在企業(yè)私有云環(huán)境下，不同業(yè)務系統(tǒng)的安全需求差異很大，那么在一個“云”內：如何為不同業(yè)務系統(tǒng)提供不同的安全策略？各種安全策略如何部署，部署在哪里?如何滿足差異化的需求？

??

[[223445]]

本文將談下私有云面臨的四大安全挑戰(zhàn)和具體實踐。

一、云環(huán)境下對虛擬云桌面的管理

虛擬化桌面終端安全

云桌面通過虛擬化技術實現(xiàn)了桌面的統(tǒng)一、資源的共享，讓員工通過客戶端來實現(xiàn)任何時間、任何地點訪問跨平臺的桌面系統(tǒng)，能夠解決傳統(tǒng)桌面管理模式的弊端。

而且，通過統(tǒng)一規(guī)劃所有云桌面用戶的IP地址,在防火墻和交換機上設置策略、建立訪問控制列表，限制該網段互聯(lián)網訪問權限，也可以方便實現(xiàn)云桌面用戶與互聯(lián)網的隔離。

??

隨著虛擬化技術的發(fā)展，虛擬化桌面終端安全問題也逐漸凸顯。

虛擬化桌面的終端安全主要面臨兩類問題：

●傳統(tǒng)的終端安全問題的延續(xù)；

●在虛擬化環(huán)境下所面臨的新問題，包括虛擬化環(huán)境所面臨的安全威脅、無邊界訪問帶來的安全威脅、虛擬機防護間隙帶來的威脅和安全防護引發(fā)的資源爭用等。

云桌面的系統(tǒng)風險

從云桌面的系統(tǒng)角度來看，客戶端、傳輸網絡、服務器端、存儲端等各個方面，都會產生安全風險。忽略任何一個細節(jié)都會導致整個系統(tǒng)的信息漏洞。

客戶端：在虛擬云桌面的應用環(huán)境中，只要有訪問權限，任何智能終端都可以訪問云端的桌面環(huán)境。如果使用單純的用戶名密碼作為身份認證，那么一旦泄露就意味著對方可以在任何位置訪問你的桌面系統(tǒng)，并獲取相關數(shù)據。這就要求有更加嚴格的終端身份認證機制。

目前比較好的解決方案有 Ukey 準入認證。它作為云平臺的安全接入認證不僅能夠提高云平臺的安全性，也能夠使 Ukey 發(fā)揮最大效能，充分利用 Ukey 高可靠性的特點實現(xiàn)對云計算資源的保護，防止無授權用戶的非法操作。

對于遠程用戶，可以采用 Ukey 認證與 SSL VPN 技術相結合的方式，提供一種安全通信服務。

還有就是通過 MAC 地址對于允許訪問云端的客戶端進行一個范圍限定也是不錯的辦法。雖然犧牲了一定靈活性，但這種方式可以大幅提升客戶端的可控性。

傳輸網絡：絕大部分企業(yè)級用戶都會為遠程接入設備提供安全連接點，供在防火墻保護以外的設備遠程接入，但是并非所有的智能終端都支持相應的 VPN 技術。智能手機等設備一般可采用專業(yè)安全廠商提供的定制化 VPN 方案。

企業(yè)內部的終端和云端的通訊可以通過 SSL VPN 協(xié)議進行傳輸加密，確保整體傳輸過程中的安全性。

服務器端：在虛擬桌面的整體方案架構中，后臺服務器端架構通常會采用橫向擴展的方式。好處是一方面通過增強冗余提升了系統(tǒng)的高可用性；另一方面可以根據用戶數(shù)量逐步增加計算能力。

在大并發(fā)的使用環(huán)境下，系統(tǒng)前端會使用負載均衡器，將用戶的連接請求發(fā)送給當前仍有剩余計算能力的服務器處理。但是這種架構很容易遭到分布式拒絕攻擊，因此需要在前端的負載均衡器上配置安全控制組件，或者在防火墻的后端設置安全網關進行身份鑒定授權。

存儲端：采用虛擬桌面方案之后，所有的信息都會存儲在后臺的磁盤陣列中，為了滿足文件系統(tǒng)的訪問需要，一般會采用 NAS 架構的存儲系統(tǒng)。這種方式的優(yōu)勢是企業(yè)只需要考慮保護后端磁盤陣列的信息防泄漏，使得原本前端客戶端可能引起的主動式信息泄密幾率大為減少。

