背景：阿里云已獲得由bsi(英國標(biāo)準(zhǔn)協(xié)會(huì))審核的ISO 27001信息安全管理體系國際認(rèn)證，該體系涵蓋基礎(chǔ)設(shè)施，數(shù)據(jù)中心和云產(chǎn)品，包括阿里云彈性計(jì)算、開放數(shù)據(jù)處理服務(wù)(ODPS)、關(guān)系型數(shù)據(jù)庫服務(wù)(RDS)、云安全服務(wù)(云盾)。

ISO 27001是一種被廣泛采用的全球安全標(biāo)準(zhǔn)，它建立在定期評(píng)估風(fēng)險(xiǎn)的基礎(chǔ)上，采用安全控制和最佳實(shí)踐相結(jié)合的系統(tǒng)化方法來管理公司和客戶信息。為了實(shí)現(xiàn)認(rèn)證，阿里云必須表明它有一個(gè)系統(tǒng)的和持續(xù)的方法來管理信息安全風(fēng)險(xiǎn)，影響公司及客戶信息的保密性，完整性和可用性的。該認(rèn)證鞏固了阿里云對(duì)安全控制透明化的服務(wù)承諾。

摘要：本文擬從分析傳統(tǒng)信息安全管理和云計(jì)算安全管理的差異性入手，提出云計(jì)算服務(wù)商所面臨的安全問題，討論阿里云計(jì)算在滿足云計(jì)算安全管理的實(shí)踐。

云計(jì)算安全的挑戰(zhàn)

傳統(tǒng)信息安全和云計(jì)算安全的區(qū)別

PC時(shí)代是分散化管理，用戶的數(shù)據(jù)是保存在自己的電腦上的，保障用戶數(shù)據(jù)的安全很大程度上是靠用戶本身的安全意識(shí)和技術(shù)水平，而大部分用戶又極缺乏自我保護(hù)意識(shí)，因而釣魚、木馬、肉雞橫行，用戶的安全受到很大威脅。云時(shí)代是集中化管理，通過計(jì)算資源的集中和優(yōu)化，使多個(gè)應(yīng)用更有效的分享服務(wù)器CPU、內(nèi)存、存儲(chǔ)以及網(wǎng)絡(luò)帶寬，用戶的數(shù)據(jù)保存在有專業(yè)安全人員保護(hù)的云環(huán)境中，黑客常用的傳統(tǒng)用戶終端攻擊失去威脅。在與黑客的博弈之中，集中化管理更容易升級(jí)安全保護(hù)措施，安全性比PC時(shí)代要高。

從安全管理角度來看，集中化管理和分散化管理就像乘飛機(jī)旅行和汽車旅行的安全比較一樣，汽車旅行的事故率非常高，但往往每起事件只影響到一兩個(gè)人，而飛機(jī)旅行是最安全的，但不出事則已，一出事都是大事。如果云服務(wù)商不能給客戶提供一個(gè)客觀、公正、可靠的安全保證，就無法讓用戶對(duì)云服務(wù)建立起安全信心，最終影響云業(yè)務(wù)的開展和行業(yè)的壯大。

云環(huán)境下的典型安全挑戰(zhàn)

從安全技術(shù)角度來看，虛擬化技術(shù)在云計(jì)算時(shí)代的大量應(yīng)用讓傳統(tǒng)信息安全時(shí)代下的安全隔離手段面臨巨大挑戰(zhàn)，舉例來說，客戶在購買云服務(wù)商虛擬服務(wù)器的同時(shí)就擁有了公網(wǎng)地址和云服務(wù)商的內(nèi)網(wǎng)地址，這也就意味著用戶同時(shí)擁有了云服務(wù)商的非信任域地址和信任域地址，這種網(wǎng)絡(luò)邊界模糊的威脅會(huì)直接導(dǎo)致惡意用戶利用購買虛擬服務(wù)器所獲得的云服務(wù)商內(nèi)網(wǎng)地址來偽造海量的內(nèi)網(wǎng)地址和MAC地址，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使得網(wǎng)絡(luò)阻塞或中斷。

其次，安全挑戰(zhàn)伴隨著云平臺(tái)的服務(wù)類型而隨之誕生，以阿里云(開放數(shù)據(jù)處理服務(wù))ODPS舉例，該服務(wù)的設(shè)計(jì)之初是基于數(shù)據(jù)驅(qū)動(dòng)的多級(jí)流水性并行計(jì)算框架，支持直接使用ODPS SQL 語句對(duì)海量數(shù)據(jù)進(jìn)行離線分析。通過數(shù)據(jù)分裂將海量數(shù)據(jù)散布在整個(gè)集群內(nèi)部，這樣，用戶的數(shù)據(jù)容量的瓶頸問題得以解決。同時(shí)計(jì)算壓力也被平均分布在集群內(nèi)部，很好地解決了計(jì)算性能問題。但因其允許用戶通過編寫程序在ODPS的集群上執(zhí)行任務(wù)，這種業(yè)務(wù)模式就存在通過用戶程序包含的惡意代碼在ODPS的集群上植入后門的風(fēng)險(xiǎn)，惡意用戶可通過非法外聯(lián)、提權(quán)等一系列操作實(shí)現(xiàn)對(duì)ODPS集群的入侵,最終達(dá)到竊取用戶數(shù)據(jù)的目的。

