文/薛峰 張慶福 張劍

隨著云計(jì)算技術(shù)在數(shù)據(jù)中心建設(shè)的應(yīng)用，數(shù)據(jù)存儲在哪里？誰可以訪問？數(shù)據(jù)安全嗎？作者從云計(jì)算環(huán)境下的數(shù)據(jù)中心安全風(fēng)險(xiǎn)分析著手，提出了四點(diǎn)安全建設(shè)思路，并根據(jù)云計(jì)算數(shù)據(jù)中心防護(hù)新需求，提出了一個(gè)可參考的安全防護(hù)部署基本模式。

伴隨云計(jì)算服務(wù)應(yīng)用的快速推廣，人們曾樂觀的認(rèn)為，今后計(jì)算機(jī)無須大容量硬盤。因?yàn)樗械膽?yīng)用和個(gè)人數(shù)據(jù)都將被存儲在遠(yuǎn)程服務(wù)器中，用戶只要很少的投入就可以得到按需分配的存儲資源。但是，隨著亞馬遜、Google和微軟等云計(jì)算服務(wù)安全事件的發(fā)生，加深了人們對云計(jì)算安全的擔(dān)憂。那么，構(gòu)筑以云計(jì)算技術(shù)為核心的新一代數(shù)據(jù)中心，在大量計(jì)算資源以動態(tài)、按需的服務(wù)方式供應(yīng)和部署的同時(shí)，如何進(jìn)行安全防護(hù)，使得存儲的海量數(shù)據(jù)和個(gè)人信息得以安全控制，是網(wǎng)絡(luò)建設(shè)者值得去思考和研究的。

風(fēng)險(xiǎn)分析

從“云計(jì)算”的概念提出以來，關(guān)于其數(shù)據(jù)安全性的質(zhì)疑就一直不曾平息。這里的安全性主要包括兩個(gè)方面：一是用戶的信息不會被泄露，避免造成不必要的損失；二是在需要的時(shí)候能夠保證用戶準(zhǔn)確無誤地獲取這些信息?？偨Y(jié)起來，建立在云計(jì)算環(huán)境下的數(shù)據(jù)中心安全風(fēng)險(xiǎn)存在于三個(gè)方面。

1. 數(shù)據(jù)傳輸安全風(fēng)險(xiǎn)

通常，數(shù)據(jù)中心保存有大量的重要數(shù)據(jù)，這些數(shù)據(jù)往往是核心和私密的，如用戶、財(cái)務(wù)和關(guān)鍵業(yè)務(wù)等信息。在云計(jì)算環(huán)境下，將數(shù)據(jù)通過網(wǎng)絡(luò)傳遞到云計(jì)算服務(wù)進(jìn)行處理時(shí)，面臨著幾個(gè)方面的問題：一是如何確保數(shù)據(jù)在網(wǎng)絡(luò)傳遞過程中嚴(yán)格加密不被竊?。欢侨绾伪ＷC數(shù)據(jù)不被泄露出去；三是如何保證用戶經(jīng)過嚴(yán)格的權(quán)限認(rèn)證且合法訪問數(shù)據(jù)，并保證任何時(shí)候都能安全訪問自身數(shù)據(jù)。

2. 數(shù)據(jù)存儲安全風(fēng)險(xiǎn)

數(shù)據(jù)中心的數(shù)據(jù)存儲是非常重要的環(huán)節(jié)，包括數(shù)據(jù)的存儲位置、相互隔離和災(zāi)難恢復(fù)等。在云計(jì)算環(huán)境下，云計(jì)算服務(wù)提供者在高度整合的大容量存儲空間上，開辟出一部分存儲空間提供給用戶使用，但用戶并不清楚自己的數(shù)據(jù)被放置在哪臺服務(wù)器上，甚至根本不了解這臺服務(wù)器放置的位置，云計(jì)算服務(wù)提供者在存儲資源所在位置是否會存在信息安全等問題，能否確保用戶數(shù)據(jù)不被泄露。同時(shí)，在這種數(shù)據(jù)存儲資源共享的環(huán)境下，即使采用加密方式，云計(jì)算服務(wù)提供者是否能保證數(shù)據(jù)之間的有效隔離。另外，即使用戶了解數(shù)據(jù)存放服務(wù)器的準(zhǔn)確位置，也必須要求云計(jì)算服務(wù)提供者作出承諾，對所托管數(shù)據(jù)進(jìn)行備份，以防止出現(xiàn)重大事故時(shí)數(shù)據(jù)無法得到恢復(fù)。

3. 數(shù)據(jù)審計(jì)安全風(fēng)險(xiǎn)

