云计算安全体系架构研究状况分析

1、 国内外云计算安全体系架构研究状况分析0 引言云计算的出现是传统IT 领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果，具有以网络为中心、以服务为提供方式、高扩展性和高可靠性以及资源使用透明化等主要特征。业界认为云计算是继PC、互联网之后信息产业的第三次变革，将对社会信息化发展产生深远影响。根据IDC 在 2009 年底发布的一项调查报告显示，云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。2009 年 11 月，Forrester Research 公司的调查结果显示，有51% 的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。Gartner20

2、09 年的调查结果显示，70% 以上受访企业的 CTO 认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。由此可见，安全性是客户选择云计算应用时的首要考虑因素。1 国内外云计算安全体系架构云计算具有按需服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务、多用户等特征，为信息系统带来了新的安全威胁。云计算环境催生了新的信息安全技术，包括： 虚拟机隔离、多用户隔离、共享虚拟化资源池的数据保护和自销毁、远程接入云等。同时，传统信息安全技术在云计算环境下存在大量的现实需求，包括 ：访问控制、数据传输和存储加密、身份认证、系统安全加固、漏洞扫描、安全配置管理等，由于云计算的新特点和面

3、临的新威胁，使得这些技术需要在云计算环境下进一步发展。摘要 : 本文对国内外主要研究机构、企业对云计算安全的关注给予了剖析和总结，尤其针对云计算安全体系架构和支撑体系进行了汇总分析，可为云计算应用过程的安全和信息保护提供借鉴。关键词 : 云计算 云安全 架构 体系云计算安全涉及到云监管方、云使用方、云提供方三种角色。云监管方主要关注和云计算相关的安全制度、政策制定， 云计算安全标准的制定，云计算安全水平评级，以及服务许可与监管等方面。云使用方主要关注用户数据和隐私的私密性问题、使用云服务给客户带来的安全问题，如何保证服务连续性的问题，以及云中用户数据的备份和恢复问题。云提供方主要关注云服务安全

4、保障问题、云计算环境风险识别和管理、数据存储和容灾问题、云审计问题以及法规遵从问题。为了消除云用户将现有应用迁移到云过程中的安全忧虑， 以及满足企业的各种合规性安全要求，安全业界推出了各种各样的云安全解决方案。本文对几个主要的云安全解决方案进行介绍。云安全联盟云计算安全架构CSA（Cloud Security Alliance，云安全联盟）从云服务模型角度提出了一个云计算安全参考模型，该参考模型描述了三种基本云服务的层次性及其依赖关系，并实现了从云服务模型到安全控制模型的映射，如图 1 所示。该安全参考模型的重要特点是 ：供应商所在的等级越低，云服务用户所要承担的安全能力和管理职责就越多。在

5、SaaS 情况下，这意味着在合同里需要对服务本身和提供商的服务水平、安全、管控、合规性以及责任期望等有明确要求。在 PaaS 或 IaaS 情况下，这些内容的管理责任是用户自己的系统管理员，提供商对于安全保护底层平台和基础设施组件以确保基本服务的可用性和安全，其具体要求可能会有一些相关的出入。图 1 CSA 云模型、安全控制和合规模型映射云计算中的安全控制机制与传统 IT 环境中的安全控制机制没有本质的不同。不过，云计算环境下存在其特有的安全风险，因此具有特别的安全关注领域。CSA 将对云服务的主要安全关注点分为治理和运行两个领域，共涉及 12 个具体的关键域（D2-D13），如图 2所示。其

6、中治理域范畴很宽，主要解决云计算环境中的战略和策略，而运行域则关注于更战术型的安全考虑以及架构内的实现。IBM 云计算安全架构IBM 基于其企业信息安全框架给出了一个云计算安全架构，云计算安全架构从资源的角度分为 5 个方面，如图 3 所示。用户认证与授权 ：授权合法用户进入系统和访问数据， 拒绝非授权的访问。流程管理 ：对需要在云计算中心运行的项目比如资源的申请、变更、监控及使用进行流程化的管理。多级权限控制 ：对云计算资源的访问和管理涉及多个安全领域，每一个安全领域都需要进行权限控制，一般分为以下几级 ：机房管理和维护人员，云计算管理员，云计算维护员，系统管理员。数据隔离和保护 ：针对使用

