IDC基础设施云的安全策略研究.doc

IDC基础设施云的安全策略研究段勇 朱源（中国电信股份有限公司上海研究院 上海 200122）摘要：云计算是一种新的技术和商业模式，通过“基础设施云平台”可以为用户提供基于互联网的IT基础设施服务（IaaS），有效提高IDC相关产品的盈利能力，扩大客户群。然而，“基于互联网”的特点在带来易用性的同时，对业务支撑平台提出了更高的安全要求。本文结合基础设施云平台的特点，提出了面向基础设施云的安全框架，以及由于云计算的引入新增的安全问题相应的对策。关键字：云计算；IaaS；安全策略1. 引言虽然云计算到目前已经广为人知，但是关于到底什么是云计算还没有完全统一的看法或定义。在业界有影响的机构组织或商业公司有多种不同的描述。但是大家普遍认同的，云计算应该具有以下五个基本特征：按需的自服务：自己动手、丰衣足食。作为云服务，不同于传统网络服务或普通IT服务的一个鲜明特征就是云服务是不用人工干预的自助服务，例如服务开通、配置变更、缴费、取消等。宽带接入：该特征要求云服务通过网络提供，并且应该涵盖基本上所有的客户端，包括各种电脑、上网本、智能手机等。虚拟池化的资源：该特征来源于云服务的多客户性质。在同一套物理资源之上，给多个客户提供服务，需要将原来孤立的、个体的物理资源通过虚拟化技术映射成为虚拟的、功能模块化的、面向多用户服务的资源池。并由系统统一的、动态的、按需的再分配给各个客户。由此而来的另外一个结果就是客户不再关心、也基本上无法知道自己的某个服务在某个时刻运行在哪个物理位置的物理硬件之上。这些资源包括CPU计算能力、内存、存储、进程、网络带宽、虚拟机、备份数据、维护人员等等。快速弹性架构：这个特征被认为是云计算带来的最大好处之一。用户不再为系统扩容跟不上用户需求预测而苦恼，也不用为短期项目完工后闲置的IT资源而担心。 系统规模扩大、减小，对于云服务的用户来说，变成了鼠标点击事件，就好像云里的服务和虚拟资源是无限的、召之即来、挥之即去的。可测量的服务：这里强调的 “服务”，它应该是可以测量的、有明确价格和收费政策的。在使用过程中，各种服务（例如存储、带宽、活动用户账号、各种计算资源等）的使用、监视、控制等对于服务提供者和用户都是透明的。除了上述五个关键特征之外，多租户也是云计算的重要特征。这些关键特征直接影响到了云计算环境的安全威胁和相关的安全保护策略。在互联网进入Web2.0时代以后，网络安全威胁的发展趋势有了很大变化。云计算服务的大量涌现、个人计算和企业计算大量向云服务迁移进一步加剧了围绕着 Web的各种安全威胁。按照IDC 2008年8月份的调查结果，在人们对云计算担心问题排序中，安全问题高居榜首。图1云计算面临的挑战IDC基础设施云业务是基于云计算平台的IT基础设施租用服务。它通过虚拟化、自动化等云计算关键技术智能动态地调配各种资源（如计算、 存储、带宽、硬件、软件等）提供给客户。使得客户无需为繁琐的细节而烦恼，能够更加专注于自己的业务。2. 安全需求分析IDC基础设施云的安全需求来自于两个方面，一方面，IDC基础设施云业务的基础还是传统的IT环境，从这个层次上来看，大多数环境下，IDC基础设施云平台面临的风险和威胁和传统的IT环境没有什么太大的不同；另一方面，由于采用的云服务模式、运营模式和云计算一些新技术的引入，云计算会比传统的IT环境给运营商带来更多的风险。2.1. 网络层IDC基础设施云是一类面向互联网客户的公共云服务，要保证业务的正常运维，必须解决客户与IDC基础设施云之间的交互可能存在的风险，这部分由于云计算技术的引入带来的风险主要有虚拟化的网络设备和云计算技术带来的网络区域和层次的隔离模型的变化。