云计算安全方案与部署研究

2012-03-12区洪辉朱培军

电信科学 2012年8期

王哲，区洪辉，朱培军

（中国电信股份有限公司广东分公司广州 510081）

1 前言

云计算是一种将池化的集群计算能力通过互联网向内外部用户提供按需服务的互联网新业务，是传统IT领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果，具有以网络为中心、以服务为提供方式、高扩展与高可靠性、资源池化与透明化四大特点。目前，云计算快速发展，但在部署中仍然面临着大量挑战，其中安全问题排在首位。全球有多个研究组织对云计算的安全进行了研究，但大多从云计算使用者的角度分析研究了公有云的安全，针对私有云安全的研究较少，尚未形成成熟的成果。

《计算机世界》对155名调查者进行调查的结果显示，未来企业在云计算投入方面私有云排名第一，私有云是目前云计算应用的主要模式。下面将结合私有云的典型部署，给出私有云的安全方案与部署建议。

2 私有云典型部署方案

一种基于虚拟化技术的大规模私有云典型部署方案如图1所示。云计算的规划建设以集群为最小单位，一个集群是配置了一定数量的相同CPU厂商的x86服务器、共享存储和网络设备，使用同类型虚拟化软件的资源组织单位。同一集群中可进行动态迁移、HA（high availability，高可用性）等云特性的操作。若干个集群通过接入交换机连接到汇聚交换机，汇聚流量通过核心路由器统一连接到外部网络，构成了一个典型的私有云。在云计算部署中，一般采用云管理平台对云资源进行统一的资源管理和调度，实现运营管理。

同一个集群内的技术特性是一致的，对外提供统一的服务等级。但目前虚拟化软件的技术因素导致一个集群内x86物理服务器的数量有所限制，如VMware ESX中一个集群的物理服务器限制为24台。另外大型私有云所承载的业务也是多种多样的，因此在大规模私有云部署方案中，针对不同的业务需求，可以组合虚拟化软件、x86服务器和存储系统形成不同的虚拟化解决方案，构建不同种类的集群，如应用VMware构建核心业务集群、应用KVM虚拟化软件构建创新孵化集群等。采用多个不同类型的集群

125构建大规模私有云，既充分发挥了同一集群中虚拟化资源弹性灵活调整的特点，又可以突破单个集群的技术限制，满足多种业务承载的需求。

3 私有云安全要素

典型的私有云架构可以实现企业IT资源的高度集约管理，有效提升了资源部署效率和使用效率，但同时也带来了集中的安全问题，如病毒、数据泄露等，可能造成由原来单一系统、单一应用不可用扩展为多个系统、多个应用甚至全部IT基础设施不可用的后果，因此安全问题已经成为规模部署云计算技术的最关键环节。

CSA（云安全联盟）于2010年3月发表了云计算的七大威胁，获得了业界广泛的引用和认可，图2是CSA云安全架构模型，从全局安全控制、虚拟化技术安全控制和业务连续性3个方面介绍了云服务安全架构，但其主要是从云计算使用者的角度针对公有云的云服务进行安全分析和防范。

对于企业大规模私有云来说，如何从私有云部署的角度综合应用各种安全举措进行安全分析和防范，是目前云计算规模应用过程中迫切需要解决的问题。参考CSA模型中的安全控制要点，针对典型的私有云部署架构，对云计算的集群、网络出口、云管理平台3个重要组成部分进行安全分析，归纳出各部分的安全要点，见表1。

根据上述分析，私有云部署的各组成部分中，由于云计算引入带来的安全重点和难点集中在共享存储、虚拟化软件及虚拟机、网络、管理平台4个方面。

4 私有云安全方案及部署建议

图2 CSA云安全架构模型

在私有云安全部署中，x86服务器和网络出口两个部分可以通过部署服务器冗余硬件、网络入侵检测、网络流量清洗、网络防火墙等传统的安全防护措施达到相应的安全等级；而共享存储、虚拟化软件及虚拟机、网络、管理平台4个方面就必须在传统安全防护措施的基础上，再针对云的新特性进行安全防范。

4.1 共享存储安全方案

共享存储中存放的是私有云的关键数据，数据的重要性不言而喻。云计算环境下的数据安全由于多租户共享资源（存储、计算、网络）的模式，产生了更多的安全隐患，如各种虚拟机安全基线控制、多租户数据备份和恢复、租户之间的数据泄漏（尤其是虚拟机被删除后原来的业务数据泄漏给其他用户）等。私有云中的数据安全要点分为数据加密保护、数据隔离、存储数据备份和虚拟主机数据备份/恢复。