7、统一共享的存储设备为多个用户提供存储的情况，需要通过存储自身的安全措施、Lun Masking、Lun Mapping 等功能管理数据的访问权限，从而对客户所有的数据和信息进行安全保护。对存放于完全不同的存储格式中的数据进行发现、归类、保护和监控，并提供对关键的知识产权和敏感的企业信息的保护。对于存储在云计算平台的数据，可采用快照、备份、容灾等重要保护手段确保客户重要数据的安全。对于数据备份用户可通过专门的软件对其文件、数据库按照用户设定的备份策略进行自动备份及恢复，包括在线或离线备份。提供对操作系统级的整体备份，从而进一步保护用户数据及运行环境。服务器隔离 ：对于重要的应用，通过双机备份的形

8、势来保障应用的可靠性，实现虚拟机之间的热迁移，从而保证应用的连续性 ；从安全角度考虑，通过虚拟化解决方案的分区组件，实现所有虚拟计算机之间CPU、存储和网络资源的隔离，这样进程、动态连接库及应用程序不会影响同一台服务器上其他虚拟服务器的应用。存储隔离 ：对于数据存储的安全，可以采用单独的存储设备，从而从物理层面隔离数据，确保数据安全 ；也可采用虚拟统一存储，通过划分 LUN，并设置 LUN 访问权限来从逻辑层保护数据的访问安全。网络隔离：通过 VLAN 保证网络的安全性和隔离性。VLAN 的隔离性由交换机及各主机上的虚拟化引擎保证。VLAN 提供数据链路层的隔离，可以保证一个 VLAN 的帧不

9、会发给另一个VLAN。VLAN 通过虚拟机的MAC 地址对虚拟机进行标识，即使用户手动改变虚拟机IP 地址，他也无法变更虚拟机所处的 VLAN。云计算管理服务器以及各物理主机本身处于一个独立的 VLAN，防止云计算的用户从自己的项目环境侵入管理环境。系统灾备 ：云计算系统以集中灾备的方式帮助平台使用者尽快恢复业务和数据，客户可在本地同城或异地建立远距离的容灾中心，容灾中心与云计算中心通过专用网络相连， 以便传输应用或数据。思科云数据中心安全架构图 2 CSA 云安全指南 13 个关键域 图 3 IBM 云计算安全架构图 4 思科云数据中心安全架构思科提出的一个云数据中心安全框架如图 4 所示。

10、该云数据中心安全框架描述了云数据中心的威胁模型以及可减少安全风险的措施。此外，该框架还显示了控制合规和SLA 组件的关系。思科认为，云数据中心的安全关键在于要在架构的每一层实现，而不是事后考虑或者作为一个组成模块。威胁 ：包括服务崩溃，入侵，数据泄漏，数据披露，数据修改，以及身份窃取和假冒。云数据中心可视性 ：包括身份识别、监控和关联分析。云数据中心保护 ：包括虚拟机加固、虚拟机隔离、网络隔离和强制。云数据中心控制 ：云数据中心的安全架构的控制方面有多个维度，从对数据的控制供应到访问管理系统，在这部分需要考虑安全基线、数据划分、加密策略、虚拟操作系统的管理和访问、强认证、身份和访问管理、单点登

11、录、完整性监控等。合规和服务水平协议 SLA ：云数据中心安全架构的合规和SLA 是多方面的。比如对于数据和系统的合规必须考虑分类需求和隔离。审计和风险、隐私需求评估。云数据中心的架构和安全交付应该映射 SLA 的内容。Amazon EC2 安全架构Amazon EC2 安全架构在多个层次上提供安全保障 ：宿主系统的操作系统层次，guest 操作系统，防火墙，签名API调用。目标是保护Amazon EC2 中的数据不被未授权的系统或用户拦截。宿主操作系统 ：访问管理平台的业务管理员需要使用多因子认证方式访问特意建造的管理主机。这些管理主机是特别设计、建造、配置和加固的，以保护云管理平台。所有到

