云時代的安全風(fēng)險與防護方案

（杭州華三通信技術(shù)有限公司，北京 100052）

云時代的安全風(fēng)險與防護方案

焦暘

（杭州華三通信技術(shù)有限公司，北京 100052）

云計算已經(jīng)在全球遍地開花，在給全球IT和經(jīng)濟模式帶來變革的同時，安全問題也變得尤為突出，運營商已經(jīng)逐步從公有云服務(wù)提供商進入到全新的專享云、托管云、私有云、混合云等各個云領(lǐng)域了，云時代的安全風(fēng)險有哪些，作為云服務(wù)提供商，又該如何做好安全防范或者將安全作為一種產(chǎn)品進行銷售和運營、管理是現(xiàn)今最值得關(guān)注的問題，針對大客戶形態(tài)的不同云安全又有哪些不同，本文將做局部的深入探討。

云安全服務(wù)；私有云；SDN；云安全

運營商是云計算的引導(dǎo)者和運營者，在云計算時代面臨著全新的競爭環(huán)境，云計算的服務(wù)已經(jīng)打破以往的商業(yè)模式，云計算服務(wù)提供商正在進入傳統(tǒng)的CT、IT以及IDC運營等領(lǐng)域，使得競爭環(huán)境進一步惡化，運營商云計算服務(wù)領(lǐng)域也從原來的公有云服務(wù)，逐步延展到了私有云、專享云、混合云、托管云等領(lǐng)域，而在這些領(lǐng)域?qū)Π踩男枨笫桥c公有云完全不同的，本文重點將探討一下針對私有云、專享云、混合云、托管（下文將統(tǒng)一對以上類型的云服務(wù)統(tǒng)稱為“大客戶云服務(wù)”）等針對大客戶的云服務(wù)安全方案和防御方法。

1 大客戶數(shù)據(jù)泄露風(fēng)險——公有云或共享云

大客戶數(shù)據(jù)泄露風(fēng)險是目前政企客戶是否選擇大客戶云服務(wù)最為擔(dān)心的安全風(fēng)險，作為大客戶也更為關(guān)心這類問題，同時也是用戶數(shù)據(jù)泄露的重要途徑。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時，用戶本身對于自身數(shù)據(jù)在云中的安全風(fēng)險并沒有實際的控制能力，數(shù)據(jù)安全完全依賴于服務(wù)商，如果服務(wù)商本身對于數(shù)據(jù)安全的控制存在疏漏，則很可能導(dǎo)致數(shù)據(jù)泄露或丟失。現(xiàn)階段可能導(dǎo)致安全風(fēng)險的有以下幾種典型情況。

（1）由于云服務(wù)提供商的安全漏洞導(dǎo)致的黑客入侵造成的用戶數(shù)據(jù)丟失。

（2）由于虛擬化軟件的安全漏洞造成的用戶數(shù)據(jù)被入侵的風(fēng)險。

（3） 數(shù)據(jù)在傳輸過程中沒進行加密導(dǎo)致信息泄露。

（4）加密數(shù)據(jù)傳輸，但是密鑰管理存在缺失導(dǎo)致數(shù)據(jù)泄露。

（5）不同用戶的數(shù)據(jù)傳輸之間沒有進行有效隔離導(dǎo)致數(shù)據(jù)被竊取。

（6）用戶數(shù)據(jù)在云中存儲沒有進行容災(zāi)備份等。

從這個角度看，云計算服務(wù)商在向用戶推薦云計算服務(wù)時，需要和企業(yè)用戶簽署服務(wù)質(zhì)量保證協(xié)議，并從技術(shù)和管理兩個方面向用戶進行安全保證，以減輕用戶對于數(shù)據(jù)安全的擔(dān)憂。

從以上問題來看，建設(shè)針對大客戶的專享云或私有云，并在遠端實現(xiàn)托管云服務(wù)是一步步切入大客戶云服務(wù)的良好途徑，這種模式對比起公有云和共享型云服務(wù)有明顯的優(yōu)勢。

（1）硬件基礎(chǔ)平臺即IaaS架構(gòu)上各自分離獨立，不會引起底層安全擴散和遭受攻擊的威脅。

（2）針對IaaS平臺的專享或私有，運營商可以提供用戶側(cè)放置獨享或私有云的模式，來強化大客戶的安全感，如果采用托管式的專享或私有云模式則也可以通過隔離獨立的物理區(qū)域和硬件設(shè)備來實現(xiàn)安全性的保障。

（3） 在此基礎(chǔ)上更可以提供專門的安全云增值服務(wù)，來提供針對客戶專享云或私有云的安全增值服務(wù)，如華三公司的統(tǒng)一云安全管理平臺，既可實現(xiàn)針對客戶定制化的所有安全隱患的排查和檢測，又能夠覆蓋到各個不同的層次和不同廠家的設(shè)備，可以通過華三公司的SCC平臺實現(xiàn)全局很深入的安全問題排查和報表式通告。

