私有云與公用云不同,公用云的業(yè)務(wù)單一,可以建立統(tǒng)一的安全策略;而私有云不同業(yè)務(wù)系統(tǒng)的安全需求差異很大,在一個(gè)“云”內(nèi),為不同業(yè)務(wù)系統(tǒng)提供不同的安全策略,安全策略如何部署?部署在哪里?
私有云安全的尷尬現(xiàn)狀
一般來說,從現(xiàn)有的IT管理體系過渡到私有云平臺(tái),大致需要幾個(gè)步驟:數(shù)據(jù)大集中、業(yè)務(wù)系統(tǒng)整合、IT資源的虛擬化、管理平臺(tái)云化、云服務(wù)提供。(很多人認(rèn)為私有云就是信息中心的建設(shè),其實(shí)信息中心的虛擬化改造一般是最后兩個(gè)階段合并為信息中心的統(tǒng)一運(yùn)維管理平臺(tái),而不一定會(huì)提供云服務(wù),因此,不能稱為嚴(yán)格意義上的私有云。)這個(gè)過程中,資源虛擬化是關(guān)鍵,因?yàn)橹挥匈Y源都虛擬化管理,才可以談得上動(dòng)態(tài)的調(diào)配,才能夠提供彈性服務(wù)支撐能力。哪些資源可以且需要虛擬化管理?計(jì)算資源,包括CPU與內(nèi)容,以及存儲(chǔ)資源、網(wǎng)絡(luò)資源。我們注意到,一般都沒有涉及到安全資源。這不奇怪,因?yàn)樘摂M化平臺(tái)廠家都是先以業(yè)務(wù)服務(wù)實(shí)現(xiàn)為主,安全問題大多是放在后邊考慮的。
這就給CIO們出了一個(gè)難題:私有云為企業(yè)各個(gè)業(yè)務(wù)部門提供統(tǒng)一服務(wù),不僅僅包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源,還應(yīng)該包括安全資源,如身份認(rèn)證、病毒查殺、入侵檢測(cè)、行為審計(jì)等,只分配了計(jì)算資源與存儲(chǔ)資源的系統(tǒng),對(duì)用戶來講,無異于“裸奔”。私有云與公用云不同,公用云的業(yè)務(wù)單一,可以建立統(tǒng)一的安全策略;而私有云不同業(yè)務(wù)系統(tǒng)的安全需求差異很大,在一個(gè)“云”內(nèi),為不同業(yè)務(wù)系統(tǒng)提供不同的安全策略,安全策略如何部署?部署在哪里?
云計(jì)算的安全問題一直是業(yè)界爭(zhēng)論的熱點(diǎn),還有個(gè)專門的組織CSA(云安全聯(lián)盟)制定了一些指導(dǎo)性意見,但落地都比較困難??偨Y(jié)起來,云計(jì)算的安全落地有兩方面的難題:
第一,是云計(jì)算系統(tǒng)架構(gòu)本身的問題。由于采用了虛擬化的資源管理,用戶業(yè)務(wù)系統(tǒng)的服務(wù)器不再明確地運(yùn)行在哪臺(tái)服務(wù)器上,而是動(dòng)態(tài)漂移的VM(虛擬機(jī)),不同業(yè)務(wù)系統(tǒng)的用戶都在一個(gè)“大雜院”內(nèi)進(jìn)進(jìn)出出,各個(gè)業(yè)務(wù)系統(tǒng)之間沒有了“邊界”,如何保證那些不安分的用戶偷窺其他系統(tǒng)的數(shù)據(jù),只靠虛擬化操作系統(tǒng)的管理,能夠滿足用戶業(yè)務(wù)流之間的隔離嗎?且不說虛擬機(jī)逃逸方面的研究,如“藍(lán)色藥丸”,傳統(tǒng)的操作系統(tǒng)都是漏洞一堆,虛擬化操作系統(tǒng)的漏洞就會(huì)很少嗎?危害程度可是更大。
