三、云計算安全解決方案的設(shè)計思路

云計算架構(gòu)的顯著特點是數(shù)據(jù)和業(yè)務(wù)的集中處理，加上VM的動態(tài)遷移，各個的業(yè)務(wù)VM就混在一起，要將這些VM之間完全隔離是十分困難的。業(yè)務(wù)VM之間是需要互通的，如虛擬桌面需要與服務(wù)器連通，網(wǎng)站服務(wù)器要與數(shù)據(jù)庫服務(wù)器通信，中間件服務(wù)器要提供服務(wù)支持等等。雖然可以通過虛擬交換機上的訪問控制，讓VM之間邏輯隔離開來，互通時到外邊的三層網(wǎng)關(guān)上做流量過濾，但這會成倍地增加循環(huán)流量，讓虛擬交換機不堪重負。

局部難以解決的問題，我們可以開拓眼界，把它放到更大的領(lǐng)域中，問題或許就變得簡單了。因此，我們方案思路是先做安全的預(yù)處理，將重大的隔離問題放在整體網(wǎng)絡(luò)安全規(guī)劃中解決，先整體，再局部，將安全問題逐步分解。至于云的內(nèi)部，能做到實時地動態(tài)監(jiān)控，對VM之間的不安全流量報警，及時處理即可。

1、網(wǎng)絡(luò)安全規(guī)劃------云朵方案

虛擬化網(wǎng)絡(luò)只是延展了網(wǎng)絡(luò)邊界，并沒有改變網(wǎng)絡(luò)的路由交換模式，傳統(tǒng)的安全域規(guī)劃同樣是非常必要的。為了彌補在一個虛擬化池內(nèi)部，做到兩個信息系統(tǒng)之間強隔離的困難，我們在網(wǎng)絡(luò)安全總體規(guī)劃時，建議安全需求較大的兩個信息系統(tǒng)就不要部署在一個虛擬化池中。比如等級保護二級系統(tǒng)與三級系統(tǒng)不要部署在一個虛擬化池中，可以部署在不同的虛擬化池里，每個虛擬化池都形成了一個“云朵”，這個設(shè)計思路就稱為“云朵”方案。

云朵方案的設(shè)計思想如下：

• 分別按照安全需求建立不同的虛擬池，如二級的辦公業(yè)務(wù)池、三級的核心業(yè)務(wù)池;每個虛擬池如同一個傳統(tǒng)安全域，有自己的云朵管理平臺;(也可以在一個虛擬化池內(nèi)，設(shè)立不同的服務(wù)區(qū)，同一區(qū)內(nèi)的業(yè)務(wù)VM不能遷移到其他區(qū)域里，這樣就形成物理服務(wù)器的不同區(qū)域)
• 建立統(tǒng)一的安全運維管理中心，通過與各個云朵管理平臺的互通，了解云朵內(nèi)部的運行狀態(tài);
• 核心互聯(lián)域與外網(wǎng)互聯(lián)域與“3+1”安全域功能基本一致;
• 用戶接入域分為兩個：一是傳統(tǒng)的物理終端接入域，一是虛擬終端接入域。

采用云朵方案的設(shè)計思路，將安全問題分為兩個方面：一是云朵之間的安全，因為域邊界位置明確，采用傳統(tǒng)邊界安全設(shè)計思路即可;二是云朵內(nèi)的安全，是我們接下來的設(shè)計的重點。此時云朵內(nèi)的各個業(yè)務(wù)系統(tǒng)安全需求接近，可訪問的用戶群大多一樣，相互之間的隔離需求相對較弱。實現(xiàn)安全監(jiān)控與審計，就可以滿足業(yè)務(wù)系統(tǒng)的安全需求了。

2、云朵內(nèi)安全方案：兩頭加固，中間導(dǎo)流控制

一個云朵就是一個虛擬化資源池，就是一個獨立的安全域，包括服務(wù)器資源池、存儲資源池，也包括安全資源池，還包括作為支撐虛擬資源池連接的虛擬網(wǎng)絡(luò)。對于用戶來講，可以看見的只是云朵的門戶而已。

