企業私有云架構的安全挑戰、安全設計和安全運營 | 最佳實踐

概述

云計算被稱為是繼個人PC、互聯網之后的第三次信息化革命，不僅實現了IT技術的革新，更是IT商業模式和服務模式的一次重大變革。越來越多的商業活動幾乎都采用云計算技術作為后臺支撐，實現按需服務，按需計費。

我國對云計算的產業高度重視，已把云計算產業的發展提到了國家戰略的高度，在十二五規劃中將云計算列入重點扶植的戰略新興產業。通過云計算技術縮小中小企業和大企業的IT應用差距，讓每個人能以極低的成本獲得頂尖的信息技術和服務。

隨著云計算市場規模的不斷擴大，應用場景涉及到個人數據存儲、企業數據及應用支撐、國家公共基礎設施支撐等多個領域，云安全自然已成為業界關注的焦點。

云計算從部署場景分為公有云、私有云和混合云，本文將重點介紹在企業私有云建設過程中，云安全該如何考慮？什么時候考慮？

什么是信息安全？

對于什么是信息安全的概念，不同的人可能解釋也不同。ISO/IEC、美國國家安全系統委員會和國際信息系統審計協會三家對信息安全的定義大同小異，其目標一致，都指出保障信息安全的最重要目的是保護信息的機密性、完整性和可用性。

定義概述為“為了保障機密性、完整性和可用性而保護信息和信息系統，以防止授權的訪問、使用、泄露、中斷、修改或者破壞”。

機密性：

簡而言之，信息僅能夠被授權的個人、組織、系統或流程訪問，不應該被任何其他非授權行為獲取。例如銀行賬戶的交易流水和余額的信息，除賬戶持有人或經賬戶持有人授權的主體可以看到以外，其他人或組織不得查詢或獲取。

完整性：

簡而言之，就是確保信息的一致性、準確性和可信賴性，不允許信息被篡改。例如用戶通過銀行網頁提交個人信息為開通賬戶。數據是通過網頁形式提交的，銀行要通過某種措施，進行數據的校驗，確保用戶提交的信息和最終存儲的信息的準確性。

可用性：

簡而言之，就是業務連續性的體現，確保用戶可以隨時獲得已授權的信息。例如銀行要隨時確保用戶可以通過ATM、網銀、柜臺、移動終端等多種方式進行金融服務。

在考慮信息安全的時候，一定要把保障信息安全的三大屬性作為重要的目標，從而建立完善和有效的保護措施，確保業務的可持續性和數據的安全性，更多信息安全方面的概念及介紹可以參考《淺談企業信息安全架構之縱深防御模型》。

私有云前世今生

云計算可不像西游記中的孫猴子一樣，從石頭縫中一下子蹦出來。它是經過了16年的技術發展與業務需求而形成的。16年前，那個時期的計算機又笨重又昂貴，根本談不上普及。之后隨著芯片技術和軟件計算的發展，體型越來越小，速度越來越快，價格逐漸親民。各個企業可以購買符合業務性能需求的物理機，放到數據中心進行集中式的計算，這就形成了最原始的傳統數據中心模型。

隨著業務的快速增長，IT需求強烈，采購傳統物理機需求暴增，成本逐年提高。但從運維角度發現，大量服務器的性能并未被全部使用，造成嚴重的資源浪費。為解決此問題，雛形的云計算基礎形成，也就是虛擬化技術。將一臺物理機邏輯分隔成多個虛擬機，每個虛擬機相互隔離，提供不同的業務服務。

虛擬化解決了資源浪費的問題，但在服務的提供和使用上，與物理機類似，依然存在資源超配的現象。隨著需求精細化、資源可視化的需求，云計算誕生了。根據需要的計算、存儲、網絡等資源實現按需付費。人們使用資源時不再需要擁有自己的計算系統，就像使用水、電一樣，不需要自己建立發電站和水廠。

云計算從部署場景又分為公有云、私有云和混合云：

私有云：

顧名思義，是為一個個人、組織、公司提供專有資源的云計算平臺。自建基礎設施，并控制在此基礎設施上部署應用程序的方式。提供對數據、安全性和服務質量的最有效控制。私有云可部署在企業數據中心的防火墻內，也可以部署在一個安全的主機托管場所，私有云的核心屬性是專有資源。

