和云計算的定義一樣,關于云安全也沒有統一的定義,但對于企業私有云來說,云安全就是確保用戶在穩定和安全合規的情況下在云計算中心上運行應用,并保證存儲于云中的數據的完整性和機密性。以下從三個方面談一下私有云的安全挑戰和具體實踐。
一、云環境中對虛擬云桌面的管理
首先從每個員工使用的桌面終端來說。隨著虛擬化技術的發展,在企業里虛擬云桌面終端也迅速部署應用起來,虛擬化桌面終端安全問題也逐漸凸顯。虛擬化云桌面終端安全所面臨的主要問題可劃分為兩大類,一類是傳統的終端安全問題的延續;另一類是在虛擬化環境下所面臨的新問題。虛擬化環境下所面臨的新問題主要包括虛擬化環境所面臨的安全威脅、無邊界訪問帶來的安全威脅、虛擬機防護間隙帶來的威脅和安全防護引發的資源爭用等多項安全問題。
云桌面通過虛擬化技術來實現了桌面的統一、資源的共享,讓員工通過瘦客戶端來實現任何時間、任何地點訪問跨平臺的桌面系統,能夠解決傳統桌面管理模式的弊端,而且通過統一規劃所有云桌面用戶的IP地址,在防火墻和交換機上設置策略、建立訪問控制列表,限制該網段互聯網訪問權限,也可以方便實現云桌面用戶與互聯網的隔離。
云桌面使用方便也易于實現統一管理,然而在資源高度聚合、數據遠程化、彈性大規模的云桌面應用模式下,安全問題仍然不可避免。
從虛擬云桌面的整體系統角度來看,客戶端、傳輸網絡、服務器端、存儲端等各個方面,都會產生安全風險。忽略任何一個細節都會導致整個系統的信息漏洞。
客戶端:在虛擬云桌面的應用環境中,只要有訪問權限,任何智能終端都可以訪問云端的桌面環境,如果使用單純的用戶名密碼作為身份認證,那么其泄露就意味著對方可以在任何位置訪問你的桌面系統,并獲取相關數據。傳統的桌面可以采用物理隔離的方式,其他人無法進安全控制區域竊取資料;而在虛擬桌面環境下,這種安全保障就不復存在了。這就要求有更加嚴格的終端身份認證機制。目前比較好的方案有Ukey準入認證,利用Ukey 認證作為云平臺的安全接入認證不僅能夠提高云平臺的安全性,也能夠使Ukey 發揮最大效能,充分利用Ukey高可靠性的特點實現對云計算資源的保護,防止無授權用戶的非法操作。相對于遠程用戶,則可以采用Ukey 認證與SSL VPN 技術相結合,為遠程用戶提供一種安全通信服務。還有就是通過MAC地址對于允許訪問云端的客戶端進行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性,但這種方式可以大幅提升客戶端的可控性。
(注:國內的USBKEY品牌型號繁多,企業在選擇USBKEY時一般也沒有太多的考慮,因此導致了多種型號及品牌的KEY共存的現象比較普遍。建議測試幾種使用,另外還有無驅的Ukey, 會模擬成HID,有的不能自動映射,還需要手動連接)
傳輸網絡:絕大部分企業級用戶都會為遠程接入設備提供安全連接點,供在防火墻保護以外的設備遠程接入,但是并非所有的智能終端都支持相應的VPN技術。智能手機等設備一般可采用專業安全廠商提供的定制化VPN方案。企業內部的終端和云端的通訊可以通過SSL VPN協議進行傳輸加密,確保整體傳輸過程中的安全性。
服務器端:在虛擬桌面的整體方案架構中,后臺服務器端架構通常會采用橫向擴展的方式。這樣一方面通過增強冗余提升了系統的高可用性;另一方面可以根據用戶數量逐步增加計算能力。在大并發的使用環境下,系統前端會使用負載均衡器,將用戶的連接請求發送給當前仍有剩余計算能力的服務器處理。這種架構很容易遭到分布式拒絕攻擊,因此需要在前端的負載均衡器上需要配置安全控制組件,或者在防火墻的后端設置安全網關進行身份鑒定授權。
存儲端:采用虛擬桌面方案之后,所有的信息都會存儲在后臺的磁盤陣列中,為了滿足文件系統的訪問需要,一般會采用NAS架構的存儲系統。這種方式的優勢在于企業只需要考慮保護后端磁盤陣列的信息防泄漏,原本前端客戶端可能引起的主動式的信息泄密幾率大為減少。但是,如果系統管理員,或者是具有管理員權限的非法用戶想要獲取信息的話,這種集中式的信息存儲方式還是存在隱患的。如果使用普通的文件系統機制,系統管理員作為超級用戶具有打開所有用戶目錄,獲取數據的權限。 一般可以采用專業的加密設備進行加密存儲并且為了滿足合規規范的要求,加密算法應當可以有前端用戶指定。同時,在數據管理上需要考慮三權分立的措施,及需要系統管理員、數據外發審核員和數據所有人同時確認也能夠允許信息的發送。這樣可以實現主動防泄密。此外,還需要通過審計方式確保所有操作的可追溯性。
