王 哲，區(qū)洪輝，朱培軍

（中國電信股份有限公司廣東分公司 廣州 510081）

1 前言

云計算是一種將池化的集群計算能力通過互聯(lián)網(wǎng)向內外部用戶提供按需服務的互聯(lián)網(wǎng)新業(yè)務，是傳統(tǒng)IT領域和通信領域技術進步、需求推動和商業(yè)模式變化共同促進的結果，具有以網(wǎng)絡為中心、以服務為提供方式、高擴展與高可靠性、資源池化與透明化四大特點。目前，云計算快速發(fā)展，但在部署中仍然面臨著大量挑戰(zhàn)，其中安全問題排在首位。全球有多個研究組織對云計算的安全進行了研究，但大多從云計算使用者的角度分析研究了公有云的安全，針對私有云安全的研究較少，尚未形成成熟的成果。

《計算機世界》對155名調查者進行調查的結果顯示，未來企業(yè)在云計算投入方面私有云排名第一，私有云是目前云計算應用的主要模式。下面將結合私有云的典型部署，給出私有云的安全方案與部署建議。

2 私有云典型部署方案

一種基于虛擬化技術的大規(guī)模私有云典型部署方案如圖1所示。云計算的規(guī)劃建設以集群為最小單位，一個集群是配置了一定數(shù)量的相同CPU廠商的x86服務器、共享存儲和網(wǎng)絡設備，使用同類型虛擬化軟件的資源組織單位。同一集群中可進行動態(tài)遷移、HA（high availability，高可用性）等云特性的操作。若干個集群通過接入交換機連接到匯聚交換機，匯聚流量通過核心路由器統(tǒng)一連接到外部網(wǎng)絡，構成了一個典型的私有云。在云計算部署中，一般采用云管理平臺對云資源進行統(tǒng)一的資源管理和調度，實現(xiàn)運營管理。

同一個集群內的技術特性是一致的，對外提供統(tǒng)一的服務等級。但目前虛擬化軟件的技術因素導致一個集群內x86物理服務器的數(shù)量有所限制，如VMware ESX中一個集群的物理服務器限制為24臺。另外大型私有云所承載的業(yè)務也是多種多樣的，因此在大規(guī)模私有云部署方案中，針對不同的業(yè)務需求，可以組合虛擬化軟件、x86服務器和存儲系統(tǒng)形成不同的虛擬化解決方案，構建不同種類的集群，如應用VMware構建核心業(yè)務集群、應用KVM虛擬化軟件構建創(chuàng)新孵化集群等。采用多個不同類型的集群

125構建大規(guī)模私有云，既充分發(fā)揮了同一集群中虛擬化資源彈性靈活調整的特點，又可以突破單個集群的技術限制，滿足多種業(yè)務承載的需求。

3 私有云安全要素

典型的私有云架構可以實現(xiàn)企業(yè)IT資源的高度集約管理，有效提升了資源部署效率和使用效率，但同時也帶來了集中的安全問題，如病毒、數(shù)據(jù)泄露等，可能造成由原來單一系統(tǒng)、單一應用不可用擴展為多個系統(tǒng)、多個應用甚至全部IT基礎設施不可用的后果，因此安全問題已經(jīng)成為規(guī)模部署云計算技術的最關鍵環(huán)節(jié)。

CSA（云安全聯(lián)盟）于2010年3月發(fā)表了云計算的七大威脅，獲得了業(yè)界廣泛的引用和認可，圖2是CSA云安全架構模型，從全局安全控制、虛擬化技術安全控制和業(yè)務連續(xù)性3個方面介紹了云服務安全架構，但其主要是從云計算使用者的角度針對公有云的云服務進行安全分析和防范。

對于企業(yè)大規(guī)模私有云來說，如何從私有云部署的角度綜合應用各種安全舉措進行安全分析和防范，是目前云計算規(guī)模應用過程中迫切需要解決的問題。參考CSA模型中的安全控制要點，針對典型的私有云部署架構，對云計算的集群、網(wǎng)絡出口、云管理平臺3個重要組成部分進行安全分析，歸納出各部分的安全要點，見表1。

