企业云计算平台网络安全加固方法

2015-02-11朱俊平

通信电源技术 2015年5期

朱俊平

（中国电信湖北增值业务中心，湖北武汉 430032）

1 企业云计算概述

向云计算平台演化是目前企业IT架构正在发生的重大变化。对于云计算（cloud computing）的概念有不同的理解。一般来说，在互联网服务领域，云计算指的是一种基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。按照美国国家标准与技术研究院（NIST）定义：云计算是一种按使用量付费的模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络、服务器、存储、应用软件、服务），这些资源能够被快速提供，只需投入很少的管理工作，或与服务供应商进行很少的交互。另外一种云计算平台的定义是狭义的，即企业使用的一种主要基于虚拟化技术的IT基础设施。本文主要讲述的是后者，即基于虚拟化技术的企业云平台的网络安全加固。

“云”，最早是网络、互联网的一种比喻性的说法。20世纪90年代，SUN公司提出了“网络就是计算机”的著名口号。从那以后，网络和计算的概念逐渐融合了。后来的“云”，演化成一种互联网和底层基础设施的抽象描述。2006年，Google公司首席执行官埃里克·施密特首次提出“云计算”（Cloud Computing）的概念。

对于企业私有云平台来说，虚拟化技术是云计算平台的核心和基础。虚拟化是一个广义的术语，在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以提高设备的硬件资源利用率，简化软件部署的过程。对于企业云平台来说，常见的一种虚拟化是操作系统虚拟化，例如一台计算机可以运行相同类型的多个操作系统。这种虚拟化可以将一个操作系统的多个服务器隔离开来（这意味着必须全都使用相同类型和版本的操作系统）；后来的虚拟化，则大都是运行不同的操作系统的虚拟机，构建在一个虚拟机支持平台上。目前常见的虚拟机支撑平台有Solaris Container、微软Virtual Server2005、VM－ware、Xen、Virtubox、以及华为的 FusionCloud、中兴的ZXCLOUD等。

2 企业云平台网络安全加固的方法和步骤

现在人们已经意识到，对于一个IT系统来说，网络安全是很重要的问题。网络安全的一般含义，是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏篡改和泄露，保证网络系统的正常运行、网络服务不中断。而对于一个企业云平台来说，由于系统的复杂性和重要性，网络安全显得尤其突出。下面，从几个方面论述企业云平台网络安全加固的方法。

2.1 安全域的划分

从企业云平台的整体架构上来进行网络安全加固。目前，典型的企业私有云平台，主要是一些虚拟化的服务器、业务处理机，或者虚拟化的客户机集合，运行在一些相对集中的云资源池中。云资源池通常需要和互联网以及企业内网、办公网等网络连通。在外围，还有维护终端设备、办公终端通过网络连接到云平台，如果云平台需要对外服务，还有远程客户端通过互联网连接进来。这样，云平台的网络威胁就来自方方面面。为了把这些网络界面以及面临的网络威胁区分开来，使用网络安全域划分的方法，然后针对不同的安全域采用不同的安全策略。一个云计算平台，包括其内部的虚拟机，通常可以分成计算域、服务域、维护域和网络域等部分。计算域，一般是指平台中的核心计算单元，例如数据库服务器等，这是网络安全要求最高的部分，一般不允许外网访问。服务域，一般是接口服务器、WEB服务器等需要对外提供服务的网元组成，在这个域中的实体，通常一方面要和计算域联系，也要和外部其他网络的设备甚至互联网进行数据交互，因此是网络环境最复杂的一个区域，需要灵活设置各种网络访问策略，既要保证业务能正常提供，又要防止各种网络入侵的威胁，还要防止被黑客入侵后成为攻击其他设备的跳板。维护域，一般是指维护终端，或者办公终端等设备，主要供内部人员对云平台设备进行维护操作或者办公使用，在这个域中的设备，具有一定的系统访问权限，但是也要防止对系统进行误操作，或者变成黑客以及病毒、木马攻击系统的跳板。网络域，一般是指路由器、交换机、防火墙等网络设备以及各种网络连线。网络域的正常稳定运行是云平台系统正常运行的基本保证，网络域也是实施各种网络安全策略配置的主要节点。

