研究云的安全有兩三年了，但形成完整的安全思路，還是去年的事，這也是“流安全”思路形成的主要階段。

云計(jì)算的安全問題之所以突出，是因?yàn)樘摂M機(jī)的動(dòng)態(tài)遷移，以及多業(yè)務(wù)系統(tǒng)交織在一起，這讓傳統(tǒng)的網(wǎng)卡邊界就是安全部署點(diǎn)的方法不在適用。流安全不再關(guān)注被保護(hù)服務(wù)器的物理位置，轉(zhuǎn)而關(guān)注訪問該服務(wù)器的數(shù)據(jù)流。通過對數(shù)據(jù)流的重新“路由”，保證對數(shù)據(jù)流的安全清洗，從而實(shí)現(xiàn)對服務(wù)器的網(wǎng)絡(luò)保護(hù)。在訪問控制模型中，有一類流模型，就是針對數(shù)據(jù)流進(jìn)行保護(hù)的。

為了讓大家容易理解基于流安全的云計(jì)算安全方案，我編寫了這個(gè)白皮書，與大家交流。文檔挺長，特分成四個(gè)部分。

本方案適用范圍：

云計(jì)算建設(shè)一般分為公有云與私有云，其安全需求是不同，安全防護(hù)思路也不相同。

公有云以阿里云、騰訊云等互聯(lián)網(wǎng)運(yùn)營商為代表，獨(dú)立建設(shè)云服務(wù)為企業(yè)、個(gè)人提供云服務(wù)。選用這種云服務(wù)的用戶，多數(shù)是對敏感性要求不高的，主要的便宜、快捷。同時(shí)，云服務(wù)提供商為了降低運(yùn)營成本，大多采用在開源虛擬化平臺(tái)上進(jìn)行二次開發(fā)，不僅整個(gè)架構(gòu)平臺(tái)可以自己重新架構(gòu)，而且可以增加自己對虛擬機(jī)的安全管理，如流量限制，內(nèi)置安全軟件進(jìn)行安全監(jiān)控，或者直接進(jìn)行病毒查殺等等?？傊性频陌踩旧鲜怯稍品?wù)商來管理，用戶可以根據(jù)自己的需要選擇，若是有些敏感的信息，可以選擇桌面的加密軟件。

私有云的情況則不同，因?yàn)樗接性频慕ㄔO(shè)者，大多數(shù)技術(shù)力量不是很強(qiáng)，沒有自行開發(fā)、運(yùn)維虛擬化平臺(tái)的能力，選擇采用第三方的、較為成熟的云計(jì)算管理平臺(tái)是常見的，用戶則更關(guān)心自己的新業(yè)務(wù)開發(fā)。采用私有云方式的用戶，一般其IT設(shè)施較多，業(yè)務(wù)對網(wǎng)絡(luò)要求較高，多數(shù)有自己的城域網(wǎng)，有些還有專用的廣域網(wǎng)，在安全上一般應(yīng)該滿足等級保護(hù)的國家要求。為了提高IT設(shè)備的利用率，加強(qiáng)對業(yè)務(wù)支持的靈活性，選用資源虛擬化管理，或者之間遷移到云服務(wù)平臺(tái)。如政府、軍隊(duì)、央企、科研機(jī)構(gòu)等，

本文主要是針對私有云，并且是在一個(gè)虛擬化池中不只是運(yùn)行一種業(yè)務(wù)的場景，提出的云計(jì)算安全解決方案設(shè)計(jì)思路，不僅適合針對每個(gè)業(yè)務(wù)系統(tǒng)提供單獨(dú)安全保障的需求，而且適合不同虛擬化管理平臺(tái)的統(tǒng)一安全管理。

一、云計(jì)算其實(shí)是所有軟件人的“夢”

1、云計(jì)算是一種新的IT服務(wù)模式體驗(yàn)

