研究云的安全有兩三年了，但形成完整的安全思路，還是去年的事，這也是“流安全”思路形成的主要階段。

云計算的安全問題之所以突出，是因為虛擬機的動態(tài)遷移，以及多業(yè)務系統(tǒng)交織在一起，這讓傳統(tǒng)的網(wǎng)卡邊界就是安全部署點的方法不在適用。流安全不再關注被保護服務器的物理位置，轉而關注訪問該服務器的數(shù)據(jù)流。通過對數(shù)據(jù)流的重新“路由”，保證對數(shù)據(jù)流的安全清洗，從而實現(xiàn)對服務器的網(wǎng)絡保護。在訪問控制模型中，有一類流模型，就是針對數(shù)據(jù)流進行保護的。

為了讓大家容易理解基于流安全的云計算安全方案，我編寫了這個白皮書，與大家交流。文檔挺長，特分成四個部分。

本方案適用范圍：

云計算建設一般分為公有云與私有云，其安全需求是不同，安全防護思路也不相同。

公有云以阿里云、騰訊云等互聯(lián)網(wǎng)運營商為代表，獨立建設云服務為企業(yè)、個人提供云服務。選用這種云服務的用戶，多數(shù)是對敏感性要求不高的，主要的便宜、快捷。同時，云服務提供商為了降低運營成本，大多采用在開源虛擬化平臺上進行二次開發(fā)，不僅整個架構平臺可以自己重新架構，而且可以增加自己對虛擬機的安全管理，如流量限制，內(nèi)置安全軟件進行安全監(jiān)控，或者直接進行病毒查殺等等?？傊性频陌踩旧鲜怯稍品丈虂砉芾?，用戶可以根據(jù)自己的需要選擇，若是有些敏感的信息，可以選擇桌面的加密軟件。

私有云的情況則不同，因為私有云的建設者，大多數(shù)技術力量不是很強，沒有自行開發(fā)、運維虛擬化平臺的能力，選擇采用第三方的、較為成熟的云計算管理平臺是常見的，用戶則更關心自己的新業(yè)務開發(fā)。采用私有云方式的用戶，一般其IT設施較多，業(yè)務對網(wǎng)絡要求較高，多數(shù)有自己的城域網(wǎng)，有些還有專用的廣域網(wǎng)，在安全上一般應該滿足等級保護的國家要求。為了提高IT設備的利用率，加強對業(yè)務支持的靈活性，選用資源虛擬化管理，或者之間遷移到云服務平臺。如政府、軍隊、央企、科研機構等，

本文主要是針對私有云，并且是在一個虛擬化池中不只是運行一種業(yè)務的場景，提出的云計算安全解決方案設計思路，不僅適合針對每個業(yè)務系統(tǒng)提供單獨安全保障的需求，而且適合不同虛擬化管理平臺的統(tǒng)一安全管理。

一、云計算其實是所有軟件人的“夢”

1、云計算是一種新的IT服務模式體驗

能夠不受計算機處理能力的限制，能夠有取之不盡的內(nèi)存與外存空間，這對于每一個軟件編程人員來說，無疑具有巨大的誘惑力。為了提高處理速度而絞盡腦汁設計的精巧算法，為了節(jié)省內(nèi)存而反復優(yōu)化的代碼…而真正實現(xiàn)業(yè)務系統(tǒng)的邏輯、管理往往淪為“不重要的”。以至于很多人認為：計算機編程高手就意味著精于編程技巧，而應用系統(tǒng)開發(fā)只是軟件工程，我們常說的“碼農(nóng)”。

云計算技術的出現(xiàn)讓這個問題成為歷史，增加處理能力，就是增加幾個CPU，動態(tài)添加內(nèi)存都不再是障礙，甚至已經(jīng)出現(xiàn)了內(nèi)存數(shù)據(jù)庫，空間還是問題嗎?因為云計算的特點之一是具有彈性的處理能力。

