運營商是云計算的引導者和運營者，在云計算時代面臨著全新的競爭環(huán)境，云計算的服務已經(jīng)打破以往的商業(yè)模式，云計算服務提供商正在進入傳統(tǒng)的CT、IT以及IDC運營等領域，使得競爭環(huán)境進一步惡化，運營商最能進行的云計算服務領域也從原來的公有云服務，逐步延展到了私有云、專享云、混合云、托管云等領域，而在這些領域對安全的需求是與公有云完全不同的，本文重點將探討一下針對私有云、專享云、混合云、托管(下文將統(tǒng)一對以上類型的云服務統(tǒng)稱為“大客戶云服務”)等針對大客戶的云服務安全方案和防御方法;

大客戶云服務環(huán)境下的安全風險與防護方案

1)大客戶數(shù)據(jù)泄露風險-公有云或共享云

這是目前政企客戶是否選擇大客戶云服務最為擔心的安全風險，做為大客戶也更為關心這類問題，同時也是用戶數(shù)據(jù)泄露的重要途徑。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時，用戶本身對于自身數(shù)據(jù)在云中的安全風險并沒有實際的控制能力，數(shù)據(jù)安全完全依賴于服務商,如果服務商本身對于數(shù)據(jù)安全的控制存在疏漏，則很可能導致數(shù)據(jù)泄露或丟失.現(xiàn)階段可能導致安全風險的有以下幾種典型情況：

·由于云服務提供商的安全漏洞導致的黑客入侵造成的用戶數(shù)據(jù)丟失;

·由于虛擬化軟件的安全漏洞造成的用戶數(shù)據(jù)被入侵的風險;

·數(shù)據(jù)在傳輸過程中沒有進行加密導致信息泄露;

·加密數(shù)據(jù)傳輸?shù)敲荑€管理存在缺失導致數(shù)據(jù)泄露;

·不同用戶的數(shù)據(jù)傳輸之間沒有進行有效隔離導致數(shù)據(jù)被竊取;

·用戶數(shù)據(jù)在云中存儲沒有進行容災備份等。

從這個角度看，云計算服務商在向用戶推薦云計算服務時，需要和企業(yè)用戶簽署服務質量保證協(xié)議，并從技術和管理兩個方面向用戶進行安全保證，以減輕用戶對于數(shù)據(jù)安全的擔憂。

防護方法及應對措施

從以上問題來看，建設針對大客戶的專享云或私有云，并在遠端實現(xiàn)托管云服務是一步步切入大客戶云服務的良好途徑，這種模式對比起公有云和共享型云服務有明顯的優(yōu)勢：

·硬件基礎平臺既IAAS架構上各自分離獨立，不會引起底層安全擴散和遭受攻擊的威脅

·針對IAAS平臺的專享或私有，運營商可以提供用戶側放置獨享或私有云的模式，來強化大客戶的安全感，如果采用托管式的專享或私有云模式則也可以通過隔離獨立的物理區(qū)域和硬件設備來實現(xiàn)安全性的保障

·在此基礎上更可以提供專門的安全云增值服務，來提供針對客戶專享云或私有云的安全增值服務，如華三公司的統(tǒng)一云安全管理平臺，即可實現(xiàn)針對客戶定制化的所有安全隱患的排查和檢測，并能夠覆蓋到各個不同的層次和不同廠家的設備，如圖2所示，可以通過華三公司的SCC平臺實現(xiàn)全局很深入的安全問題排查和報表式通告;

圖2 SCC平臺實現(xiàn)全局很深入的安全問題排查和報表式通告

·針對國家所頒布的等保要求，還要及時的根據(jù)大客戶應處的等級保護級別來進行安全對應方案和產(chǎn)品的部署，確保等保用戶接入時的等保要求，要定期做好等保防護和信息安全定時通告;

2)內(nèi)部安全失控

企業(yè)的核心數(shù)據(jù)在云計算環(huán)境中的存儲，離不開管理員的操作和審核，如果服務商內(nèi)部的管理出現(xiàn)疏漏，將可能導致內(nèi)部人員私自竊取用戶數(shù)據(jù)，從而對用戶的利益造成損害。在這種情況下，除了通過技術的手段加強數(shù)據(jù)操作的日志審計之外，嚴格的管理制度和不定期的安全檢查十分必要。云計算服務供應商有必要對工作人員的背景進行調查并制定相應的規(guī)章制度避免內(nèi)部人員“作案”，并保證系統(tǒng)具備足夠的安全操作的日志審計能力，在保證用戶數(shù)據(jù)安全的前提下，滿足第三方審計單位的合規(guī)性審計要求。

防護方法及應對措施

由SDN技術可以對所有的數(shù)據(jù)流向和經(jīng)過的節(jié)點進行記錄和調度，采用overlay網(wǎng)絡可以讓用戶的數(shù)據(jù)路徑變成唯一路徑，不會被外部獲取或轉移數(shù)據(jù)路徑，這樣可以保障數(shù)據(jù)在傳輸?shù)倪^程中不被輕易的欺騙或竊取，而數(shù)據(jù)存儲的安全性保障則需要依靠數(shù)據(jù)訪問審核、訪問用戶權限控制和數(shù)據(jù)一致性驗證來保障了;

3)虛擬化安全策略的自動遷移調整

大客戶服務往往與公有云服務有巨大差異，私有云業(yè)務往往出現(xiàn)頻繁的虛擬機遷移等動作，而安全部署往往是依據(jù)環(huán)境變化而做出的定制化服務策略，在業(yè)務模式發(fā)生變化后，往往安全服務需要重新制定，中間時間和環(huán)節(jié)會造成大客戶的云業(yè)務暴露在安全威脅中：

