二、云的安全是阻礙云計(jì)算普及的最大障礙

A：云計(jì)算讓傳統(tǒng)信息安全防御體系面臨尷尬

信息安全是保障信息系統(tǒng)業(yè)務(wù)安全的，采用云計(jì)算技術(shù)后，并非只是增加了一個(gè)虛擬化管理軟件的安全風(fēng)險(xiǎn)那么簡(jiǎn)單，最重要的是，它讓多年來(lái)信息安全保障基本思路---邊界安全防御思路面臨尷尬。

1、什么是邊界安全防御思路

多年來(lái)信息安全防御是基于邊界安全思路進(jìn)行設(shè)計(jì)的，這源自于美國(guó)人的IATF(信息保障技術(shù)框架)，很早以前就提出了網(wǎng)絡(luò)安全的保障思路。把網(wǎng)絡(luò)按功能分為不同的安全域，域內(nèi)安全需求相似，我們?cè)诎踩蜻吔缟喜渴鸢踩胧?。典型?ldquo;3+1”劃分方式：計(jì)算域(服務(wù)器與存儲(chǔ))、核心互聯(lián)網(wǎng)(網(wǎng)絡(luò)核心)、接入域(用戶接入網(wǎng)絡(luò)的匯聚)、基礎(chǔ)設(shè)施域(網(wǎng)管與安管的基礎(chǔ)設(shè)施)。

安全域防御思路是將用戶與服務(wù)器資源隔離開(kāi)來(lái)，也把入侵者與保護(hù)對(duì)象隔離開(kāi)來(lái)，在其訪問(wèn)的必經(jīng)路徑上，建立多道防御措施，延長(zhǎng)入侵者到達(dá)目標(biāo)的時(shí)間，同時(shí)為監(jiān)控措施贏得發(fā)現(xiàn)并部署應(yīng)急處理的時(shí)間。之所以成為“邊界安全思路”，是因?yàn)檫@種設(shè)計(jì)思路往往先劃出邊界，理清出入口，在“關(guān)口”上部署安全策略。

邊界安全源于保護(hù)領(lǐng)土的傳統(tǒng)安全做法，拉開(kāi)我們與敵人的空間距離，這樣敵人在進(jìn)攻時(shí)就會(huì)暴露在中間區(qū)域內(nèi)，我們好有充足時(shí)間做出反應(yīng)，組織強(qiáng)有力的阻擊行動(dòng)。多重防護(hù)、也是延長(zhǎng)敵人攻擊到我核心地域的時(shí)間。很顯然，這種方法是對(duì)付正面的、公開(kāi)的敵人，面對(duì)已經(jīng)在自己領(lǐng)域內(nèi)部的敵人(內(nèi)鬼或者間諜)，邊界措施就不適用了，因此，需要建立監(jiān)控體系，以及對(duì)內(nèi)部人員的信任管理系統(tǒng)，內(nèi)部區(qū)域是我們可控的，保障的思路是提高犯罪門(mén)檻，以及秋后算總賬。

什么是網(wǎng)絡(luò)邊界?對(duì)于某個(gè)單位的局域網(wǎng)來(lái)說(shuō)，就是互聯(lián)網(wǎng)出口的路由器;對(duì)某個(gè)業(yè)務(wù)系統(tǒng)來(lái)說(shuō)就是服務(wù)器的網(wǎng)卡，就是連接交換機(jī)的那根網(wǎng)線。這里是外部入侵者的必經(jīng)之路，安全防護(hù)的最佳位置。

2、“花瓶”模型

安全措施有很多，該如何選擇呢?是越多越好，越貴越好嗎?顯然不是!

安全部署是一個(gè)整體規(guī)劃、系統(tǒng)化的設(shè)計(jì)過(guò)程，建立縱深的、立體的防御體系，需要多方面的安全措施相互配合，沒(méi)有任何一種安全措施可以包打天下的。

安全保障的目的是減少安全事件的發(fā)生，或者是減少安全事件發(fā)生時(shí)帶來(lái)的損失。因此，處理安全事件就安全保障措施落地的基本流程。從對(duì)一個(gè)安全事件的處理過(guò)程中，可以看出安全措施的配合機(jī)理。

