云計算虛擬化安全挑戰(zhàn)

“云計算”為何被稱為“云”計算，有一種有趣的說法是我們在畫網(wǎng)絡(luò)拓?fù)鋱D時，通常用一朵云表示互聯(lián)網(wǎng)，表示那些網(wǎng)絡(luò)中對用戶透明、不需要關(guān)心的網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程，因此在選擇一個名詞表示基于互聯(lián)網(wǎng)的新一代計算方式的時候，就采用了“云計算”這個名詞。當(dāng)然這個解釋并不太準(zhǔn)確，因為這朵“云”里面不僅包含了網(wǎng)絡(luò)，更包含了計算、存儲、服務(wù)和軟件等元素。它用來描述包括網(wǎng)絡(luò)、計算、存儲等在內(nèi)的IT基礎(chǔ)設(shè)施，以及包括操作系統(tǒng)、應(yīng)用平臺、Web服務(wù)等在內(nèi)的軟件，這樣是為了強調(diào)對這些資源的運用而不是他們實現(xiàn)的細(xì)節(jié)。云計算是一種共享的網(wǎng)絡(luò)交付信息服務(wù)的模式，云服務(wù)的使用者看到的只有服務(wù)而不用關(guān)心相關(guān)基礎(chǔ)設(shè)施的具體實現(xiàn)。它是一種革新的IT運用模式，其核心原則是：硬件和軟件都是資源，并封裝為服務(wù)，用戶可以通過互聯(lián)網(wǎng)按需訪問和使用。它的硬件和軟件都是資源，通過互聯(lián)網(wǎng)以服務(wù)的方式提供給用戶，這些資源都可以根據(jù)需要進(jìn)行動態(tài)擴展和配置，在物理上可以是分布式的共享方式存在，但最終在邏輯上以單一整體的形式呈現(xiàn)，用戶按需使用云中的資源，按實際使用的量付費，而不需要管理它們。

基礎(chǔ)設(shè)施虛擬化包括網(wǎng)絡(luò)虛擬化、存儲虛擬化。網(wǎng)絡(luò)虛擬化是指將網(wǎng)絡(luò)的硬件和軟件資源整合，向用戶提供虛擬網(wǎng)絡(luò)來連接的虛擬化技術(shù)。網(wǎng)絡(luò)虛擬化可以分為局域網(wǎng)絡(luò)虛擬化（VLAN）和廣域網(wǎng)絡(luò)(VPN)虛擬化。存儲虛擬化是指為物理的存儲設(shè)備提供一個抽象的邏輯視圖，用戶可以通過這個視圖中的同一邏輯接口來訪問被整合的存儲資源（RAID、NAS、SAN）。

系統(tǒng)虛擬化即是在同一臺物理機上運行多個獨立的操作系統(tǒng)。在操作系統(tǒng)內(nèi)部看來，與使用直接安裝在物理計算機上的操作系統(tǒng)沒有顯著差異。系統(tǒng)虛擬化的核心思想是使用虛擬化軟件在一臺物理機上虛擬出一臺或多臺虛擬機，虛擬機是指使用系統(tǒng)虛擬化技術(shù)，運行在一個隔離環(huán)境中，具有完整硬件功能的邏輯計算機系統(tǒng)，包括客戶操作系統(tǒng)和其中的應(yīng)用程序。系統(tǒng)虛擬化最大的價值在于服務(wù)器虛擬化，另外還有新的并行，即虛擬桌面VDI。

虛擬網(wǎng)絡(luò)層引入帶來的安全挑戰(zhàn)

服務(wù)器虛擬化后，在服務(wù)器內(nèi)部增加的虛擬網(wǎng)絡(luò)層，對于傳統(tǒng)的數(shù)據(jù)中心安全架構(gòu)帶來兩方面的挑戰(zhàn)。在同一物理服務(wù)器上的多臺VM間，可通過服務(wù)器內(nèi)部的虛擬網(wǎng)絡(luò)之間通信，這短路掉了傳統(tǒng)的數(shù)據(jù)中心防火墻的安全防護(hù)。在傳統(tǒng)的數(shù)據(jù)中心內(nèi)，不同的應(yīng)用分布在不同的物理服務(wù)器上，在靠近物理服務(wù)器的位置會部署安全設(shè)備比如防火墻，用以提供隔離、狀態(tài)防護(hù)、入侵檢測等安全保護(hù)。

