中國電信云計(jì)算業(yè)務(wù)平臺(tái)安全建設(shè)淺析

李 洪，渠 凱，伍思源，周文紅

（中國電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部 北京100032）

1 引言

云計(jì)算為電信運(yùn)營商帶來了良好機(jī)遇，為實(shí)現(xiàn)精細(xì)化運(yùn)營、推進(jìn)轉(zhuǎn)型深化提供了利器，作為承載中國電信集團(tuán)公司增值業(yè)務(wù)的業(yè)務(wù)平臺(tái)系統(tǒng)逐步遷移到云計(jì)算環(huán)境，也將是今后發(fā)展的趨勢。

安全性是客戶選擇云計(jì)算時(shí)的首要考慮因素之一，也是在建設(shè)云計(jì)算業(yè)務(wù)平臺(tái)時(shí)所要重點(diǎn)考慮的關(guān)鍵問題。本文首先分析了在遷移到云計(jì)算環(huán)境后新增的安全問題，進(jìn)一步提出了云計(jì)算業(yè)務(wù)平臺(tái)的安全防護(hù)體系和部署方案建議。

2 云計(jì)算業(yè)務(wù)平臺(tái)的安全重點(diǎn)

2.1 云計(jì)算業(yè)務(wù)平臺(tái)新增的安全問題

當(dāng)業(yè)務(wù)平臺(tái)遷移到云計(jì)算環(huán)境后，由于虛擬化技術(shù)的引入，原本運(yùn)行在物理服務(wù)器上的業(yè)務(wù)系統(tǒng)轉(zhuǎn)而運(yùn)行到虛擬機(jī)上，因此出現(xiàn)了新的安全需求和問題。云計(jì)算業(yè)務(wù)平臺(tái)和傳統(tǒng)業(yè)務(wù)平臺(tái)相比，新增的安全問題主要包括以下幾個(gè)方面。

·主機(jī)層安全：基于以虛擬化技術(shù)為核心的云資源池，使得主機(jī)層安全需要重新考慮。一方面要考慮運(yùn)行在虛擬機(jī)之上的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等的安全問題，同時(shí)還要考慮虛擬機(jī)管理程序（VMM）的安全問題。

·網(wǎng)絡(luò)層安全：虛擬化技術(shù)的引入使得傳統(tǒng)的基于物理服務(wù)器為單元?jiǎng)澐志W(wǎng)絡(luò)安全域的方法發(fā)生了改變，與傳統(tǒng)的基于安全域隔離的模型不同，云計(jì)算模型不再有物理機(jī)的隔離，測試虛擬機(jī)可能與生產(chǎn)虛擬機(jī)在同一臺(tái)物理機(jī)上，相應(yīng)的網(wǎng)絡(luò)隔離也不再存在。

·數(shù)據(jù)層安全：在虛擬化環(huán)境下，由于云計(jì)算平臺(tái)的多租戶特性，數(shù)據(jù)安全將更為復(fù)雜，需要考慮虛擬環(huán)境的用戶數(shù)據(jù)隔離、鏡像文件存儲(chǔ)、殘留數(shù)據(jù)處理等安全問題。

2.2 云計(jì)算業(yè)務(wù)平臺(tái)安全框架

基于上述對于云計(jì)算業(yè)務(wù)平臺(tái)的新增安全問題的分析，設(shè)計(jì)的遷移到云計(jì)算平臺(tái)后的業(yè)務(wù)平臺(tái)系統(tǒng)安全體系架構(gòu)如圖1所示。

云計(jì)算業(yè)務(wù)系統(tǒng)重點(diǎn)需要考慮的安全問題主要包括以下內(nèi)容。

·網(wǎng)絡(luò)層安全：除傳統(tǒng)的安全問題之外，需重點(diǎn)考慮虛擬安全域的問題，包括虛擬安全域劃分方式、虛擬安全域訪問控制以及相應(yīng)的虛擬防火墻部署和配置等。

·主機(jī)層安全：主要分為虛擬機(jī)管理程序（VMM）安全和用戶虛擬機(jī)（Guest OS）安全兩個(gè)層面的問題。VMM安全是云計(jì)算系統(tǒng)新增的安全問題，主要包括VMM安全漏洞檢測、VMM用戶身份鑒別、VMM物理和網(wǎng)絡(luò)訪問控制、VMM安全審計(jì)等問題。Guest OS安全與傳統(tǒng)的主機(jī)安全需求基本一致。