• 安全事件發(fā)生前：在所有的邊界出口上，部署安全訪問(wèn)策略，提高訪問(wèn)門(mén)檻，建立安全防護(hù)基線;
• 安全事件發(fā)生中：利用強(qiáng)大的安全檢測(cè)技術(shù)，分析網(wǎng)絡(luò)里的各種異常，監(jiān)控設(shè)備、進(jìn)程的運(yùn)行動(dòng)態(tài)，發(fā)現(xiàn)入侵行為，立即報(bào)警，啟動(dòng)應(yīng)急處理流程，盡量把安全事件限制在局部區(qū)域，把安全損失降低到最小;
• 安全事件發(fā)生后：利用用戶信用與審計(jì)體系，收集犯罪者的證據(jù)，挖出內(nèi)鬼，秋后算賬，震懾處于犯罪邊緣的人;
• 日常運(yùn)維管理：提高自身安全素質(zhì)，減少安全漏洞。通過(guò)安全管理平臺(tái)管理安全策略，監(jiān)控安全態(tài)勢(shì)。

“花瓶”模型把安全措施分為邊界防御、動(dòng)態(tài)監(jiān)控、信任體系三條措施基線，以及一個(gè)公共安全管理的支撐平臺(tái)。模型具體描述了各種措施部署的位置，以及各種措施之間相互支撐、相互協(xié)作的關(guān)系。邊界防御可以把一般水平的入侵者擋在“墻”外，對(duì)于高水平的入侵者，我不能不讓你進(jìn)來(lái)，但可以通過(guò)動(dòng)態(tài)監(jiān)控措施看見(jiàn)你的一舉一動(dòng)，發(fā)現(xiàn)異常，或者有安全隱患，立即報(bào)警或直接制止。目前流行的應(yīng)對(duì)APT攻擊---“沙箱”技術(shù)，就是屬于監(jiān)控體系中通過(guò)釋放行為，判斷是否為惡意代碼的監(jiān)控類(lèi)措施。邊界防御與動(dòng)態(tài)監(jiān)控可以應(yīng)對(duì)外部入侵者;針對(duì)“內(nèi)鬼”，就需要監(jiān)控體系與信用體系了。發(fā)現(xiàn)越權(quán)訪問(wèn)，以及濫用權(quán)限等不合違規(guī)行為，立即制止并進(jìn)行制裁。

3、虛擬化網(wǎng)絡(luò)的邊界在哪里成了難解的問(wèn)題

網(wǎng)絡(luò)就是要連通，連通才是數(shù)據(jù)共享、實(shí)時(shí)互通的基礎(chǔ)。但共享就意味著不安全，知道得人越多，泄露的可能性就越大。所以，我們建立網(wǎng)絡(luò)的同時(shí)，也建立了層層“關(guān)卡”，允許授權(quán)的人訪問(wèn)，限制外來(lái)人的訪問(wèn)權(quán)限，既享受互聯(lián)帶來(lái)的便利，又限制敏感數(shù)據(jù)的知悉范圍。

云計(jì)算服務(wù)模式的來(lái)臨，對(duì)原來(lái)“諸侯割據(jù)”的網(wǎng)絡(luò)帶來(lái)極大的沖擊：

• 數(shù)據(jù)大集中：虛擬化的前提是整合信息系統(tǒng)，提高IT基礎(chǔ)設(shè)施的利用率。不僅是數(shù)據(jù)集中，服務(wù)器也集中;集中后，各個(gè)信息系統(tǒng)之間的隔離就難了，數(shù)據(jù)集中，也讓數(shù)據(jù)的價(jià)值更加凸顯，被入侵者關(guān)注的可能性大大增加;
• 數(shù)據(jù)共享：其實(shí)無(wú)論是否采用云服務(wù)模式，信息系統(tǒng)之間的數(shù)據(jù)共享都是必然的趨勢(shì)，網(wǎng)絡(luò)的目標(biāo)就是讓“數(shù)據(jù)”動(dòng)態(tài)起來(lái)，讓實(shí)時(shí)數(shù)據(jù)的價(jià)值進(jìn)一步體現(xiàn)，讓隱藏在數(shù)據(jù)背后的關(guān)聯(lián)與規(guī)律進(jìn)一步為決策者所用。繼云服務(wù)之后，大數(shù)據(jù)分析應(yīng)用迅速風(fēng)靡各個(gè)行業(yè)，不能不說(shuō)是云服務(wù)模式推動(dòng)了數(shù)據(jù)共享與業(yè)務(wù)互聯(lián)。無(wú)論是服務(wù)總線的互聯(lián)，還是數(shù)據(jù)交換平臺(tái)的互聯(lián)，信息系統(tǒng)之間的關(guān)系都更加密切，數(shù)據(jù)流的訪問(wèn)邏輯都更加復(fù)雜，訪問(wèn)控制策略也越來(lái)越復(fù)雜。