12、管理主机的访问都被写入日志并被审计。当员工不在有访问管理平台的业务需求时，他对这些主机及相关系统的的特权和访问将被撤销。Guest 操作系统（虚拟化操作系统）：由用户完全控制。用户有用 root 权限，对账户服务和应用有管理员控制权限。用户一般应禁止基于密码的访问方式，而使用多因子认证的方式来确认使用者的身份。防火墙 ：Amazon EC2 提供了一个完整的防火墙解决方案，默认防火墙的设置是 deny，用户需要开放自己的端口。可以从协议、服务端口、源 IP 或 CIDR 块等角度来做限制。Hypervisor ：Amazon EC2 使 用 高 度 定 制 化 的 Xen hypervisor

13、，在 guest 和 hyperbisor 之间完全隔离。实例隔离：同一物理机上运行的不同实例通过 Xenhypervisor 相互隔离。ENISA 关于云计算的安全建议ENISA（European Network and Information SecurityAgency，欧洲网络和信息安全研究所）是负责欧盟内部各个国家网络与信息安全的一个研究机构，负责为欧盟内各个国家在网络与信息安全的问题提出建议和指导安全方面的实践活动等。在 ENISA 关于云计算安全的研究中，主要的研究成果是从企业的角度出发，对云计算可能带来的好处以及安全方面的风险。图 5 VMware vSheid 产品系列总体架

14、构ENISA 建议当企业要把数据交给云计算服务商托管时，该如何做才能把风险降到最低。ENISA 在报告中指出，云计算的好处很明显，就是内容和服务随时都可存取，而企业也可降低成本，因为不必再花冤枉钱管理超过需求的数据中心容量，而是可以根据具体的需求调整用量，并依照实际用量付费。通过使用云计算提供商提供的云计算服务，企业不必维护某些硬件或软件，同时也可以“解放”企业内部的IT 资源。但是目前， 企业仍对云计算望而却步，首要的问题是安全性。企业质疑， 是否能够放心把企业的数据、甚至整个商业架构，交给云计算服务供货商。云计算虽然号称 24h 全天候提供服务，但其数据中心也可能因故障停机。这将导致他们只

15、依赖一家服务供货商， 万一数据与服务必须移交给另一家服务供货商，可能遭遇问题。再者，把数据搬上云，企业可能面临主管当局审查方面的挑战。有些云服务供应商还可能确实没有依照顾客的吩咐， 把数据完全、妥善地删除干净。因此，ENISA 在报告中建议，企业必须做风险评估，比较数据存在云中和存储在自己内部数据中心的潜在风险，比较各家云服务供应商，把选择缩减到几家，并取得优选者的服务水平保证。应该清楚指定哪些服务和任务由公司内部的IT 人员负责、哪些服务和任务交由云服务供应商负责。ENISA 的报告指出，如果选对云计算供应商，数据存在云中是非常安全的，甚至比内部的安全维护更固若金汤、更有弹性、更能快速执行，

16、也可以更有效率地部署新的安全更新，并维持更广泛的安全诊断。VMware 云计算安全架构VMware 的安全架构分为三个层面 ：保护云计算中的虚拟数据中心免受外围网络威胁，保护数据中心内部安全区域， 保护虚拟机免受病毒和恶意软件的威胁。其安全体系架构由以下安全产品实现 ：VMware vShield Edge、VMware vShieldApp、VMware vShield Endpoint 和 VMware vShield Zones。这些安全软件受 VMware vShield Manager 管理。VMware vSheid 产品系列的总体的架构图如图 5 所示。云计算安全软件支撑体系研究

