2015年，云計(jì)算已不再是什么新興技術(shù)。Gartner 于8月份發(fā)布的2015年新興技術(shù)炒作周期報(bào)告中，云計(jì)算類目只剩下孤零零的“混合云”，即在Gartner的視野里，公有云、私有云等云計(jì)算形態(tài)，都已經(jīng)步入了“穩(wěn)定應(yīng)用期”，尤其是公有云，即使是最為保守的客戶，也已經(jīng)開始考慮將部分業(yè)務(wù)放置于公有云之上。IDC更是預(yù)計(jì)2015年全球公有云市場(chǎng)規(guī)模將達(dá)700億美元，而中國(guó)市場(chǎng)年均復(fù)合增長(zhǎng)率將高達(dá)33.2%……但是，如火如荼的云遷移與云建設(shè)，是不是少了點(diǎn)兒什么動(dòng)手之前就應(yīng)該注重分析的因素？

Bingo，你答對(duì)了！就是少了那項(xiàng)重中之重的安全因素——云安全。

[[149822]]

小豆的云安全顧慮

2014，被認(rèn)為是“泄密年”。據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2014年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》顯示，2014年中國(guó)通報(bào)的安全漏洞事件達(dá)9068起，較2013年增長(zhǎng)3倍。這些不斷爆出的各類漏洞，不僅給網(wǎng)友財(cái)產(chǎn)和人身安全帶來巨大威脅，更讓中度或重度布設(shè)在公有云平臺(tái)上的企業(yè)隱含巨大品牌和運(yùn)營(yíng)風(fēng)險(xiǎn)。而步入2015，云安全事件更是接連不斷：宕機(jī)、斷網(wǎng)、泄數(shù)據(jù)……

這種種，在小豆，一個(gè)公有云上創(chuàng)業(yè)團(tuán)隊(duì)技術(shù)負(fù)責(zé)人的眼里，都是讓他心有余悸的。雖然這些安全問題已在IT內(nèi)部存在多年，但是云，以及那種人們對(duì)于數(shù)據(jù)一旦放到防火墻外將失去控制的恐懼，再次凸顯了這些問題。

顧慮起因

大概三四年前，小豆團(tuán)隊(duì)為了快速建立業(yè)務(wù)能力，便把全部業(yè)務(wù)放置在公有云之上，算是比較早期的重度公有云用戶。在創(chuàng)業(yè)初期，公有云為小豆團(tuán)隊(duì)帶來了不少便利，同時(shí)也帶來了一些困擾。印象最深刻的是某天半夜小豆收到的兩封重要通知郵件：

“尊敬的用戶，經(jīng)檢測(cè)您的主機(jī)xxx存在惡意掃描，請(qǐng)您務(wù)必在12小時(shí)內(nèi)處理，逾期未處理將關(guān)停主機(jī)。關(guān)停后必須重置全盤恢復(fù)初始狀態(tài)才能解封，請(qǐng)您務(wù)必重視。感謝您的配合。”

“尊敬的用戶您好: 經(jīng)查詢您的云服務(wù)器xxx存在破壞或試圖破壞網(wǎng)絡(luò)安全的行為，懷疑已被肉雞。為了不影響您的服務(wù)， 請(qǐng)參考以下處理方案xxx進(jìn)行操作, 12小時(shí)內(nèi)未及時(shí)處理將導(dǎo)致云服務(wù)器關(guān)停。”

看到郵件說如果不及時(shí)處理就會(huì)被重置系統(tǒng)，小豆趕緊爬起來，先備份數(shù)據(jù)，把業(yè)務(wù)系統(tǒng)遷移到其他云服務(wù)器上，再排查是哪里出了問題。原來，云服務(wù)器默認(rèn)都是使用密碼進(jìn)行登錄驗(yàn)證，并且默認(rèn)開放root用戶的登錄權(quán)限，這種不安全的方式被忙碌的小豆他們忽略了。小豆他們本應(yīng)像一般用戶一樣，申請(qǐng)?jiān)品?wù)器后，將登錄方式修改為密鑰驗(yàn)證，并關(guān)掉root用戶的登錄權(quán)限。但由于非常忙，未及時(shí)修改，竟然致使密碼被暴力破解，云服務(wù)器被掛了木馬，成了肉雞。