表1 私有云安全要点

数据加密保护主要解决云计算用户可能面临的租户之间数据泄漏等安全风险，从而实现私有云中的数据加密保护和数据隔离。通过全盘加密将磁盘中的文件以密文形式保存，文件的读取必须通过系统授权才能正常进行，管理员或其他用户对其原始数据进行了非法获取也无法解读，既实现了数据加密保护，又实现了数据隔离，防止租户之间的数据泄漏，为云计算应用提供了安全的数据存储方案。数据加密方案目前主要有共享存储设备底层加密和文件系统级加密两种。共享存储设备底层部署加密是目前比较理想的方案，大部分主流存储设备都有所支持，对服务器性能没有影响，对不同虚拟化软件的兼容性较好；文件系统及加密需要其与虚拟化软件的兼容性要好，对服务器处理能力也有一定的消耗，目前应用较少。

虚拟化环境下的存储数据备份/恢复与传统方式相比，只是增加了虚拟机Image备份，操作系统以上的文件系统备份与传统方式是一致的。虚拟机Image备份需与虚拟化软件提供接口配合才能实现，目前针对VMware ESX已有比较成熟的方案，不少主流备份软件支持VMware ESX的虚拟机Image备份，如Symantec公司的Backup Exec 12.5、CA公司的ArcServe r12，这里不做详细介绍。同时虚拟机镜像备份与快速恢复，可以快速生成同一安全控制基线的虚拟机，很好地保障虚拟机安全策略的一致性，为虚拟机的安全控制提供了新的技术支撑手段。

4.2 虚拟化与虚拟机安全方案

云计算构建于虚拟化技术之上，因此虚拟化层的安全程度基本决定了云计算整体的安全程度。目前主流服务器虚拟化软件主要有VMware ESX、Citrix XenServer、Microsoft Hyper-V和RedHat KVM 4种。从架构上可以分有两大类型:VMware ESX和Citrix XenServer两个虚拟软件都直接部署在硬件之上，物理机无需额外的操作系统；Microsoft Hyper-V和RedHat KVM则将服务器虚拟软件融入操作系统，使虚拟化软件成为操作系统的一个组成部分。VMware ESX发展最为成熟，支撑的操作系统最多，应用最广泛，安全解决方案最为丰富，但部署成本较高；Citrix XenServer和RedHat KVM重点支持虚拟机采用Unix/Linux系统，采用产品免费、技术支撑收费的模式，应用较少但部署成本较低；Microsoft Hyper-V从支持Windows平台出发拓展到支持主流Linux，应用发展很快，采用与操作系统捆绑销售的方式，部署成本中等，当虚拟机大量采用Windows平台时部署成本将进一步降低。目前主流的x86服务器虚拟化软件及其特点见表2。

目前虚拟化层安全方案最为成熟的是VMware ESX上的安全方案，其他虚拟化软件的安全方案原理基本与VMware ESX相同。VMware ESX安全方案的原理是通过在虚拟化软件对外开放统一管理接口（如ESX的VMsafe接口）上部署对应的第三方安全防护软件，实现对镜像文件的完整性监控、虚拟化配置监控、虚拟化软件补丁管理和虚拟机防病毒、虚拟机异常操作监控等功能，同时实现对虚拟化软件和虚拟机的安全防护，如图3所示。

图3以VMsafe接口为例，该接口直接构建于服务器硬件之上，通过一个虚拟机监控程序以透明方式动态分配硬件资源。VMsafe提供的接口可使第三方安全产品与该管理程序清晰地洞察虚拟机的运行情况，从而发现并清除病毒、特洛伊木马和击键记录程序等恶意软件。安全供应商可利用VMsafe检测并消除无法在物理机上检测到的恶意软件，如趋势科技的Deep Security，通过VMsafe API实现了虚拟机的入侵检测与防护、网站应用程序防护等功能。这种安全方案的关键是虚拟化软件提供管理接口能力，因此要实现更高的安全控制要求就有待管理接口能力的进一步完善，向更多的第三方安全厂商开放。另外，管理接口监控和操作的权限很高，因此接口自身的安全保护也需进一步加强，可以采用双向密匙校验等措施实现第三方与接口之间的鉴权，以减少非法调用的风险。

4.3 网络安全方案

与传统IDC的流量不同，云计算场景下的流量更多的是“东西走向”，又称为横向流量，因此云计算网络安全的重点是云计算中心虚拟主机间的网络流量控制问题，也称为横向流量的监控与隔离。其难点和重点是针对同一物理机内部的虚拟机之间的网络流量如何实现可见可控，目前主要的技术方案有虚拟化流量外部化、内部流量管控两种方式。