用戶進(jìn)行數(shù)據(jù)管理時(shí)，為了保證數(shù)據(jù)的準(zhǔn)確性，往往會引入第三方的認(rèn)證機(jī)構(gòu)進(jìn)行審計(jì)或認(rèn)證。但在云計(jì)算環(huán)境下，云計(jì)算提供者如何確保不給其用戶數(shù)據(jù)計(jì)算帶來風(fēng)險(xiǎn)的同時(shí)，又能提供必要的信息支持，以便協(xié)助第三方機(jī)構(gòu)對數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性審計(jì)，實(shí)現(xiàn)用戶的合規(guī)性要求。另外，用戶在對云計(jì)算服務(wù)提供者的可持續(xù)性發(fā)展進(jìn)行認(rèn)證的過程中，如何確保云計(jì)算服務(wù)提供者既能提供有效的數(shù)據(jù)，又不損害其他已有用戶的利益，使得本身能夠選擇一家可以長期存在的、有技術(shù)實(shí)力的云計(jì)算服務(wù)商進(jìn)行業(yè)務(wù)交付，也是安全方面的潛在風(fēng)險(xiǎn)。

防護(hù)思路

現(xiàn)實(shí)中的云計(jì)算服務(wù)具有不同的安全風(fēng)險(xiǎn)特征與安全控制職責(zé)和范圍。因此，需要從安全控制的角度建立云計(jì)算的參考模型，描述不同屬性組合的云服務(wù)架構(gòu),并實(shí)現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射,為風(fēng)險(xiǎn)識別、安全控制和決策提供依據(jù)。云計(jì)算環(huán)境下的數(shù)據(jù)中心安全防護(hù)必須針對不同的云安全模式，考慮具體解決方案，但應(yīng)該遵循以下四個(gè)方面的建設(shè)思路。

圖1 以虛擬化為基數(shù)支撐的安全防護(hù)體系

1. 應(yīng)該建設(shè)高性能，高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系

為應(yīng)對云計(jì)算環(huán)境下的流量模型變化，新一代數(shù)據(jù)中心安全防護(hù)部署需要朝著高性能的方向調(diào)整。在云計(jì)算技術(shù)應(yīng)用的數(shù)據(jù)中心建設(shè)過程中，多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對高密度的10GE，甚至100GE接口的處理能力。無論是獨(dú)立的機(jī)架式安全設(shè)備，還是配合數(shù)據(jù)中心高端交換機(jī)的各種安全業(yè)務(wù)引擎，都可以根據(jù)用戶的云規(guī)模和建設(shè)思路進(jìn)行合理配置。同時(shí)，考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須考慮到高可靠的支持。如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合和硬件BYPASS等特性，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。

2. 應(yīng)該建設(shè)以虛擬化為技術(shù)支撐的安全防護(hù)體系

目前，虛擬化已經(jīng)成為云計(jì)算服務(wù)的關(guān)鍵技術(shù)手段，包括基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、存儲資源、計(jì)算資源及應(yīng)用資源都已經(jīng)在支持虛擬化方面向前邁進(jìn)了一大步。只有基于這種虛擬化技術(shù)，才可能根據(jù)不同用戶的需求，提供個(gè)性化的存儲計(jì)算及應(yīng)用資源的合理分配，并利用虛擬化實(shí)例間的邏輯隔離，實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)安全。安全無論是作為基礎(chǔ)的網(wǎng)絡(luò)架構(gòu)，還是基于安全即服務(wù)的理念，都需要支持虛擬化，這樣才能實(shí)現(xiàn)端到端的虛擬化計(jì)算。典型的如圖1所示。

從網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的角度（如狀態(tài)防火墻的安全隔離和訪問控制）看，需要考慮支持虛擬化的防火墻，不同用戶可以基于VLAN AN等映射到不同的虛擬化實(shí)例中，每個(gè)虛擬化實(shí)例具備獨(dú)立的安全控制策略及獨(dú)立的管理職能。從安全服務(wù)的角度，云計(jì)算服務(wù)提供者聯(lián)合內(nèi)容安全提供者，提供類似防病毒和反垃圾郵件等服務(wù)，同時(shí)也必須考慮配合VMware等中間件實(shí)現(xiàn)操作系統(tǒng)層面的虛擬化實(shí)例。同一服務(wù)器運(yùn)行多個(gè)相互獨(dú)立的操作系統(tǒng)及應(yīng)用軟件，每個(gè)用戶的保密數(shù)據(jù)在運(yùn)行防病毒和反垃圾郵件檢查的時(shí)候，數(shù)據(jù)不被其他虛擬化系統(tǒng)引擎所訪問，只有這樣才能保證用戶數(shù)據(jù)的安全。

3. 應(yīng)該以集中的安全服務(wù)中心應(yīng)對無邊界的安全防護(hù)