但是，這種集中式的信息存儲方式還是存在隱患的。比如系統(tǒng)管理員，或者是具有管理員權限的非法用戶可以使用超級用戶權限打開所有用戶目錄，獲取數(shù)據的權限。

一般可以采用專業(yè)的加密設備進行加密存儲并且加密算法可以由前端用戶指定。同時，在數(shù)據管理上考慮采用三權分立的措施，即需要系統(tǒng)管理員、數(shù)據外發(fā)審核員和數(shù)據所有人同時確認也能夠允許信息的發(fā)送。這樣可以實現(xiàn)主動防泄密。

此外，還需要通過審計方式確保所有操作的可追溯性。

二、網絡層如何進行動態(tài)安全防護

云計算的大規(guī)模運營給傳統(tǒng)網絡架構和應用部署帶來了挑戰(zhàn)，不論是技術革新還是架構變化，都需要服務于云計算的核心要求，即動態(tài)、彈性、靈活，并實現(xiàn)網絡部署的簡捷化。

??

傳統(tǒng)網絡面臨的挑戰(zhàn)

傳統(tǒng)網絡面臨的挑戰(zhàn)，主要有四點：

1、服務器的利用率從20%提高到80%，服務器端口流量大幅提升，對數(shù)據中心網絡承載性能提出巨大挑戰(zhàn)，對網絡可靠性要求也更高。

2、多種應用部署在同一臺物理服務器上運行，使網絡流量在同一臺物理服務器上產生疊加，流量模型更加不可控。

3、服務器虛擬化技術的應用必然伴隨著虛擬機的遷移，這種遷移需要一個高效的網絡環(huán)境來保障。

4、虛擬機的部署和遷移，使得安全策略的部署變得復雜和無助，需要一個動態(tài)的機制來對數(shù)據中心進行防護。

私有云從兩個方面解決上述問題：

（在企業(yè)私有云環(huán)境下，融合了多業(yè)務和多租戶資源池環(huán)境，業(yè)務之間和租戶之間的安全隔離成為云平臺建設必須要解決的問題。）

1、東西向安全

與傳統(tǒng)的網絡架構相比，私有云數(shù)據中心網絡流量模型逐步由東西向流量取代南北向流量，多業(yè)務和多租戶隔離一方面需要考慮隔離方案的可維護性，另一方面需要考慮網絡能力的橫向可擴展性。

目前，大部分資源池的安全隔離仍然采用物理防火墻作為東西向和南北向隔離方案，但物理防火墻在扁平化數(shù)據中心網絡中存在結構性瓶頸，限制了網絡的橫向擴展能力。

這里可以考慮采用分布式虛擬防火墻對業(yè)務和租戶之間的橫向流量進行隔離，南北向流量隔離利用 NFV 防火墻實現(xiàn)，通過 SDN Controller 向 DFW (分布式虛擬防火墻)自動下發(fā)定制的策略，實現(xiàn)業(yè)務和租戶之間安全隔離。

分布式虛擬防火墻的性能是我們目前主要關注的問題，隨著流量規(guī)模的增長，我們會根據情況考慮虛擬防火墻和物理防火墻相結合部署的架構。

2、南北向安全

NFV (網絡功能虛擬化)，通過軟硬件解耦及功能抽象，使網絡設備功能不再依賴于專用硬件，資源可以充分靈活共享，實現(xiàn)新業(yè)務的快速開發(fā)和部署，并基于實際業(yè)務需求進行自動部署、彈性伸縮、故障隔離和自愈等。

常用的 NFV 組件有 vFW、vLB、vSwitch 等，下面以 vFW、vLB 為例，對 IT 云平臺 NFV 的部署運用進行簡單介紹。

●利用 vFW (虛擬防火墻)實現(xiàn)南北向安全防護

南北向流量主要是客戶端到服務器之間的業(yè)務流量，這類流量需要進出資源池，安全隔離的邊界在資源池出口處，在此位置可以部署物理防火墻，也可以部署 NFV 防火墻集群，用于對整個資源池與外部網絡的安全隔離。