2.2 网络层的安全配置

在划分好安全域之后，就需要做好网络层面的安全配置。在网络层的设备中，防火墙是很重要的安全设备。当然，有些路由器和交换机也可以做一些简单的网络安全策略。在各个安全域之间，原则上都需要配置防火墙，并设置不同的策略。防火墙一般有两种类型，一种是包过滤型防火墙，这种防火墙对通过的每一个数据包进行检查，允许符合安全策略的数据包通过，阻止不符合策略的数据包，而这些策略一般是以源和目的IP地址以及端口号作为参数来进行设置的。另一种防火墙是代理型防火墙，这种防火墙通过一种代理技术参与到TCP／IP连接的全过程，这样从内部发出的数据包经过这样的防火墙，就好像从防火墙的外网网卡发出一样，可以达到隐藏内部网络结构的目的，同时代理型防火墙还有可能对应用层等高层协议进行安全方面的管控，因此也是防火墙技术的一种发展趋势。除了硬件防火墙以外，现在还可以使用一种软件防火墙，例如windows server自带的防火墙，以及linux系统的iptables等。这种软件防火墙，通常只能保护服务器本身，但具有一定的灵活性，有时是不可替代的。例如，同一个云资源池里，有一些虚拟的服务器位于同一个网段下，互相之间无法通过其他网络设备隔离，这时就可能需要用到安装在虚拟机上的软件防火墙，隔离虚拟机之间的访问，避免被黑客的跳板攻击或病毒的传播。

2.3 主机和操作系统的安全加固

在做好了网络层的安全配置和加固之后，可以对主机和操作系统进行加固。在企业云平台中，主要存在两种主机，一种是云平台支撑系统的主机，这些主机构成云平台的基础，同时实现云平台的资源分配、调度管理等功能；另一些主机是指运行在云资源池内的虚拟机，这些主机用来组建各种应用和服务系统。这些不同类型的主机具有不同的操作系统，云平台支撑系统的主机，一般运行VMware、Xen等系统；而虚拟机则一般运行Linux、Windows、Unix等系统。这些不同的操作系统，具有一些不同的常见安全漏洞和隐患，需要进行有针对的安全整改和加固。对操作系统加固，首要的是保证操作系统尽量是最新版的，然后打上最新最全的操作系统补丁。对于云平台支撑系统的主机，建议和外网隔离，不要允许从外网来访问，也不要和虚拟机在同一网段，防止被攻击后引起整个云平台的宕机。对操作系统的加固，还涉及到操作系统层面的一些安全配置，例如密码长度和修改周期等策略、日志审计策略、远程管理权限等，由于操作系统的默认设置都不是很安全的，需要修改成最安全的选项。在操作系统的安全加固方面，在实践中也总结和应用了一些技巧，比如说同类型的操作系统，进行安全配置的命令基本相同，因此可以编写一些脚本程序，让这些程序执行做好安全配置的修改，以适合大批量的同类型主机系统加固，可以节省很多时间。还有一种方法是利用云平台的特点，建立好一个虚拟机，并把这个虚拟机配置的很安全，然后作为模版通过克隆的方式，可以克隆出许多类似的安全主机来，这些安全主机不需要再进行大量的安全配置工作就可以投入使用。

2.4 应用程序的安全加固

对各个主机中运行的应用程序做好安全加固。各个虚拟机中都会运行很多应用程序，有些应用程序是必须的，有些是操作系统默认安装的但不是必须的。这些应用程序可能具有一些漏洞或者隐患，可能被黑客利用或攻击。举个例子，很多linux操作系统，都默认带有ftp，而这些ftp常常默认允许匿名用户登录。检查这些应用程序的问题，我们一般需要用到扫描器，通过扫描器检查后，发现主机上开启了哪些TCP／UDP服务端口，以及这些服务是否存在弱密码。如果发现主机上存在不需要的服务，则关闭这些服务的进程。对于存在弱密码的服务，则修改密码或删除弱密码对应的帐号。还有些服务，即使没有明显的漏洞，但只有特定的IP地址需要访问，可以在软件配置里限定只让特定的IP地址访问。

除了各种应用程序的加固，如果云平台中运行的服务器提供Web服务，还涉及到Web等程序的加固。Web服务主要是Web程序中存在的如Sql注入、跨站脚本、信息泄漏等问题，这些漏洞一般涉及到Web编程，专业性较强，需要Web程序员来进行处理。