在服務(wù)器端，數(shù)據(jù)與服務(wù)的集中融合，模糊了業(yè)務(wù)系統(tǒng)與物理網(wǎng)絡(luò)的對(duì)應(yīng)的關(guān)系，不僅讓信息系統(tǒng)之間的邊界模糊了，而且由于虛擬機(jī)的動(dòng)態(tài)遷移，我們能確定的就只是服務(wù)器的URL地址(通過(guò)DNS翻譯成云門(mén)戶上的業(yè)務(wù)服務(wù)IP地址，再映射到VM在虛擬化池中的內(nèi)部IP地址)。在用戶端，BYOD技術(shù)的推廣，隨時(shí)隨地網(wǎng)絡(luò)的接入，用戶的IP地址是變化的，沒(méi)有變的只有用戶的訪問(wèn)賬戶。在TCP/IP統(tǒng)治的網(wǎng)絡(luò)世界了，IP可以變化，就意味著用戶的訪問(wèn)路徑是不確定的，找不到必經(jīng)的“關(guān)口”，安全防護(hù)的邊界該在哪里?

邊界模糊了，邊界部署安全策略的方式就不那么好使了。

當(dāng)然虛擬化技術(shù)讓信息安全面臨的尷尬還遠(yuǎn)不止這些：

傳統(tǒng)的安全威脅依然存在：

• 病毒、蠕蟲(chóng)依然流行，DDOS同樣在威脅“門(mén)戶的路”，CC攻擊同樣可以讓業(yè)務(wù)服務(wù)器宕機(jī);操作系統(tǒng)與數(shù)據(jù)庫(kù)的漏洞同樣可被利用;應(yīng)用層的漏洞攻擊同樣隨處可見(jiàn);物理安全因?yàn)閿?shù)據(jù)中心大集中后增大了威脅的可能;
• 虛擬化管理平臺(tái)也是OS，是系統(tǒng)軟件，只是因?yàn)殛P(guān)注少而報(bào)出漏洞少。VM安全嗎?若是入侵者獲得了虛擬化管理平臺(tái)的權(quán)限，每個(gè)VM不是都面臨入侵的威脅嗎?
• 內(nèi)部人員的有意與無(wú)意違規(guī)，第三方運(yùn)維中別有用心人員的蓄意破壞，被人收買(mǎi)員工的非法訪問(wèn)…這樣管理漏洞同樣嚴(yán)峻;
• 信息系統(tǒng)之間的隔離是新問(wèn)題：VM可以動(dòng)態(tài)遷移，基于網(wǎng)絡(luò)層的物理隔離設(shè)備無(wú)法部署在虛擬化的網(wǎng)絡(luò)里;針對(duì)每個(gè)VM的安全策略，是否可以跟隨VM一起遷移，不能出現(xiàn)“安全天窗”，是安全保障設(shè)計(jì)者最關(guān)心的問(wèn)題;
• VM的安全：服務(wù)器變成了VM，VM在虛擬化管理平臺(tái)看來(lái)就是一個(gè)文件，一個(gè)可以被復(fù)制、拷貝、讀取、修改的文件，目前使用一種對(duì)虛擬終端VM休眠時(shí)病毒查殺的技術(shù)，就已經(jīng)展示了直接修改VM文件的技術(shù)應(yīng)用，若入侵者這樣操作業(yè)務(wù)VM，恐怕就沒(méi)有敏感數(shù)據(jù)可言了吧;
• VM之間的攻擊：從網(wǎng)絡(luò)外部直接入侵重要業(yè)務(wù)系統(tǒng)，要通過(guò)層層網(wǎng)絡(luò)安全措施的過(guò)濾與監(jiān)控，困難是顯而易見(jiàn)的。先入侵不重要的業(yè)務(wù)服務(wù)器(一般安全防護(hù)也相對(duì)較弱)，再作為“肉雞”橫向入侵重要的業(yè)務(wù)系統(tǒng)，是入侵者常用的手段。有了虛擬化技術(shù)，不僅VM之間的隔離難以部署網(wǎng)絡(luò)層安全措施，而且這種橫向入侵的流量又可能是完全不進(jìn)入物理交換機(jī)的“東西”向流量，因此，VM之間的安全狀態(tài)往往成為云服務(wù)建設(shè)者最大的“心病”;