當(dāng)服務(wù)器虛擬化后，在物理服務(wù)器內(nèi)部存在多個虛擬機VM，每個虛擬機承載不同應(yīng)用，同時，物理服務(wù)器內(nèi)部，還由于虛擬化引入了新的虛擬網(wǎng)絡(luò)層，具體就是一個虛擬交換機，同一物理服務(wù)器內(nèi)部的不同虛擬機間的流量可以通過內(nèi)部的虛擬交換機直接通信，不再通過外部的物理防火墻，因此，原有的安全防護(hù)機制失效了。VM在同一數(shù)據(jù)中心內(nèi)的不同服務(wù)器間遷移、或者跨數(shù)據(jù)中心站點的遷移時，傳統(tǒng)的數(shù)據(jù)中心防火墻預(yù)先配置的安全策略無法跟隨，這帶來安全漏洞。在傳統(tǒng)數(shù)據(jù)中心里，為服務(wù)器提供安全防護(hù)的防火墻等設(shè)備，都是基于安全策略，針對具體服務(wù)器做好了固定的配置。而在虛擬化的數(shù)據(jù)中心里，出于負(fù)載均衡、資源動態(tài)調(diào)整、高可用性、服務(wù)器硬件維護(hù)甚至是節(jié)約電源的目的，虛擬機會在數(shù)據(jù)中心內(nèi)手工或者動態(tài)地遷移，即虛擬機從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器，此時外部防火墻無法感知虛擬機的位置變化，因此針對具體應(yīng)用的安全策略無法跟隨，這又導(dǎo)致新的安全漏洞。

業(yè)界解決方向

1.虛擬防火墻方向

首先，我們在部署防火墻時，希望防火墻越靠近服務(wù)器（應(yīng)用）越好，既然服務(wù)器虛擬化在服務(wù)器內(nèi)部引入了新的虛擬化層，那么在服務(wù)器內(nèi)部的虛擬網(wǎng)絡(luò)層中再增加虛擬防護(hù)墻，提供物理世界中的防火墻相同的功能。

2.802.1Qbg兼容的解決方向

針對來源于虛擬機之間的通信可以在物理服務(wù)器內(nèi)部完成，短路掉了物理防火墻，那么，針對此類虛擬機的流量，強制將虛擬機的流量轉(zhuǎn)發(fā)到外部，在通過物理防火墻的檢查后，再轉(zhuǎn)發(fā)回該物理服務(wù)器，這樣也能解決問題，IEEE802.1Qbg就是定義這種流量強制轉(zhuǎn)發(fā)的機制。

云計算在安全方面的技術(shù)挑戰(zhàn)

虛擬化是云計算的基礎(chǔ)，但不是全部，云計算有著更宏大的范圍，在安全方面的挑戰(zhàn)來說，也不是一個層面的。

1.安全性

在云計算的環(huán)境中，用戶不再擁有基礎(chǔ)設(shè)施的硬件資源，軟件都運行在云中，業(yè)務(wù)數(shù)據(jù)也存儲在云中，因此云計算安全關(guān)系到云計算這種革命性的計算模式是否能夠被業(yè)界接受。云計算的安全問題主要有兩個方面：一是云計算自身環(huán)境特有的安全問題，二是云計算會怎樣改變現(xiàn)有的軟件系統(tǒng)安全防護(hù)模式。從第一個方面來說，傳統(tǒng)的觀念認(rèn)為將信息保存在自己可控的環(huán)境內(nèi)，比存放在不了解、不熟悉的地點更安全。因此云計算在安全領(lǐng)域遇到的第一個問題，就是傳統(tǒng)用戶無法認(rèn)可自己不可控的環(huán)境能夠提供更好的安全性。因此，用戶的個人電腦或者中小型服務(wù)器、數(shù)據(jù)中心，遠(yuǎn)沒有云計算環(huán)境安全。因為在云計算環(huán)境中，數(shù)據(jù)中心和它運行的基礎(chǔ)服務(wù)都有專業(yè)的機構(gòu)和人員進(jìn)行運營和管理，他們遠(yuǎn)比個人用戶及中小企業(yè)的IT管理員更有安全管理的經(jīng)驗。同時，云計算提供的規(guī)模效應(yīng)，用戶可以在付出更小成本的情況下享受更高級別的安全服務(wù)。