對于計算機的用戶，能夠隨時隨地接入主機系統(tǒng)，忙碌的辦公室、溫馨安逸的家、旅途中的賓館、休假時的海濱，甚至行駛的汽車上、飛機上、輪船上…隨時交流通信、隨時編寫方案、隨時設計藍圖、隨時項目審批、隨時網(wǎng)上沖浪……云計算讓這些夢想變成了可能，因為云計算還有一個顯著特點：隨時隨地接入網(wǎng)絡。

當然，得到如此“夢想”的服務，不只是高端富豪才能享用的，就像“自來水”一樣，價格便宜，使用多少就付多少錢?？啥攘康?、按需的服務是云計算的另一大特點。

以上是美國NIST定義云計算五大特點中的三個，這已經(jīng)足夠吸引所有計算機人士的眼球的了。因此，2013年還有很多專家稱云計算落地還有待時日，到了2014年，政府與企業(yè)的IT建設立項不與云沾邊的已經(jīng)很少了，2015年一開始，一窩蜂似的涌出很多的云計算項目要落地實施。其實我們回想一下，這幾年，我們身邊基于云計算的服務與新應用：即時通信、社交網(wǎng)絡、搜索引擎、電子政務、智慧城市、電商購物、影視媒體、大型游戲、安全態(tài)勢分析、領導決策支持…

2、了解一下云計算的體系結構

云計算是一種新技術，也是一種新型的IT服務模式。你知道嗎?支持云計算服務商的后臺基礎技術其實是資源管理的虛擬化技術。我們先看一下云計算的系統(tǒng)結構：

與傳統(tǒng)IT架構不同的地方，是在IT基礎設施與系統(tǒng)軟件(操作系統(tǒng))之間增加個一個虛擬化管理層，業(yè)務系統(tǒng)“看到”到不再是物理服務器，而是虛擬機(VM)。

正是因為對數(shù)據(jù)中心的IT基礎實施采用了虛擬化管理技術，虛擬計算機可以動態(tài)調整CPU的個數(shù)、內(nèi)存的大小，所以云計算才能夠提供彈性的服務能力。按照用戶業(yè)務運行的實際需求，動態(tài)分配處理能力給每個用戶，這就是服務器虛擬化管理的核心之一。當然你需要的服務能力不能超過所有硬件服務器服務能力的總和。

這種虛擬化管理平臺軟件不同于傳統(tǒng)的計算機操作系統(tǒng)，目前比較流行的有：VmWare、KVM、Xen、Hyper-V等，其他管理平臺多是在KVM、Xen等開源平臺上繼續(xù)開發(fā)出來的。

服務器虛擬化技術的核心是生成與管理虛擬機(VM)，不同平臺技術上有差異，但大體思路是一致的。我們看一下VMWare平臺的虛擬機架構：

Xen平臺的虛擬機架構類似，但有個0號控制虛擬機：

虛擬機最基本的組成是CPU、內(nèi)存、網(wǎng)卡、磁盤(外存)，其他虛擬硬件按需添加，如光驅、軟件、USB等。多個虛擬機共享一個物理服務器的硬件資源，對于多用戶、多進程的操作系統(tǒng)來說這也不是什么難的事情，但如何將兩個虛擬機安全隔離就是管理上關注的事情了。兩個應用軟件“跑”在一起，還有兼容問題呢，何況是兩個虛擬機?用戶使用虛擬機，對他來說，應該是一臺“獨立的”計算機，若他知道還有人與他一起“合租”，鄰里關系不能熟視無睹吧。如何做到讓用戶感覺是跟自己的是一樣的呢?

#p#

3、了解虛擬化技術

在一個服務器內(nèi)實現(xiàn)多個虛擬機共享技術是第一步，要想真正支持彈性服務能力，沒有上限的，就一定要突破多臺服務器的聯(lián)合技術，整體的服務能力才有增大。

從早先的雙機熱備，到服務器集群，再到網(wǎng)格計算，人們在把多臺設備虛擬到一起的道路上，探索了很長的一段時間。目前流行的實現(xiàn)服務器虛擬化技術有如下兩種模式：

負載控制+“一虛多”：先建立一個總服務臺，進行并行管理。把一個任務分成多個子任務，每個任務申請一個VM，最后處理的結果再返回用戶。保證子任務對服務能力的需求不超過單個物理服務器。比如Google、百度的搜索服務，把搜索分成不同類別、資源的子搜索，搜索的時間才會到人滿意的程度;