由于擔(dān)心木馬流竄到內(nèi)網(wǎng)其他系統(tǒng)上去，小豆趕緊叫上同事一起排查手上全部的云服務(wù)器，忙到第二天晚上，才算告一段落。事后小豆他們吸取教訓(xùn)，加強(qiáng)了安全建設(shè)，花了幾周的時(shí)間重新規(guī)劃了業(yè)務(wù)系統(tǒng)，梳理了一套安全規(guī)范，不單硬性規(guī)定所有云服務(wù)器必須使用密鑰認(rèn)證，關(guān)閉root用戶登錄權(quán)限，而且會(huì)不定期的更新密鑰，重要的系統(tǒng)禁止遠(yuǎn)程登錄到shell，只能登錄到特定的菜單執(zhí)行預(yù)定義的幾個(gè)操作，核心系統(tǒng)更是使用了敲門端口（服務(wù)器默認(rèn)關(guān)閉所有端口，只有在按一定順序和次數(shù)訪問特定的端口序列的時(shí)候，才會(huì)打開端口進(jìn)行key認(rèn)證，而且端口序列也會(huì)定期更新，據(jù)說這是密碼學(xué)里已知最安全的加密方法）。小豆他們開發(fā)了一套安全加固腳本，所有新申請(qǐng)的云服務(wù)器都要運(yùn)行這個(gè)腳本完成上述的安全設(shè)置，還專門開發(fā)了一套用做密鑰管理和發(fā)放、菜單和端口序列生成的小系統(tǒng)。在此之后的很長(zhǎng)一段時(shí)間，小豆他們的系統(tǒng)再也沒出現(xiàn)過類似的安全事件。

小豆說：“如果云平臺(tái)能預(yù)制這樣一套系統(tǒng)就好了。雖然沒有及時(shí)修改認(rèn)證方式，是我們工作的疏忽，怪不得云平臺(tái)，但是用公有云不就是圖個(gè)方便，如果云平臺(tái)能預(yù)制這樣一套系統(tǒng)，那用起來多省心?；蛘咴破脚_(tái)在發(fā)現(xiàn)云服務(wù)器有異常行為的時(shí)候，能夠?qū)⒃品?wù)器的網(wǎng)絡(luò)隔離掉，避免進(jìn)一步的破壞，也是個(gè)可以接受的處理方式。簡(jiǎn)單粗暴的讓用戶限期整改，逾期就重置系統(tǒng)，這樣真是不太合適。”

尋找云安全解決方案

目前公有云在DDoS防護(hù)、防DNS劫持檢測(cè)、網(wǎng)站安全防護(hù)上已經(jīng)做了很多工作，也做了異地登錄告警、異常行為檢測(cè)、常見配置錯(cuò)誤檢查等實(shí)用小功能，但是云平臺(tái)的安全，和傳統(tǒng)的數(shù)據(jù)中心有很大的不同，這些功能還遠(yuǎn)不足以解決云平臺(tái)的安全問題。

除了常見的外網(wǎng)攻擊，云平臺(tái)因?yàn)槎鄠€(gè)租戶共享同一組資源，物理上的可信邊界被打破，威脅也可能來自相鄰的租戶，傳統(tǒng)的網(wǎng)絡(luò)邊界防護(hù)技術(shù)已經(jīng)難以應(yīng)對(duì)，一旦外網(wǎng)的安全邊界被突破（如云盾），整個(gè)云平臺(tái)都可能會(huì)被直搗黃龍。所以近幾年興起了所謂的縱深防御技術(shù)，意圖在多個(gè)層面解決云平臺(tái)的安全問題。今年Google更是啟動(dòng)了BeyondCorp計(jì)劃，目的是取消內(nèi)外網(wǎng)之別，不再依賴外圍防火墻等安全設(shè)備的保護(hù)，就是因?yàn)橐坏┩鈬雷o(hù)的某一個(gè)點(diǎn)被突破，內(nèi)網(wǎng)就很可能變得和外網(wǎng)一樣危險(xiǎn)，而現(xiàn)代企業(yè)越來越多的采用移動(dòng)技術(shù)和云技術(shù)，內(nèi)外網(wǎng)的邊界越來越模糊，所以不如一視同仁，不再區(qū)分內(nèi)外網(wǎng)，而是用一致的安全技術(shù)去對(duì)待整個(gè)網(wǎng)絡(luò)里的每一臺(tái)主機(jī)。

