背景：阿里云已獲得由bsi(英國標準協(xié)會)審核的ISO 27001信息安全管理體系國際認證，該體系涵蓋基礎設施，數(shù)據(jù)中心和云產(chǎn)品，包括阿里云彈性計算、開放數(shù)據(jù)處理服務(ODPS)、關系型數(shù)據(jù)庫服務(RDS)、云安全服務(云盾)。

ISO 27001是一種被廣泛采用的全球安全標準，它建立在定期評估風險的基礎上，采用安全控制和最佳實踐相結合的系統(tǒng)化方法來管理公司和客戶信息。為了實現(xiàn)認證，阿里云必須表明它有一個系統(tǒng)的和持續(xù)的方法來管理信息安全風險，影響公司及客戶信息的保密性，完整性和可用性的。該認證鞏固了阿里云對安全控制透明化的服務承諾。

摘要：本文擬從分析傳統(tǒng)信息安全管理和云計算安全管理的差異性入手，提出云計算服務商所面臨的安全問題，討論阿里云計算在滿足云計算安全管理的實踐。

云計算安全的挑戰(zhàn)

傳統(tǒng)信息安全和云計算安全的區(qū)別

PC時代是分散化管理，用戶的數(shù)據(jù)是保存在自己的電腦上的，保障用戶數(shù)據(jù)的安全很大程度上是靠用戶本身的安全意識和技術水平，而大部分用戶又極缺乏自我保護意識，因而釣魚、木馬、肉雞橫行，用戶的安全受到很大威脅。云時代是集中化管理，通過計算資源的集中和優(yōu)化，使多個應用更有效的分享服務器CPU、內存、存儲以及網(wǎng)絡帶寬，用戶的數(shù)據(jù)保存在有專業(yè)安全人員保護的云環(huán)境中，黑客常用的傳統(tǒng)用戶終端攻擊失去威脅。在與黑客的博弈之中，集中化管理更容易升級安全保護措施，安全性比PC時代要高。

從安全管理角度來看，集中化管理和分散化管理就像乘飛機旅行和汽車旅行的安全比較一樣，汽車旅行的事故率非常高，但往往每起事件只影響到一兩個人，而飛機旅行是最安全的，但不出事則已，一出事都是大事。如果云服務商不能給客戶提供一個客觀、公正、可靠的安全保證，就無法讓用戶對云服務建立起安全信心，最終影響云業(yè)務的開展和行業(yè)的壯大。

云環(huán)境下的典型安全挑戰(zhàn)

從安全技術角度來看，虛擬化技術在云計算時代的大量應用讓傳統(tǒng)信息安全時代下的安全隔離手段面臨巨大挑戰(zhàn)，舉例來說，客戶在購買云服務商虛擬服務器的同時就擁有了公網(wǎng)地址和云服務商的內網(wǎng)地址，這也就意味著用戶同時擁有了云服務商的非信任域地址和信任域地址，這種網(wǎng)絡邊界模糊的威脅會直接導致惡意用戶利用購買虛擬服務器所獲得的云服務商內網(wǎng)地址來偽造海量的內網(wǎng)地址和MAC地址，在網(wǎng)絡中產(chǎn)生大量的ARP通信量使得網(wǎng)絡阻塞或中斷。

其次，安全挑戰(zhàn)伴隨著云平臺的服務類型而隨之誕生，以阿里云(開放數(shù)據(jù)處理服務)ODPS舉例，該服務的設計之初是基于數(shù)據(jù)驅動的多級流水性并行計算框架，支持直接使用ODPS SQL 語句對海量數(shù)據(jù)進行離線分析。通過數(shù)據(jù)分裂將海量數(shù)據(jù)散布在整個集群內部，這樣，用戶的數(shù)據(jù)容量的瓶頸問題得以解決。同時計算壓力也被平均分布在集群內部，很好地解決了計算性能問題。但因其允許用戶通過編寫程序在ODPS的集群上執(zhí)行任務，這種業(yè)務模式就存在通過用戶程序包含的惡意代碼在ODPS的集群上植入后門的風險，惡意用戶可通過非法外聯(lián)、提權等一系列操作實現(xiàn)對ODPS集群的入侵,最終達到竊取用戶數(shù)據(jù)的目的。

面對上述安全技術挑戰(zhàn)，在云時代已無法通過簡單的安全設備堆砌去解決所有安全問題，同樣，傳統(tǒng)信息安全時代下的安全標準和規(guī)范也已不能從容應對上述管理挑戰(zhàn)。為此，阿里云開發(fā)了包含3大信息安全基礎控制域、7大信息安全和云計算安全支柱控制域及2大云計算安全特色控制域的阿里云安全模型(如圖1所示)，我們將傳統(tǒng)信息安全管理體系中的信息安全風險管理、人力資源、物理、網(wǎng)絡和主機安全、業(yè)務連續(xù)性和災難恢復、數(shù)據(jù)中心運維作為云服務商的安全基線，重點評估、持續(xù)提升云服務商在虛擬化安全和云平臺安全方面的安全管理和技術水平。

圖1 阿里云安全模型

云時代下的虛擬化安全主要包括虛擬服務器的加固、虛擬服務器的隔離、虛擬服務器的銷毀，雖然因虛擬化服務器的服務類型的原因，以上需求已無法通過購買安全設備實現(xiàn)隔離，但針對用戶和云服務商自身的安全需求仍可通過一系列的軟件手段實現(xiàn)安全隔離和訪問控制。

