企業(yè)云計(jì)算平臺(tái)網(wǎng)絡(luò)安全加固方法

朱俊平

（中國(guó)電信湖北增值業(yè)務(wù)中心，湖北 武漢 430032）

1 企業(yè)云計(jì)算概述

向云計(jì)算平臺(tái)演化是目前企業(yè)IT架構(gòu)正在發(fā)生的重大變化。對(duì)于云計(jì)算（cloud computing）的概念有不同的理解。一般來(lái)說(shuō)，在互聯(lián)網(wǎng)服務(wù)領(lǐng)域，云計(jì)算指的是一種基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過(guò)互聯(lián)網(wǎng)來(lái)提供動(dòng)態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。按照美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）定義：云計(jì)算是一種按使用量付費(fèi)的模式，這種模式提供可用的、便捷的、按需的網(wǎng)絡(luò)訪問(wèn)，進(jìn)入可配置的計(jì)算資源共享池（資源包括網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用軟件、服務(wù)），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務(wù)供應(yīng)商進(jìn)行很少的交互。另外一種云計(jì)算平臺(tái)的定義是狹義的，即企業(yè)使用的一種主要基于虛擬化技術(shù)的IT基礎(chǔ)設(shè)施。本文主要講述的是后者，即基于虛擬化技術(shù)的企業(yè)云平臺(tái)的網(wǎng)絡(luò)安全加固。

“云”，最早是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種比喻性的說(shuō)法。20世紀(jì)90年代，SUN公司提出了“網(wǎng)絡(luò)就是計(jì)算機(jī)”的著名口號(hào)。從那以后，網(wǎng)絡(luò)和計(jì)算的概念逐漸融合了。后來(lái)的“云”，演化成一種互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象描述。2006年，Google公司首席執(zhí)行官埃里克·施密特首次提出“云計(jì)算”（Cloud Computing）的概念。

對(duì)于企業(yè)私有云平臺(tái)來(lái)說(shuō)，虛擬化技術(shù)是云計(jì)算平臺(tái)的核心和基礎(chǔ)。虛擬化是一個(gè)廣義的術(shù)語(yǔ)，在計(jì)算機(jī)方面通常是指計(jì)算元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行。虛擬化技術(shù)可以提高設(shè)備的硬件資源利用率，簡(jiǎn)化軟件部署的過(guò)程。對(duì)于企業(yè)云平臺(tái)來(lái)說(shuō)，常見(jiàn)的一種虛擬化是操作系統(tǒng)虛擬化，例如一臺(tái)計(jì)算機(jī)可以運(yùn)行相同類型的多個(gè)操作系統(tǒng)。這種虛擬化可以將一個(gè)操作系統(tǒng)的多個(gè)服務(wù)器隔離開(kāi)來(lái)（這意味著必須全都使用相同類型和版本的操作系統(tǒng)）；后來(lái)的虛擬化，則大都是運(yùn)行不同的操作系統(tǒng)的虛擬機(jī)，構(gòu)建在一個(gè)虛擬機(jī)支持平臺(tái)上。目前常見(jiàn)的虛擬機(jī)支撐平臺(tái)有Solaris Container、微軟Virtual Server2005、VM－ware、Xen、Virtubox、以及華為的 FusionCloud、中興的ZXCLOUD等。

2 企業(yè)云平臺(tái)網(wǎng)絡(luò)安全加固的方法和步驟

現(xiàn)在人們已經(jīng)意識(shí)到，對(duì)于一個(gè)IT系統(tǒng)來(lái)說(shuō)，網(wǎng)絡(luò)安全是很重要的問(wèn)題。網(wǎng)絡(luò)安全的一般含義，是指保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟件、硬件及信息資源，使之免受偶然或惡意的破壞篡改和泄露，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行、網(wǎng)絡(luò)服務(wù)不中斷。而對(duì)于一個(gè)企業(yè)云平臺(tái)來(lái)說(shuō)，由于系統(tǒng)的復(fù)雜性和重要性，網(wǎng)絡(luò)安全顯得尤其突出。下面，從幾個(gè)方面論述企業(yè)云平臺(tái)網(wǎng)絡(luò)安全加固的方法。