和傳統(tǒng)的數(shù)據(jù)中心安全防護(hù)建設(shè)強(qiáng)調(diào)邊界防護(hù)不同，存儲計(jì)算等資源的高度整合，使得不同的用戶在申請?jiān)朴?jì)算服務(wù)時(shí)，只能實(shí)現(xiàn)基于邏輯的劃分隔離，不在物理上的安全邊界。在這種情況下，已經(jīng)不可能基于每個(gè)或每個(gè)類型用戶進(jìn)行流量的匯聚并部署獨(dú)立的安全系統(tǒng)。因此安全服務(wù)部署應(yīng)該從原來的基于各子系統(tǒng)的安全防護(hù)，轉(zhuǎn)移到基于整個(gè)云計(jì)算網(wǎng)絡(luò)的安全防護(hù)，建設(shè)集中的安全服務(wù)中心，以適應(yīng)這種邏輯隔離的物理模型。如圖2集中云安全服務(wù)中心部署示意圖所示，云管理員可以將需要進(jìn)行安全服務(wù)的用戶流量，通過合理的技術(shù)手段引入安全服務(wù)中心，完成安全服務(wù)后再返回到原有的轉(zhuǎn)發(fā)路徑。這種集中的安全服務(wù)中心，既可以實(shí)現(xiàn)用戶安全服務(wù)的單獨(dú)配置提供，又能有效地節(jié)約建設(shè)投資，考慮在一定收斂比的基礎(chǔ)上提供安全服務(wù)能力。

4. 應(yīng)該充分利用云安全模式加強(qiáng)云端和客戶端的關(guān)聯(lián)耦合

在安全建設(shè)中，充分利用云端的超強(qiáng)計(jì)算能力實(shí)現(xiàn)云模式的安全檢測和防護(hù)，是后續(xù)的一個(gè)重要方向。與傳統(tǒng)的安全防護(hù)模型相比，新的云安全模型除了要求掛在云端的海量本地用戶端具備基礎(chǔ)的威脅檢測和防護(hù)功能外，更強(qiáng)調(diào)其對未知安全威脅或可疑安全威脅的傳感檢測能力。任何一個(gè)用戶端對于本地不能識別的可疑流量都要第一時(shí)間送到后臺的云檢測中心。利用云端的檢測計(jì)算能力快速定位解析安全威脅，并將安全威脅的協(xié)議特征推送到全部用戶端或安全網(wǎng)關(guān)，從而使得整個(gè)云中的客戶端和安全網(wǎng)關(guān)都具備對這種未知威脅的檢測能力，用戶端和云端的耦合進(jìn)一步得到加強(qiáng)?；谠撃Ｊ浇⒌陌踩雷o(hù)體系將真正實(shí)現(xiàn)PDRP（防護(hù)Protection，檢測Dtection，響應(yīng)Reaction，還原Restore）的安全閉環(huán)，這也是云檢測模式的精髓所在。

防護(hù)部署基本模式

1. 防護(hù)需求

云計(jì)算環(huán)境下的數(shù)據(jù)中心，其最大需求是實(shí)現(xiàn)計(jì)算、存儲等IT資源靈活調(diào)度，讓資源得到最充分利用。而實(shí)現(xiàn)這一需求的基礎(chǔ)，是以數(shù)據(jù)中心的虛擬機(jī)作為主要的計(jì)算資源為客戶提供服務(wù)。在這種模式下，數(shù)據(jù)中心安全防護(hù)部署建設(shè)必須滿足三個(gè)防護(hù)新需求：

圖2 集中的云安全服務(wù)中心部署示意圖

圖3 云計(jì)算環(huán)境下數(shù)據(jù)中心的業(yè)務(wù)部署模型

第一是高性能的需求。較傳統(tǒng)方式而言，云計(jì)算環(huán)境下從外部到內(nèi)部的縱向流量加大，內(nèi)部虛擬機(jī)之間的橫向流量加大，整個(gè)云計(jì)算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力，在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個(gè)節(jié)點(diǎn)上不能存在阻塞。同時(shí)具備突發(fā)流量的承受能力。因此，安全設(shè)備接入數(shù)據(jù)中心，必須以萬兆級接入、萬兆級性能處理為基礎(chǔ)，并且要具備根據(jù)業(yè)務(wù)需求靈活擴(kuò)展的能力。同時(shí)，考慮云計(jì)算環(huán)境下的網(wǎng)絡(luò)流量無序突發(fā)沖擊性較大，安全設(shè)備必須具備突發(fā)流量時(shí)的處理能力。

第二是虛擬化要求。虛擬化是云計(jì)算數(shù)據(jù)中心發(fā)展的重要趨勢，對應(yīng)的云計(jì)算數(shù)據(jù)中心的防火墻、負(fù)載均衡等安全控制設(shè)備也必須支持虛擬化能力，像計(jì)算和存儲、網(wǎng)絡(luò)一樣能按需提供服務(wù)。