公有云：

一般是指第三方提供商，如AWS、阿里、騰訊等公有云廠商，為用戶提供服務的云。通過互聯網，提供免費或成本低廉的服務，公有云的核心屬性是共享資源服務。

混合云：

就是融合了私有云和公有云服務模型，來提供云計算解決方案。混合云服務將內部IT基礎架構與其他公有云產品和服務集成在一起，以滿足企業的特定和獨特需求。

圖1-云計算發展進程

云架構與傳統架構的區別？

云架構和傳統架構如果不說一下，很可能會讓讀者混淆。其實云計算最大的好處就是便利，用戶按需索取，服務商按需提供。

傳統IT架構較為封閉，計算、存儲、網絡相對集中，管理分化，各個資源相對獨立。

傳統架構的特點：

物理資源相對獨立，如計算、網絡、存儲等設備；

存儲架構集中，普遍采用集中式存儲；

數據集中存儲，可靠性問題明顯；

性能主要集中在單機處理能力，無聯動機制；

資源彈性擴展能力受限；

自動化運維方式欠缺，運維人員多。

首先要了解，云計算架構主要是為了解決業務擴展性和高并發的需求。從架構劃分，可以分為基礎設施層【IAAS】、平臺層【PAAS】和軟件服務【SAAS】三個層。

圖2-云計算服務模型

IAAS：

Infrastructure as a service【基礎設施即服務】，包括服務器、網絡、存儲等設備，池化計算、網絡和存儲等IT基礎設施資源，將基礎設施資源作為服務，按需提供給用戶。用戶無需購買任何硬件即可使用基礎設施資源。

PAAS:

Platform as a Service【平臺即服務】，是指將一個完整的軟件研發和部署平臺，包括應用設計、應用開發、應用測試和應用托管，都作為一種服務提供給客戶。在這種服務模式中，客戶不需要購買硬件和軟件，只需要利用PaaS平臺，按需索取，就能創建、測試和部署應用和服務。

SAAS：

Software as a service【軟件即服務】，是一種通過互聯網提供軟件服務的軟件應用模式。在這種模式下，用戶不需要再花費大量投資用于硬件、軟件和開發團隊的建設，只需要支付一定的租賃費用，就可以通過互聯網享受到相應的服務，而且整個系統的維護也由廠商負責，如Gmail、網盤、QQ郵箱等應用。

云計算架構的特點：

分布式架構、靈活擴展；

海量資源，按需分配；

資源動態分布，無物理限制；

性能彈性，動態調整；

分布式存儲，數據高可用；

運維自動化程度高。

圖3-云計算維護模型

私有云架構面臨的安全挑戰與防御措施

隨著私有云在不同行業、企業普及率越來越高，規劃快速擴大，已經成為企業核心平臺之一。私有云上的系統的數據與信息安全將依賴于私有云計算平臺所提供的保密性和安全性。一旦云平臺安全受到威脅并被利用，無疑給云上應用造成了重大威脅。

所以隨著云計算市場規模的擴張，也給云計算平臺的安全帶來了前所未有的挑戰。

私有云架構面臨的安全挑戰

本文主要從技術安全挑戰和管理安全挑戰兩個方面對私有云架構面臨的風險進行闡述。

技術安全挑戰：

網絡數據流在虛擬機之間傳輸時，IT人員對敏感信息、高級惡意軟件的監視及控制能力被削弱；

私有云對傳統網絡架構的靈活度和帶寬要求較高；

私有云存儲中的數據面臨資源隔離、加密保護、入侵檢測、數據銷毀等問題；

漏洞頻發，主機間遷移能力升級過程中對業務有影響。

管理安全挑戰：

私有云平臺管理無平臺化支撐，需要借助統一的管理平臺對計算、網絡、存儲等資源進行實時查看；

私有云平臺自動化管理能力亟待提高，使自服務基礎設施成為可能；

私有云平臺要集成供應和編排引擎；

混合云作為未來的云趨勢，在私有云平臺建設過程中要考慮混合云模型過渡。

私有云架構的安全防御措施

私有云從整個架構來說與傳統環境沒有本質性區別，所以從安全角度來說，面臨的安全問題和傳統環境面臨的安全問題無異。與以往操作系統面臨的七層安全問題一樣，在私有云情況下依然面臨同樣的安全問題。但由于私有云資源【計算、網絡、存儲】為集中管控，所以從安全角度來說容易管控，不像以往的分散管控。

繼承傳統安全問題的同時，私有云還有哪些新的防護模式要部署？同樣我們依然遵守微軟的STRIDE威脅分析模型進行分析和出具防御措施。

STRIDE威脅分析模型是微軟提出的一套安全設計方法論，六個字母代表六種安全威脅，分別是：

身份假冒（Spoofing）：

身份假冒，即偽裝成某對象或某人。例如，通過偽裝成別人的身份進行操作。

篡改（Tampering）：

篡改，即未經授權的情況下，修改數據或者代碼。例如，非授權人員通過網絡抓包或者

某種途徑修改某個請求包，使得篡改的請求包提交成功。

抵賴（Repudiation）：

抵賴，即拒絕執行他人無法證實也無法反對的行為而產生抵賴。例如，A攻擊了某個產品，產品方并不知道是A做的，沒有證據證明是A做的，A就可以進行抵賴。

信息泄露（Information Disclosure）:

信息泄露，即將信息暴露給未授權用戶。例如，通過某種途徑獲取未經加密的敏感信息。

拒絕服務（DenialofService）：

拒絕服務，即拒絕或降低有效用戶的服務級別。例如，通過拒絕服務攻擊，使得其他正常用戶無法使用產品的相關服務功能。

特權提升（Elevation of Privilege）：

特權提升，即通過非授權方式獲得更高權限。例如，試圖用管理員的權限進行業務操作。

圖4-STRIDE威脅分析模型（摘自互聯網）

微軟的全系產品都是基于它進行安全考慮與設計。STRIDE模型幾乎是可以涵蓋現在世界上絕大部分的安全問題。

但這些威脅根據其性質，基本上可以歸結為以下幾個方面：

信息泄露：被保護的信息被無意或有意的泄露；

破壞信息的完整性：被保護的數據被非法篡改或破壞；

拒絕服務：非法阻止合法信息使用者對信息服務的訪問；

非授權訪問：受保護資源被非授權個人或組織進行使用；

竊聽：利用用各種可能的非法的手段竊取系統中受保護的信息資源和敏感信息；

假冒：通過欺騙通信系統或用戶，達到非法用戶冒充成為合法用戶，或者特權小的用戶冒充成為特權大的用戶的目的。黑客攻擊往往采用此方式，偽裝欺騙用戶，達到目的；

漏洞攻擊：攻擊者利用系統的安全缺陷或漏洞獲得非法的權限；

內部攻擊：被授權以某一目的使用某一系統或資源的某個人，卻將此權限用于其他非授權的目的；

抵賴：通常為內部攻擊的分支，攻擊者否認自己曾經發布過的某條消息；

計算機病毒：一種在計算機系統運行過程中能夠實現傳染和侵害功能的程序；

法律法規不完善：由于信息安全法規法律方面的不完善，給信息竊取、信息破壞者以可趁之機。

私有云的安全方面，建議從以下幾個層次去考慮：

終端層（用戶層）

終端層也稱為用戶層，主要是要確保用戶訪問云資源時，處于一個安全的終端環境；

應用層

為云平臺承載的發布業務，確保發布的應用實現通信加密、數據脫敏及訪問控制等；

數據層

確保云上數據，包括用戶數據、系統數據及平臺數據【VM】，處于加密狀態，可用狀態；

系統層

確保云上系統，包括云平臺、云宿主和VM處于安全狀態，漏洞及時更新；

網絡層

網絡作為云平臺的血脈至關重要，要確保網絡通路的順暢及通信加密；

基礎設施層

高可用的基礎設施架構，是確保業務連續性的前提條件；

運維層

云平臺內各種資源的訪問控制應及時進行安全審計，確保操作可控、運維透明。

私有云架構安全設計實踐

通過上文了解了什么是私有云以及信息安全的威脅源，本章主要介紹如何通過之前文章介紹的縱深防御模型（《淺談企業信息安全架構之縱深防御模型》），分層次的精準部署安全策略，做到有的放矢，對私有云進行保護，提升云平臺安全威脅防御能力。