#p#

B、業(yè)界目前提供云計(jì)算安全解決方案的分析

云計(jì)算是用戶需要的，選擇虛擬化技術(shù)是必然的，用戶需求就是技術(shù)發(fā)展的動(dòng)力，讓用戶的業(yè)務(wù)在云中“裸奔”顯然是不可取的。隨著云計(jì)算服務(wù)的成熟，其安全解決方案也推出了很多，但由于傳統(tǒng)的安全邊界防護(hù)思路難以奏效，這些方案在效果上都有些捉襟見(jiàn)肘。

1、VMWare的安全虛擬機(jī)流量清洗方案

WMWare目前是虛擬化管理平臺(tái)軟件最大的廠家，率先推出其安全保障方案。其思路是：在每個(gè)物理服務(wù)器內(nèi)開(kāi)啟一個(gè)安全VM，安裝安全軟件，如病毒查殺。由于VM下層的Hypervisor是自己的代碼，他們提供了一個(gè)API接口，通過(guò)Hypervisor控制，讓進(jìn)入VM的數(shù)據(jù)流先進(jìn)入安全VM，安全清洗后，再流到目標(biāo)VM中。實(shí)際上就是在VM的下層Hypervisor層上做每個(gè)VM的訪問(wèn)控制。

安全VM中不僅可以安裝殺病毒軟件，還可以安裝入侵檢測(cè)、防火墻等軟件，形成一個(gè)超能力的安全處理機(jī)。其前提是有VMWare提供底層的流量引導(dǎo)與控制，否則安全處理機(jī)就只能“旁觀”了。

這個(gè)方案設(shè)計(jì)思路很不錯(cuò)，Symantec、Checkpoint、McAfee、Trendmicro都在此方案上做了非常好的集成，尤其是查殺病毒方面實(shí)現(xiàn)的很理想。

但這個(gè)方案有一個(gè)致命的缺陷： VMWare公司的API接口是授權(quán)使用的，目前國(guó)內(nèi)的安全廠商沒(méi)有一家獲得，要選擇此方案，安全虛擬機(jī)中只能安裝國(guó)外安全公司的產(chǎn)品，這很難符合國(guó)內(nèi)等保、分保的要求。另外，這個(gè)方案在殺病毒方面應(yīng)用安全案例很多，但在其他安全措施集成上，案例相對(duì)較少。

這個(gè)方案給了我們兩點(diǎn)非常好的啟示：一是安全虛擬機(jī)，可以隨時(shí)“生成”安全設(shè)備，多少、種類(lèi)都不受限制;二是通過(guò)引導(dǎo)業(yè)務(wù)流可以讓“旁路”的安全措施發(fā)生效力。

2、安全虛擬機(jī)方案是否可以擴(kuò)展?

如果可以讓各種安全設(shè)備都變成軟件，運(yùn)行在VM里，就可以部署到業(yè)務(wù)VM的旁邊，通過(guò)虛擬交換機(jī)上流量引導(dǎo)就可以實(shí)現(xiàn)對(duì)業(yè)務(wù)VM的安全控制。這個(gè)方案是否可以進(jìn)一步擴(kuò)展呢?有兩個(gè)問(wèn)題是難以回避的。