表2 主流x86服务器虚拟化软件特点

图3 虚拟层安全防护的原理

4.3.1 虚拟化流量外部化

虚拟化流量外部化技术目前主要有VEPA（由惠普牵头提出）和VN-TAG（由思科提出）两种协议标准，忽略技术细节，这两种协议都是将内部虚拟流量引至外部的接入交换机，然后在接入交换机侧部署防火墙、入侵检测、流量清洗等传统的网络安全设备，实现内部流量的安全控制，工作原理如图4所示。

虚拟化流量外部化技术实际上是通过内部流量的导出，使得传统的网络安全控制技术继续在云计算场景下使用，优点是容易部署并与传统网络安全策略兼容，缺点是牺牲了云计算高密度资源复用的优势（网络端口）。下一阶段可以通过加快推进10GE标准成熟并在服务器与接入交换机中大规模应用，以减轻这种方案带来的问题。

4.3.2 虚拟机内部流量管控

内部流量管控技术是新增VSG（虚拟安全网关），通过VSG与虚拟软件接口的结合实现虚拟机内部流量管控。虚拟服务器之间的所有通信必须先经过VSG，实现有效流量管控和隔离，主要部署如图5所示。

目前思科、VMware、趋势科技、赛门铁克等公司都推出了VSG相关方案，思科、VMware推出的VSG侧重网络安全，如防火墙控制、异常流量监控；趋势科技、赛门铁克等公司推出的VSG功能更为丰富，在网络安全的基础上还提供网络病毒传播控制等附加安全防护能力。与流量外部化方案相比，内部流量管控技术方案的优点是没有产生额外流量，缺点是需针对VSG另外制定对应的网络安全策略，安全管理复杂度上升。因此应进一步加强VSG与传统网络安全控制的集成，实现安全策略统一部署控制，简化安全管理流程。

图4 虚拟化流量外部化工作原理

图5 虚拟安全网关部署架构

4.4 管理平台安全方案

云计算实现了资源的集中部署、集约管理和统一调度，资源管理权限的集中也带来了更多的安全需求。大规模私有云用户种类多、数量庞大，有物理设备管理员、虚拟化设备管理员、企业内部业务用户、不同级别业务合作伙伴等，用户对虚拟资源的操作更加复杂化，安全控制精细程度更高且操作审计覆盖面更广。传统的物理服务器安全管理基于4A的用户访问控制系统，即用户账号（account）管理、认证（authentication）管理、授权（authorization）管理和安全审计（audit），无法满足云计算环境下的安全控制需求。因此云计算环境下的权限管理必须要对现有4A系统进一步加强，包括身份识别与访问操作的控制和审计，实现与已有4A系统和信息安全管理中心的对接，从而实现云资源管理的安全。

云计算环境下的资源管理权限高度集中，一旦分配不当容易造成很大的安全隐患，因此必须要对管理员进行更细粒度的权限管理与操作审计，对各业务系统所管辖的云计算资源系统账号和应用账号进行集中管理、统一认证、集中授权和综合审计。云计算环境下的资源均纳入云管理平台管理，因此要实现物理资源与虚拟资源的用户访问控制，必须将基于4A的传统运维系统与云管理平台结合，形成两层用户访问控制，协同实现对物理资源与虚拟资源的全面访问管理。基于4A的传统运维系统侧重纳管所有物理资源，包括私有云中的物理资源，对物理资源访问用户进行账号管理、认证、授权和操作审计；云管理平台侧重纳管虚拟资源，对虚拟资源访问用户进行账号管理、认证、授权和操作审计等。

云管理平台的安全保障措施包括:一要保障所有用户操作虚拟资源时都必须经过云管理平台，关闭其他途径；二要对虚拟机进行的所有修改类操作（包括创建、删除、启动、停止、备份、恢复等）进行审计日志留存；另外，针对各类用户提供多种灵活的访问认证方式，如手机号码的捆绑认证、口令加动态密码双因子认证、硬件密匙认证等，把安全措施显性化，增强用户对私有云安全的信心。

SOC（信息安全管理中心）是以安全事件管理为关键流程的集中安全管理系统，云管理平台通过与SOC安全事件采集模块的对接（如图6所示），把虚拟化设备与虚拟化软件安全接口所产生的安全事件上报SOC，将云计算安全事件管理纳入SOC体系，有效实现安全事件的统一管理并做出积极响应。