運(yùn)營(yíng)商是云計(jì)算的引導(dǎo)者和運(yùn)營(yíng)者，在云計(jì)算時(shí)代面臨著全新的競(jìng)爭(zhēng)環(huán)境，云計(jì)算的服務(wù)已經(jīng)打破以往的商業(yè)模式，云計(jì)算服務(wù)提供商正在進(jìn)入傳統(tǒng)的CT、IT以及IDC運(yùn)營(yíng)等領(lǐng)域，使得競(jìng)爭(zhēng)環(huán)境進(jìn)一步惡化，運(yùn)營(yíng)商最能進(jìn)行的云計(jì)算服務(wù)領(lǐng)域也從原來(lái)的公有云服務(wù)，逐步延展到了私有云、專(zhuān)享云、混合云、托管云等領(lǐng)域，而在這些領(lǐng)域?qū)Π踩男枨笫桥c公有云完全不同的，本文重點(diǎn)將探討一下針對(duì)私有云、專(zhuān)享云、混合云、托管(下文將統(tǒng)一對(duì)以上類(lèi)型的云服務(wù)統(tǒng)稱(chēng)為“大客戶(hù)云服務(wù)”)等針對(duì)大客戶(hù)的云服務(wù)安全方案和防御方法;

大客戶(hù)云服務(wù)環(huán)境下的安全風(fēng)險(xiǎn)與防護(hù)方案

1)大客戶(hù)數(shù)據(jù)泄露風(fēng)險(xiǎn)-公有云或共享云

這是目前政企客戶(hù)是否選擇大客戶(hù)云服務(wù)最為擔(dān)心的安全風(fēng)險(xiǎn)，做為大客戶(hù)也更為關(guān)心這類(lèi)問(wèn)題，同時(shí)也是用戶(hù)數(shù)據(jù)泄露的重要途徑。用戶(hù)數(shù)據(jù)在云計(jì)算環(huán)境中進(jìn)行傳輸和存儲(chǔ)時(shí)，用戶(hù)本身對(duì)于自身數(shù)據(jù)在云中的安全風(fēng)險(xiǎn)并沒(méi)有實(shí)際的控制能力，數(shù)據(jù)安全完全依賴(lài)于服務(wù)商,如果服務(wù)商本身對(duì)于數(shù)據(jù)安全的控制存在疏漏，則很可能導(dǎo)致數(shù)據(jù)泄露或丟失.現(xiàn)階段可能導(dǎo)致安全風(fēng)險(xiǎn)的有以下幾種典型情況：

·由于云服務(wù)提供商的安全漏洞導(dǎo)致的黑客入侵造成的用戶(hù)數(shù)據(jù)丟失;

·由于虛擬化軟件的安全漏洞造成的用戶(hù)數(shù)據(jù)被入侵的風(fēng)險(xiǎn);

·數(shù)據(jù)在傳輸過(guò)程中沒(méi)有進(jìn)行加密導(dǎo)致信息泄露;

·加密數(shù)據(jù)傳輸?shù)敲荑€管理存在缺失導(dǎo)致數(shù)據(jù)泄露;

·不同用戶(hù)的數(shù)據(jù)傳輸之間沒(méi)有進(jìn)行有效隔離導(dǎo)致數(shù)據(jù)被竊取;

·用戶(hù)數(shù)據(jù)在云中存儲(chǔ)沒(méi)有進(jìn)行容災(zāi)備份等。

從這個(gè)角度看，云計(jì)算服務(wù)商在向用戶(hù)推薦云計(jì)算服務(wù)時(shí)，需要和企業(yè)用戶(hù)簽署服務(wù)質(zhì)量保證協(xié)議，并從技術(shù)和管理兩個(gè)方面向用戶(hù)進(jìn)行安全保證，以減輕用戶(hù)對(duì)于數(shù)據(jù)安全的擔(dān)憂(yōu)。

防護(hù)方法及應(yīng)對(duì)措施

從以上問(wèn)題來(lái)看，建設(shè)針對(duì)大客戶(hù)的專(zhuān)享云或私有云，并在遠(yuǎn)端實(shí)現(xiàn)托管云服務(wù)是一步步切入大客戶(hù)云服務(wù)的良好途徑，這種模式對(duì)比起公有云和共享型云服務(wù)有明顯的優(yōu)勢(shì)：