面對(duì)上述安全技術(shù)挑戰(zhàn)，在云時(shí)代已無法通過簡(jiǎn)單的安全設(shè)備堆砌去解決所有安全問題，同樣，傳統(tǒng)信息安全時(shí)代下的安全標(biāo)準(zhǔn)和規(guī)范也已不能從容應(yīng)對(duì)上述管理挑戰(zhàn)。為此，阿里云開發(fā)了包含3大信息安全基礎(chǔ)控制域、7大信息安全和云計(jì)算安全支柱控制域及2大云計(jì)算安全特色控制域的阿里云安全模型(如圖1所示)，我們將傳統(tǒng)信息安全管理體系中的信息安全風(fēng)險(xiǎn)管理、人力資源、物理、網(wǎng)絡(luò)和主機(jī)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、數(shù)據(jù)中心運(yùn)維作為云服務(wù)商的安全基線，重點(diǎn)評(píng)估、持續(xù)提升云服務(wù)商在虛擬化安全和云平臺(tái)安全方面的安全管理和技術(shù)水平。

圖1 阿里云安全模型

云時(shí)代下的虛擬化安全主要包括虛擬服務(wù)器的加固、虛擬服務(wù)器的隔離、虛擬服務(wù)器的銷毀，雖然因虛擬化服務(wù)器的服務(wù)類型的原因，以上需求已無法通過購買安全設(shè)備實(shí)現(xiàn)隔離，但針對(duì)用戶和云服務(wù)商自身的安全需求仍可通過一系列的軟件手段實(shí)現(xiàn)安全隔離和訪問控制。

虛擬服務(wù)器的加固

在安全流程方面，阿里云通過建立安全加固流程來保證每個(gè)交付給客戶的虛擬服務(wù)器鏡像在生產(chǎn)環(huán)節(jié)已通過安全團(tuán)隊(duì)的嚴(yán)格檢測(cè)，去除了不安全的服務(wù)、協(xié)議、端口等可能導(dǎo)致入侵的因素;

在安全技術(shù)方面，阿里云已陸續(xù)發(fā)布了CentOS 6.2 64位 安全加固版、Red Hat Enterprise Linux Server 5.4 64位 安全加固版、Windows Server 2003標(biāo)準(zhǔn)中文版 SP2 32位 已加固激活三個(gè)經(jīng)過安全加固的操作系統(tǒng);阿里云的云安全產(chǎn)品---云盾更通過提供主機(jī)入侵檢測(cè)和補(bǔ)丁自動(dòng)更新服務(wù)等手段來保證用戶虛擬服務(wù)器的安全，并針對(duì)用戶需求有針對(duì)性的對(duì)虛擬機(jī)鏡像提供加密服務(wù);

虛擬服務(wù)器的隔離

用戶租用云服務(wù)器就好比將用戶網(wǎng)站搬進(jìn)了一個(gè)個(gè)虛擬房間，最擔(dān)心的就是破門而入的不速之客，這種安全顧慮就是由虛擬服務(wù)器而引發(fā)的網(wǎng)絡(luò)邊界模糊威脅，而解決之道不再是傳統(tǒng)信息安全環(huán)境下的防火墻之類設(shè)備的堆砌，取而代之的是阿里云通過自主開發(fā)的一系列虛擬環(huán)境下的網(wǎng)絡(luò)隔離手段。

阿里云針對(duì)不同用戶購買的云服務(wù)器之間的隔離需求，在其生產(chǎn)環(huán)節(jié)由云服務(wù)器的生產(chǎn)系統(tǒng)依據(jù)訂單自動(dòng)給每個(gè)用戶的云服務(wù)器打上標(biāo)簽，不同的用戶間通過安全組進(jìn)行隔離;針對(duì)本文開篇提及的惡意虛擬服務(wù)器用戶通過制造大量的ARP通行量來導(dǎo)致網(wǎng)絡(luò)面臨阻塞或中斷的風(fēng)險(xiǎn)，阿里云采用上述云服務(wù)器標(biāo)簽和arptables相結(jié)合予以防范;最后為防范云服務(wù)器被入侵后成對(duì)對(duì)外攻擊源，阿里云采用以太網(wǎng)防火墻(ebtables)隔離云服務(wù)器對(duì)外部公共網(wǎng)絡(luò)的異常協(xié)議訪問。