能夠不受計(jì)算機(jī)處理能力的限制，能夠有取之不盡的內(nèi)存與外存空間，這對于每一個(gè)軟件編程人員來說，無疑具有巨大的誘惑力。為了提高處理速度而絞盡腦汁設(shè)計(jì)的精巧算法，為了節(jié)省內(nèi)存而反復(fù)優(yōu)化的代碼…而真正實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的邏輯、管理往往淪為“不重要的”。以至于很多人認(rèn)為：計(jì)算機(jī)編程高手就意味著精于編程技巧，而應(yīng)用系統(tǒng)開發(fā)只是軟件工程，我們常說的“碼農(nóng)”。

云計(jì)算技術(shù)的出現(xiàn)讓這個(gè)問題成為歷史，增加處理能力，就是增加幾個(gè)CPU，動(dòng)態(tài)添加內(nèi)存都不再是障礙，甚至已經(jīng)出現(xiàn)了內(nèi)存數(shù)據(jù)庫，空間還是問題嗎?因?yàn)樵朴?jì)算的特點(diǎn)之一是具有彈性的處理能力。

對于計(jì)算機(jī)的用戶，能夠隨時(shí)隨地接入主機(jī)系統(tǒng)，忙碌的辦公室、溫馨安逸的家、旅途中的賓館、休假時(shí)的海濱，甚至行駛的汽車上、飛機(jī)上、輪船上…隨時(shí)交流通信、隨時(shí)編寫方案、隨時(shí)設(shè)計(jì)藍(lán)圖、隨時(shí)項(xiàng)目審批、隨時(shí)網(wǎng)上沖浪……云計(jì)算讓這些夢想變成了可能，因?yàn)樵朴?jì)算還有一個(gè)顯著特點(diǎn)：隨時(shí)隨地接入網(wǎng)絡(luò)。

當(dāng)然，得到如此“夢想”的服務(wù)，不只是高端富豪才能享用的，就像“自來水”一樣，價(jià)格便宜，使用多少就付多少錢?？啥攘康?、按需的服務(wù)是云計(jì)算的另一大特點(diǎn)。

以上是美國NIST定義云計(jì)算五大特點(diǎn)中的三個(gè)，這已經(jīng)足夠吸引所有計(jì)算機(jī)人士的眼球的了。因此，2013年還有很多專家稱云計(jì)算落地還有待時(shí)日，到了2014年，政府與企業(yè)的IT建設(shè)立項(xiàng)不與云沾邊的已經(jīng)很少了，2015年一開始，一窩蜂似的涌出很多的云計(jì)算項(xiàng)目要落地實(shí)施。其實(shí)我們回想一下，這幾年，我們身邊基于云計(jì)算的服務(wù)與新應(yīng)用：即時(shí)通信、社交網(wǎng)絡(luò)、搜索引擎、電子政務(wù)、智慧城市、電商購物、影視媒體、大型游戲、安全態(tài)勢分析、領(lǐng)導(dǎo)決策支持…

2、了解一下云計(jì)算的體系結(jié)構(gòu)

云計(jì)算是一種新技術(shù)，也是一種新型的IT服務(wù)模式。你知道嗎?支持云計(jì)算服務(wù)商的后臺(tái)基礎(chǔ)技術(shù)其實(shí)是資源管理的虛擬化技術(shù)。我們先看一下云計(jì)算的系統(tǒng)結(jié)構(gòu)：

與傳統(tǒng)IT架構(gòu)不同的地方，是在IT基礎(chǔ)設(shè)施與系統(tǒng)軟件(操作系統(tǒng))之間增加個(gè)一個(gè)虛擬化管理層，業(yè)務(wù)系統(tǒng)“看到”到不再是物理服務(wù)器，而是虛擬機(jī)(VM)。