·硬件基礎(chǔ)平臺(tái)既IAAS架構(gòu)上各自分離獨(dú)立，不會(huì)引起底層安全擴(kuò)散和遭受攻擊的威脅

·針對(duì)IAAS平臺(tái)的專(zhuān)享或私有，運(yùn)營(yíng)商可以提供用戶(hù)側(cè)放置獨(dú)享或私有云的模式，來(lái)強(qiáng)化大客戶(hù)的安全感，如果采用托管式的專(zhuān)享或私有云模式則也可以通過(guò)隔離獨(dú)立的物理區(qū)域和硬件設(shè)備來(lái)實(shí)現(xiàn)安全性的保障

·在此基礎(chǔ)上更可以提供專(zhuān)門(mén)的安全云增值服務(wù)，來(lái)提供針對(duì)客戶(hù)專(zhuān)享云或私有云的安全增值服務(wù)，如華三公司的統(tǒng)一云安全管理平臺(tái)，即可實(shí)現(xiàn)針對(duì)客戶(hù)定制化的所有安全隱患的排查和檢測(cè)，并能夠覆蓋到各個(gè)不同的層次和不同廠(chǎng)家的設(shè)備，如圖2所示，可以通過(guò)華三公司的SCC平臺(tái)實(shí)現(xiàn)全局很深入的安全問(wèn)題排查和報(bào)表式通告;

圖2 SCC平臺(tái)實(shí)現(xiàn)全局很深入的安全問(wèn)題排查和報(bào)表式通告

·針對(duì)國(guó)家所頒布的等保要求，還要及時(shí)的根據(jù)大客戶(hù)應(yīng)處的等級(jí)保護(hù)級(jí)別來(lái)進(jìn)行安全對(duì)應(yīng)方案和產(chǎn)品的部署，確保等保用戶(hù)接入時(shí)的等保要求，要定期做好等保防護(hù)和信息安全定時(shí)通告;

2)內(nèi)部安全失控

企業(yè)的核心數(shù)據(jù)在云計(jì)算環(huán)境中的存儲(chǔ)，離不開(kāi)管理員的操作和審核，如果服務(wù)商內(nèi)部的管理出現(xiàn)疏漏，將可能導(dǎo)致內(nèi)部人員私自竊取用戶(hù)數(shù)據(jù)，從而對(duì)用戶(hù)的利益造成損害。在這種情況下，除了通過(guò)技術(shù)的手段加強(qiáng)數(shù)據(jù)操作的日志審計(jì)之外，嚴(yán)格的管理制度和不定期的安全檢查十分必要。云計(jì)算服務(wù)供應(yīng)商有必要對(duì)工作人員的背景進(jìn)行調(diào)查并制定相應(yīng)的規(guī)章制度避免內(nèi)部人員“作案”，并保證系統(tǒng)具備足夠的安全操作的日志審計(jì)能力，在保證用戶(hù)數(shù)據(jù)安全的前提下，滿(mǎn)足第三方審計(jì)單位的合規(guī)性審計(jì)要求。

防護(hù)方法及應(yīng)對(duì)措施

由SDN技術(shù)可以對(duì)所有的數(shù)據(jù)流向和經(jīng)過(guò)的節(jié)點(diǎn)進(jìn)行記錄和調(diào)度，采用overlay網(wǎng)絡(luò)可以讓用戶(hù)的數(shù)據(jù)路徑變成唯一路徑，不會(huì)被外部獲取或轉(zhuǎn)移數(shù)據(jù)路徑，這樣可以保障數(shù)據(jù)在傳輸?shù)倪^(guò)程中不被輕易的欺騙或竊取，而數(shù)據(jù)存儲(chǔ)的安全性保障則需要依靠數(shù)據(jù)訪(fǎng)問(wèn)審核、訪(fǎng)問(wèn)用戶(hù)權(quán)限控制和數(shù)據(jù)一致性驗(yàn)證來(lái)保障了;