●利用 vLB (虛擬負載均衡)實現(xiàn)業(yè)務負載按需開通

通過部署虛擬負載均衡器，統(tǒng)一為多個租戶提供負載均衡服務。虛擬負載均衡目前可支持各類TCP應用，如FTP、HTTP、HTTPS等，支持豐富的負載分發(fā)算法和會話保持方式。

隨著業(yè)務量的增長，還可以為每個業(yè)務或租戶單獨部署一套虛擬負載均衡設備，提高負載均衡的可管理能力和擴展能力。

三、私有云如何保證每層的安全

從不同角度能看到安全的不同層面。如果從私有云安全規(guī)劃角度看，有四個層面需要注意：

邊界防護：它是私有云安全防護的底線；

基礎防護：它是與私有云建設過程同步開展的階段，需要構建云安全管理系統(tǒng)；

增強防護：隨著云安全技術逐漸成熟，需要增強和完善云安全服務，加密認證等；

云化防護：面向 SaaS 等更復雜的云計算模式，需要引入云安全訪問代理等新技術，結合業(yè)務實現(xiàn)防護。

??

對于各層次的防護，重點考慮的方向和手段有：

在邊界防護上，基于 SDN 技術構建“流網絡層”，提升“東西向”的隔離顆粒度與強度，以及加強云內流量監(jiān)控；

在基礎防護上，構建云安全管理系統(tǒng)，增強各種安全加固技術在私有云底層平臺的應用，特別是通過安全手段固化底層行為；

在增強防護上，提供比如加密認證、安全掃描服務，定期對所有的云主機進行安全掃描，及時發(fā)現(xiàn)安全漏洞，還有防護DNS型的攻擊，防 DDoS 攻擊，自動化抵御 SYNFLOOD、UDPFLOOD 等常見攻擊，有效保障用戶業(yè)務的正常運作；

在云化防護上，面向業(yè)務操作與業(yè)務數(shù)據的云安全代理機制等，引入云安全相關的新技術，結合業(yè)務實現(xiàn)防護。

四、私有云的存儲安全

下面重點說下存儲方面的安全，主要包括四點：

1、資源隔離和訪問控制

在私有云環(huán)境下，企業(yè)在使用應用時，不需要關心數(shù)據實際存儲的位置，只需要將數(shù)據提交給虛擬卷或虛擬磁盤，由虛擬化管理軟件將數(shù)據分配在不同的物理介質。這就可能導致不同保密要求的資源存在于同一個物理存儲介質上，安全保密需求低的應用/主機有可能越權訪問敏感資源或者高安全保密應用/主機的信息。

為了避免這種情況的發(fā)生，虛擬化管理軟件應采用多種訪問控制管理手段對存儲資源進行隔離和訪問控制，保證只有授權的主機/應用能訪問授權的資源，未經授權的主機/應用不能訪問，甚至不能看到其他存儲資源的存在。

2、數(shù)據加密保護

在各類安全技術中，加密技術是最常見也是最基礎的安全防護手段，在私有云環(huán)境下，數(shù)據的加密保護仍然是數(shù)據保護的最后一道防線，對數(shù)據的加密存在于數(shù)據的傳輸過程中和存儲過程中。

對數(shù)據傳輸過程中的加密保護能保護數(shù)據的完整性、機密性和可用性，防止數(shù)據被非法截獲、篡改和丟失。

針對不同虛擬化對象的特點，企業(yè)應采用不同的傳輸加密方式。如對 IP SAN 網絡，可以采用 IPSec Encryption ( IPSec 加密)或 SSL 加密功能防止數(shù)據被竊聽，確保信息的保密性，采用 IPSec 摘要和防回復的功能防止信息被篡改，保證信息的完整性。

對數(shù)據存儲的加密能實現(xiàn)數(shù)據的機密性、完整性和可用性，還能防止數(shù)據所在存儲介質意外丟失或者不可控的情況下數(shù)據自身的安全。對數(shù)據存儲的保護一般在主機端完成，通常由應用系統(tǒng)先對數(shù)據進行加密，然后再傳輸?shù)酱鎯W絡中。