（4）針對國家所頒布的等保要求，還要及時的根據(jù)大客戶應(yīng)處的等級保護級別來進行安全對應(yīng)方案和產(chǎn)品的部署，確保等保用戶接入時的等保要求，要定期做好等保防護和信息安全定時通告。

2 內(nèi)部安全失控

企業(yè)的核心數(shù)據(jù)在云計算環(huán)境中的存儲，離不開管理員的操作和審核，如果服務(wù)商內(nèi)部的管理出現(xiàn)疏漏，將可能導(dǎo)致內(nèi)部人員私自竊取用戶數(shù)據(jù)，從而對用戶的利益造成損害。在這種情況下，除了通過技術(shù)的手段加強數(shù)據(jù)操作的日志審計之外，嚴格的管理制度和不定期的安全檢查十分必要。云計算服務(wù)供應(yīng)商有必要對工作人員的背景進行調(diào)查并制定相應(yīng)的規(guī)章制度避免內(nèi)部人員“作案”，并保證系統(tǒng)具備足夠的安全操作的日志審計能力，在保證用戶數(shù)據(jù)安全的前提下，滿足第三方審計單位的合規(guī)性審計要求。

由SDN技術(shù)可以對所有的數(shù)據(jù)流向和經(jīng)過的節(jié)點進行記錄和調(diào)度，采用Overlay網(wǎng)絡(luò)可以讓用戶的數(shù)據(jù)路徑變成唯一路徑，不會被外部獲取或轉(zhuǎn)移數(shù)據(jù)路徑，這樣可以保障數(shù)據(jù)在傳輸?shù)倪^程中不被輕易的欺騙或竊取，而數(shù)據(jù)存儲的安全性保障則需要依靠數(shù)據(jù)訪問審核、訪問用戶權(quán)限控制和數(shù)據(jù)一致性驗證來保障了。

3 虛擬化安全策略的自動遷移調(diào)整

大客戶服務(wù)往往與公有云服務(wù)有巨大差異，私有云業(yè)務(wù)往往出現(xiàn)頻繁的虛擬機遷移等動作，而安全部署往往是依據(jù)環(huán)境變化而做出的定制化服務(wù)策略，在業(yè)務(wù)模式發(fā)生變化后，往往安全服務(wù)需要重新制定，中間時間和環(huán)節(jié)會造成大客戶的云業(yè)務(wù)暴露在安全威脅中。

虛擬化環(huán)境下的虛擬機自動遷移，是云計算環(huán)境的重要特征之一。為跟隨這種虛擬機的遷移，業(yè)務(wù)系統(tǒng)本身的資源配置以及該虛擬機的接入端口屬性都在積極響應(yīng)并提供適配的手段。而要想實現(xiàn)安全策略的跟隨遷移，安全管理平臺需要提供包括下面在內(nèi)的重要技術(shù)支撐。

（1）及時建立起網(wǎng)絡(luò)中的每個虛擬機和安全策略組的對應(yīng)關(guān)系，實現(xiàn)全局的虛擬機安全策略統(tǒng)一規(guī)劃和管理。

（2）及時感知虛擬機的遷移動作，并獲取虛擬機遷移后的網(wǎng)絡(luò)位置信息，以此來觸發(fā)安全策略的遷移。

（3）根據(jù)遷移后的虛擬機信息，探測計算出遷移后的虛擬機所對應(yīng)的安全設(shè)備，為下一步的安全策略調(diào)整做準(zhǔn)備。

（4）安全管理平臺基于上述信息有效整合各方面資源，自動調(diào)整安全策略，將該虛擬機對應(yīng)的安全策略組重新下發(fā)到新的安全設(shè)備上，完成整個安全策略的遷移。

圖1 安全策略匹配虛擬機遷移自動跟隨

如圖1所示，根據(jù)大客戶的云安全服務(wù)要求提供虛擬機遷移的安全策略自動跟隨服務(wù)。

4 針對大客戶的安全服務(wù)

4.1 安全即服務(wù)（SaaS，Security as a Service）

運營商針對大客戶的云安全服務(wù)可以采用服務(wù)鏈的方式來實現(xiàn)云安全服務(wù)的部署。

（1）SaaS將安全以云服務(wù)方式提供，將流量引入安全云中心“清洗”，如圖2所示，運營商可以通過專門的云服務(wù)來提供給大客戶安全云服務(wù)業(yè)務(wù)。

圖2 運營商可以通過專門的云服務(wù)來提供給大客戶安全云服務(wù)業(yè)務(wù)