• 資源擠占：一般一個(gè)業(yè)務(wù)系統(tǒng)往往不止需要一種安全措施，如一個(gè)網(wǎng)站需要WAF過(guò)濾，還需要IDS檢測(cè)，這樣就需要在網(wǎng)站VM旁邊開(kāi)啟兩個(gè)安全虛擬機(jī)。這種安全處理所需要的資源是很大的，vIDS與vWAF加起來(lái)占用的服務(wù)器資源，或許比業(yè)務(wù)VM需要的資源還要多。物理服務(wù)器的資源是有限的，安全與業(yè)務(wù)爭(zhēng)資源，是管理者不愿意看到的。如果網(wǎng)站業(yè)務(wù)流量增大，業(yè)務(wù)VM與安全VM可能就無(wú)法在一個(gè)物理服務(wù)器內(nèi)了，所謂“旁邊”就近處理，也無(wú)法兌現(xiàn)了;
• VM遷移：VM遷移是虛擬化最有特色的功能了，這種遷移往往是系統(tǒng)自動(dòng)的，當(dāng)VM遷移時(shí)，安全虛擬機(jī)是否跟隨遷移?若要實(shí)現(xiàn)一起遷移，則涉及多個(gè)VM是否可以同時(shí)遷移(同源同目的)，新的物理服務(wù)器是否可以容納它們?遷移過(guò)程中底層的流引導(dǎo)是否能保持同步?業(yè)務(wù)不中斷，安全措施監(jiān)控是否也能不間斷?若不做到一起遷移，VM遷移后，原來(lái)的安全虛擬機(jī)繼續(xù)處理流量，則需要流量跨物理交換機(jī)兩次，這顯然不可取;若在新位置重建安全虛擬機(jī)，安全虛擬機(jī)建立與開(kāi)啟需要時(shí)間，就必然會(huì)形成安全監(jiān)控的“天窗”。

很顯然，安全虛擬機(jī)方案很具誘惑，但不適合業(yè)務(wù)同時(shí)選用多種安全措施(VMWare方案中只是殺病毒一枝獨(dú)秀也可能有這方面的原因吧)。要讓安全虛擬機(jī)方案全面落地，除了底層的流量引導(dǎo)技術(shù)拓展之外，還要解決VM遷移同步，這一巨大的難題。

3、未來(lái)采用SDN流引導(dǎo)得到大家的共識(shí)

安全虛擬機(jī)方案是基于底層業(yè)務(wù)流引導(dǎo)思路的，除了VMWare提供的引導(dǎo)，采用業(yè)界“新寵”SDN也是一個(gè)選擇。很多網(wǎng)絡(luò)安全廠商采用SDN把業(yè)務(wù)流量引導(dǎo)到自己的安全設(shè)備中處理。SDN技術(shù)可以跨平臺(tái)地實(shí)現(xiàn)在VMWare、KVM、XEN等上。

SDN協(xié)議是一種通信協(xié)議，它將傳統(tǒng)的交換機(jī)分為兩層，底層轉(zhuǎn)發(fā)層(交換硬件)和轉(zhuǎn)發(fā)策略層(控制器)，非常適合流量重新路由定義。

該方案需要交換機(jī)支持SDN協(xié)議，目前SDN交換機(jī)還處于產(chǎn)品初步上市階段，承擔(dān)數(shù)據(jù)中心核心位置還有待產(chǎn)品成熟，同時(shí)，采用SDN交換機(jī)只能硬件升級(jí)，軟件升級(jí)無(wú)法實(shí)現(xiàn)。這對(duì)現(xiàn)有網(wǎng)絡(luò)改造需要時(shí)間過(guò)渡。

4、安全大一體機(jī)方案

對(duì)于虛擬化的云內(nèi)處理有技術(shù)難度，很多廠家就拋開(kāi)虛擬化平臺(tái)，在云的門(mén)戶上設(shè)立邊界的安全策略，這就是安全大一體機(jī)方案。

這個(gè)方案分為兩派廠家：

• 網(wǎng)絡(luò)安全廠商：做一個(gè)大安全一體機(jī)，把各種安全措施都可以放進(jìn)去，有FW，有IDS，有審計(jì)，放在云的門(mén)戶上，對(duì)所有經(jīng)過(guò)的信息流配置安全訪問(wèn)控制策略;
• 網(wǎng)絡(luò)交換廠家：把安全措施直接放進(jìn)核心交換機(jī)，這里本就是流量的匯聚地。插上FW的處理板，插上IDS的處理板，就可以對(duì)IP包做訪問(wèn)控制了。

大一體機(jī)方案，顯然是傳統(tǒng)安全模式的延伸，只在云的邊上，不到云的內(nèi)部去。這個(gè)方案的最大問(wèn)題是，要求設(shè)備處理能力極強(qiáng)，因?yàn)殚T(mén)戶的流量最大，隨著云計(jì)算業(yè)務(wù)的擴(kuò)展，這種壓力會(huì)指數(shù)級(jí)增加;

另外，這個(gè)方案對(duì)云內(nèi)部的東西流量根本看不見(jiàn)，更談不上安全策略了。實(shí)際上是默認(rèn)了放棄云內(nèi)部安全的處理。