l 虚拟网络设备在IDC基础设施云环境下，已经可以提供具备VLAN以及更多能力的虚拟交换设备，这些虚拟交换设备给在虚拟环境下部署支撑应用的灵活虚拟网络多层架构提供了条件，比如部署不同的应用服务器、Web服务器、甚至数据服务器。如果用传统的部署在虚拟环境外的安全组件，是无法完成对虚拟网络架构的各个服务器流量监控和审计的。同样，发生在虚拟交换机间的流量也是无法监控的。这样虚拟环境就成了整个安全的黑盒子，如果任何一台虚拟环境下的服务器收到攻击，会极其容易的扩散到其他的虚拟服务器或主机。l 网络区域和层次的变化以往的网络区域和层次的隔离模型在公共的云计算模式下发生了很大变化。多年来，网络安全依靠分区，例如内部网与外部网、开发环境和生产环境，通过隔离网络流量提高网络的安全性，该模型是基于只有特定的个人和系统有权访问特定区域。同样，在一个特定的层系统往往只有特定的访问权限，例如，在展现层的系统不能直接和数据库层通讯，但可以与授权的应用系统通讯。在IDC基础设施云里，传统网络里分区和层的概念已被公共云的“安全组”，“安全域”或“虚拟数据中心”替换，相比以前分区和层的模型，它更是一个逻辑的模型。例如，安全组可让用户的虚拟机使用物理或虚拟防火墙限制彼此访问，实现具有基于IP地址的过滤能力（具体地址或子网），数据包类型（TCP，UDP连接或ICMP），特定端口或端口范围的能力。以往基于网络分区和层的模型，不同的主机之间不仅在网络上逻辑分开，这两组系统在物理主机上也是分开的。但是有了云计算，这种分离不再存在。云计算的安全域之间都是基于逻辑的分离，不再是物理分离，因为现在逻辑分开的两个域可能都在一台物理主机上。2.2. 主机和操作系统层目前几乎所有IDC基础设施云提供的服务都是采用了基于主机的虚拟化技术，因此，这部分由于云计算引入的风险主要考虑两个方面，一个是虚拟化软件的安全性，另一个使用虚拟化技术的虚拟服务器的安全。l 虚拟化软件安全性该软件层是一个非常重要的层次，坐落于裸机顶部，提供能够创建、运行和销毁虚拟服务器的能力。实现虚拟化的方法不止一种，实际上，有几种方法都可以通过不同层次的抽象来实现相同的结果，如操作系统级虚拟化、全虚拟化或半虚拟化。在IDC基础设施云平台中，云主机的客户不必访问此软件层，它完全应该是由云服务提供商来管理的。由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次，可以使你在一台计算机上安全的同时运行多个操作系统，任何未经授权的用户必须严格限制访问。由于虚拟化对于IaaS云架构来说非常关键，任何可能会影响该层次完整性的攻击对于云上的所有客户来说都是灾难性的。云服务提供商应建立必要的安全控制措施，限制对于hypervisor和其它形式的虚拟化层次的物理和逻辑访问控制。虚拟化层的完整性和可用性对于基于虚拟化技术构建的公有云的完整性和可用性的保证上是最重要，也是最关键的。一个有漏洞的虚拟化软件会暴露所有的业务域给恶意的入侵者。l 虚拟服务器的安全虚拟服务器位于虚拟化软件之上，客户可以通过自服务平台选择满足需求的虚拟服务器，例如，Linux，微软的Windows和Solaris等的各种操作系统。客户可以充分利用虚拟服务器，就像访问物理服务器一样，并通过Internet管理并且使用。对于云主机的客户来说，可以完全访问基于虚拟化软件之上的虚拟机。因此，客户有责任确保具有访问权限的客户和虚拟机的安全管理。从攻击面的角度来看，虚拟机可以提供给任何在互联网上的客户使用，因此需要采取一定的安全措施，限制访问虚拟机实例。