第二,是虛擬化操作系統(tǒng)廠商的問題。目前,能夠提供虛擬化操作系統(tǒng)的廠商不是很多,如VMware、Microsoft、Citrix、Xen、RedHat、方物等。先說市場(chǎng)份額最大的VMware,是一家與微軟一樣的私有代碼廠商,只提供第三方的開發(fā)接口API。VMware提供系統(tǒng)底層的安全接口,如VMSafe,但這個(gè)接口目前還沒有對(duì)國(guó)內(nèi)的安全廠商開放,也就是說,實(shí)現(xiàn)安全部署,只能采購(gòu)國(guó)外的第三方安全廠商產(chǎn)品。其他的廠商,如Xen是開源的,是沒有接口問題,但需要用戶自己的技術(shù)力量非常強(qiáng)才可以部署與維護(hù)。
一句話:云內(nèi)的安全問題是嚴(yán)重的,最好的方法,就是安全設(shè)備可以如同存儲(chǔ)設(shè)備一樣,形成池化的資源池,在用戶申請(qǐng)云服務(wù)器時(shí),與計(jì)算資源、存儲(chǔ)資源一起按需分配給用戶。
但是,就目前安全廠商的現(xiàn)狀,完全達(dá)到這個(gè)階段還需要一段時(shí)間;為了應(yīng)對(duì)過渡時(shí)期的私有云服務(wù)運(yùn)行的安全,我們提出了過渡時(shí)期的安全解決方案——“云朵”方案。
“云朵”方案的設(shè)計(jì)思路
在沒有辦法確定多個(gè)不同業(yè)務(wù)系統(tǒng)在一個(gè)云中運(yùn)行可以做到安全的隔離的情況下,根據(jù)不同業(yè)務(wù)系統(tǒng)的安全需求,把安全需求近似的、服務(wù)對(duì)象相似的業(yè)務(wù)系統(tǒng)部署在一個(gè)云內(nèi),否則就部署在不同的云中,這樣在企業(yè)中就形成了一個(gè)一個(gè)的云朵,如辦公業(yè)務(wù)云、生產(chǎn)業(yè)務(wù)云、互聯(lián)網(wǎng)服務(wù)云等,或者按照等級(jí)保護(hù)的級(jí)別,分為一級(jí)系統(tǒng)云、二級(jí)系統(tǒng)云、三級(jí)系統(tǒng)云等。
“云朵”方案設(shè)計(jì)模型
企業(yè)核心網(wǎng)絡(luò)是“物理”的,不同的業(yè)務(wù)服務(wù)云朵連接在核心網(wǎng)絡(luò)上,每個(gè)云朵內(nèi)部有自己的云朵管理中心,負(fù)責(zé)云朵內(nèi)的計(jì)算、存儲(chǔ)、安全資源管理;企業(yè)用戶分為虛擬終端(如運(yùn)行虛擬桌面的“傻終端”)與真實(shí)終端(如PC等“富終端”),通過企業(yè)網(wǎng)絡(luò),可以登錄不同的云朵;整個(gè)網(wǎng)絡(luò)的用戶采用統(tǒng)一的身份認(rèn)證,并建立云朵安全管理的中心平臺(tái),該平臺(tái)通過各個(gè)云朵的管理中心接口,可以直接監(jiān)控云朵內(nèi)虛擬機(jī)的運(yùn)行狀態(tài)。
云朵方案的優(yōu)點(diǎn)是明顯的:一朵云內(nèi)的業(yè)務(wù)系統(tǒng)安全需求是相近的、用戶是相同的,安全隔離的需求大大降低了,這樣就解決了不同業(yè)務(wù)系統(tǒng)在一個(gè)云內(nèi)安全隔離的安全難題,在云朵之間的網(wǎng)絡(luò)是“物理”可見的,傳統(tǒng)的安全邊界思路完全適用;當(dāng)然,不同云朵可以采用不同的虛擬化操作系統(tǒng),減少對(duì)一個(gè)廠家的過度依賴(桌面操作系統(tǒng)對(duì)微軟的依賴是很多CIO頭痛的難題);最后,若一朵云出現(xiàn)問題,也不會(huì)影響其他云朵內(nèi)的業(yè)務(wù)系統(tǒng)。