二、網絡層如何進行動態安全防護
云計算的大規模運營給傳統網絡架構和應用部署帶來挑戰,不論是技術革新還是架構變化,都需要服務于云計算的核心要求,即動態、彈性、靈活,并實現網絡部署的簡捷化。具體來說傳統網絡面臨的挑戰主要4點。
1)服務器的利用率從20%提高到80%,服務器端口流量大幅提升,對數據中心網絡承載性能提出巨大挑戰,對網絡可靠性要求也更高;
2)多種應用部署在同一臺物理服務器上運行,使網絡流量在同一臺物理服務器上產生疊加,流量模型更加不可控
;3)服務器虛擬化技術的應用必然伴隨著虛擬機的遷移,這種遷移需要一個高效的網絡環境來保障;
4)虛擬機的部署和遷移, 使得安全策略的部署變得復雜和無助,需要一個動態的機制來對數據中心進行防護。
從兩個方面來說下這個問題:
1、東西向安全:
在企業私有云環境下,融合了多業務和多租戶資源池環境,業務之間和租戶之間的安全隔離成為云平臺建設必須要解決的問題。與傳統的網絡架構相比,私有云數據中心網絡流量模型逐步由東西向流量取代南北向流量成為主要流量,多業務和多租戶隔離一方面需要考慮隔離方案的可維護性,另一方面需要考慮網絡能力的橫向可擴展性。
目前大部分資源池的安全隔離仍采用物理防火墻作為東西向和南北向隔離方案,但物理防火墻在扁平化數據中心網絡中存在結構性瓶頸,限制了網絡的橫向擴展能力。這里可以考慮采用分布式虛擬防火墻對業務和租戶之間的橫向流量進行隔離,南北向流量隔離利用NFV防火墻實現,通過SDN Controller向DFW(分布式虛擬防火墻)自動下發定制的策略,實現業務和租戶之間安全隔離。分布式虛擬防火墻的性能是我們目前主要關注的問題,隨著流量規模的增長,我們會根據情況考慮虛擬防火墻和物理防火墻相結合部署的架構。
2、南北向安全:
NFV(網絡功能虛擬化),通過軟硬件解耦及功能抽象,使網絡設備功能不再依賴于專用硬件,資源可以充分靈活共享,實現新業務的快速開發和部署,并基于實際業務需求進行自動部署、彈性伸縮、故障隔離和自愈等。常用的NFV組件有vFW、vLB、vSwitch等,下面以vFW、vLB為例,對IT云平臺NFV的部署運用進行簡單介紹。
1)利用vFW(虛擬防火墻)實現南北向安全防護
南北向流量主要是客戶端到服務器之間的業務流量,這類流量需要進出資源池,安全隔離的邊界在資源池出口處,在此位置可以部署物理防火墻,也可以部署NFV防火墻集群,用于對整個資源池與外部網絡的安全隔離。
2) 利用vLB(虛擬負載均衡)實現業務負載按需開通
通過部署虛擬負載均衡器,統一為多個租戶提供負載均衡服務。虛擬負載均衡目前可支持各類TCP應用,如FTP、HTTP、HTTPS等,支持豐富的負載分發算法和會話保持方式。隨著業務量的增長,還可以為每個業務或租戶單獨部署一套虛擬負載均衡設備,提高負載均衡的可管理能力和擴展能力。
三、 私有云安全規劃–如何保證每層的安全
從不同角度能看到安全的不同層面。如果從私有云安全規劃角度看,有四個層面需要注意:
邊界防護:私有云安全防護的底線;
基礎防護:與私有云建設過程中同步開展的階段,云安全管理系統;
增強防護:隨著云安全技術逐漸成熟,增強完善云安全服務,加密認證等;
云化防護:面向SaaS等更復雜的云計算模式,引入云安全訪問代理等新技術,結合業務實現防護。
未來,邊界防護上基于SDN技術構建“流網絡層”,提升“東西向”的隔離顆粒度與強度,以及加強云內流量監控;基礎防護上,構建云安全管理系統,各種安全加固技術在私有云底層平臺的應用,特別是通過安全手段固化底層行為;增強防護則提供比如加密認證、安全掃描服務,定期對所有云主機進行安全掃描,及時發現安全漏洞,還有防護DNS型的攻擊,防DDoS攻擊,自動化抵御SYNFLOOD、UDPFLOOD等常見攻擊,有效保障用戶業務的正常運作。云化防護則面向業務操作與業務數據的云安全代理機制等,引入云安全相關的新技術,結合業務實現防護。這些都將是重點考慮的方向和手段。
下面就存儲的安全重點說一下。存儲層面的安全主要有4點:
1、資源隔離和訪問控制