·數(shù)據(jù)層安全：除了傳統(tǒng)業(yè)務(wù)平臺(tái)的機(jī)密數(shù)據(jù)保護(hù)和數(shù)據(jù)備份恢復(fù)之外，還需要重點(diǎn)考慮虛擬環(huán)境下的用戶數(shù)據(jù)隔離、用戶鏡像文件保護(hù)、殘余數(shù)據(jù)的銷毀和處理等問題。

·物理安全、應(yīng)用安全、安全管理方面與傳統(tǒng)的業(yè)務(wù)平臺(tái)安全需求基本相同。

3 云計(jì)算業(yè)務(wù)平臺(tái)安全防護(hù)體系建設(shè)方案建議

3.1 云計(jì)算網(wǎng)絡(luò)安全防護(hù)體系建設(shè)重點(diǎn)

3.1.1 網(wǎng)絡(luò)安全防護(hù)體系建設(shè)整體思路

網(wǎng)絡(luò)架構(gòu)建議采用云中心（cloud center）架構(gòu)，可以將傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)和基礎(chǔ)設(shè)施平滑地轉(zhuǎn)移到云中。網(wǎng)絡(luò)安全防護(hù)建設(shè)的重點(diǎn)是分區(qū)規(guī)劃和分層部署。

分區(qū)規(guī)劃就是以VLAN為基礎(chǔ)，按照不同業(yè)務(wù)需求和安全需求劃分安全域，此部分與傳統(tǒng)安全防護(hù)手段基本相同，本文中將不再贅述。

分層部署是在每個(gè)區(qū)域的邊界處，根據(jù)實(shí)際情況進(jìn)行相應(yīng)的安全需求部署，包括防DDoS（distributed denial of service,分布式拒絕服務(wù)）攻擊、虛擬防火墻、流量分析與控制、VPN、入侵防御以及負(fù)載均衡等需求?？紤]到云計(jì)算的特點(diǎn)，在分層部署時(shí)應(yīng)重點(diǎn)考慮虛擬防火墻和抗DDoS攻擊設(shè)備的策略配置以及邊界安全設(shè)備的性能指標(biāo)、可靠性和擴(kuò)展性。

虛擬防火墻技術(shù)是實(shí)現(xiàn)云計(jì)算中心的安全域邊界防護(hù)的重要手段。所謂虛擬防火墻就是在一臺(tái)物理防火墻上虛擬出多臺(tái)邏輯上的防火墻，具有各自的管理員，并可以根據(jù)需要配置出完全不同的安全策略，各虛擬防火墻的安全策略互不影響。虛擬防火墻支持VPN實(shí)例綁定和VLAN實(shí)例綁定，提供相互隔離的安全服務(wù)，具備私有的區(qū)域、ACL（access control list，訪問控制列表）規(guī)則組和NAT（network address translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）地址池，并且能夠?qū)⒔壎ń涌诩尤胨接袇^(qū)域。同時(shí)由于虛擬防火墻功能可將資源分別獨(dú)立分配給各個(gè)虛擬的系統(tǒng)，彼此之間互不干擾，因此當(dāng)一個(gè)虛擬系統(tǒng)因抵御黑客攻擊耗費(fèi)大量資源時(shí)，另一個(gè)虛擬系統(tǒng)的資源卻不受任何影響，從而有效保證網(wǎng)絡(luò)其他應(yīng)用的正常運(yùn)行。

對于云計(jì)算，其最大需求是實(shí)現(xiàn)計(jì)算、存儲(chǔ)等IT資源靈活調(diào)度，讓資源得到最充分利用，而實(shí)現(xiàn)這一需求的基礎(chǔ)是以數(shù)據(jù)中心的虛擬機(jī)作為主要的計(jì)算資源為客戶提供服務(wù)。較傳統(tǒng)網(wǎng)絡(luò)，云計(jì)算網(wǎng)絡(luò)的流量模型發(fā)生了兩個(gè)變化：一是從外部到內(nèi)部的縱向流量加大；二是云業(yè)務(wù)內(nèi)部虛擬機(jī)之間的橫向流量加大。

為保證未來業(yè)務(wù)開展，整個(gè)云計(jì)算數(shù)據(jù)中心必須具有高的吞吐能力和處理能力，在數(shù)據(jù)轉(zhuǎn)發(fā)和控制的各個(gè)節(jié)點(diǎn)上不能存在阻塞，同時(shí)具備突發(fā)流量的承受能力。對于安全設(shè)備選擇具體體現(xiàn)在以下兩個(gè)方面。

