IDC基础设施云的安全策略研究

段 勇，朱 源

（中国电信股份有限公司上海研究院 上海 200122）

1 引言

虽然云计算已广为人知，但是到底什么是云计算目前还没有形成统一的看法或定义。业界有影响力的机构组织或商业公司对于云计算给出了不同的描述，不过大家普遍认同云计算应该具有以下5个基本特征。

（1）按需的自助服务

云服务不同于传统的网络服务或普通IT服务的一个鲜明特征就是无需人工干预的自助服务，如服务开通、配置变更、缴费、取消等操作都是自助完成的。

（2）宽带接入

该特征要求云服务通过网络提供，并且应该涵盖基本上所有的客户端，包括各种电脑、上网本、智能手机等。

（3）虚拟化的资源池

该特征来源于云服务的多客户性质。在同一套物理资源之上给多个客户提供服务，需要将原来孤立的、个体的物理资源通过虚拟化技术映射成为虚拟的、功能模块化的、面向多用户服务的资源池，并由系统统一、动态、按需地分配给各个客户。由此带来的另外一个结果就是客户不再关心且基本上无法知道自己的某个服务在某个时刻运行在哪个物理位置的物理硬件之上。这些资源包括CPU计算能力、内存、存储、进程、网络带宽、虚拟机、备份数据、维护人员等。

（4）快速弹性架构

这个特征被认为是云计算带来的最大好处之一。用户不再为系统扩容跟不上用户需求预测而苦恼，也不用为短期项目完工后闲置的IT资源而担心。系统规模的扩大/减小对于云服务的用户来说变成了鼠标点击事件，就好像云里的服务和虚拟资源是无限的、“召之即来、挥之即去”的。

（5）可测量的服务

这里强调的 “服务”，它应该是可以测量的、有明确价格和收费政策的。在使用过程中，各种服务（例如存储、带宽、活动用户账号、各种计算资源等）的使用、监视、控制等对于服务提供者和用户都是透明的。

除了上述5个关键特征之外，多租户也是云计算的重要特征。这些关键特征与云计算的网络安全息息相关。

在互联网进入Web 2.0时代以后，网络安全威胁的发展趋势有了很大的变化。云计算服务大量涌现，个人计算和企业计算大量向云服务迁移进一步加剧了围绕着 Web的各种安全威胁。IDC于 2008年8月就云计算开展了调查活动，其中安全问题高居榜首。

IDC基础设施云业务是基于云计算平台的IT基础设施租用服务。它通过虚拟化、自动化等云计算关键技术智能、动态地调配各种资源（如计算、存储、带宽、硬件、软件等）提供给客户,使客户无需为繁琐的细节而烦恼，从而能够更加专注于自己的业务。

2 安全需求分析

对于IDC基础设施云业务的安全需求，可以从两个层面来分析：一方面，IDC基础设施云业务仍然基于传统的IT环境，从这个层面来看，大多数环境下，IDC基础设施云平台面临的风险和威胁与传统的IT环境没有太大的不同；另一方面，云服务模式、运营模式和云计算新技术的引入，给运营商带来了比传统的IT环境更多的安全风险。

2.1 网络层

IDC基础设施云是一类面向互联网客户的公共云服务，要保证业务的正常运维，必须解决客户与IDC基础设施云之间的交互可能存在的风险，这部分由云计算技术的引入带来的风险主要有虚拟化的网络设备和云计算技术带来的网络区域和层次的隔离模型的变化。

（1）虚拟网络设备

在IDC基础设施云环境下，已经可以提供具备VLAN以及更多能力的虚拟交换设备，这些虚拟交换设备给在虚拟环境下部署支撑应用的灵活虚拟网络多层架构提供了条件，如部署不同的应用服务器、Web服务器甚至数据服务器。如果采用传统的部署在虚拟环境外的安全组件，是无法完成对虚拟网络架构的各个服务器流量的监控和审计的，发生在虚拟交换机间的流量也是无法监控的，那么虚拟环境就成了整个安全的黑盒子，任何一台虚拟环境下的服务器受到攻击，将极容易扩散到其他的虚拟服务器或主机。