根據(jù)上述分析，私有云部署的各組成部分中，由于云計算引入帶來的安全重點和難點集中在共享存儲、虛擬化軟件及虛擬機、網(wǎng)絡、管理平臺4個方面。

4 私有云安全方案及部署建議

圖2 CSA云安全架構模型

在私有云安全部署中，x86服務器和網(wǎng)絡出口兩個部分可以通過部署服務器冗余硬件、網(wǎng)絡入侵檢測、網(wǎng)絡流量清洗、網(wǎng)絡防火墻等傳統(tǒng)的安全防護措施達到相應的安全等級；而共享存儲、虛擬化軟件及虛擬機、網(wǎng)絡、管理平臺4個方面就必須在傳統(tǒng)安全防護措施的基礎上，再針對云的新特性進行安全防范。

4.1 共享存儲安全方案

共享存儲中存放的是私有云的關鍵數(shù)據(jù)，數(shù)據(jù)的重要性不言而喻。云計算環(huán)境下的數(shù)據(jù)安全由于多租戶共享資源（存儲、計算、網(wǎng)絡）的模式，產(chǎn)生了更多的安全隱患，如各種虛擬機安全基線控制、多租戶數(shù)據(jù)備份和恢復、租戶之間的數(shù)據(jù)泄漏 （尤其是虛擬機被刪除后原來的業(yè)務數(shù)據(jù)泄漏給其他用戶）等。私有云中的數(shù)據(jù)安全要點分為數(shù)據(jù)加密保護、數(shù)據(jù)隔離、存儲數(shù)據(jù)備份和虛擬主機數(shù)據(jù)備份/恢復。

表1 私有云安全要點

數(shù)據(jù)加密保護主要解決云計算用戶可能面臨的租戶之間數(shù)據(jù)泄漏等安全風險，從而實現(xiàn)私有云中的數(shù)據(jù)加密保護和數(shù)據(jù)隔離。通過全盤加密將磁盤中的文件以密文形式保存，文件的讀取必須通過系統(tǒng)授權才能正常進行，管理員或其他用戶對其原始數(shù)據(jù)進行了非法獲取也無法解讀，既實現(xiàn)了數(shù)據(jù)加密保護，又實現(xiàn)了數(shù)據(jù)隔離，防止租戶之間的數(shù)據(jù)泄漏，為云計算應用提供了安全的數(shù)據(jù)存儲方案。數(shù)據(jù)加密方案目前主要有共享存儲設備底層加密和文件系統(tǒng)級加密兩種。共享存儲設備底層部署加密是目前比較理想的方案，大部分主流存儲設備都有所支持，對服務器性能沒有影響，對不同虛擬化軟件的兼容性較好；文件系統(tǒng)及加密需要其與虛擬化軟件的兼容性要好，對服務器處理能力也有一定的消耗，目前應用較少。

虛擬化環(huán)境下的存儲數(shù)據(jù)備份/恢復與傳統(tǒng)方式相比，只是增加了虛擬機Image備份，操作系統(tǒng)以上的文件系統(tǒng)備份與傳統(tǒng)方式是一致的。虛擬機Image備份需與虛擬化軟件提供接口配合才能實現(xiàn)，目前針對VMware ESX已有比較成熟的方案，不少主流備份軟件支持VMware ESX的虛擬機Image備份，如Symantec公司的Backup Exec 12.5、CA公司的ArcServe r12，這里不做詳細介紹。同時虛擬機鏡像備份與快速恢復，可以快速生成同一安全控制基線的虛擬機，很好地保障虛擬機安全策略的一致性，為虛擬機的安全控制提供了新的技術支撐手段。

4.2 虛擬化與虛擬機安全方案

云計算構建于虛擬化技術之上，因此虛擬化層的安全程度基本決定了云計算整體的安全程度。目前主流服務器虛擬化軟件主要有VMware ESX、Citrix XenServer、Microsoft Hyper-V和RedHat KVM 4種。從架構上可以分有兩大類型:VMware ESX和Citrix XenServer兩個虛擬軟件都直接部署在硬件之上，物理機無需額外的操作系統(tǒng)；Microsoft Hyper-V和RedHat KVM則將服務器虛擬軟件融入操作系統(tǒng)，使虛擬化軟件成為操作系統(tǒng)的一個組成部分。VMware ESX發(fā)展最為成熟，支撐的操作系統(tǒng)最多，應用最廣泛，安全解決方案最為豐富，但部署成本較高；Citrix XenServer和RedHat KVM重點支持虛擬機采用Unix/Linux系統(tǒng)，采用產(chǎn)品免費、技術支撐收費的模式，應用較少但部署成本較低；Microsoft Hyper-V從支持Windows平臺出發(fā)拓展到支持主流Linux，應用發(fā)展很快，采用與操作系統(tǒng)捆綁銷售的方式，部署成本中等，當虛擬機大量采用Windows平臺時部署成本將進一步降低。目前主流的x86服務器虛擬化軟件及其特點見表2。

