确立建设目标

1.建设高性能高可靠的网络安全一体化防护体系

为了应对云计算环境下的流量模型变化，安全防护体系的部署需要朝着高性能的方向调整。在现阶段企业私有云的建设过程中，多条高速链路汇聚成的大流量已经比较普遍，在这种情况下，安全设备必然要具备对高密度的10GE甚至100G接口的处理能力。无论是独立的机架式安全设备，还是配合数据中心高端交换机的各种安全业务引擎，都可以根据用户的云规模和建设思路进行合理配置。同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性，真正实现大流量汇聚情况下的基础安全防护。

2.建设以虚拟化为技术支撑的安全防护体系

从网络基础架构的角度（如状态防火墙的安全隔离和访问控制），需要考虑支持虚拟化的防火墙，不同用户可以基于VLAN等映射到不同的虚拟化实例中，每个虚拟化实例具备独立的安全控制策略，以及独立的管理职能。从安全服务的角度，云计算服务商联合内容安全提供商提供类似防病毒和反垃圾邮件等服务，也必须考虑配合虚拟化平台中间件实现操作系统层面的虚拟化实例，同一服务器运行多个相互独立的操作系统及应用软件，每个用户的保密数据在进行防病毒和反垃圾邮件检查的时候，数据不能被其他虚拟化系统引擎所访问，只有这样才能保证用户数据的安全。

3.以集中的安全服务中心应对无边界的安全防护

和传统的安全建设模型强调边界防护不同，存储计算等资源的高度整合，使得不同的企业用户在申请云计算服务时，只能实现基于逻辑的划分隔离，不存在物理上的安全边界。在这种情况下，已经不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。因此，安全服务部署应该从原来的基于各子系统的安全防护，转移到基于整个云计算网络的安全防护，建设集中的安全服务中心，以适应这种逻辑隔离的物理模型。

统筹建设原则

在设计技术方案时要遵从以下原则：实用性原则，完整性原则，整体均衡原则，安全目标与效率、投入之间的平衡原则，动态发展原则和节省投资原则。

设计建设模型

云计算环境安全首先考虑传统IT安全技术向云计算环境延伸。在云计算环境安全建设的“传统技术延伸”包含两个方面，第一，虽然云计算环境是依托虚拟化技术，通过对物理资源的调度和共享实现资源合理使用和分配，其仍然是以物理环境作为支撑基础，因此需要考虑云计算环境传统网络环境部分的安全；第二个传统性体现在云计算环境是新型的资源使用方式，但安全防护威胁和漏洞仍然受传统IT环境的影响，因此需要将现有传统IT环境的安全防护手段运行在虚拟环境下得以实现。

对于云计算安全建设应重点考虑引入新的安全技术解决云计算特有的安全问题。在云计算环境下，逻辑上以独立的虚拟机作为业务单元，需要在虚拟机上增减安全监控手段，实现虚机运行状态、安全状态的监控和管理。虚拟化已经成为云计算服务商提供了“按需服务”的关键技术手段，包括基础网络架构、存储资源、计算资源以及应用资源都已经向虚拟化方面向前迈进了一大步，只有基于这种虚拟化技术，才可能根据不同用户的需求，提供个性化的存储计算及应用资源的合理分配，并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构，还是基于安全即服务的理念，都需要支持虚拟化，这样才能实现端到端的虚拟化计算。

具体思路如图1所示。

1.基础架构安全：基础架构安全重点实现保障虚拟化、分布式计算等平台架构层系统架构安全，具体包括：

主机安全。虚拟机监视器安全：完整性验证、补丁管理、配置检查；虚拟机安全：虚拟机隔离、恶意VM防护；HA、FT。

网络安全。网络隔离：采用虚拟交换机或VLAN实现网络隔离。接入控制：端口限速，禁止混杂模式。访问控制：部署虚拟防火墙，设置访问控制策略。

数据灾备：数据冗余保护，虚拟机异地容灾。

应用安全：SDLC、二进制代码分析、代码签名、应用防火墙。

2.用户数据安全：延续传统网络架构下对于信息安全保护思想，实现用户信息的可用性、保密性和完整性，具体包括：

数据安全隔离：通过虚拟化层安全机制，实现虚拟机间存储访问隔离。

数据存储安全：为用户提供加密存储服务。

数据访问控制：设置数据访问控制策略，确保数据的私密性和完整性。

数据传输安全：采用数据加密、VPN等技术保障用户数据的传输安全。

数据备份恢复：支持文件级完整和增量备份；VM镜像级恢复和单个文件的恢复。

3.运营管理安全：云计算环境下更需要加强运营集中管理，利于运营的支撑和方便管理，实现虚机内操作安全防护手段自动管理，加强安全审计管理，具体包括：

用户管理：对用户账号进行集中维护管理，为集中访问控制、集中授权、集中审计提供可靠的原始数据。

认证授权：建立统一、集中的认证和授权系统，以提高访问的安全性。

安全审计：建立安全审计系统，进行统一、完整的审计分析，通过对操作、维护等各类日志的安全审计，提高对违规溯源的事后审查能力。

管理规范：制定安全运营策略及安全维护规章要求。

应急响应：制定数据中心安全事件应急响应机制及流程，包括安全事件的等级划分、处理流程、事件上报等规范要求。

风险管控覆盖范围

1.虚拟网络安全

无论在虚拟数据中心内部署什么应用程序，安全策略都应该能够保证应用程序的数据与运行在物理基础架构时是完全相同的。因此，为这些应用程序部署的所有安全措施(防火墙规则、网络分片、反病毒程序和数据控制)都必须复制到虚拟化基础设施。