·安全設(shè)備接入數(shù)據(jù)中心，應(yīng)具備10GE級接入、10GE級性能處理為基礎(chǔ)，并且要具備根據(jù)業(yè)務(wù)需求的靈活擴(kuò)展能力。

·隨著服務(wù)器的虛擬化及多租戶業(yè)務(wù)部署，云計(jì)算環(huán)境下的網(wǎng)絡(luò)流量無序突發(fā)沖擊會(huì)越來越嚴(yán)重，為保證云計(jì)算服務(wù)的服務(wù)質(zhì)量，安全設(shè)備必須具備突發(fā)流量時(shí)的處理能力，尤其是一些對時(shí)延要求嚴(yán)格的業(yè)務(wù)。

3.1.2 網(wǎng)絡(luò)安全防護(hù)體系部署示例

圖2給出了一個(gè)業(yè)務(wù)系統(tǒng)云平臺(tái)的網(wǎng)絡(luò)安全防護(hù)體系的網(wǎng)絡(luò)部署示意。建議在云數(shù)據(jù)中心邊界部署專業(yè)的抗DDoS攻擊設(shè)備，防火墻建議采用旁掛式設(shè)備部署在核心交換機(jī)之上，啟用雙機(jī)模式。防火墻設(shè)備和抗DDoS攻擊設(shè)備在選型時(shí)要充分考慮云數(shù)據(jù)中心的業(yè)務(wù)類型、業(yè)務(wù)容量、業(yè)務(wù)擴(kuò)容性預(yù)期等，從而對設(shè)備架構(gòu)、功能、性能指標(biāo)、可靠性、擴(kuò)展性等進(jìn)行嚴(yán)格的遴選和測試。建議將云平臺(tái)中的每個(gè)業(yè)務(wù)系統(tǒng)單獨(dú)劃分為一個(gè)安全域，啟用硬件防火墻上的虛擬防火墻功能，通過VLAN ID將不同安全域綁定到不同的虛擬防火墻，這樣每個(gè)業(yè)務(wù)系統(tǒng)可以有獨(dú)立的安全邊界和管理員，通過虛擬防火墻可以設(shè)置獨(dú)立的安全訪問控制策略。對于虛擬防火墻和虛擬主機(jī)安全產(chǎn)品的選擇，要重點(diǎn)考慮啟用安全特性之后的性能損耗和產(chǎn)品的集中配置管理能力。

3.2 虛擬主機(jī)安全防護(hù)體系建設(shè)

在云計(jì)算數(shù)據(jù)中心中，由于虛擬化技術(shù)打破了物理邊界，使得傳統(tǒng)的基于物理服務(wù)器和物理邊界的主機(jī)安全防護(hù)體系難以有效地應(yīng)用在虛擬主機(jī)的安全隔離和防護(hù)上。虛擬主機(jī)安全防護(hù)體系建設(shè)需要重點(diǎn)考慮的問題包括以下幾點(diǎn)。

·虛擬機(jī)安全隔離：傳統(tǒng)的基于物理邊界建立安全域的方法只適用于物理主機(jī)，對于虛擬主機(jī)如何實(shí)現(xiàn)有效的安全隔離，是安全防護(hù)體系需要重點(diǎn)考慮的問題。

·虛擬機(jī)安全監(jiān)控：同一物理主機(jī)中的虛擬機(jī)之間的數(shù)據(jù)交互是通過虛擬交換機(jī)（vSwitch）實(shí)現(xiàn)的，這部分流量不會(huì)出現(xiàn)在物理交換機(jī)上，因此傳統(tǒng)的安全防護(hù)設(shè)備無法監(jiān)控虛擬機(jī)之間的數(shù)據(jù)流量，也無法察覺虛擬機(jī)之間的攻擊行為。

·虛擬機(jī)自身安全保護(hù)：客戶虛擬機(jī)與傳統(tǒng)主機(jī)一樣，面臨病毒、木馬、惡意入侵等安全威脅；而對于VMM的安全防護(hù)，包括VMM的身份鑒權(quán)、訪問控制、安全漏洞修補(bǔ)、防止虛擬機(jī)逃逸等也是主機(jī)安全防護(hù)體系的重點(diǎn)。