普元的云安全解決方案

那么云平臺(tái)的安全問題，該如何解決呢？答案是：安全問題永遠(yuǎn)是“魔高一尺、道高一丈”，只能改善，無法一勞永逸的徹底解決，但是接入認(rèn)證方面的改進(jìn)，應(yīng)該是解決安全問題時(shí)投入產(chǎn)出比較高的一個(gè)途徑。云平臺(tái)上的業(yè)務(wù)系統(tǒng)建設(shè)，應(yīng)該嚴(yán)格控制客戶端或?yàn)g覽器到業(yè)務(wù)系統(tǒng)的認(rèn)證關(guān)系，并強(qiáng)化業(yè)務(wù)系統(tǒng)之間的訪問認(rèn)證，所有的客戶端或?yàn)g覽器訪問，都應(yīng)該經(jīng)過統(tǒng)一的認(rèn)證服務(wù)器、通過證書進(jìn)行驗(yàn)證，訪問權(quán)限通過策略引擎統(tǒng)一管理，不同用戶在不同的時(shí)間和位置、通過不同的設(shè)備、訪問不同的資源，所擁有的權(quán)限應(yīng)該有所差異，而不是基于傳統(tǒng)的靜態(tài)權(quán)限配置，業(yè)務(wù)系統(tǒng)之間也應(yīng)該采用類似的安全策略。本質(zhì)上是信任關(guān)系從網(wǎng)絡(luò)層面下降到設(shè)備和系統(tǒng)層面，不再依賴外圍的網(wǎng)絡(luò)防護(hù)，總體思路和Google的BeyondCorp計(jì)劃類似。

多年來，國(guó)內(nèi)領(lǐng)先的軟件基礎(chǔ)平臺(tái)與解決方案提供商普元在幫助客戶建設(shè)私有云的同時(shí)，還提供基于公有云的企業(yè)應(yīng)用平臺(tái) EOS Cloud，通過EOS Cloud，私有云和公有云可以得到連通，從而形成混合云，而在所有的云計(jì)算解決方案之中，都貫徹了普元的云安全理念，為企業(yè)應(yīng)用提供良好的安全基礎(chǔ)服務(wù)，為云平臺(tái)上的所有系統(tǒng)提供統(tǒng)一的安全策略，管理好每一個(gè)業(yè)務(wù)系統(tǒng)、每一個(gè)云服務(wù)器的入口，在最大程度上杜絕安全事故的發(fā)生。

近期，普元還推出了《建立安全可靠、高效智能的云數(shù)據(jù)中心》這一云計(jì)算白皮書，通過多年公有云、私有云、混合云成功實(shí)施經(jīng)驗(yàn)，跨越災(zāi)備云、社區(qū)云、電商云等多領(lǐng)域，對(duì)企業(yè)如何建立安全可靠、高效智能的云數(shù)據(jù)中心給出建議。經(jīng)過一系列實(shí)踐與總結(jié)，圍繞業(yè)務(wù)、流程、技術(shù)相輔相成的建設(shè)思路，普元總結(jié)出“五級(jí)規(guī)劃和八大流程”兩個(gè)維度來幫助企業(yè)推進(jìn)云數(shù)據(jù)中心建設(shè)，形成最終安全可靠的云數(shù)據(jù)中心邏輯架構(gòu)。

另據(jù)了解，在云安全層面，OASIS（結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織）還專門成立了云身份技術(shù)委員會(huì)（IDCloud TC）以解決由云計(jì)算身份管理帶來的安全挑戰(zhàn)，這里的“身份”，不僅僅是“人”的身份，也應(yīng)該是“設(shè)備”和“系統(tǒng)”的身份。普元多位云技術(shù)專家擔(dān)任該委員會(huì)核心成員。