第三是VM之間安全防護(hù)要求。虛擬機(jī)環(huán)境下，同臺物理服務(wù)器虛擬成多臺VM以后，VM之間的流量交換基于服務(wù)器內(nèi)部的虛擬交換，對于該部分流量既不可控也不可見。但實(shí)際上根據(jù)需要，可將不同的VM劃分到不同的安全域進(jìn)行隔離和訪問控制。可通過EVB協(xié)議(如VEPA協(xié)議)將虛擬機(jī)內(nèi)部不同VM之間的網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機(jī)進(jìn)行處理。

云計(jì)算環(huán)境下數(shù)據(jù)中心安全防護(hù)部署，僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié)，要保證云計(jì)算中心的安全，還要考慮數(shù)據(jù)加密、備份，信息的認(rèn)證授權(quán)訪問，以及法律、法規(guī)合規(guī)性要求。只有全面地進(jìn)行規(guī)劃，才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。

2. 基本模式

傳統(tǒng)安全防護(hù)很重要的一個(gè)原則就是基于邊界的安全隔離和訪問控制，并且強(qiáng)調(diào)針對不同的安全區(qū)域設(shè)置有差異化的安全防護(hù)策略，這在很大程度上依賴各區(qū)域之間明顯清晰的區(qū)域邊界。較傳統(tǒng)數(shù)據(jù)中心而言，云計(jì)算環(huán)境下數(shù)據(jù)中心安全防護(hù)建設(shè)無明顯差別，同樣需要分區(qū)標(biāo)準(zhǔn)化、模塊化部署。業(yè)務(wù)部署基本模式如圖3所示。

在這種模式下，云計(jì)算環(huán)境下數(shù)據(jù)中心安防設(shè)備一般采用旁掛核心或者匯聚交換機(jī)的部署方式。通過虛擬化實(shí)現(xiàn)核心、匯聚、安防設(shè)備和業(yè)務(wù)云分區(qū)、分級防護(hù)，充分利用交換機(jī)和防火墻上的功能，通過虛擬防護(hù)墻、云計(jì)算數(shù)據(jù)中心內(nèi)服務(wù)器/虛擬機(jī)的網(wǎng)關(guān)等設(shè)置，實(shí)現(xiàn)虛擬設(shè)備的管理權(quán)限，最終滿足業(yè)務(wù)分級防護(hù)和用戶訪問需求防護(hù)。同時(shí)，通過將安全服務(wù)引入集中云安全服務(wù)中心，進(jìn)而全方位避免數(shù)據(jù)中心傳輸、存儲和審計(jì)的安全風(fēng)險(xiǎn)存在。

另外，從數(shù)據(jù)中心的網(wǎng)絡(luò)安全和業(yè)務(wù)訪問應(yīng)用的角度分析，實(shí)際部署時(shí)可將業(yè)務(wù)分為高級別、中級別和低級別，然后將服務(wù)器的網(wǎng)關(guān)設(shè)在不同的設(shè)備上。從業(yè)務(wù)訪問的模式來看，可分為縱向訪問和橫向訪問，其中縱向訪問是指同一種應(yīng)用在不同區(qū)的訪問（如同一種低級別應(yīng)用的Web-AP-DB訪問），橫向訪問是指同一級別中不同應(yīng)用之間的訪問（如低級別1訪問低級別2）。一般，不同級別之間不允許訪問。具體做法如下：

低級別應(yīng)用服務(wù)器：網(wǎng)關(guān)設(shè)置在匯聚交換機(jī)上，縱向和橫向訪問通過交換機(jī)ACL來控制；

中級別應(yīng)用服務(wù)器：網(wǎng)關(guān)設(shè)置在匯聚交換機(jī)上，縱向訪問通過防火墻控制，橫向訪問通過交換機(jī)ACL控制；

高級別應(yīng)用服務(wù)器：網(wǎng)關(guān)設(shè)置在匯聚交換機(jī)上，縱向和橫向訪問均需要通過防火墻控制。

盡管基于云計(jì)算環(huán)境下數(shù)據(jù)中心安全建設(shè)思路和模式還需要繼續(xù)實(shí)踐和探索，但是將安全內(nèi)嵌到云計(jì)算環(huán)境下數(shù)據(jù)中心的虛擬基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中，并通過安全服務(wù)的方式進(jìn)行交互，不僅可以增強(qiáng)云計(jì)算中心的安全防護(hù)能力和安全服務(wù)的可視化，還可以根據(jù)風(fēng)險(xiǎn)預(yù)警進(jìn)行實(shí)時(shí)的策略控制，這將使得云計(jì)算環(huán)境下的數(shù)據(jù)中心的服務(wù)更加安全可靠。