2.1 安全域的劃分

從企業(yè)云平臺(tái)的整體架構(gòu)上來(lái)進(jìn)行網(wǎng)絡(luò)安全加固。目前，典型的企業(yè)私有云平臺(tái)，主要是一些虛擬化的服務(wù)器、業(yè)務(wù)處理機(jī)，或者虛擬化的客戶機(jī)集合，運(yùn)行在一些相對(duì)集中的云資源池中。云資源池通常需要和互聯(lián)網(wǎng)以及企業(yè)內(nèi)網(wǎng)、辦公網(wǎng)等網(wǎng)絡(luò)連通。在外圍，還有維護(hù)終端設(shè)備、辦公終端通過(guò)網(wǎng)絡(luò)連接到云平臺(tái)，如果云平臺(tái)需要對(duì)外服務(wù)，還有遠(yuǎn)程客戶端通過(guò)互聯(lián)網(wǎng)連接進(jìn)來(lái)。這樣，云平臺(tái)的網(wǎng)絡(luò)威脅就來(lái)自方方面面。為了把這些網(wǎng)絡(luò)界面以及面臨的網(wǎng)絡(luò)威脅區(qū)分開(kāi)來(lái)，使用網(wǎng)絡(luò)安全域劃分的方法，然后針對(duì)不同的安全域采用不同的安全策略。一個(gè)云計(jì)算平臺(tái)，包括其內(nèi)部的虛擬機(jī)，通?？梢苑殖捎?jì)算域、服務(wù)域、維護(hù)域和網(wǎng)絡(luò)域等部分。計(jì)算域，一般是指平臺(tái)中的核心計(jì)算單元，例如數(shù)據(jù)庫(kù)服務(wù)器等，這是網(wǎng)絡(luò)安全要求最高的部分，一般不允許外網(wǎng)訪問(wèn)。服務(wù)域，一般是接口服務(wù)器、WEB服務(wù)器等需要對(duì)外提供服務(wù)的網(wǎng)元組成，在這個(gè)域中的實(shí)體，通常一方面要和計(jì)算域聯(lián)系，也要和外部其他網(wǎng)絡(luò)的設(shè)備甚至互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)交互，因此是網(wǎng)絡(luò)環(huán)境最復(fù)雜的一個(gè)區(qū)域，需要靈活設(shè)置各種網(wǎng)絡(luò)訪問(wèn)策略，既要保證業(yè)務(wù)能正常提供，又要防止各種網(wǎng)絡(luò)入侵的威脅，還要防止被黑客入侵后成為攻擊其他設(shè)備的跳板。維護(hù)域，一般是指維護(hù)終端，或者辦公終端等設(shè)備，主要供內(nèi)部人員對(duì)云平臺(tái)設(shè)備進(jìn)行維護(hù)操作或者辦公使用，在這個(gè)域中的設(shè)備，具有一定的系統(tǒng)訪問(wèn)權(quán)限，但是也要防止對(duì)系統(tǒng)進(jìn)行誤操作，或者變成黑客以及病毒、木馬攻擊系統(tǒng)的跳板。網(wǎng)絡(luò)域，一般是指路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備以及各種網(wǎng)絡(luò)連線。網(wǎng)絡(luò)域的正常穩(wěn)定運(yùn)行是云平臺(tái)系統(tǒng)正常運(yùn)行的基本保證，網(wǎng)絡(luò)域也是實(shí)施各種網(wǎng)絡(luò)安全策略配置的主要節(jié)點(diǎn)。

2.2 網(wǎng)絡(luò)層的安全配置

在劃分好安全域之后，就需要做好網(wǎng)絡(luò)層面的安全配置。在網(wǎng)絡(luò)層的設(shè)備中，防火墻是很重要的安全設(shè)備。當(dāng)然，有些路由器和交換機(jī)也可以做一些簡(jiǎn)單的網(wǎng)絡(luò)安全策略。在各個(gè)安全域之間，原則上都需要配置防火墻，并設(shè)置不同的策略。防火墻一般有兩種類型，一種是包過(guò)濾型防火墻，這種防火墻對(duì)通過(guò)的每一個(gè)數(shù)據(jù)包進(jìn)行檢查，允許符合安全策略的數(shù)據(jù)包通過(guò)，阻止不符合策略的數(shù)據(jù)包，而這些策略一般是以源和目的IP地址以及端口號(hào)作為參數(shù)來(lái)進(jìn)行設(shè)置的。另一種防火墻是代理型防火墻，這種防火墻通過(guò)一種代理技術(shù)參與到TCP／IP連接的全過(guò)程，這樣從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻，就好像從防火墻的外網(wǎng)網(wǎng)卡發(fā)出一樣，可以達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的目的，同時(shí)代理型防火墻還有可能對(duì)應(yīng)用層等高層協(xié)議進(jìn)行安全方面的管控，因此也是防火墻技術(shù)的一種發(fā)展趨勢(shì)。除了硬件防火墻以外，現(xiàn)在還可以使用一種軟件防火墻，例如windows server自帶的防火墻，以及l(fā)inux系統(tǒng)的iptables等。這種軟件防火墻，通常只能保護(hù)服務(wù)器本身，但具有一定的靈活性，有時(shí)是不可替代的。例如，同一個(gè)云資源池里，有一些虛擬的服務(wù)器位于同一個(gè)網(wǎng)段下，互相之間無(wú)法通過(guò)其他網(wǎng)絡(luò)設(shè)備隔離，這時(shí)就可能需要用到安裝在虛擬機(jī)上的軟件防火墻，隔離虛擬機(jī)之間的訪問(wèn)，避免被黑客的跳板攻擊或病毒的傳播。