虛擬服務器的加固

在安全流程方面，阿里云通過建立安全加固流程來保證每個交付給客戶的虛擬服務器鏡像在生產(chǎn)環(huán)節(jié)已通過安全團隊的嚴格檢測，去除了不安全的服務、協(xié)議、端口等可能導致入侵的因素;

在安全技術方面，阿里云已陸續(xù)發(fā)布了CentOS 6.2 64位 安全加固版、Red Hat Enterprise Linux Server 5.4 64位 安全加固版、Windows Server 2003標準中文版 SP2 32位 已加固激活三個經(jīng)過安全加固的操作系統(tǒng);阿里云的云安全產(chǎn)品---云盾更通過提供主機入侵檢測和補丁自動更新服務等手段來保證用戶虛擬服務器的安全，并針對用戶需求有針對性的對虛擬機鏡像提供加密服務;

虛擬服務器的隔離

用戶租用云服務器就好比將用戶網(wǎng)站搬進了一個個虛擬房間，最擔心的就是破門而入的不速之客，這種安全顧慮就是由虛擬服務器而引發(fā)的網(wǎng)絡邊界模糊威脅，而解決之道不再是傳統(tǒng)信息安全環(huán)境下的防火墻之類設備的堆砌，取而代之的是阿里云通過自主開發(fā)的一系列虛擬環(huán)境下的網(wǎng)絡隔離手段。

阿里云針對不同用戶購買的云服務器之間的隔離需求，在其生產(chǎn)環(huán)節(jié)由云服務器的生產(chǎn)系統(tǒng)依據(jù)訂單自動給每個用戶的云服務器打上標簽，不同的用戶間通過安全組進行隔離;針對本文開篇提及的惡意虛擬服務器用戶通過制造大量的ARP通行量來導致網(wǎng)絡面臨阻塞或中斷的風險，阿里云采用上述云服務器標簽和arptables相結合予以防范;最后為防范云服務器被入侵后成對對外攻擊源，阿里云采用以太網(wǎng)防火墻(ebtables)隔離云服務器對外部公共網(wǎng)絡的異常協(xié)議訪問。

虛擬服務器的銷毀

針對用戶云服務器在期滿后的數(shù)據(jù)銷毀問題，阿里云的云服務器生產(chǎn)系統(tǒng)會定期自動虛消除原有物理服務器上磁盤和內存數(shù)據(jù)，使得虛擬服務器無法恢復。同時采用虛擬化在線管理系統(tǒng)對虛擬服務器進行管理，對物理服務器及Hypervisor的運維操作，遵循運維相關流程并采用實時審計技術予以監(jiān)控。

云時代下云平臺是一切云服務的最終載體，其自身的安全態(tài)勢直接決定各項云服務的正常開展， 從以上虛擬化安全的控制手段已然可以發(fā)現(xiàn)通過軟件實現(xiàn)安全控制將是云安全的主要技術實現(xiàn)途徑。而云平臺自身也是軟件開發(fā)的產(chǎn)物，由此，構建云平臺安全就應從云平臺的初始開發(fā)以及云服務帶給云平臺的安全沖擊等角度予以考慮。

云平臺的開發(fā)推薦參照軟件安全開發(fā)周期(Security Development Lifecycle)建立安全開發(fā)流程。(如圖2所示)。

圖2 云平臺安全開發(fā)流程

安全需求分析環(huán)節(jié)：應根據(jù)功能需求文檔進行安全需求分析，針對業(yè)務內容、業(yè)務流程、技術框架進行溝通，形成《安全需求分析建議》。

安全設計環(huán)節(jié)：應根據(jù)項目特征，與測試人員溝通安全測試關鍵點，形成《安全測試建議》。

安全編碼環(huán)節(jié)：應參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發(fā)規(guī)范》，避免開發(fā)人員寫出不安全的代碼。

代碼審計環(huán)節(jié)：應盡可能使用代碼掃描工具并結合人工代碼審核，對產(chǎn)品代碼進行白盒、黑盒掃描。

應用滲透測試：應在上線前參照諸如OWASP之類的標準進行額外的滲透測試 。

系統(tǒng)發(fā)布：依據(jù)上述環(huán)節(jié)評價結果決定代碼是否發(fā)布。

針對云服務對云平臺的安全沖擊，例如前文提到的ODPS存在通過用戶程序包含的惡意代碼在云服務商物理機上植入后門，實現(xiàn)非法外聯(lián)、提權等一系列非法操作的風險，針對這類風險阿里云采用了研發(fā)虛擬化的沙箱或者解釋器級別的沙箱來予以包裝，并通過鑒權、授權等一整套安全措施來保證用戶程序中可能包含的惡意程序無法在ODPS集群上直接執(zhí)行。

回顧上述云安全帶來的挑戰(zhàn)，我們可以得出以下結論：

1、 傳統(tǒng)網(wǎng)絡安全手段在云時代安全體系中的重要性下降了;

2、 依靠應用軟件實現(xiàn)的安全手段，以及應用軟件開發(fā)本身的安全在云時代安全體系中的重要性將大大增強;

3、 用戶數(shù)據(jù)的集中化管理使安全管理和運營的重要性日益突出。

雖然云計算的背景下，云計算安全與傳統(tǒng)信息安全的目標仍是相同的：“保護信息資產(chǎn)的保密性、完整性、可用性”，但云計算安全的保護核心正逐步從基礎的信息安全風險管理轉向數(shù)據(jù)安全管理，而阿里云在國內率先選擇以數(shù)據(jù)為核心的云服務而不僅僅是傳統(tǒng)的IDC基礎設施通過ISO27001國際認證正是對此的有力回應。