但是，网络安全控制和网络管理员在物理基础架构中使用的方法不能应用于虚拟数据中心。例如在物理基础架构中，管理员可以使用防火墙分隔服务器，但在虚拟环境中是不可行的。可能有一台Web服务器连接外部网络，另一台服务器则在内部网络中，当我们将这两台服务器转移到虚拟基础架构时，它们就不再运行在两个独立的硬件上，而可能是运行在同一台服务器的两台虚拟机上，但是它们仍然需要隔离。

2.虚拟网络与物理网络安全

虚拟化建设不可能一蹴而就，在建设的过程中应该是逐渐向虚拟化过渡，在过渡的过程中，传统物理网络的边界依然存在，传统网络中的安全问题也依然存在。并且由于虚拟化的加入，使这个网络的结构显示异常的复杂。

信息系统的边界之内包含多个局域网以及计算资源组件。边界环境是比较复杂的。如果在边界没有一个可集中控制访问请求的措施，很容易被恶意攻击者或其他人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段，如获取口令、拒绝服务攻击、SYN Flood攻击、IP欺骗攻击等获取系统权限，进入系统内部。所以需要对边界部署访问控制系统，有效监控内部网和公共网之间的活动，并对数据进行过滤与控制，保证内部网络的安全。

3.虚拟机安全

虚拟化与云计算是当今最热的技术之一，目前云计算平台的应用服务也计划部署在虚拟化的平台之上。但是随着时间的推移，越来越多的基于虚拟化平台的漏洞显现出来。虚拟机逃逸就是其中典型的一种漏洞，虚拟机逃逸是指在已控制一个VM的前提下，通过利用安全漏洞，使虚拟化技术的安全模型失效，进一步拓展渗透到Hypervisor甚至其他VM中，其本质未“逃逸”出传统安全威胁的范畴。

4.身份认证

为了保证信息资产与数据安全，企业必须无缝采用身份管理来连接到云端。要实现成功的云端身份管理，业者必须保证身份符合云端独特的架构需要，把身份看作一种会整合、抽象、扩展的结构，把身份当作IaaS交付，就像它所支持的云平台一样。

身份必须符合云端需求，身份概念层次结构的五个领域必须有所发展来实现云级别的身份结构：访问控制和授权；验证和单点登录（SSO）；用户账户管理和准备；审计和合规。

访问控制和授权同时管理自身场地部署的和云端部署的应用是一个复杂的任务。在云端，没有防火墙的保护，即使对于二进制访问来说，也无法依靠网络边界来控制。今天很多用户在私有网络之外，通过互联网来访问SaaS，不需要通过公司网络。这样授权就必须进化成为分布式模型来支持网络防火墙外的用户。

5.数据存储安全

在云计算时代，数据安全中的安全三要求：保密性、完整性、可用性依然存在。我们仍然对数据的真实性、授权、认证和不可抵赖性，比以前有着更深的不安与困惑。

数据存放位置：必须保证所有的数据包括所有副本和备份，存储在合同、服务水平协议和法规允许的地理位置。例如，使用由欧盟的“法规遵从存储条例”管理的电子健康记录，可能对数据拥有者和云服务提供商都是一种挑战。

数据删除或持久性：数据必须彻底有效地去除才被视为销毁。因此，必须具备一种可用的技术，能保证全面和有效地定位云计算数据、擦除/销毁数据，并保证数据已被完全消除或使其无法恢复。

不同客户数据的混合：数据尤其是保密/敏感数据，不能在使用、储存或传输过程中，在没有任何补偿控制的情况下与其他客户数据混合。数据的混合将在数据安全和地缘位置等方面增加安全挑战。

数据备份和恢复重建(Recovery and Restoration)计划：必须保证数据可用，云数据备份和云恢复计划必须到位和有效，以防止数据丢失、意外的数据覆盖和破坏。不要随便假定云模式的数据肯定有备份并可恢复。

6.数据审计安全

除了上述的云计算中，数据存储安全问题以外，对于数据的访问以及审计也是我们值得重视的一个风险点：数据被未知的超级用户访问风险；合规性检查风险；数据没有被真正隔离的风险；数据恢复风险；增加司法调查困难的风险；长期可用性保证的风险。