通常情况下，IDC基础设施云服务提供商严格限制虚拟服务器端口访问，并建议客户使用安全接入方式（如SSH、IPSec VPN等）来管理虚拟服务器实例。虚拟机在公共IDC基础设施云服务可能遇到的安全威胁包括： 窃取密钥用于访问和管理主机（例如，SSH的私钥） 攻击未打补丁的，有漏洞的服务标准端口服务（例如，FTP、NetBIOS、SSH） 没有采取适当的安全措施的帐户劫持（即弱或没有密码的标准帐户） 攻击那些不正确的主机防火墙安全系统 部署木马嵌入在虚拟机软件组件或在虚拟机镜像（操作系统）本身2.3. 应用和数据层通常情况下，IDC基础设施云服务提供商，例如Amazon等，将客户在虚拟机上部署的应用看作是一个黑盒子，云服务提供商不必关心客户应用的管理和运维，当然，通常客户也不希望云服务提供商知道自己的应用和数据。客户的应用程序，无论运行在何种平台上Java、.NET、PHP、Ruby on Rails等，都由客户部署和管理。因此客户负有云主机之上应用安全的全部责任。当然，云服务提供商可以通过增值服务的方式提供相应的安全服务，如保障用户应用安全相关的防火墙策略等这样的安全措施。总之，云主机的客户负责其应用安全的所有方面，并应采取必要步骤来保护他们的应用程序，以解决在一个多租户和充满风险的环境的威胁。当然，云服务提供商也可以根据客户的需求，提供必要的基础安全服务和增值的安全服务，保障客户应用的安全。3. 安全框架IDC基础设施云的安全需求来自于多个维度，分布在管理、技术、业务、人员多个层面，采用分散的、独立的安全技术和措施无法有效解决；安全是云计算的必须组成部分，需要做为一个整体进行系统考虑。图2 IDC基础设施云安全框架如上图所示，IDC基础设施云的安全要求包括云平台各层次的安全技术要求、安全管理能力要求、接口安全要求以及法律和法规的遵从四个部分。这四个部分既相对独立，又有机结合，形成IDC基础设施云的整体安全框架。其中安全技术要求覆盖了IDC基础设施云平台的网络层、虚拟层、操作系统层、应用层和数据层五个部分；安全管理能力要求包括用户管理、访问认证、安全审计、漏洞管理、补丁管理、安全配置管理和安全事件管理七个部分。3.1. 技术要求技术要求从网络层安全、虚拟层安全、操作系统层安全、应用层安全和数据层安全五个层面提出。其中l 网络层安全主要指物理网络（含存储网络）的安全；l 虚拟层安全指hypervisor（含管理平台）、虚拟存储和虚拟网络的安全；l 操作系统层安全包括IDC基础设施云中物理主机、虚拟化软件、虚拟机镜像和存储平台的操作系统安全；l 应用层安全包括IDC基础设施云管理平台相关的应用、用户自服务平台和中间件的安全。用户在IDC基础设施云中构建的应用安全由用户自己保证，如果需要，可以通过增值服务提供给用户；l 数据层安全包括IDC基础设施云管理平台相关的数据安全。用户在IDC基础设施云中的数据安全由用户自己保证，如果需要，可以通过增值服务提供给用户。具体各层次考虑的安全要素参见下表：表1IDC基础设施云安全矩阵鉴别和认证访问控制内容安全冗余恢复审计响应网络层边界完整性检查网络设备防护架构安全访问控制网络设备防护架构安全入侵防范恶意代码防范架构安全安全审计虚拟层身份鉴别资源控制架构安全访问控制架构安全剩余信息保护入侵防范恶意代码防范架构安全安全审计操作系统层身份鉴别资源控制访问控制剩余信息保护入侵防范恶意代码防范/安全审计应用层身份鉴别资源控制访问控制剩余信息保护通信完整性通信保密性Web应用安全设计抗抵赖软件容错应用系统过压控制安全审计数据层数据库安全密钥管理数据库安全数据完整性数据保密性数据备份和恢复安全审计3.2. 安全管理能力要求结合IDC基础设施云的安全需求，安全管理能力方面的要求考虑了7个方面。