“多虛一”+“一虛多”：把多個物理設備虛擬成一個大的設備，成為一個很大處理能力的“巨型機”，再按需分給每個用戶。這是資源虛擬化的理想方式，真正做到了用戶申請的VM不受物理服務器的限制，不關心處理能力的承受問題。

不論是哪種虛擬化技術，目的都是在物理硬件與用戶需求計算機之間建立一個虛擬層，由這個虛擬管理層負責把用戶任務分配給具體的硬件資源，用戶“看到的”是虛擬CPU、虛擬內(nèi)存…既然硬件都是虛擬的，當然其大小就可以由虛擬管理者動態(tài)調整。管理虛擬層一方面要管理下層具體的硬件，驅動它們最大效率地工作，一方面要針對每個虛擬機提供出虛擬的硬件接口，讓虛擬機的操作系統(tǒng)“正常”調用硬件資源工作。

4、虛擬網(wǎng)絡的“誕生”

計算機是通過網(wǎng)卡連接網(wǎng)絡與外界互聯(lián)的，所以，傳統(tǒng)的網(wǎng)絡邊界節(jié)點就是網(wǎng)卡，網(wǎng)卡收發(fā)的是網(wǎng)絡TCP/IP協(xié)議的數(shù)據(jù)包，支持的網(wǎng)絡路由交換協(xié)議。網(wǎng)卡是服務器與網(wǎng)絡互通的必經(jīng)路徑點。連接網(wǎng)卡的網(wǎng)線就是通過網(wǎng)絡進入服務器的“唯一”大門(直接到服務器控制端或串口接入控制端，需要接近物理設備，屬于物理安全與運維管理范疇，這里不討論)，傳統(tǒng)的網(wǎng)絡安全措施，部署在網(wǎng)卡的前面，是最佳的防護位置。

虛擬機(VM)的產(chǎn)生讓網(wǎng)絡有了不同，每個VM也都有自己的虛擬網(wǎng)卡，這些虛擬網(wǎng)卡需要一個虛擬交換機將他們“連接”起來，再通過上行鏈路(服務器的物理網(wǎng)卡)連接到外邊的網(wǎng)絡上。

這個虛擬處理來的交換機，并不是把物理網(wǎng)卡與虛擬網(wǎng)卡簡單的分時鏡像，因為兩個VM之間也會通信，這是的流量就無需到物理網(wǎng)卡去“兜一圈”了，通過虛擬交換機就可以進行“轉發(fā)”，實際上是物理服務器的內(nèi)存里搬移個地方，但是虛擬交換機應該與物理交換機一樣支持TCP/IP各種交換協(xié)議。每個VM都有自己獨立的IP地址(可以通過NAT技術對外界只有一個IP)。邏輯網(wǎng)卡的功能與物理網(wǎng)卡應該一樣，同樣處理TCP/IP的協(xié)議棧。

有了虛擬網(wǎng)卡、虛擬交換機，虛擬網(wǎng)絡就誕生了。在云計算架構里，網(wǎng)絡概念發(fā)生了延伸，對網(wǎng)絡的理解從傳統(tǒng)的網(wǎng)絡邊界---網(wǎng)卡，延伸到服務器的內(nèi)部---VM的虛擬網(wǎng)卡。

#p#

5、虛擬機不僅僅是虛擬的

VM與物理計算機，用戶使用起來是沒有差別的。但管理這看來，是不同的。物理計算機是硬件實物，一般來說服務器的物理位置是固定的，要遷移是很麻煩的(涉及到網(wǎng)絡IP的規(guī)劃與路由設計，這里說的是服務器端，不是終端，可以使用動態(tài)IP);VM其實只是一個“文件”，遷移就是一個文件拷貝的操作。因此，采用虛擬化技術最為實惠的一大好處，就是VM可以動態(tài)遷移。

虛擬機動態(tài)遷移為IT管理帶來的優(yōu)勢是顯而易見的：

沒有業(yè)務處理時，VM休眠，釋放全部的物理資源給其他用戶使用;