目前虛擬化層安全方案最為成熟的是VMware ESX上的安全方案，其他虛擬化軟件的安全方案原理基本與VMware ESX相同。VMware ESX安全方案的原理是通過在虛擬化軟件對外開放統(tǒng)一管理接口 （如ESX的VMsafe接口）上部署對應的第三方安全防護軟件，實現(xiàn)對鏡像文件的完整性監(jiān)控、虛擬化配置監(jiān)控、虛擬化軟件補丁管理和虛擬機防病毒、虛擬機異常操作監(jiān)控等功能，同時實現(xiàn)對虛擬化軟件和虛擬機的安全防護，如圖3所示。

圖3以VMsafe接口為例，該接口直接構建于服務器硬件之上，通過一個虛擬機監(jiān)控程序以透明方式動態(tài)分配硬件資源。VMsafe提供的接口可使第三方安全產(chǎn)品與該管理程序清晰地洞察虛擬機的運行情況，從而發(fā)現(xiàn)并清除病毒、特洛伊木馬和擊鍵記錄程序等惡意軟件。安全供應商可利用VMsafe檢測并消除無法在物理機上檢測到的惡意軟件，如趨勢科技的Deep Security，通過VMsafe API實現(xiàn)了虛擬機的入侵檢測與防護、網(wǎng)站應用程序防護等功能。這種安全方案的關鍵是虛擬化軟件提供管理接口能力，因此要實現(xiàn)更高的安全控制要求就有待管理接口能力的進一步完善，向更多的第三方安全廠商開放。另外，管理接口監(jiān)控和操作的權限很高，因此接口自身的安全保護也需進一步加強，可以采用雙向密匙校驗等措施實現(xiàn)第三方與接口之間的鑒權，以減少非法調用的風險。

4.3 網(wǎng)絡安全方案

與傳統(tǒng)IDC的流量不同，云計算場景下的流量更多的是“東西走向”，又稱為橫向流量，因此云計算網(wǎng)絡安全的重點是云計算中心虛擬主機間的網(wǎng)絡流量控制問題，也稱為橫向流量的監(jiān)控與隔離。其難點和重點是針對同一物理機內部的虛擬機之間的網(wǎng)絡流量如何實現(xiàn)可見可控，目前主要的技術方案有虛擬化流量外部化、內部流量管控兩種方式。

表2 主流x86服務器虛擬化軟件特點

圖3 虛擬層安全防護的原理

4.3.1 虛擬化流量外部化

虛擬化流量外部化技術目前主要有VEPA（由惠普牽頭提出）和VN-TAG（由思科提出）兩種協(xié)議標準，忽略技術細節(jié)，這兩種協(xié)議都是將內部虛擬流量引至外部的接入交換機，然后在接入交換機側部署防火墻、入侵檢測、流量清洗等傳統(tǒng)的網(wǎng)絡安全設備，實現(xiàn)內部流量的安全控制，工作原理如圖4所示。

虛擬化流量外部化技術實際上是通過內部流量的導出，使得傳統(tǒng)的網(wǎng)絡安全控制技術繼續(xù)在云計算場景下使用，優(yōu)點是容易部署并與傳統(tǒng)網(wǎng)絡安全策略兼容，缺點是犧牲了云計算高密度資源復用的優(yōu)勢（網(wǎng)絡端口）。下一階段可以通過加快推進10GE標準成熟并在服務器與接入交換機中大規(guī)模應用，以減輕這種方案帶來的問題。

4.3.2 虛擬機內部流量管控

內部流量管控技術是新增VSG（虛擬安全網(wǎng)關），通過VSG與虛擬軟件接口的結合實現(xiàn)虛擬機內部流量管控。虛擬服務器之間的所有通信必須先經(jīng)過VSG，實現(xiàn)有效流量管控和隔離，主要部署如圖5所示。