3)虛擬化安全策略的自動(dòng)遷移調(diào)整

大客戶(hù)服務(wù)往往與公有云服務(wù)有巨大差異，私有云業(yè)務(wù)往往出現(xiàn)頻繁的虛擬機(jī)遷移等動(dòng)作，而安全部署往往是依據(jù)環(huán)境變化而做出的定制化服務(wù)策略，在業(yè)務(wù)模式發(fā)生變化后，往往安全服務(wù)需要重新制定，中間時(shí)間和環(huán)節(jié)會(huì)造成大客戶(hù)的云業(yè)務(wù)暴露在安全威脅中：

·防護(hù)方法及應(yīng)對(duì)措施

虛擬化環(huán)境下的虛擬機(jī)自動(dòng)遷移，是云計(jì)算環(huán)境的重要特征之一。為跟隨這種虛擬機(jī)的遷移，業(yè)務(wù)系統(tǒng)本身的資源配置以及該虛擬機(jī)的接入端口屬性都在積極響應(yīng)并提供適配的手段。而要想實(shí)現(xiàn)安全策略的跟隨遷移，安全管理平臺(tái)需要提供包括下面在內(nèi)的重要技術(shù)支撐：

及時(shí)建立起網(wǎng)絡(luò)中的每個(gè)虛擬機(jī)和安全策略組的對(duì)應(yīng)關(guān)系，實(shí)現(xiàn)全局的虛擬機(jī)安全策略統(tǒng)一規(guī)劃和管理;

及時(shí)感知虛擬機(jī)的遷移動(dòng)作，并獲取虛擬機(jī)遷移后的網(wǎng)絡(luò)位置信息，以此來(lái)觸發(fā)安全策略的遷移;

根據(jù)遷移后的虛擬機(jī)信息，探測(cè)計(jì)算出遷移后的虛擬機(jī)所對(duì)應(yīng)的安全設(shè)備，為下一步的安全策略調(diào)整做準(zhǔn)備;

安全管理平臺(tái)基于上述信息有效整合各方面資源，自動(dòng)調(diào)整安全策略，將該虛擬機(jī)對(duì)應(yīng)的安全策略組重新下發(fā)到新的安全設(shè)備上，完成整個(gè)安全策略的遷移。

如圖3所示，根據(jù)大客戶(hù)的云安全服務(wù)要求提供虛擬機(jī)遷移的安全策略自動(dòng)跟隨服務(wù);

圖3 安全策略匹配虛擬機(jī)遷移自動(dòng)跟隨

4)針對(duì)大客戶(hù)的安全服務(wù)還包含：

·安全既服務(wù)SAAS

運(yùn)營(yíng)商針對(duì)大客戶(hù)的云安全服務(wù)可以采用服務(wù)鏈service chain的方式來(lái)實(shí)現(xiàn)云安全服務(wù)的部署：

·Saas(Security as a Service )，將安全以云服務(wù)方式提供，將流量引入安全云中心“清洗”;圖4所示 運(yùn)營(yíng)商可以通過(guò)專(zhuān)門(mén)的云服務(wù)來(lái)提供給大客戶(hù)安全云服務(wù)業(yè)務(wù)

·“安全云中心”可以是數(shù)據(jù)中心的一個(gè)安全服務(wù)資源池，或以公有云的方式提供;

·“安全云服務(wù)中心” 的關(guān)鍵技術(shù)：如何識(shí)別與牽引流量，如何保證云中心的交付能力，多租戶(hù)問(wèn)題。

·Overlay + NFV 提供靈活的流量控制及云端的橫向擴(kuò)張能力。如圖5所示運(yùn)營(yíng)商安全既服務(wù)產(chǎn)品結(jié)構(gòu)

如圖5 運(yùn)營(yíng)商可以通過(guò)專(zhuān)門(mén)的云服務(wù)來(lái)提供給大客戶(hù)安全云服務(wù)業(yè)務(wù);

圖5 運(yùn)營(yíng)商安全既服務(wù)產(chǎn)品結(jié)構(gòu)

·升級(jí)安全架構(gòu)，構(gòu)建基于SDN技術(shù)架構(gòu)的安全模型：

基礎(chǔ)架構(gòu)安全升級(jí)：組合IAAS、PAAS、SAAS架構(gòu)安全防護(hù)系統(tǒng)做統(tǒng)一防護(hù)，構(gòu)建L2-L7層全面的防護(hù)體系，根據(jù)SDN技術(shù)結(jié)合，實(shí)現(xiàn)全安全架構(gòu)的搭建，如圖6所示，基于SDN技術(shù)的全局安全策略和部署模式，來(lái)完善云時(shí)代的安全模型

