云計算將大量計算資源、存儲資源與網絡資源聚集在一起,形成規模巨大的共享虛擬IT資源池,在提高可用性的同時,也把安全問題推上了風口浪尖。如何保證云平臺的安全是所有云建設者都需要面對的問題。日前,合肥在工業云平臺安全建設的過程中,選擇浪潮SSR操作系統安全增強系統(簡稱“浪潮SSR”)對平臺加固,有效提升了云平臺的安全性。
工業云平臺對安全提出了高需求
云計算正在深入改變各行業IT架構的模式,工業企業也不例外。大型企業希望借助云計算應對規模效應遞減的客觀規律,最大限度優化資源配置,發揮資源整體優勢;中小企業希望加快創新速度,運用較低成本的信息化手段增強各部門協同和反應速度。“工業云”正是在這樣的背景下誕生的。去年,工業和信息化部提出了“工業云”創新服務,并將其列入工信部《信息化和工業化深度融合專項行動計劃(2013-2018年)》中。合肥市是工信部“工業云”創新服務的試點省市,將通過工業云服務平臺建設,提供云辦公系統、工業設計、外勤通等功能的服務能力。
合肥工業云平臺帶來了更高的IT管理性與可用性,給工業企業帶來了更強大的信息化能力支撐和商業模式轉型的驅動力。但是,因為云計算以及虛擬化本身的特點,安全的問題更為突出。
與傳統數據中心聚集著大量物理服務器類似,云計算環境中聚集著大量的虛擬服務器。運行在同一物理服務器上的虛擬機之間很容易造成相互攻擊,基于物理隔離和基于硬件的安全防護手段無法防止這種情況的發生,傳統針對物理機的入侵檢測等安全手段也都需要擴展到虛擬機級別。本地服務器和云端虛擬機使用相同的操作系統和應用程序,進一步增加了攻擊者利用這些系統和程序中的漏洞進行遠程威脅的可能。當程序在本地和云平臺之間移動時,虛擬機更容易受到攻擊。
在云計算環境中,虛擬機的動態遷移是系統的常見狀態,但是這種常見狀態給安全策略下發帶來了難題,在物理服務器之間克隆和發布虛擬機,安全策略可能無法保持一致,并且可能因此導致配置錯誤和其他安全漏洞的迅速傳播。
此外,傳統系統中的補丁問題在云計算環境中更為突出。工業云平臺上,企業用戶使用云計算資源,需要在自己的業務范圍之內對系統打補丁。所以,對于補丁的維護更為分散,也就帶來了更大的安全隱患。
面對云計算的復雜環境,如何把安全風險降到最低呢?在工業云的建設中,合肥市采用了非政府的專業評估機構參與評估和調查,安全專家認為操作系統是虛擬化環境的核心部分,只要保證了虛擬機操作系統的安全,就可以從源頭上解決云計算環境中的這些安全隱患。
固本清源 SSR重塑工業云平臺安全
“針對工業云平臺的構建情況,浪潮SSR能夠針對物理機和虛擬機進行加固,有效保證云平臺操作系統的安全。”安全專家表示。目前,合肥工業云平臺上,部署了一整套的浪潮SSR,包括物理機和虛擬機版本,保證了云平臺操作系統的安全。
在云計算環境中,安全的焦點在保證虛擬機操作系統的安全,只要保證了每個操作系統的安全,就可以從源頭上避免虛擬機之間的攻擊以及遠程威脅。浪潮SSR攔截了所有的內核訪問路徑,所有符合云平臺規則的文件、進程、服務、權限都予以“放行”,不符合規則的就進行屏蔽。這樣做的效果與重構操作系統原代碼技術類似,而好處是不會影響用戶的業務連續性。采用這種方式,云平臺的操作系統中徹底清除了黑客攻擊、儒蟲和病毒感染的“生存環境”,也就從根本上解決了虛擬機之間攻擊的問題。
針對虛擬機遷移帶來的安全策略不一致問題,SSR通過在云計算環境里實施安全區域隔離,保證不同區域采用不同的安全策略,有效化解了安全策略不一致的問題。
給操作系統打補丁的問題在部署浪潮SSR之后也不再是問題,因為浪潮SSR不需要依賴病毒行為特征庫來識別攻擊,而是采用白名單防護技術。只要配置好SSR安全策略,管理員不再需要針對操作系統開展升級、打補丁等工作內容。從發現漏洞到修補漏洞的‘真空期’也不存在了,系統具有了相當能力的‘免疫’能力。
“浪潮SSR幫助工業云平臺實現了安全能力的重要提升,保護了云計算系統中重要數據和應用的安全,從根本上免疫了目前各種針對云計算操作系統的攻擊行為,防止了病毒、蠕蟲、黑客攻擊等對云計算操作系統和數據庫的破壞。”安全專家表示。
目前,云計算的應用范圍已經逐步擴大,云環境的安全問題更為突出。浪潮SSR通過主動防御機制有效地保護了云平臺,為化解云計算應用中的安全威脅提供了一種重要選擇。
京公網安備 11010502049343號