不過，云計算還有一些安全問題有待解決。由于云計算最開始是在企業(yè)內(nèi)部網(wǎng)絡(luò)運行，并不對外開發(fā)，因此云計算在設(shè)計之初沒有太多考慮安全性問題，從而導(dǎo)致云計算安全的一系列問題。首先，傳統(tǒng)的IT系統(tǒng)是封閉的，存在于企業(yè)內(nèi)部，對外暴露的只有網(wǎng)頁服務(wù)器、郵件服務(wù)器等少數(shù)接口，因此只需要在出口設(shè)置訪問控制、防火墻等安全措施，就可以解決大部分安全問題。但在云計算環(huán)境下，云暴露在公開的網(wǎng)絡(luò)中，任何一個節(jié)點及他們的網(wǎng)絡(luò)都可能受到攻擊，因此安全模式需要從樹敵于國門之外改變?yōu)槿窠员?，處處作?zhàn)，而大多說安全廠商還沒有準(zhǔn)備好迎接這樣的場景。其次，在云環(huán)境中，用戶的服務(wù)系統(tǒng)更新和升級大多數(shù)是由用戶在遠(yuǎn)程執(zhí)行的，而不是采用傳統(tǒng)的在本地按版本更新的方式。另外一個嚴(yán)重的問題還不是技術(shù)層面的，而是政策法規(guī)層面的。雖然人們經(jīng)常把數(shù)據(jù)存在云環(huán)境中與把錢存在銀行中做類比，但是云環(huán)境與銀行的最大區(qū)別就在于，銀行業(yè)是一個傳統(tǒng)的行業(yè)，有相應(yīng)的法規(guī)來規(guī)范銀行的流程和制度，另外國家或者相關(guān)機構(gòu)對銀行的信譽進(jìn)行了擔(dān)保，而對于云環(huán)境來說，目前缺乏有效的規(guī)范和立法，云環(huán)境提供商的信譽完全依靠于用戶的認(rèn)同感，對云計算環(huán)境的規(guī)范和立法，也是一個需要關(guān)注的問題。

目前應(yīng)對云的安全問題，有一個傳統(tǒng)的技術(shù)可以派上用場，就是VPN。VPN在云計算出現(xiàn)之前就已普遍的應(yīng)用于企業(yè)網(wǎng)絡(luò)中，一個典型的場景是企業(yè)對自己的網(wǎng)絡(luò)設(shè)置的防火墻和安全策略，在默認(rèn)的情況下，如果用戶處于企業(yè)外部的網(wǎng)絡(luò)，由于他不在企業(yè)內(nèi)部的網(wǎng)段之內(nèi)，他就無法訪問很多企業(yè)內(nèi)部收到保護(hù)的服務(wù)。但在很多情況下，用戶需要在家庭、賓館、戶外等場所介入企業(yè)網(wǎng)絡(luò)以實現(xiàn)移動辦公，這是就可以使用VPN。VPN會給移動用戶提供一個虛擬的企業(yè)內(nèi)部的網(wǎng)絡(luò)地址，用戶通過身份認(rèn)證、授權(quán)等方式，利用這個虛擬地址介入企業(yè)內(nèi)部網(wǎng)絡(luò)，進(jìn)行辦公。VPN的這種使用場景在云計算的環(huán)境內(nèi)可以得到很好的應(yīng)用，云服務(wù)器提供商以及云用戶可以設(shè)置靈活的訪問控制策略，使得用戶還是像在傳統(tǒng)的局域網(wǎng)內(nèi)一樣使用云，由此在一定程度上克服云計算的安全問題。換句話說，我們的設(shè)備可以作為VPN網(wǎng)關(guān)部署在云計算數(shù)據(jù)中心的Internet邊界。

2.信息保密

信息保密與信息安全有所不同，信息安全是指信息不會被攻擊、篡改，而信息保密是指信息的內(nèi)容不應(yīng)該被未經(jīng)授權(quán)的人得到。云計算服務(wù)商認(rèn)為，對于云計算、云環(huán)境的信息保密問題，用戶是可以放心的，因為數(shù)據(jù)在云的大規(guī)模分布式存儲機制中，完整的數(shù)據(jù)實體通常是被打散成一些“塊”或者“碎片”存儲在不同的服務(wù)器上，每一塊甚至包含來自不同數(shù)據(jù)實體的內(nèi)容。因此，一個塊可能是一個很大的邏輯文件的一部分，也可能是包含多個很小的邏輯文件。如果一個非法用戶想要窺探云中的數(shù)據(jù)，他必須獲得大量的存儲服務(wù)器的訪問控制權(quán)，而這個工作非常困難。

即便如此，上述方法只是增加了非法用戶訪問信息的難度，而沒有根本解決問題。非法用戶可以通過暴力破解所有的存儲服務(wù)器來收集信息，甚至?xí)平庠拼鎯ο到y(tǒng)的數(shù)據(jù)分發(fā)邏輯，從而精確地找到每一個塊。同時，多個文件可能共同存儲在一個大塊里，這增加了數(shù)據(jù)泄漏的風(fēng)險。解決這些問題的根本做法是從邏輯上，甚至是物理上將多個用戶的數(shù)據(jù)隔離。