（2）网络区域和层次的变化

以往的网络区域和层次的隔离模型在公共的云计算模式下发生了很大的变化。多年来，网络安全依靠分区，如内部网与外部网、开发环境和生产环境，通过隔离网络流量提高网络的安全性，该模型是基于只有特定的个人和系统有权访问特定区域。同样，在一个特定的层的系统往往只有特定的访问权限，例如，在展现层的系统不能直接与数据库层通信，但可以与授权的应用系统通信。

在IDC基础设施云里，传统网络分区和层的概念已被公共云的“安全组”、“安全域””或“虚拟数据中心”替换，相比以前分区和层的模型，它是一个逻辑性更强的模型。例如，安全组可让用户的虚拟机使用物理或虚拟防火墙限制彼此访问，实现基于IP地址的过滤等能力。

以往基于网络分区和层的模型，不同的主机之间不仅从网络逻辑结构上分开，这两组系统在物理主机上也是分开的。但是有了云计算，这种分离不再存在。云计算的安全域之间都是逻辑分离，不再是物理分离，因为现在逻辑分开的两个域可能都在一台物理主机上。

2.2 主机和操作系统层

目前几乎所有的IDC基础设施云提供的服务都是采用了基于主机的虚拟化技术，因此这部分由云计算引入的风险主要考虑两个方面，一个是虚拟化软件的安全性，另一个是使用虚拟化技术的虚拟服务器的安全性。

（1）虚拟化软件的安全性

该软件层是一个非常重要的层次，坐落于裸机顶部，提供能够创建、运行和销毁虚拟服务器的能力。实现虚拟化的方法不止一种，实际上，有几种方法都可以通过不同层次的抽象来实现相同的结果，如操作系统级虚拟化、全虚拟化或半虚拟化。在IDC基础设施云平台中，云主机的客户不必访问此软件层，它完全应该是由云服务提供商来管理的。

虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次，使得在一台计算机上能够安全地同时运行多个操作系统，任何未经授权的用户必须严格限制访问。虚拟化对于IaaS云架构来说非常关键，任何可能会影响该层次完整性的攻击对于云上的所有客户来说都是灾难性的。云服务提供商应建立必要的安全控制措施，限制对于hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制。

虚拟化软件层的完整性和可用性对于保证基于虚拟化技术构建的公有云的完整性和可用性是最重要的，也是最关键的。一个有漏洞的虚拟化软件会暴露所有的业务域给恶意的入侵者。

（2）虚拟服务器的安全性

虚拟服务器位于虚拟化软件之上，客户可以通过自服务平台选择满足需求的虚拟服务器。客户可以充分利用虚拟服务器，就像访问物理服务器一样，并通过Internet管理和使用。

对于云主机的客户来说，可以完全访问基于虚拟化软件之上的虚拟机，因此客户有责任确保具有访问权限的客户和虚拟机的安全管理。

从攻击面的角度来看，虚拟机可以提供给任何在互联网上的客户使用，因此需要采取一定的安全措施，限制访问虚拟机实例。通常情况下，IDC基础设施云服务提供商严格限制虚拟服务器端口访问，并建议客户使用安全接入方式（如SSH、IPSec VPN等）来管理虚拟服务器实例。

虚拟机在公共IDC基础设施云服务中可能遇到的安全威胁包括：

·窃取密钥用于访问和管理主机（如SSH的私钥）；

·攻击未打补丁的、有漏洞的标准端口服务（如FTP、NetBIOS、SSH）；

·没有采取适当的安全措施的账户劫持（即弱或没有密码的标准账户）；

·攻击不正确的主机防火墙安全系统；

·部署木马嵌入在虚拟机软件组件或在虚拟机镜像（操作系统）本身。

2.3 应用和数据层

通常情况下，IDC基础设施云服务提供商，如Amazon等，将客户在虚拟机上部署的应用看作是一个黑盒子，云服务提供商不必关心客户应用的管理和运维，当然，通常客户也不希望云服务提供商知道自己的应用和数据。客户的应用程序无论运行在何种平台上，都由客户部署和管理，因此客户将对云主机之上应用安全负全部责任。当然，云服务提供商可以通过增值服务的方式提供相应的安全服务，如保障用户应用安全相关的防火墙策略等。

总之，云主机的客户负责其应用安全的所有方面，并应采取必要的措施来保护他们的应用程序，以防范安全威胁。当然，云服务提供商也可以根据客户的需求，提供必要的基础安全服务和增值的安全服务，保障客户应用的安全。