在云環境下,應用不需要關心數據實際存儲的位置,只需要將數據提交給虛擬卷或虛擬磁盤,由虛擬化管理軟件將數據分配在不同的物理介質。這就可能導致不同保密要求的資源存在于同一個物理存儲介質上,安全保密需求低的應用/主機有可能越權訪問敏感資源或者高安全保密應用/主機的信息,為了避免這種情況的發生,虛擬化管理軟件應采用多種訪問控制管理手段對存儲資源進行隔離和訪問控制,保證只有授權的主機/應用能訪問授權的資源,未經授權的主機/應用不能訪問,甚至不能看到其他存儲資源的存在。
2、數據加密保護
在各類安全技術中,加密技術是最常見也是最基礎的安全防護手段,在云環境下,數據的加密保護仍然是數據保護的最后一道防線,對數據的加密存在于數據的傳輸過程中和存儲過程中。
對數據傳輸過程中的加密保護能保護數據的完整性、機密性和可用性,防止數據被非法截獲、篡改和丟失。針對不同虛擬化對象的特點,應采用不同的傳輸加密方式。如對IP SAN網絡,可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止數據被竊聽,確保信息的保密性,采用IPSec摘要和防回復的功能防止信息被篡改,保證信息的完整性。
對數據存儲的加密能實現數據的機密性,完整性和可用性,還能防止數據所在存儲介質意外丟失或者不可控的情況下數據自身的安全。對數據存儲的保護一般在主機端完成,通常由應用系統先對數據進行加密,然后再傳輸到存儲網絡中,由于不同應用采用加密算法的多樣性導致加密強度的不一致,不利于數據存儲安全的統一防護。為了解決這個問題,IEEE安全數據存儲協會提出了P1619安全標準體系,這個體系制定了對存儲介質上的數據進行加密的通用標準,采用這種標準格式可使得各廠家生產的存儲設備具有很好的兼容性。
對數據進行存儲保護的另一種思路是在存儲設備之前串接一個硬件加密裝置,對所有流入存儲網絡的數據進行加密后,將密文提交給存儲設備;對所有流出存儲設備的數據進行解密后將明文提交給服務器;這種加密方式與上面提到的采用P1619的的解決方案類似,但這里的加密是由外部加密裝置完成,而不是集成在存儲網絡中。這種解決思路與上層應用和存儲無關,但在數據量大的情況下,對硬件加密裝置的加解密性能和處理能力要求比較高。
對數據加密保護的第三種解決辦法是依靠存儲設備自身的加密功能,如基于磁帶機的數據加密技術,通過在磁帶機上對數據進行加密,使數據得到保護;目前可信計算機組織(TCG,Trusted Computing Group)也已提出了針對硬盤的自加密標準,將加密單元放置在硬盤中,對數據進行保護。自加密硬盤提供用戶認證密鑰,由認證密鑰保護加密密鑰,通過加密密鑰保護硬盤數據。認證密鑰是用戶訪問硬盤的惟一憑證,只有通過認證后才能解鎖硬盤并解密加密密鑰,最終訪問硬盤數據。
3、基于存儲的分布式入侵檢測系統
基于存儲的入侵檢測系統嵌入在存儲系統中,如SAN的光纖交換機、磁盤陣列控制器或HBA卡等設備中,能對存儲設備的所有讀寫操作進行抓取、統計和分析,對可疑行為進行報警。由于基于存儲的入侵檢測系統是運行在存儲系統之上,擁有獨立的硬件和獨立的操作系統,與主機獨立,能夠在主機被入侵后繼續對存儲介質上的信息提供保護。在存儲虛擬化網絡中,應在系統的關鍵路徑上部署基于存儲的入侵檢測系統,建立全網統一的管理中心,統一管理入侵檢測策略,實現特征庫的實時更新和報警事件及時響應。
4、數據刪除或銷毀
數據的徹底刪除也是必須考慮的問題。由于數據存放的物理位置是位于多個異構存儲系統之上,對于應用而言,并不了解數據的具體存放位置,而普通的文件刪除操作并不是真正刪除文件,只是刪掉了索引文件的入口。因此在應用存儲虛擬化技術之后,應在虛擬化管理軟件將安全保密需求相同的文件在物理存儲上分配在同一塊或多塊磁盤上,在刪除文件時,為了徹底清除這些磁盤上的敏感信息,將該磁盤或多塊磁盤的文件所有位同時進行物理寫覆蓋。對于安全保密需求高的場合,還應采用消磁的方式來進行更進一步地銷毀。
結語:
云計算作為一種新的模式給企業信息化發展帶來了巨大的變革,是IT 行業的一個發展趨勢,但是安全問題仍然是阻礙企業全面部署應用云平臺的最大障礙。如何有效控制訪問權限和整體安全管理機制,如何對數據進一步劃分等級,實時安全操作和監控,如何更有效地管控外部攻擊威脅帶來的風險,都需要深入開展研究,才能更有效地提高云計算平臺的安全,為云計算在企業中的廣泛應用提供更安全的保障。