圖6 基于SDN技術(shù)的全局安全策略和部署模式

·做好基礎(chǔ)安全信息收集：

做為安全信息中最重要的環(huán)節(jié)部分，所有后續(xù)的動(dòng)作均來(lái)自此，現(xiàn)階段最流行的方法就是采用DPI(深度數(shù)據(jù)報(bào)文檢測(cè))將所有的設(shè)備流量做鏡像，進(jìn)行分析，除此之外，還建議部署設(shè)備日志收集分析系統(tǒng)，用于日志信息的收集和統(tǒng)計(jì)

·定期定時(shí)進(jìn)行安全事件分析：

針對(duì)收集到安全信息進(jìn)行分析并提早做出判斷，是否有安全隱患，此系統(tǒng)是華三的SCC管理平臺(tái)的內(nèi)置功能，可以通過(guò)激活此功能來(lái)實(shí)現(xiàn)安全日志的統(tǒng)計(jì)和分析，相關(guān)的細(xì)節(jié)不再贅述，可以參考華三公司相關(guān)技術(shù)白皮書(shū);

·利用新手段技術(shù)-大數(shù)據(jù)進(jìn)行安全風(fēng)險(xiǎn)預(yù)警：

在安全事件分析中最常用的一種手段就是大數(shù)據(jù)分析和預(yù)測(cè)，根據(jù)谷歌的大數(shù)據(jù)預(yù)測(cè)分析系統(tǒng)預(yù)測(cè)，大數(shù)據(jù)比專(zhuān)家更管用，早于其他信息手段預(yù)測(cè)至少2周時(shí)間，而安全的大數(shù)據(jù)有一個(gè)很重要的特性，就是關(guān)聯(lián)性，大數(shù)據(jù)對(duì)于關(guān)聯(lián)性分析稍顯滯后，不能進(jìn)行實(shí)時(shí)的預(yù)警和敢于，對(duì)于這部分的解決方法就是部署在線(xiàn)式的安全防護(hù)設(shè)備來(lái)實(shí)現(xiàn)這個(gè)木桶短板的補(bǔ)齊，其中IPS可以提供L4-L7層的安全防護(hù)，以前基本用于云計(jì)算的門(mén)戶(hù)出口處，但現(xiàn)在由于大客戶(hù)私有云的需求，往往在不同的業(yè)務(wù)分區(qū)和大客戶(hù)業(yè)務(wù)的門(mén)戶(hù)處都部署IPS設(shè)備，而IPS設(shè)備自身的應(yīng)用防護(hù)信息庫(kù)沒(méi)有與云安全平臺(tái)聯(lián)通的時(shí)候是通過(guò)其人工設(shè)定的門(mén)限值來(lái)進(jìn)行防護(hù)的，而與安全防護(hù)管理平臺(tái)聯(lián)動(dòng)后，運(yùn)營(yíng)商可以向大客戶(hù)的云安全防護(hù)設(shè)備提供全新的安全策略，以便大客戶(hù)能夠及時(shí)提升安全防護(hù)的能力。

結(jié)束語(yǔ)：云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全部署僅僅是云基礎(chǔ)架構(gòu)中基本的建設(shè)環(huán)節(jié)，要保證云計(jì)算中心的安全，還要考慮數(shù)據(jù)加密、備份，信息的認(rèn)證授權(quán)訪(fǎng)問(wèn)以及法律、法規(guī)合規(guī)性要求，只有全面的進(jìn)行規(guī)劃，才能建立全面、完善的云數(shù)據(jù)中心安全綜合防御體系。IT畢竟是手段，法律法規(guī)和嚴(yán)格的執(zhí)行還是安全風(fēng)險(xiǎn)防范的最佳法寶，隨著云安全服務(wù)的升級(jí)，華三提供給了運(yùn)營(yíng)商應(yīng)對(duì)云安全問(wèn)題的手段更多樣化，以便能夠適應(yīng)云時(shí)代大客戶(hù)對(duì)云安全的防護(hù)要求。