目前思科、VMware、趨勢科技、賽門鐵克等公司都推出了VSG相關方案，思科、VMware推出的VSG側重網(wǎng)絡安全，如防火墻控制、異常流量監(jiān)控；趨勢科技、賽門鐵克等公司推出的VSG功能更為豐富，在網(wǎng)絡安全的基礎上還提供網(wǎng)絡病毒傳播控制等附加安全防護能力。與流量外部化方案相比，內部流量管控技術方案的優(yōu)點是沒有產(chǎn)生額外流量，缺點是需針對VSG另外制定對應的網(wǎng)絡安全策略，安全管理復雜度上升。因此應進一步加強VSG與傳統(tǒng)網(wǎng)絡安全控制的集成，實現(xiàn)安全策略統(tǒng)一部署控制，簡化安全管理流程。

圖4 虛擬化流量外部化工作原理

圖5 虛擬安全網(wǎng)關部署架構

4.4 管理平臺安全方案

云計算實現(xiàn)了資源的集中部署、集約管理和統(tǒng)一調度，資源管理權限的集中也帶來了更多的安全需求。大規(guī)模私有云用戶種類多、數(shù)量龐大，有物理設備管理員、虛擬化設備管理員、企業(yè)內部業(yè)務用戶、不同級別業(yè)務合作伙伴等，用戶對虛擬資源的操作更加復雜化，安全控制精細程度更高且操作審計覆蓋面更廣。傳統(tǒng)的物理服務器安全管理基于4A的用戶訪問控制系統(tǒng)，即用戶賬號（account）管理、認證（authentication）管理、授權（authorization）管理和安全審計（audit），無法滿足云計算環(huán)境下的安全控制需求。因此云計算環(huán)境下的權限管理必須要對現(xiàn)有4A系統(tǒng)進一步加強，包括身份識別與訪問操作的控制和審計，實現(xiàn)與已有4A系統(tǒng)和信息安全管理中心的對接，從而實現(xiàn)云資源管理的安全。

云計算環(huán)境下的資源管理權限高度集中，一旦分配不當容易造成很大的安全隱患，因此必須要對管理員進行更細粒度的權限管理與操作審計，對各業(yè)務系統(tǒng)所管轄的云計算資源系統(tǒng)賬號和應用賬號進行集中管理、統(tǒng)一認證、集中授權和綜合審計。云計算環(huán)境下的資源均納入云管理平臺管理，因此要實現(xiàn)物理資源與虛擬資源的用戶訪問控制，必須將基于4A的傳統(tǒng)運維系統(tǒng)與云管理平臺結合，形成兩層用戶訪問控制，協(xié)同實現(xiàn)對物理資源與虛擬資源的全面訪問管理?；?A的傳統(tǒng)運維系統(tǒng)側重納管所有物理資源，包括私有云中的物理資源，對物理資源訪問用戶進行賬號管理、認證、授權和操作審計；云管理平臺側重納管虛擬資源，對虛擬資源訪問用戶進行賬號管理、認證、授權和操作審計等。

云管理平臺的安全保障措施包括:一要保障所有用戶操作虛擬資源時都必須經(jīng)過云管理平臺，關閉其他途徑；二要對虛擬機進行的所有修改類操作（包括創(chuàng)建、刪除、啟動、停止、備份、恢復等）進行審計日志留存；另外，針對各類用戶提供多種靈活的訪問認證方式，如手機號碼的捆綁認證、口令加動態(tài)密碼雙因子認證、硬件密匙認證等，把安全措施顯性化，增強用戶對私有云安全的信心。

SOC（信息安全管理中心）是以安全事件管理為關鍵流程的集中安全管理系統(tǒng)，云管理平臺通過與SOC安全事件采集模塊的對接（如圖6所示），把虛擬化設備與虛擬化軟件安全接口所產(chǎn)生的安全事件上報SOC，將云計算安全事件管理納入SOC體系，有效實現(xiàn)安全事件的統(tǒng)一管理并做出積極響應。

5 結束語

云計算已成為未來10年內全球IT領域關注和投入的重點領域，其安全問題也必將越來越成為關注的重點，隨著應用的推廣和技術的成熟，只要分析清楚當前環(huán)境中可能存在的安全風險，并通過技術和管理手段，制定和實施相應的安全方案，就可以最大程度地實現(xiàn)云計算環(huán)境的系統(tǒng)安全，保證云計算業(yè)務的安全交付。

1 CSA.CSA云計算關鍵領域安全指南v3,2011

2 CSA.云計算7個方面主要威脅v1.0,2011

3 張云勇，陳清金，潘松柏等.云計算安全關鍵技術分析.電信科學,2010(9)

4 張健.全球云計算安全研究綜述.電信網(wǎng)技術,2010(9)