對于解決虛擬主機(jī)的安全隔離和安全監(jiān)控問題，目前業(yè)內(nèi)主要有兩種技術(shù)方案。

（1）將虛擬主機(jī)網(wǎng)絡(luò)管理的范圍從服務(wù)器內(nèi)部轉(zhuǎn)移到網(wǎng)絡(luò)設(shè)備

將虛擬機(jī)內(nèi)部的不同VM之間網(wǎng)絡(luò)流量全部交由與服務(wù)器相連的物理交換機(jī)進(jìn)行處理，這將使得安全部署變得同傳統(tǒng)邊界防護(hù)一樣簡單。

這種思路目前有兩種解決方案，分別是基于VN-Tag（虛擬網(wǎng)絡(luò)標(biāo)簽）的IEEE 802.1Qbh和基于VEPA（虛擬以太網(wǎng)端口聚合）的IEEE 802.1Qbg。目前這兩個(gè)標(biāo)準(zhǔn)還處于草案階段，尚未正式發(fā)布。

這種解決思路的最大優(yōu)點(diǎn)是：將復(fù)雜的控制功能重新交給技術(shù)成熟的網(wǎng)絡(luò)設(shè)備，可以繼續(xù)沿用傳統(tǒng)的網(wǎng)絡(luò)安全控制機(jī)制。但目前相關(guān)產(chǎn)品的技術(shù)成熟度和商品化程度不夠，VN-Tag由思科一家獨(dú)大，VEPA的支持廠商雖多，但成熟的產(chǎn)品尚未投放市場。因此該解決方案目前尚不適用，需要根據(jù)后續(xù)產(chǎn)品的成熟度而定。

（2）在虛擬化層實(shí)施安全隔離和安全監(jiān)控

由于虛擬機(jī)之間的通信在虛擬化層可見，因此虛擬化軟件公司可以將虛擬化層接口開放給合作公司，由第三方開發(fā)虛擬化安全防護(hù)軟件。如VMware公司在虛擬化層提供了vShield安全套件，可提供虛擬安全邊界、防火墻、流量監(jiān)控、防病毒等安全功能。

此方案不僅解決了虛擬主機(jī)的安全隔離和安全監(jiān)控問題，也提供了客戶虛擬機(jī)的安全保護(hù)能力，同時(shí)實(shí)現(xiàn)了安全策略配置的自動(dòng)遷移，應(yīng)該說提供了虛擬主機(jī)安全防護(hù)體系的一攬子解決方案。但此方案也存在一定的缺點(diǎn)，一方面，安全套件在虛擬化層實(shí)現(xiàn)，沒有備份，存在單點(diǎn)故障；另一方面，安全套件以軟件形式實(shí)現(xiàn)，處理能力相對有限，而且會(huì)影響虛擬化層的性能。

綜上，基于虛擬化層的安全套件目前有較為成熟的商業(yè)產(chǎn)品，并且提供了針對虛擬主機(jī)安全防護(hù)體系的一攬子解決方案，因此是目前較為合適的選擇。但由于虛擬化安全套件有單點(diǎn)故障和性能影響等方面的缺陷，因此應(yīng)與傳統(tǒng)的安全設(shè)備和技術(shù)手段相結(jié)合，建立縱深的安全防護(hù)體系。

3.3 數(shù)據(jù)安全防護(hù)體系建設(shè)

對于云數(shù)據(jù)中心的數(shù)據(jù)安全核心需求主要包括以下幾點(diǎn)。

·數(shù)據(jù)傳輸安全：數(shù)據(jù)在傳輸過程中不被泄露、篡改，以保障數(shù)據(jù)機(jī)密性、完整性、可用性。

·數(shù)據(jù)存儲(chǔ)安全：不同用戶數(shù)據(jù)在共享存儲(chǔ)介質(zhì)中應(yīng)安全隔離，并對訪問權(quán)限進(jìn)行控制，用戶數(shù)據(jù)應(yīng)保障隱私。

·數(shù)據(jù)可靠性：具備容災(zāi)備份能力，當(dāng)存儲(chǔ)設(shè)備發(fā)生故障時(shí)，可快速恢復(fù)。

具體到業(yè)務(wù)系統(tǒng)云平臺(tái)，建議對于不同業(yè)務(wù)系統(tǒng)單獨(dú)劃分安全域，不同業(yè)務(wù)系統(tǒng)的數(shù)據(jù)存儲(chǔ)在各自的安全域存儲(chǔ)系統(tǒng)中，這樣可以通過網(wǎng)絡(luò)邊界訪問控制實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)安全。在每個(gè)安全域的虛擬防火墻中制定相應(yīng)的數(shù)據(jù)訪問控制策略，主要包括以下兩個(gè)方面。