·防護方法及應對措施

虛擬化環(huán)境下的虛擬機自動遷移，是云計算環(huán)境的重要特征之一。為跟隨這種虛擬機的遷移，業(yè)務系統(tǒng)本身的資源配置以及該虛擬機的接入端口屬性都在積極響應并提供適配的手段。而要想實現(xiàn)安全策略的跟隨遷移，安全管理平臺需要提供包括下面在內(nèi)的重要技術支撐：

及時建立起網(wǎng)絡中的每個虛擬機和安全策略組的對應關系，實現(xiàn)全局的虛擬機安全策略統(tǒng)一規(guī)劃和管理;

及時感知虛擬機的遷移動作，并獲取虛擬機遷移后的網(wǎng)絡位置信息，以此來觸發(fā)安全策略的遷移;

根據(jù)遷移后的虛擬機信息，探測計算出遷移后的虛擬機所對應的安全設備，為下一步的安全策略調整做準備;

安全管理平臺基于上述信息有效整合各方面資源，自動調整安全策略，將該虛擬機對應的安全策略組重新下發(fā)到新的安全設備上，完成整個安全策略的遷移。

如圖3所示，根據(jù)大客戶的云安全服務要求提供虛擬機遷移的安全策略自動跟隨服務;

圖3 安全策略匹配虛擬機遷移自動跟隨

4)針對大客戶的安全服務還包含：

·安全既服務SAAS

運營商針對大客戶的云安全服務可以采用服務鏈service chain的方式來實現(xiàn)云安全服務的部署：

·Saas(Security as a Service )，將安全以云服務方式提供，將流量引入安全云中心“清洗”;圖4所示 運營商可以通過專門的云服務來提供給大客戶安全云服務業(yè)務

·“安全云中心”可以是數(shù)據(jù)中心的一個安全服務資源池，或以公有云的方式提供;

·“安全云服務中心” 的關鍵技術：如何識別與牽引流量，如何保證云中心的交付能力，多租戶問題。

·Overlay + NFV 提供靈活的流量控制及云端的橫向擴張能力。如圖5所示運營商安全既服務產(chǎn)品結構

如圖5 運營商可以通過專門的云服務來提供給大客戶安全云服務業(yè)務;

圖5 運營商安全既服務產(chǎn)品結構

·升級安全架構，構建基于SDN技術架構的安全模型：

基礎架構安全升級：組合IAAS、PAAS、SAAS架構安全防護系統(tǒng)做統(tǒng)一防護，構建L2-L7層全面的防護體系，根據(jù)SDN技術結合，實現(xiàn)全安全架構的搭建，如圖6所示，基于SDN技術的全局安全策略和部署模式，來完善云時代的安全模型

圖6 基于SDN技術的全局安全策略和部署模式

·做好基礎安全信息收集：

做為安全信息中最重要的環(huán)節(jié)部分，所有后續(xù)的動作均來自此，現(xiàn)階段最流行的方法就是采用DPI(深度數(shù)據(jù)報文檢測)將所有的設備流量做鏡像，進行分析，除此之外，還建議部署設備日志收集分析系統(tǒng)，用于日志信息的收集和統(tǒng)計

·定期定時進行安全事件分析：

針對收集到安全信息進行分析并提早做出判斷，是否有安全隱患，此系統(tǒng)是華三的SCC管理平臺的內(nèi)置功能，可以通過激活此功能來實現(xiàn)安全日志的統(tǒng)計和分析，相關的細節(jié)不再贅述，可以參考華三公司相關技術白皮書;

·利用新手段技術-大數(shù)據(jù)進行安全風險預警：

在安全事件分析中最常用的一種手段就是大數(shù)據(jù)分析和預測，根據(jù)谷歌的大數(shù)據(jù)預測分析系統(tǒng)預測，大數(shù)據(jù)比專家更管用，早于其他信息手段預測至少2周時間，而安全的大數(shù)據(jù)有一個很重要的特性，就是關聯(lián)性，大數(shù)據(jù)對于關聯(lián)性分析稍顯滯后，不能進行實時的預警和敢于，對于這部分的解決方法就是部署在線式的安全防護設備來實現(xiàn)這個木桶短板的補齊，其中IPS可以提供L4-L7層的安全防護，以前基本用于云計算的門戶出口處，但現(xiàn)在由于大客戶私有云的需求，往往在不同的業(yè)務分區(qū)和大客戶業(yè)務的門戶處都部署IPS設備，而IPS設備自身的應用防護信息庫沒有與云安全平臺聯(lián)通的時候是通過其人工設定的門限值來進行防護的，而與安全防護管理平臺聯(lián)動后，運營商可以向大客戶的云安全防護設備提供全新的安全策略，以便大客戶能夠及時提升安全防護的能力。

結束語：云計算數(shù)據(jù)中心網(wǎng)絡安全部署僅僅是云基礎架構中基本的建設環(huán)節(jié)，要保證云計算中心的安全，還要考慮數(shù)據(jù)加密、備份，信息的認證授權訪問以及法律、法規(guī)合規(guī)性要求，只有全面的進行規(guī)劃，才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。IT畢竟是手段，法律法規(guī)和嚴格的執(zhí)行還是安全風險防范的最佳法寶，隨著云安全服務的升級，華三提供給了運營商應對云安全問題的手段更多樣化，以便能夠適應云時代大客戶對云安全的防護要求。