3 安全框架

IDC基础设施云的安全需求来自于多个维度，分布在管理、技术、业务、人员多个层面，采用分散的、独立的安全技术和措施无法有效解决。安全是云计算的必要组成部分，需要作为一个整体进行系统考虑。

如图1所示，IDC基础设施云的安全要求包括技术要求、安全管理能力要求、接口要求以及法律和法规的遵从4个部分，这4个部分既相对独立，又有机结合，形成IDC基础设施云的整体安全框架。

（1）技术要求

技术要求从网络层安全、虚拟层安全、操作系统层安全、应用层安全和数据层安全5个层面提出。

·网络层安全主要指物理网络（含存储网络）的安全。

·虚拟层安全指hypervisor（含管理平台）、虚拟存储和虚拟网络的安全。

·操作系统层安全包括IDC基础设施云中物理主机、虚拟化软件、虚拟机镜像和存储平台的操作系统安全。

·应用层安全包括IDC基础设施云管理平台相关的应用、用户自服务平台和中间件的安全。用户在IDC基础设施云中构建的应用安全由用户自己保证，如果需要，可以增值服务方式提供给用户。

·数据层安全包括IDC基础设施云管理平台相关的数据安全。用户在IDC基础设施云中的数据安全由用户自己保证，如果需要，可以增值服务方式提供给用户。

各层次需考虑的安全要素参见表1。

（2）安全管理能力要求

结合IDC基础设施云的安全需求，安全管理能力要求涵盖了以下7个方面。

·用户管理

有了云计算，网络、系统和应用的组织边界将扩展到云服务提供商的网络。采用云服务之后，整个云服务提供商网络的信任边界将变得动态化和模糊化，并且有可能不受控制。这种失控将挑战既定的信任管理和控制模型，如果管理不善，会严重影响云服务的运营。

用户管理最终目标是将用户及其拥有的所有应用系统账号关联，集中进行管理维护，使用户更高效地使用运营商的云服务，并为云服务的访问控制、授权、审计提供了可靠的原始数据基础。

·访问认证

为了弥补损失的网络控制能力，并降低网络安全风险，云服务提供商将不得不依靠更高安全级别的手段来增强控制。这些控制表现为基于角色的强认证和授权机制、准确可靠的来源属性、身份联邦、单点登录（SSO）以及用户活动监控和审计。

访问认证是指基于用户的属性对用户的真实身份进行鉴别的系统。用户访问认证系统实现各设备及系统用户的集中认证，并为多个系统提供单点登录能力，由认证、授权、访问控制、适配器（代理等）模块构成。

集中的访问认证目标是建立统一、集中的认证和授权系统，授权用户对云服务的使用权，同时防止非授权用户的访问。在云计算的消费模式中，用户可以从任何连接到互联网的主机访问云服务，而集中的访问认证可以削弱这种不受控的访问能力。

·安全审计

云服务提供商应建立安全审计平台，收集各类网络、主机、应用和业务层面的日志，并在审计平台上进行统一的、完整的审计分析。审计平台应涵盖网络层面的集中监控管理和业务层面的安全审计。云端的安全审计主要指云服务的使用和访问监控方面，包括网络层面、系统层面、应用层面和业务层面的安全审计。

·漏洞管理

漏洞管理是一个重要的威胁管理功能，云服务引入漏洞管理的主要目的是帮助保护主机、网络设备以及应用程序不受已知漏洞的攻击。云服务提供商需要建立漏洞管理机制和流程以应对安全风险。

·补丁管理

和漏洞管理一样，补丁管理的主要目的是防止未经授权用户利用已知漏洞攻击云服务的主机、网络设备以及应用程序，它也是云服务的一个重要的威胁管理模块。

·安全配置管理

安全配置管理是另一个非常重要的威胁管理模块，它主要用于保护主机和网络设备，防止未经授权用户利用配置漏洞。配置管理模块是整体IT配置管理的一个子集，它和漏洞管理模块紧密相关。配置管理模块保护网络、主机、应用程序的配置，并限定对关键系统和数据库的配置文件的监控和访问控制。

·安全事件管理

安全事件管理主要完成对事件的集中收集、管理和分析，主要的功能包括事件收集、事件集中处理和实时关联分析。

表1 IDC基础设施云需考虑的安全要素

（3）接口要求

IDC基础设施云平台不是一个独立的业务系统，它将通过相关的外部接口实现业务的开通、受理、报表等功能，未来IDC基础设施云的一些接口可能直接提供给客户，与客户的业务系统集成，因此在相关接口的设计中需要充分考虑接口的安全。