#p#

云朵內(nèi)的安全包括三部分：

• 用戶端與門戶：門戶是訪問云朵的大門，用戶端是訪問的起點。用戶端到門戶可以通過多種網(wǎng)絡(luò)路徑，專網(wǎng)、互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)等。其最大的特點，就是終端與訪問網(wǎng)絡(luò)的安全狀態(tài)是不可控的。但在用戶端與門戶，可以做一些“門檻式”的安全加固措施，為云朵內(nèi)的安全提供一些“初級攻擊者的流量清洗與未授權(quán)行為的阻斷”。
• 用戶端：專用的辦公電腦可以安裝指定的安全措施，如終端安全管理，強制終端的環(huán)境是安全可控的。但個人電腦、手機等智能終端，嚴格限制用戶安裝軟件的方法就不太現(xiàn)實了，采用“容器”式終端軟件運行模式，或者是虛擬終端模式，能夠讓用戶訪問服務(wù)時，盡量少地受終端上其他不安全軟件的影響;
• 云朵的門戶：作為進入云計算服務(wù)的大門，流量很大，不適合做細粒度的安全措施，但部署網(wǎng)絡(luò)層的控制與流量清洗是可以的：
• 身份鑒別與授權(quán)管理：確保訪問者有合法的授權(quán);
• Anti_DDOS：清洗以阻斷帶寬為目的DDOS攻擊流量，保證門戶的暢通;
• 惡意代碼檢測：針對文件型的惡意代碼進行APT檢測，一般采用并聯(lián)方法，不影響業(yè)務(wù)性能;對于已知的，采用特征檢測方法，對于未知的，采用“沙箱”技術(shù)，釋放文件，通過行為判斷是否為惡意代碼，可以檢測未知的木馬、病毒、蠕蟲等(建立已經(jīng)檢測文件的特征庫，減少在線檢測的數(shù)量)。發(fā)現(xiàn)惡意代碼，立即報警，通知安全管理中心，針對具體的訪問連接進行進一步處理。
• 虛擬機：業(yè)務(wù)系統(tǒng)“看到”的是服務(wù)器，就是VM，由于系統(tǒng)升級兼容等問題，OS與DB的很多漏洞無法及時打補丁，所以針對性的安全加固是必須的：
• 安全基線增強：VM服務(wù)于特定的應(yīng)用，對于不需要的服務(wù)端口、不需要的賬戶、不需要的第三方軟件等應(yīng)該關(guān)閉，對于不能修改的系統(tǒng)文件應(yīng)該安全保護;
• 反控制加固：服務(wù)器安全底線是不做“肉雞”，因此，建立進程的黑白紅策略，禁止賬戶權(quán)限隨意更改，禁止木馬進程啟動，保護注冊表，保護系統(tǒng)文件不被替換等策略，都是必須的;若每個VM都做到這樣的“自律”，入侵者即使有幸入侵到你的云內(nèi)部，也會寸步難行，無所建樹的;
• 敏感信息防護：入侵者多以獲取系統(tǒng)管理員權(quán)限為攻擊目標，我們建立強制性訪問控制策略(系統(tǒng)權(quán)限與敏感信息訪問權(quán)限分開管理)，把系統(tǒng)管理員的敏感信息訪問權(quán)限降低，這樣即使入侵者獲得管理員權(quán)限，仍然不能看到敏感信息的目錄或文件。等保三級的信息系統(tǒng)就需要支持強制性訪問控制的安全加固。
• 網(wǎng)絡(luò)區(qū)域：云朵內(nèi)的網(wǎng)絡(luò)不僅有物理網(wǎng)絡(luò)，而且有虛擬網(wǎng)絡(luò)。如何讓每個用戶的訪問流量先流經(jīng)相應(yīng)的安全措施，再進入VM?再明確一點，就是讓用戶流量不再按照原來的IP方式路由轉(zhuǎn)發(fā)，而是按照我們定義的安全策略重新安全路徑。這就是我們云朵內(nèi)安全解決方案的核心支持平臺：云導(dǎo)流(流引導(dǎo)與控制)

總結(jié)起來：云朵內(nèi)部的安全是兩頭加固，中間導(dǎo)流的模式。門戶的加固提高了入侵者的攻擊門檻，服務(wù)器的安全加固提高了入侵者攻擊的技術(shù)難度，中間網(wǎng)絡(luò)層通過流量引導(dǎo)，將傳統(tǒng)的安全措施部署進來，進一步提高訪問控制、安全檢測、行為審計的能力。

3、流引導(dǎo)與控制------先定義流

顧名思義，流引導(dǎo)是以流為控制的核心，流是什么?流就是跟某個信息系統(tǒng)相關(guān)的所有網(wǎng)絡(luò)流量。因為業(yè)務(wù)系統(tǒng)提供服務(wù)都是通過網(wǎng)絡(luò)進行的，所以可以說服務(wù)器網(wǎng)卡上的所有流量就是我們需要控制的流。其內(nèi)容無非一下幾個方面：

• 用戶訪問業(yè)務(wù)服務(wù)器的流量;
• 服務(wù)器與其他數(shù)據(jù)庫、中間件服務(wù)器通信的流量;
• 系統(tǒng)與其他系統(tǒng)數(shù)據(jù)共享的流量，如數(shù)據(jù)交換、數(shù)據(jù)備份等;
• 業(yè)務(wù)系統(tǒng)運維管理的流量
• 服務(wù)器系統(tǒng)運維管理的流量;
• 日志輸出的流量;
• 系統(tǒng)維持各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)管理的通信流量。

流在網(wǎng)絡(luò)里分為外部用戶通過門戶進入的“南北流量”，有虛擬機之間的“東西流量”;由于VM的遷移，流量在那個交換機上是不確定的，可以說，在網(wǎng)絡(luò)層上看，流是交織在一起的。我們希望通過流量的引導(dǎo)，讓每個業(yè)務(wù)系統(tǒng)還原出邏輯的網(wǎng)絡(luò)拓撲，可以部署了安全措施的網(wǎng)絡(luò)拓撲。

用流的概念讓每個信息系統(tǒng)從“復(fù)雜”的網(wǎng)絡(luò)里脫離出來，每個信息系統(tǒng)的流是分離的，安全管理人員看到的是一個邏輯網(wǎng)絡(luò)層，展示的是每個信息系統(tǒng)的邏輯網(wǎng)絡(luò)拓撲圖。有了這個邏輯網(wǎng)絡(luò)層，我們就可以按照業(yè)務(wù)系統(tǒng)自身的安全需求定義其安全屬性。

定義了流，如何引導(dǎo)流呢?

TCP/IP協(xié)議規(guī)定了數(shù)據(jù)包是按目的IP進行路由轉(zhuǎn)發(fā)的，每個網(wǎng)絡(luò)設(shè)備(交換機、路由器等)都有自己的路由表，保證數(shù)據(jù)包從自己設(shè)備轉(zhuǎn)發(fā)出去時是正確的下一跳。這就好比練車場上，本來車是可以隨便走的，但畫上行道線，車就要按照定義好的行車線，先過紅綠燈，再到立交橋…因此，流的引導(dǎo)與控制就是對數(shù)據(jù)包重新路由的一個過程。這樣我們可以讓安全措施不再跟著VM去遷移，可以固定在某給位置，而是讓信息流繞個彎，流經(jīng)相應(yīng)的安全設(shè)備。