云朵方案的缺點(diǎn)也是明顯的:IT資源利用率提高有限,這與采用虛擬化技術(shù)的目標(biāo)顯然是違背的;人為地建設(shè)多個(gè)云朵,多個(gè)管理運(yùn)營(yíng)平臺(tái),管理復(fù)雜度明顯是加大的。
但是,云朵方案可以解決目前虛擬化平臺(tái)自身安全還不到位,業(yè)務(wù)需求推動(dòng)云計(jì)算模式紛紛上馬的矛盾。邊走邊學(xué),“摸著石頭過河”,總比因噎廢食要好。
云朵方案把企業(yè)私有云的安全問題進(jìn)行了分解:1、云朵間的安全;2、云朵內(nèi)的安全。
云朵間的安全設(shè)計(jì)思路
不同的云朵,邏輯上如同傳統(tǒng)安全方案設(shè)計(jì)中的“安全域”,具有明確的安全區(qū)域邊界,因此,云朵間的安全完全可以按照傳統(tǒng)的安全方案設(shè)計(jì)思路,部署思路可以參考“花瓶模型”的三條基線一個(gè)平臺(tái),網(wǎng)絡(luò)邊界與安全域邊界的安全防護(hù)基線;重要資源區(qū)域與核心匯聚的動(dòng)態(tài)監(jiān)控基線;用戶與運(yùn)維人員的信用管理基線;日常運(yùn)維與應(yīng)急處理的安全管理平臺(tái),具體的技術(shù)與管理要求,可以參照等級(jí)保護(hù)的要求,這里就不贅述了。
云朵內(nèi)實(shí)際上是一個(gè)云朵平臺(tái)管理的系統(tǒng)范圍內(nèi),也可以說是一個(gè)虛擬化操作系統(tǒng)的管理平臺(tái)下的安全設(shè)計(jì)。從系統(tǒng)角度看,可以分為兩個(gè)層面的安全設(shè)計(jì):1、虛擬機(jī)內(nèi)的安全;2、虛擬化平臺(tái)上的安全。
虛擬機(jī)內(nèi)的安全
就是用戶申請(qǐng)到的虛擬機(jī),從用戶角度看起來與物理服務(wù)器是一樣的,用戶選定的操作系統(tǒng)與業(yè)務(wù)服務(wù)軟件,因此,虛擬機(jī)內(nèi)的安全就如同對(duì)一個(gè)主機(jī)系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)。由于虛擬機(jī)的管理比起物理機(jī)要簡(jiǎn)單的多,容易進(jìn)行配置修改與補(bǔ)丁升級(jí)管理,開關(guān)機(jī)就是一個(gè)目錄下的文件運(yùn)行而已。
同時(shí),虛擬機(jī)的計(jì)算資源是可動(dòng)態(tài)申請(qǐng)的,不再存在傳統(tǒng)主機(jī)內(nèi)安全與業(yè)務(wù)爭(zhēng)資源的矛盾,因?yàn)轳v留主機(jī)內(nèi)部的安全監(jiān)控會(huì)降低業(yè)務(wù)運(yùn)行的效率,很多業(yè)務(wù)管理者拒絕安裝其他駐留軟件。當(dāng)然,軟件間的兼容問題依然是存在的,因此,在系統(tǒng)升級(jí)或安裝安全軟件前,一定要在其他的虛擬機(jī)上測(cè)試,保證不影響業(yè)務(wù)軟件的正常運(yùn)轉(zhuǎn)。
河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900