但是由于不同應用采用加密算法的多樣性導致加密強度的不一致，不利于數(shù)據存儲安全的統(tǒng)一防護。為了解決這個問題，IEEE 安全數(shù)據存儲協(xié)會提出了 P1619 安全標準體系，這個體系制定了對存儲介質上的數(shù)據進行加密的通用標準，使得各廠家生產的存儲設備具有很好的兼容性。

對數(shù)據進行存儲保護的另一種思路是在存儲設備之前串接一個硬件加密裝置，對所有流入存儲網絡的數(shù)據進行加密后，將密文提交給存儲設備。對所有流出存儲設備的數(shù)據進行解密后將明文提交給服務器；這種加密方式與上面提到的采用 P1619 的解決方案類似，但這里的加密是由外部加密裝置完成，而不是集成在存儲網絡中。這種解決思路與上層應用和存儲無關，但在數(shù)據量大的情況下，對硬件加密裝置的加解密性能和處理能力要求比較高。

對數(shù)據加密保護的第三種解決辦法是依靠存儲設備自身的加密功能，如基于磁帶機的數(shù)據加密技術，通過在磁帶機上對數(shù)據進行加密，使數(shù)據得到保護。目前可信計算機組織( TCG，Trusted Computing Group )也已提出了針對硬盤的自加密標準，將加密單元放置在硬盤中，對數(shù)據進行保護。

自加密硬盤提供用戶認證密鑰，由認證密鑰保護加密密鑰，通過加密密鑰保護硬盤數(shù)據。認證密鑰是用戶訪問硬盤的惟一憑證，只有通過認證后才能解鎖硬盤并解密加密密鑰，最終訪問硬盤數(shù)據。

3、基于存儲的分布式入侵檢測系統(tǒng)

基于存儲的入侵檢測系統(tǒng)嵌入在存儲系統(tǒng)中，如 SAN 的光纖交換機、磁盤陣列控制器或 HBA 卡等設備中，能對存儲設備的所有讀寫操作進行抓取、統(tǒng)計和分析，對可疑行為進行報警。

由于基于存儲的入侵檢測系統(tǒng)是運行在存儲系統(tǒng)之上，擁有獨立的硬件和獨立的操作系統(tǒng)，與主機獨立，所以它能夠在主機被入侵后繼續(xù)對存儲介質上的信息提供保護。

在存儲虛擬化網絡中，企業(yè)應在系統(tǒng)的關鍵路徑上部署基于存儲的入侵檢測系統(tǒng)，建立全網統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測策略，實現(xiàn)特征庫的實時更新和報警事件及時響應。

4、數(shù)據刪除或銷毀

數(shù)據的徹底刪除也是必須考慮的問題。由于數(shù)據存放的物理位置是位于多個異構存儲系統(tǒng)之上，對于應用而言，并不了解數(shù)據的具體存放位置，而普通的文件刪除操作并不是真正刪除文件，只是刪掉了索引文件的入口。

因此，在應用存儲虛擬化技術之后，虛擬化管理軟件應將安全保密需求相同的文件在物理存儲上分配在同一塊或多塊磁盤上。在刪除文件時，為了徹底清除這些磁盤上的敏感信息，將該磁盤或多塊磁盤的文件所有位置同時進行物理寫覆蓋。對于安全保密需求高的場合，還應采用消磁的方式來進行徹底銷毀。

五、結語

安全問題仍然是阻礙企業(yè)全面部署應用云平臺的最大障礙。如何有效控制訪問權限和整體安全管理機制，如何對數(shù)據進一步劃分等級，實時安全操作和監(jiān)控，如何更有效地管控外部攻擊威脅帶來的風險，都需要深入開展研究，才能更有效地提高云計算平臺的安全，為云計算在企業(yè)中的廣泛應用提供更安全的保障。

【編輯推薦】

1. ??對話天風證券徐坤：不只是在證券領域 區(qū)塊鏈落地潛力不容小覷??
2. ??【智能制造】三分鐘讓你了解什么是柔性制造??
3. ??報告：AI成最吸引人的創(chuàng)業(yè)領域 醫(yī)療和大數(shù)據次之??
4. ??“大數(shù)據殺熟”的套路都在這里了??
5. ??信息的跨平臺共享，醫(yī)療行業(yè)兩大區(qū)塊鏈應用場景??

??