3.2.1. 用户管理有了云计算，网络、系统和应用的组织边界将扩展到云服务提供商的网络。采用云服务之后，整个云服务提供商网络的信任边界将变得动态化和模糊，并且有可能不受控制。这失控将挑战既定的信任管理和控制模型，如果管理不善，会严重影响云服务的运营。用户管理最终目标是将用户及其拥有的所有应用系统帐号关联，集中进行管理维护，使用户更高效地使用运营商的云服务，并为云服务的访问控制、授权、审计提供了可靠的原始数据基础。3.2.2. 访问认证为了弥补损失的网络控制，并加强风险保证，云服务提供商将不得不依靠其它更高如应用安全性和用户访问认证级别的软件来控制。这些控制表现为基于角色的强认证和授权机制、准确可靠的来源属性、身份联邦、单点登录（SSO），以及用户活动监控和审计。访问认证是指基于用户的属性来对用户的真实身份进行鉴别的系统。用户访问认证系统实现各设备及系统用户的集中认证，并为多个系统提供单点登录能力，由认证、授权、访问控制、适配器（代理等）模块构成。集中的访问认证目标是建立统一、集中的认证和授权系统，授权用户对云服务的使用权，同时防止非授权用户的访问。在云计算的消费模式中，用户可以从任何连接到互联网的主机访问云服务，而集中的访问认证可以削弱这种不受控的访问能力。3.2.3. 安全审计云服务提供商应建立安全审计平台，将各类网络、主机、应用和业务层面的日志进行收集，并在集中管理审计平台上进行统一、完整的审计分析。审计平台应涵盖网络层面的集中监控管理和业务层面的安全审计。云端的安全审计主要指云服务的使用和访问监控方面，包括网络层面、系统层面、应用层面和业务层面的安全审计。3.2.4. 漏洞管理漏洞管理是一个重要的威胁管理功能，云服务引入漏洞管理的主要目的是帮助保护主机、网络设备，以及应用程序不受已知漏洞的攻击。云服务提供商需要建立漏洞管理机制和流程以应对这些风险。3.2.5. 补丁管理和漏洞管理一样，补丁管理的主要目的是防止未经授权用户利用已知漏洞攻击云服务的主机、网络设备，以及应用程序，它也是云服务的一个重要的威胁管理模块。3.2.6. 安全配置管理安全配置管理是另一个非常重要的威胁管理模块，它主要用于保护主机和网络设备，防止未经授权用户利用配置漏洞。配置管理模块是整体IT配置管理的一个子集，它和漏洞管理模块紧密相关。配置管理模块保护网络、主机、应用程序的配置，并限定对关键系统和数据库的配置文件的监控和访问控制。3.2.7. 安全事件管理安全事件管理主要完成对事件的集中收集、管理和分析。主要的功能包括事件收集、事件集中处理和实时关联分析。3.3. 接口要求IDC基础设施云平台不是一个独立的业务系统，通过相关的外部接口实现业务的开通、受理、报表等功能；未来IDC基础设施云的一些接口可能直接提供给客户，与客户的业务系统集成。因此在相关接口的设计中，需要充分考虑接口的安全。l 可靠性接口方式是信息模型的载体，无论采取何种接口方式，都应保证所传递的信息是可靠、完整和一致的。接口可靠性不仅要求交互方式的可靠与稳定，还要求接口的实现不能对参与接口的系统的可靠性造成任何不良影响，如当采集链路或程序异常时，不应造成数据丢失以及对接口相关系统的正常工作造成影响。l 保密性IDC云平台与外部系统通过接口交互的信息有着不同的安全保密要求，如配置信息通常比性能信息更需要保密，根据信息的安全级别可采取传输加密等多种方式进行保护。l 高效性IDC云平台的运行效率与接口效率密切相关，接口的高效性要求采用的接口方式与实现技术必须保证接口的畅通及不会造成待交互信息的积压或延迟。3.4. 