·可靠性

接口方式是信息模型的载体，无论采取何种接口方式，都应保证所传递的信息是可靠、完整和一致的。接口可靠性不仅要求交互方式的可靠与稳定，还要求接口的实现不能对参与接口的系统的可靠性造成任何不良影响，如当采集链路或程序异常时，不应造成数据丢失以及对接口相关系统的正常工作造成影响。

·保密性

IDC云平台与外部系统通过接口交互的信息有着不同的安全保密要求，如配置信息通常比性能信息的保密要求更高，根据信息的安全级别可采取传输加密等多种方式进行保护。

·高效性

IDC云平台的运行效率与接口效率密切相关，接口的高效性要求采用的接口方式与实现技术必须保证接口的畅通及不会造成待交互信息的积压或延迟。

（4）法律与法规的遵从

合规性也是云安全一个非常重要的内容，作为云服务提供商，对外提供服务，需要考虑满足相关的法律和法规的要求；作为云服务的消费者，在选择云服务时需要考虑自身的合规性要求；云服务的提供商和消费者应该能够满足日益复杂的法规要求，不论是行业标准、管理制度或客户特定的要求。表2列出了部分与信息安全相关的标准。

4 演进策略

4.1 演进原则

IDC基础设施云安全体系的建设受IDC业务的驱动，通过分析云模式的IDC安全需求，并参照信息安全等级保护的四大基本原则（自主保护原则、重点保护原则、同步建设原则、动态调整原则），制定 IDC基础设施云安全体系的演进策略，演进策略的制定将基于以下3大原则。

原则一：全方位、多层次综合防护。IDC基础设施云安全防护体系包括网络防护、重要业务系统防护、基础设施安全防护等多个方面，需要部署立体的防护措施。

原则二：在安全建设方面要适度。由于通常情况下，信息安全性与相应的成本及可用性成反比，因此在考虑安全性的时候应该考虑到各因素之间的平衡。

原则三：总体规划、分步实施。根据业务模式和建设时序，逐步实现基础设施层、数据层和应用层的安全体系。

4.2 演进阶段划分建议

对任何IDC基础设施云服务提供商而言，实现上述安全功能和技术要求并非一蹴而就的，根据IDC基础设施云的业务模式、建设时序和演进原则，笔者认为安全体系建设可以分为基础安全服务、安全增值服务、集中安全管理3个阶段，如图2所示。

（1）基础安全服务阶段

本阶段将完成云模式IDC基础设施层和云管理平台层的安全建设，主要包括：网络层、虚拟层、操作系统层、云管理平台自身应用和数据的身份鉴别、访问控制、边界保护、安全审计、入侵防范和资源控制等；云管理平台自身的身份鉴别、访问控制、认证和安全审计等。

表2 信息安全相关标准参考

（2）安全增值服务阶段

本阶段将在基础设施层的安全体系的基础上，实现用户应用、数据和服务安全等增值服务，如用户数据备份恢复、用户应用和数据的机密性和完整性、用户应用的密钥管理等，同时进一步完善安全管理平台的相关功能。

（3）集中安全管理阶段

本阶段将实现IDC层面的基础设施、数据和应用的统一安全管理，并与现有安全管理平台集成，如网管和服务平台等，进一步提高云模式IDC的服务质量。

5 结束语

通过构建基于云计算的基础设施平台，可以降低电信业务的运营成本和新业务的引入成本，同时，运营商在数据中心、网络、用户和渠道上的积累，使其构建成本低、拓展优势大、存储能力强的资源平台成为可能。但是云计算的概念和业务模式都很新，很多技术和业务都还在形成和发展当中，在云安全方面可以参考的标准目前仅有云安全联盟（CSA）发布的《云计算关键领域的安全指南》。通过对云安全方面的研究和实践，希望能够找到符合IDC基础设施云产品特点的安全解决方案，利用有效的技术和管理手段消除客户的安全顾虑，提升客户对此类产品的接受程度，以有效支撑产品的销售。

1 石屹嵘,段勇.云计算在电信IT领域的应用探讨.电信科学,2009,25（9）:24～28