·用戶級權(quán)限控制：定義不同的用戶和權(quán)限，通過權(quán)限控制限制不同權(quán)限用戶訪問和操作不同的數(shù)據(jù)。

·定義數(shù)據(jù)存儲(chǔ)對象的ACL控制：所有的對象都存儲(chǔ)于指定的存儲(chǔ)容器中，限定數(shù)據(jù)存儲(chǔ)對象的訪問IP列表、角色、用戶等ACL控制。

對于數(shù)據(jù)傳輸安全，主要應(yīng)保證對于業(yè)務(wù)系統(tǒng)的管理維護(hù)以及數(shù)據(jù)傳輸使用加密通道，可以采用以下措施：

·啟用虛擬防火墻的VPN功能，實(shí)現(xiàn)從外網(wǎng)到業(yè)務(wù)系統(tǒng)云平臺(tái)數(shù)據(jù)傳輸通道的安全；

·對于業(yè)務(wù)系統(tǒng)設(shè)備的維護(hù)管理操作應(yīng)采用加密通道，使用SSH、HTTPS等安全協(xié)議進(jìn)行登錄和操作。

而對于虛擬系統(tǒng)的數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)也是云平臺(tái)數(shù)據(jù)安全的重點(diǎn)，目前主流的虛擬系統(tǒng)都推出了相應(yīng)的數(shù)據(jù)備份和恢復(fù)產(chǎn)品。

VMware公司推出的VMware data recovery支持快速備份到磁盤，支持快速和完全的恢復(fù)，從而能夠預(yù)防虛擬環(huán)境中的數(shù)據(jù)丟失，VMware data recovery部署架構(gòu)如圖3所示，主要特點(diǎn)包括如下3個(gè)方面：

·基于磁盤的備份和恢復(fù)，可實(shí)現(xiàn)快速的虛擬機(jī)恢復(fù)；

·易于部署，VMware data recovery是一個(gè)運(yùn)行于VMware ESX和ESXi主機(jī)上的虛擬機(jī)；

·根據(jù)需要恢復(fù)單個(gè)文件或整個(gè)鏡像。

思杰系統(tǒng)公司也提供了虛擬機(jī)鏡像備份恢復(fù)應(yīng)用程序——VM protection and recovery（VMPR），可以基于策略對虛擬機(jī)做快照和歸檔，并為快照和歸檔分別設(shè)置計(jì)劃選項(xiàng)，從而實(shí)現(xiàn)虛擬機(jī)的備份和恢復(fù)。

4 結(jié)束語

云計(jì)算作為電信運(yùn)營商下一步發(fā)展的戰(zhàn)略重點(diǎn)，同時(shí)其面臨的安全挑戰(zhàn)也是前所未有的。本文以業(yè)務(wù)平臺(tái)為切入點(diǎn)，就云計(jì)算安全防護(hù)體系建設(shè)進(jìn)行了探討，闡述了云計(jì)算安全防護(hù)中的核心問題及對策，并提出了云計(jì)算業(yè)務(wù)平臺(tái)安全防護(hù)體系的建設(shè)方案，希望能給今后云數(shù)據(jù)中心建設(shè)一定的借鑒和參考。

為了實(shí)現(xiàn)云計(jì)算的安全目標(biāo)，還需要在具體云計(jì)算平臺(tái)實(shí)現(xiàn)的基礎(chǔ)上，深入研究各個(gè)安全關(guān)鍵技術(shù)，并且逐步建立健全云計(jì)算安全管理體系和安全運(yùn)維體系，這也將是今后需要進(jìn)一步努力的研究方向。

1 中國電信集團(tuán)公司.中國電信新建業(yè)務(wù)平臺(tái)安全驗(yàn)收管理辦法，2011

2 張建勛，古志民，鄭超.云計(jì)算研究進(jìn)展綜述.計(jì)算機(jī)應(yīng)用研究，2010，27（2）：429～433

3 Craig Balding.Biggest cloud challenge:security.http://cloudsecurity.org/2008/10/14/biggest-cloud-challenge-security/，2008

4 CSA.Top Threats to Cloud Computing V1.0.https://cloudsecurity alliance.org/topthreats/csathreats.v1.0.pdf,2010

5 林兆驥，付雄，王汝傳等.云計(jì)算安全關(guān)鍵問題研究.信息化研究，2011（4）