虛擬服務(wù)器的銷毀

針對(duì)用戶云服務(wù)器在期滿后的數(shù)據(jù)銷毀問題，阿里云的云服務(wù)器生產(chǎn)系統(tǒng)會(huì)定期自動(dòng)虛消除原有物理服務(wù)器上磁盤和內(nèi)存數(shù)據(jù)，使得虛擬服務(wù)器無法恢復(fù)。同時(shí)采用虛擬化在線管理系統(tǒng)對(duì)虛擬服務(wù)器進(jìn)行管理，對(duì)物理服務(wù)器及Hypervisor的運(yùn)維操作，遵循運(yùn)維相關(guān)流程并采用實(shí)時(shí)審計(jì)技術(shù)予以監(jiān)控。

云時(shí)代下云平臺(tái)是一切云服務(wù)的最終載體，其自身的安全態(tài)勢(shì)直接決定各項(xiàng)云服務(wù)的正常開展， 從以上虛擬化安全的控制手段已然可以發(fā)現(xiàn)通過軟件實(shí)現(xiàn)安全控制將是云安全的主要技術(shù)實(shí)現(xiàn)途徑。而云平臺(tái)自身也是軟件開發(fā)的產(chǎn)物，由此，構(gòu)建云平臺(tái)安全就應(yīng)從云平臺(tái)的初始開發(fā)以及云服務(wù)帶給云平臺(tái)的安全沖擊等角度予以考慮。

云平臺(tái)的開發(fā)推薦參照軟件安全開發(fā)周期(Security Development Lifecycle)建立安全開發(fā)流程。(如圖2所示)。

圖2 云平臺(tái)安全開發(fā)流程

安全需求分析環(huán)節(jié)：應(yīng)根據(jù)功能需求文檔進(jìn)行安全需求分析，針對(duì)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架進(jìn)行溝通，形成《安全需求分析建議》。

安全設(shè)計(jì)環(huán)節(jié)：應(yīng)根據(jù)項(xiàng)目特征，與測(cè)試人員溝通安全測(cè)試關(guān)鍵點(diǎn)，形成《安全測(cè)試建議》。

安全編碼環(huán)節(jié)：應(yīng)參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發(fā)規(guī)范》，避免開發(fā)人員寫出不安全的代碼。

代碼審計(jì)環(huán)節(jié)：應(yīng)盡可能使用代碼掃描工具并結(jié)合人工代碼審核，對(duì)產(chǎn)品代碼進(jìn)行白盒、黑盒掃描。

應(yīng)用滲透測(cè)試：應(yīng)在上線前參照諸如OWASP之類的標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。

系統(tǒng)發(fā)布：依據(jù)上述環(huán)節(jié)評(píng)價(jià)結(jié)果決定代碼是否發(fā)布。

針對(duì)云服務(wù)對(duì)云平臺(tái)的安全沖擊，例如前文提到的ODPS存在通過用戶程序包含的惡意代碼在云服務(wù)商物理機(jī)上植入后門，實(shí)現(xiàn)非法外聯(lián)、提權(quán)等一系列非法操作的風(fēng)險(xiǎn)，針對(duì)這類風(fēng)險(xiǎn)阿里云采用了研發(fā)虛擬化的沙箱或者解釋器級(jí)別的沙箱來予以包裝，并通過鑒權(quán)、授權(quán)等一整套安全措施來保證用戶程序中可能包含的惡意程序無法在ODPS集群上直接執(zhí)行。

回顧上述云安全帶來的挑戰(zhàn)，我們可以得出以下結(jié)論：

1、 傳統(tǒng)網(wǎng)絡(luò)安全手段在云時(shí)代安全體系中的重要性下降了;

2、 依靠應(yīng)用軟件實(shí)現(xiàn)的安全手段，以及應(yīng)用軟件開發(fā)本身的安全在云時(shí)代安全體系中的重要性將大大增強(qiáng);

3、 用戶數(shù)據(jù)的集中化管理使安全管理和運(yùn)營的重要性日益突出。

雖然云計(jì)算的背景下，云計(jì)算安全與傳統(tǒng)信息安全的目標(biāo)仍是相同的：“保護(hù)信息資產(chǎn)的保密性、完整性、可用性”，但云計(jì)算安全的保護(hù)核心正逐步從基礎(chǔ)的信息安全風(fēng)險(xiǎn)管理轉(zhuǎn)向數(shù)據(jù)安全管理，而阿里云在國內(nèi)率先選擇以數(shù)據(jù)為核心的云服務(wù)而不僅僅是傳統(tǒng)的IDC基礎(chǔ)設(shè)施通過ISO27001國際認(rèn)證正是對(duì)此的有力回應(yīng)。