安全的原則

通過信息安全業界專家和學者的多年研究，總結出10個最關鍵且有效的安全原則，分別是：

縱深防御；

運用戴明環模型；

最小權限；

白名單機制；

失敗安全；

避免通過隱藏功能實現安全；

入侵檢測；

不信任第三方系統；

默認安全配置；

業務隔離

這10個基本原則，基本保證了業務的基本信息安全要求，每個原則具體的含義可以參考之前我在TWT發表的《淺談企業信息安全架構之縱深防御模型》。

架構設計

圖5-安全防御示意圖

以下是各個層級常用的一些安全防御技術分享，通過每層的安全加固，實現云平臺整體的安全。

終端層（用戶層）：

用戶的桌面環境可能是Windows，也可能是Linux，但是無論哪種操作系統，都應該至少做到以下幾點，盡可能確保終端環境的安裝：

1、安裝殺毒軟件，病毒庫更新到最新；

2、定期更新系統漏洞，確保系統自身相對安全；

3、避免安裝未授權軟件及禁止訪問未知網站；

4、禁止安裝不明插件。

應用層：

1、應用門戶應部署SSL數字證書，實現通信加密，防止數據傳輸過程中被竊取；

2、租戶間進行邏輯隔離，進行訪問控制；

3、建立應用審計機制，對應用訪問進行審計；

4、加固應用自身架構，減少應用自身漏洞。

數據層：

1、建立數據庫審計機制，對關鍵行為進行阻止與告警；

2、核心數據進行加密存儲，私鑰異地保存；

3、建立系統備份機制，對核心數據進行異地備份；

4、底層不同租戶數據邏輯隔離存儲，防止數據共享。

系統層：

1、統一身份認證，授權訪問；

2、部署堡壘機，實現精準授權運維；

3、開啟系統防火墻，授權流量訪問；

4、部署補丁管理系統，針對安全和關鍵補丁進行下發；

5、部署虛擬機微隔離機制，實現東西向VM隔離；

6、宿主機安裝殺毒軟件，防止發生虛機溢出。

網絡層：

1、互聯網區部署ADS【抗拒絕攻擊】WAF【應用防火墻】IPS【入侵防御】IDS【入侵檢測】；

2、部署下一代防火墻，阻止南北流向的非法訪問及病毒流量；

3、建立負載均衡機制，對大流量進行分流；

4、建立態勢感知平臺，對南北、東西威脅進行預警、追蹤及分析。

基礎設施層：

1、租賃或自建符合國家數據中心機房建設B級標準或以上的機房，確保風、火、水、電等基礎設施高可用；

2、計算資源、網絡資源及存儲資源均采用高可用部署機制；

3、建立訪問控制體系，拒絕非授權訪問；

4、有條件的企業可以建立多云災備機制。

運維層：

1、基于ITIL，建立運維體系流程，如：變更流程、應用上下線流程、VM生命周期管理管理等；

2、建立私有云安全風險應急機制，應對突發事件發生；

3、建立一支經驗豐富的云運維團隊，提供技術支持。

私有云安全運營

一個完整的私有云防御離不開技術與管理，正所謂“三分技術，七分管理”。要保障云平臺安全，除了有必要的技術手段支持以外，還要考慮組織和管理的因素，也就是人、流程與制度的因素。

告警機制

做運維的都知道，監控系統就如一雙眼睛，可以7*24小時看護系統的運行狀態，你累它不累，你困它不困，你休息它不休息。一個好的告警機制，可以在隱患發生前告訴管理員，化解風險。

私有云作為資源集中管控的一個平臺，告警機制的建立就尤為重要，監控指標更是多不勝數。涉及IT基礎設施層、資源層、平臺控制層、應用層及網路鏈路。主要分為以下幾個維度：

系統資源監控：

主要是對計算系統、存儲系統及網絡系統的CPUMEM硬盤等核心參數進行監控，避免因為高負載，造成VM的頻繁遷移甚至宕機。

平臺利用率監控：

監控私有云平臺內VM的分布情況，對于分布不均勻的區塊進行調整。

訪問控制監控：

監控未授權的訪問以及暴力破解事件，如平臺訪問、系統訪問等。

網絡質量監控：

監控平臺虛擬機、宿主機間的網絡流量，避免大流量的產生。監控用戶到平臺的鏈路狀態。

安全風險監控：

監控云平臺周邊安全設備的狀態和安全事件，如ADSWAFIPS產生的告警日志，及時收集與分析。

流程化管控

正所謂“制度管人，流程管事”。基于流程化管理，私有云運營團隊可以根據不同的安全事件、安全請求、系統變更進行快速響應和精確處理。量化安全事件和安全處理情況，為精細化運營提供佐證。

自動化

私有云平臺是各種資源的集中體現，無論計算節點、存儲節點還是網絡節點都會隨著業務的發展進行不斷的擴容。從初期的幾個節點發展到龐大的數據中心，單靠人工已經無法滿足在技術、業務、管理等方面的要求。同時考慮運維成本的增加，自動化運維是必經之路。

提高運維人員主動意識、提高運維手段；

形成一套高效的IT運維機制；

利用高效的IT運維技術工具，提高運維效率。

結束語

信息安全防御措施必須滲透到系統的每個環節，通過信息安全管理以確保私有云平臺的系統安全。

私有云的安全與傳統架構安全無異，只是需要投入更多的精力，更細化的安全策略。企業在規劃私有云平臺的架構時，建議融入安全因素，參考信息安全縱深防御模型，從多個層次對私有云平臺進行保駕護航，確保整體云平臺正常提供云服務。

云計算 虛擬化

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。