（2）“安全云中心”可以是數(shù)據(jù)中心的一個安全服務(wù)資源池，或以公有云的方式提供。

（3）“安全云服務(wù)中心” 的關(guān)鍵技術(shù)：如何識別與牽引流量，如何保證云中心的交付能力，多租戶問題。

（4）Overlay + NFV提供靈活的流量控制及云端的橫向擴張能力。如圖3所示，運營商安全即服務(wù)產(chǎn)品結(jié)構(gòu)。

4.2 升級安全架構(gòu)，構(gòu)建基于SDN技術(shù)架構(gòu)的安全模型

基礎(chǔ)架構(gòu)安全升級：組合IaaS、PaaS、SaaS架構(gòu)安全防護系統(tǒng)做統(tǒng)一防護，構(gòu)建L2～L7層全面的防護體系，根據(jù)SDN技術(shù)結(jié)合，實現(xiàn)全安全架構(gòu)的搭建，如圖4所示，基于SDN技術(shù)的全局安全策略和部署模式，來完善云時代的安全模型。

4.3 做好基礎(chǔ)安全信息收集

作為安全信息中最重要的環(huán)節(jié)部分，所有后續(xù)的動作均來自此，現(xiàn)階段最流行的方法就是采用DPI（深度數(shù)據(jù)報文檢測）將所有的設(shè)備流量做鏡像，進行分析，除此之外，還建議部署設(shè)備日志收集分析系統(tǒng)，用于日志信息的收集和統(tǒng)計。

4.4 定期定時進行安全事件分析

圖3 運營商安全既服務(wù)產(chǎn)品結(jié)構(gòu)

圖4 基于SDN技術(shù)的全局安全策略和部署模式

針對收集到安全信息進行分析并提早做出判斷，是否有安全隱患，此系統(tǒng)是華三公司的SCC管理平臺的內(nèi)置功能，可以通過激活此功能來實現(xiàn)安全日志的統(tǒng)計和分析，可以參考華三公司相關(guān)技術(shù)白皮書。

4.5 利用新手段技術(shù)——大數(shù)據(jù)進行安全風(fēng)險預(yù)警

在安全事件分析中最常用的一種手段就是大數(shù)據(jù)分析和預(yù)測，根據(jù)谷歌的大數(shù)據(jù)預(yù)測分析系統(tǒng)預(yù)測，大數(shù)據(jù)比專家更管用，早于其它信息手段預(yù)測至少2周時間，而安全的大數(shù)據(jù)有一個很重要的特性，就是關(guān)聯(lián)性，大數(shù)據(jù)對于關(guān)聯(lián)性分析稍顯滯后，不能進行實時的預(yù)警和干預(yù)，對于這部分的解決方法就是部署在線式的安全防護設(shè)備來實現(xiàn)這個木桶短板的補齊，其中IPS可以提供L4～L7層的安全防護，以前基本用于云計算的門戶出口處。

但現(xiàn)在由于大客戶私有云的需求，往往在不同的業(yè)務(wù)分區(qū)和大客戶業(yè)務(wù)的門戶處都部署IPS設(shè)備，而IPS設(shè)備自身的應(yīng)用防護信息庫沒有與云安全平臺聯(lián)通的時候是通過其人工設(shè)定的門限值來進行防護的，而與安全防護管理平臺聯(lián)動后，運營商可以向大客戶的云安全防護設(shè)備提供全新的安全策略，以便大客戶能夠及時提升安全防護的能力。

5 結(jié)束語

云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié)，要保證云計算中心的安全，還要考慮數(shù)據(jù)加密、備份，信息的認證授權(quán)訪問以及法律、法規(guī)合規(guī)性要求，只有全面的進行規(guī)劃，才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。IT畢竟是手段，法律法規(guī)和嚴格的執(zhí)行還是安全風(fēng)險防范的最佳法寶，隨著云安全服務(wù)的升級，華三公司提供給了運營商應(yīng)對云安全問題的手段更多樣化，以便能夠適應(yīng)云時代大客戶對云安全的防護要求。

Safety and protection scheme of the cloud era

JIAO Yang
(H3C Technologies Co., Ltd., Beijing 100052, China)

Cloud computing is known as the most anticipated technological revolution over the entire world. Cloud computing has lead the entire IT, economy and industry to change.Meanwhile more and more people are concerned about cloud computing's security issues. Carrier operator gradually from public cloud supplier to many different territory such as private cloud deposit cloud mixed cloud and so on.What are the risks when cloud computing coming. The carrier operator can take what measures to prevent safety risks. This paper investigates the key account's safety requirements for different type cloud computing.

cloud security service; private cloud; SDN; cloud security

TN915

A

1008-5599（2014）08-0069-04

2014-07-26