2.3 主機(jī)和操作系統(tǒng)的安全加固

在做好了網(wǎng)絡(luò)層的安全配置和加固之后，可以對(duì)主機(jī)和操作系統(tǒng)進(jìn)行加固。在企業(yè)云平臺(tái)中，主要存在兩種主機(jī)，一種是云平臺(tái)支撐系統(tǒng)的主機(jī)，這些主機(jī)構(gòu)成云平臺(tái)的基礎(chǔ)，同時(shí)實(shí)現(xiàn)云平臺(tái)的資源分配、調(diào)度管理等功能；另一些主機(jī)是指運(yùn)行在云資源池內(nèi)的虛擬機(jī)，這些主機(jī)用來(lái)組建各種應(yīng)用和服務(wù)系統(tǒng)。這些不同類型的主機(jī)具有不同的操作系統(tǒng)，云平臺(tái)支撐系統(tǒng)的主機(jī)，一般運(yùn)行VMware、Xen等系統(tǒng)；而虛擬機(jī)則一般運(yùn)行Linux、Windows、Unix等系統(tǒng)。這些不同的操作系統(tǒng)，具有一些不同的常見(jiàn)安全漏洞和隱患，需要進(jìn)行有針對(duì)的安全整改和加固。對(duì)操作系統(tǒng)加固，首要的是保證操作系統(tǒng)盡量是最新版的，然后打上最新最全的操作系統(tǒng)補(bǔ)丁。對(duì)于云平臺(tái)支撐系統(tǒng)的主機(jī)，建議和外網(wǎng)隔離，不要允許從外網(wǎng)來(lái)訪問(wèn)，也不要和虛擬機(jī)在同一網(wǎng)段，防止被攻擊后引起整個(gè)云平臺(tái)的宕機(jī)。對(duì)操作系統(tǒng)的加固，還涉及到操作系統(tǒng)層面的一些安全配置，例如密碼長(zhǎng)度和修改周期等策略、日志審計(jì)策略、遠(yuǎn)程管理權(quán)限等，由于操作系統(tǒng)的默認(rèn)設(shè)置都不是很安全的，需要修改成最安全的選項(xiàng)。在操作系統(tǒng)的安全加固方面，在實(shí)踐中也總結(jié)和應(yīng)用了一些技巧，比如說(shuō)同類型的操作系統(tǒng)，進(jìn)行安全配置的命令基本相同，因此可以編寫(xiě)一些腳本程序，讓這些程序執(zhí)行做好安全配置的修改，以適合大批量的同類型主機(jī)系統(tǒng)加固，可以節(jié)省很多時(shí)間。還有一種方法是利用云平臺(tái)的特點(diǎn)，建立好一個(gè)虛擬機(jī)，并把這個(gè)虛擬機(jī)配置的很安全，然后作為模版通過(guò)克隆的方式，可以克隆出許多類似的安全主機(jī)來(lái)，這些安全主機(jī)不需要再進(jìn)行大量的安全配置工作就可以投入使用。

2.4 應(yīng)用程序的安全加固

對(duì)各個(gè)主機(jī)中運(yùn)行的應(yīng)用程序做好安全加固。各個(gè)虛擬機(jī)中都會(huì)運(yùn)行很多應(yīng)用程序，有些應(yīng)用程序是必須的，有些是操作系統(tǒng)默認(rèn)安裝的但不是必須的。這些應(yīng)用程序可能具有一些漏洞或者隱患，可能被黑客利用或攻擊。舉個(gè)例子，很多l(xiāng)inux操作系統(tǒng)，都默認(rèn)帶有ftp，而這些ftp常常默認(rèn)允許匿名用戶登錄。檢查這些應(yīng)用程序的問(wèn)題，我們一般需要用到掃描器，通過(guò)掃描器檢查后，發(fā)現(xiàn)主機(jī)上開(kāi)啟了哪些TCP／UDP服務(wù)端口，以及這些服務(wù)是否存在弱密碼。如果發(fā)現(xiàn)主機(jī)上存在不需要的服務(wù)，則關(guān)閉這些服務(wù)的進(jìn)程。對(duì)于存在弱密碼的服務(wù)，則修改密碼或刪除弱密碼對(duì)應(yīng)的帳號(hào)。還有些服務(wù)，即使沒(méi)有明顯的漏洞，但只有特定的IP地址需要訪問(wèn)，可以在軟件配置里限定只讓特定的IP地址訪問(wèn)。

除了各種應(yīng)用程序的加固，如果云平臺(tái)中運(yùn)行的服務(wù)器提供Web服務(wù)，還涉及到Web等程序的加固。Web服務(wù)主要是Web程序中存在的如Sql注入、跨站腳本、信息泄漏等問(wèn)題，這些漏洞一般涉及到Web編程，專業(yè)性較強(qiáng)，需要Web程序員來(lái)進(jìn)行處理。

3 結(jié)束語(yǔ)

總之，企業(yè)云計(jì)算平臺(tái)的安全加固是一個(gè)多層面的系統(tǒng)工程。根據(jù)木桶理論，任何短板的薄弱環(huán)節(jié)都可能造成系統(tǒng)的脆弱性。只有在對(duì)企業(yè)云平臺(tái)系統(tǒng)各個(gè)層次和組件進(jìn)行安全分析和加固之后，才能充分保障系統(tǒng)的網(wǎng)絡(luò)安全。