法律与法规的遵从合规性也是云安全一个非常重要的内容，作为云服务提供商，对外提供服务，需要考虑满足相关的法律和法规的要求；作为云服务的消费者，在选择云服务时也要考虑自身合规性的要求；云服务提供商和云服务的消费者应该能够满足日益复杂的法规要求，不论是行业标准，管理制度，或客户特定的要求。表2 信息安全相关标准参考公司层控制信息安全IT服务交付/运营系统开发财务报告制度具体技术或增量需求最佳实践指南COBITCOSOISO27002ITILISO 20000-2CMM/ISO21827ITGI-SOXISO 系列ANSI系列NIST系列认证ISO 27001ISO 20000-1行业标准FFIECHIPAAHITRUSTNISTPCIISO 2700XSOXPCAOBEV SSL审计框架SAS 70SysTrustWebTrustBITS FISAPPCAOBWebTrust CAWebTrust EVGAPP4. 演进策略4.1. 演进原则IDC基础设施云的安全体系的建立以IDC业务驱动力为基础，分析云模式IDC安全需求，参照信息安全等级保护的四大基本原则：自主保护原则、重点保护原则、同步建设原则、动态调整原则，制定IDC基础设施云安全体系的演进策略，演进策略制定将基于以下三大原则：原则一：全方位多层次综合防护原则。IDC基础设施云安全防护体系包括网络防护、重要业务系统防护、基础设施安全防护等多个方面，保证立体的防护措施；原则二：在安全建设方面要有适度的原则。由于通常情况下，信息安全性和相应的成本及可用性成反比，因此在考虑安全性的时候应该考虑到各因素之间的平衡；原则三：总体规划、分步实施原则。根据业务模式和建设时序，逐步实现基础设施层、数据层和应用层的安全体系。4.2. 阶段建议对任何IDC基础设施云服务的提供商而言，实施这些安全的技术要求和功能并非一蹴而就，根据IDC基础设施云的业务模式、建设时序和演进原则，安全体系建设可以分为三个阶段，如下图所示：图3 演进阶段建议整个的IDC基础设施云安全的具体建设步骤有三个阶段，分别为：基础安全阶段、安全增值服务阶段、集中安全管理阶段。l 基础安全服务阶段本阶段将完成云模式IDC基础设施层和云管理平台层的安全建设，主要包括网络层、虚拟层、操作系统层、云管理平台自身应用和数据的身份鉴别、访问控制、边界保护、安全审计、入侵防范和资源控制等；云管理平台自身的身份鉴别、访问控制、认证和安全审计等；l 安全增值服务阶段本阶段将在基础设施层的安全体系的基础上，实现用户应用、数据和服务安全增值服务，如用户数据备份恢复、用户应用和数据机密性和完整性、用户应用的密钥管理等；同时，进一步完善安全管理平台的相关功能；l 集中安全管理阶段本阶段将实现IDC层面的基础设施、数据和应用的统一安全管理，并与现有安全管理能力的平台集成，如网管和服务平台等，进一步提高云模式IDC的服务质量。5. 结束语通过构建基于云计算的基础设施平台，可以降低电信业务的运营成本和新业务的引入成本，同时，运营商在数据中心、网络、用户和渠道上的积累，使其构建成本低、拓展优势大、存储能力强资源平台成为可能。但是云计算本身概念和业务模式都很新，很多技术和业务都还在形成和发展当中，云安全方面可以参考的标准目前仅有一个云安全联盟（CSA）发布了一份云计算服务的安全应用指南云计算关键领域的安全指南。我们希望通过我们的研究和实践，找到符合IDC基础设施云产品特点的安全解决方案，通过有效的技术和管理手段消除客户的安全顾虑，提升客户对此类产品的接受程度，以有效支撑产品的销售。参考文献1 石屹嵘,段勇. 云计算在电信IT领域应用初探.电信科学,2009，25(8)Research of security p