發(fā)現(xiàn)VM運行的服務器能力不足時，可以動態(tài)遷移幾個VM到其他的物理服務器上，在不中斷業(yè)務的情況下，動態(tài)調整服務能力的供給;

IT系統(tǒng)升級或更新硬件時，先把VM遷移出，升級完后再遷移回來，完全不影響應用服務狀態(tài)，無需像從前那樣，要業(yè)務系統(tǒng)退出、數(shù)據(jù)備份、硬件升級、重裝系統(tǒng)、重啟業(yè)務服務、恢復數(shù)據(jù)、同步操作等等;

系統(tǒng)容災變得簡單易行。以往是建設備份機房，投資大，平時也用不上;有了動態(tài)遷移技術，可以在兩地機房建立一體的虛擬化池，在一地出現(xiàn)大災難時，業(yè)務自動將業(yè)務VM遷移到另一地的機房服務器中，自動實現(xiàn)系統(tǒng)容災。近幾年，傳統(tǒng)設計的兩地三中心(同城備份、異地容災)IT基礎架構，已經(jīng)被“雙活”、“多活”數(shù)據(jù)中心的架構所代替，核心就是采用虛擬化的遷移技術;

快速重啟備份系統(tǒng)。業(yè)務系統(tǒng)有Bug，系統(tǒng)邏輯宕機，要盡快恢復業(yè)務是所有IT管理者都需要的。傳統(tǒng)采用雙機熱備或冷備機方式，重啟硬件的時間是不可缺少的。有了虛擬化技術，可以建立不同時間段VM的動態(tài)文件鏡像，發(fā)現(xiàn)宕機，立即啟動備份VM，無論是恢復時間，還是最小損失窗口都有大幅度地提升;

VM動態(tài)遷移，帶來的直接問題，就是IP管理。用戶訪問服務器是通過URL，再定位到IP地址，所以VM如何遷移，其IP地址應該是不變的。傳統(tǒng)數(shù)據(jù)中心采用三層網(wǎng)絡結構(接入、匯聚、核心)，不同業(yè)務系統(tǒng)劃分VLAN進行隔離，保障業(yè)務邊界安全，VLAN之間的通信是通過三層路由網(wǎng)關轉發(fā)?，F(xiàn)在VM動態(tài)遷移，不知道在哪個物理服務器中，甚至到了異地數(shù)據(jù)中心的服務器里，三層路由在哪里做合適呢?若大家都放在一個二層VLAN里，好像又不安全，廣播包太多也是問題。這就是目前很多數(shù)據(jù)中心采用“大二層”網(wǎng)絡架構的原因所在。簡單地理解大二層，就是大家可以在一個網(wǎng)段，又可以做一些邏輯域，一個VLAN的設備還在一個廣播域，跨設備的VLAN之間建立“通道”，保障它們是一個邏輯的整體。

6、云計算讓網(wǎng)絡邁向一個新的時代

云計算采用了資源虛擬化，把物理網(wǎng)絡從傳統(tǒng)的物理網(wǎng)卡，延伸到物理服務器的“內(nèi)部”，虛擬機的虛擬網(wǎng)卡上。VM的動態(tài)遷移，讓我們對“設備”的管理，從物理的改變?yōu)檫壿嫷摹?/p>

一方面，開發(fā)者不再關心服務器的處理能力;另一方面，用戶也不再關心自己業(yè)務服務器在什么地方。傳統(tǒng)的網(wǎng)絡是七層架構，現(xiàn)在網(wǎng)絡層上，“生出”一個“邏輯網(wǎng)絡層”，虛擬化了服務器的計算資源，也虛擬化了網(wǎng)絡資源。

采用了虛擬化技術，IT管理者已經(jīng)無法像以前一樣把某個業(yè)務系統(tǒng)與物理的服務器、存儲、網(wǎng)絡設備相對應，他們看到的只是某個業(yè)務系統(tǒng)訪問的信息流，業(yè)務系統(tǒng)的虛擬網(wǎng)絡拓撲。

傳統(tǒng)的網(wǎng)絡管理統(tǒng)治時代即將過去，面向對業(yè)務信息流的管理時代即將開啟。