17、现状云计算标准及其测评体系为云计算的平台安全软件支撑体系提供了重要技术与管理支撑。目前，全球范围内的云计算标准化工作已经启动，全世界已经有 30 多个标准组织宣布加入云计算标准的制订行列。这些标准组织大致可分为 3 种类型 ：以 DMTF、OGF、SNIA 等为代表的传统 IT 标准组织或产业联盟，这些标准组织中有一部分原来是专注于网格标准化的，现在转而进行云计算的标准化工作。以 CSA、OCC、CCIF 等为代表的专门致力于进行云计算标准化的新兴标准组织。以 ITU、ISO、IEEE、IETF 为代表的传统电信或互联网领域的标准组织。其中一些标准组织的确进行了大量有意义的工作，正在努力将云计

18、算的标准化向前推动。这些重要的标准组织包括 ：. NIST（ National Institute of Standards andTechnology，美国国家标准技术研究院）由美国联邦政府支持，进行了大量的标准化工作。美国联邦政府在新一任联邦 CIO的推动下，正在积极推进联邦机构采购云计算服务，而NIST作为联邦政府的标准化机构，就承担起为政府提供技术和标准支持的任务，它集合了众多云计算方面的核心厂商，共同提出了目前为止被广泛接受的云计算定义，并且根据联邦机构的采购需求，还在不断推进云计算的标准化工作。DMTF（The Distributed Management Task Force，分

19、布式管理任务组）是领导面向企业和 Internet 环境的管理标准和集成技术的行业组织。DMTF 在 2009 年 4 月成立了“开放云计算标准孵化器”，主要关注于 IaaS 的接口标准化，制定开放虚拟接口格式（Open Virtualization Format，OVF），以使用户可以在不同的 IaaS 平台间自由地迁移。CSA（Cloud Security Alliance，云安全联盟）是专门针对云计算安全方面的标准组织，已经发布了“云计算关键领域的安全指南”白皮书，成为云计算安全领域的重要指导文件。CSA 确定了云计算安全的 15 个焦点领域，对每个领域给出了具体建议，并从中选取较为重要

20、的若干领域着手标准的制定，在制定过程中，广泛咨询IT 人员的反馈意见，获取关于需求方案说明书的建议。CSA 确定的 15 个云计算安全焦点领域分别是 : 信息生命周期管理、政府和企业风险管理、法规和审计、普通立法、eDiscovery、加密和密钥管理、认证和访问管理、虚拟化、应用安全、便携性和互用性、数据中心、操作管理事故响应、通知和修复、传统安全影响 ( 商业连续性、灾难恢复、物理安全 )、体系结构。云计算（主要是以虚拟化方式提供服务的IaaS 业务）给传统的 IDC 及以太网交换技术带来了一系列难以解决的问题，如虚拟机间的交换，虚拟机的迁移，数据 / 存储网络的融合等， 作为以太网标准的主

21、要制定者，IEEE 目前正在针对以上问题进行研究，并且已经取得了一些阶段性的成果。SNIA（Storage Networking Industry Association， 存储网络协会）是专注于存储网络的标准组织，在云计算领域， SNIA 主要关注于云存储标准，目前已经发布了“云数据管理接口 CDMI V1.0”。ITU、IETF、ISO 等传统的国际标准组织也已经开始重视云计算的标准化工作。ITU 继成立了云计算焦点组（Cloud Computing Focus Group）之后，又在 SG13 成立了云计算研究组（Q23）；IETF 在近两次会议中都召开了云计算的BOF，吸引了众多成员的关注 ；ISO 在ISO/IEC JTC1 进行一些云计算相关的SOA 标准化工作等。这些标准组织与其他专注于具体某个行业领域的组织不同，希望能够从顶层架构的角度来对云计算标准化进行推进。虽然短期内可能不会取得太多的成果，但长期来看，这些组织如果能够吸收众家之长，形成云计算标准的“顶层设计”，应该是非常有意