩種模式:

  a 鏡像模式:針對(duì)入侵檢測(cè)、行為審計(jì)等旁路接入的安全設(shè)備,把用戶流量復(fù)制出來(lái)即可,不影響原先的用戶業(yè)務(wù)流量;

  b 控制模式:針對(duì)防火墻等安全網(wǎng)關(guān)類安全設(shè)備,需要把用戶的流量先引導(dǎo)到安全設(shè)備虛擬化池中,“清洗”流量以后,再把流量引導(dǎo)到正常的業(yè)務(wù)處理虛擬機(jī)。

  l因?yàn)樾枰淖冇脩袅髁康牧飨颍枰獙?duì)目的MAC、目的IP進(jìn)行修改。具體的方案很多,這里我們采用的是MAC in MAC 技術(shù),對(duì)數(shù)據(jù)包二次封裝,經(jīng)過(guò)安全設(shè)備處理以后的“安全流量”恢復(fù)到“正?!睜顟B(tài);在云朵中的物理交換機(jī)與虛擬交換機(jī)支持SDN 模式時(shí),也可以采用openflow 協(xié)議進(jìn)行導(dǎo)引時(shí)的封裝;

  l當(dāng)用戶業(yè)務(wù)服務(wù)的虛擬機(jī)在不同的物理服務(wù)中遷移時(shí),該用戶業(yè)務(wù)的安全策略也隨著遷移到目的物理服務(wù)內(nèi)的流量控制虛擬機(jī),繼續(xù)執(zhí)行對(duì)該用戶的業(yè)務(wù)流量進(jìn)行引導(dǎo)。

  小結(jié)

  “云朵”方案通過(guò)把不同安全需求的業(yè)務(wù)系統(tǒng)部署在不同的云朵內(nèi),降低了對(duì)云內(nèi)業(yè)務(wù)流隔離的需求,而在云朵內(nèi)部,通過(guò)流量牽引與虛擬機(jī)加固等辦法,實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全過(guò)濾,同時(shí)加強(qiáng)業(yè)務(wù)系統(tǒng)自身的安全管理,如用戶權(quán)限管理、業(yè)務(wù)行為審計(jì)等,實(shí)現(xiàn)應(yīng)用層面的訪問(wèn)控制,對(duì)敏感數(shù)據(jù)的存儲(chǔ)與傳輸都建議采用加密方式。

  “云朵”方案是個(gè)過(guò)渡性質(zhì)的方案,等到云朵內(nèi)的安全隔離與控制技術(shù)成熟,多個(gè)云朵就可以合成一個(gè)云了。

來(lái)源:CCTIME飛象網(wǎng)  啟明  星辰  翟勝軍



  版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。

延伸閱讀

熱點(diǎn)視頻

第六屆中國(guó)報(bào)業(yè)黨建工作座談會(huì)(1) 第六屆中國(guó)報(bào)業(yè)黨建工作座談會(huì)(1)

熱點(diǎn)新聞

熱點(diǎn)輿情

特色小鎮(zhèn)

版權(quán)所有:中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號(hào)-2京公網(wǎng)安備11010502003583