正是因?yàn)閷?shù)據(jù)中心的IT基礎(chǔ)實(shí)施采用了虛擬化管理技術(shù)，虛擬計(jì)算機(jī)可以動(dòng)態(tài)調(diào)整CPU的個(gè)數(shù)、內(nèi)存的大小，所以云計(jì)算才能夠提供彈性的服務(wù)能力。按照用戶業(yè)務(wù)運(yùn)行的實(shí)際需求，動(dòng)態(tài)分配處理能力給每個(gè)用戶，這就是服務(wù)器虛擬化管理的核心之一。當(dāng)然你需要的服務(wù)能力不能超過所有硬件服務(wù)器服務(wù)能力的總和。

這種虛擬化管理平臺(tái)軟件不同于傳統(tǒng)的計(jì)算機(jī)操作系統(tǒng)，目前比較流行的有：VmWare、KVM、Xen、Hyper-V等，其他管理平臺(tái)多是在KVM、Xen等開源平臺(tái)上繼續(xù)開發(fā)出來的。

服務(wù)器虛擬化技術(shù)的核心是生成與管理虛擬機(jī)(VM)，不同平臺(tái)技術(shù)上有差異，但大體思路是一致的。我們看一下VMWare平臺(tái)的虛擬機(jī)架構(gòu)：

Xen平臺(tái)的虛擬機(jī)架構(gòu)類似，但有個(gè)0號(hào)控制虛擬機(jī)：

虛擬機(jī)最基本的組成是CPU、內(nèi)存、網(wǎng)卡、磁盤(外存)，其他虛擬硬件按需添加，如光驅(qū)、軟件、USB等。多個(gè)虛擬機(jī)共享一個(gè)物理服務(wù)器的硬件資源，對于多用戶、多進(jìn)程的操作系統(tǒng)來說這也不是什么難的事情，但如何將兩個(gè)虛擬機(jī)安全隔離就是管理上關(guān)注的事情了。兩個(gè)應(yīng)用軟件“跑”在一起，還有兼容問題呢，何況是兩個(gè)虛擬機(jī)?用戶使用虛擬機(jī)，對他來說，應(yīng)該是一臺(tái)“獨(dú)立的”計(jì)算機(jī)，若他知道還有人與他一起“合租”，鄰里關(guān)系不能熟視無睹吧。如何做到讓用戶感覺是跟自己的是一樣的呢?

#p#

3、了解虛擬化技術(shù)

在一個(gè)服務(wù)器內(nèi)實(shí)現(xiàn)多個(gè)虛擬機(jī)共享技術(shù)是第一步，要想真正支持彈性服務(wù)能力，沒有上限的，就一定要突破多臺(tái)服務(wù)器的聯(lián)合技術(shù)，整體的服務(wù)能力才有增大。

從早先的雙機(jī)熱備，到服務(wù)器集群，再到網(wǎng)格計(jì)算，人們在把多臺(tái)設(shè)備虛擬到一起的道路上，探索了很長的一段時(shí)間。目前流行的實(shí)現(xiàn)服務(wù)器虛擬化技術(shù)有如下兩種模式：

負(fù)載控制+“一虛多”：先建立一個(gè)總服務(wù)臺(tái)，進(jìn)行并行管理。把一個(gè)任務(wù)分成多個(gè)子任務(wù)，每個(gè)任務(wù)申請一個(gè)VM，最后處理的結(jié)果再返回用戶。保證子任務(wù)對服務(wù)能力的需求不超過單個(gè)物理服務(wù)器。比如Google、百度的搜索服務(wù)，把搜索分成不同類別、資源的子搜索，搜索的時(shí)間才會(huì)到人滿意的程度;

“多虛一”+“一虛多”：把多個(gè)物理設(shè)備虛擬成一個(gè)大的設(shè)備，成為一個(gè)很大處理能力的“巨型機(jī)”，再按需分給每個(gè)用戶。這是資源虛擬化的理想方式，真正做到了用戶申請的VM不受物理服務(wù)器的限制，不關(guān)心處理能力的承受問題。

不論是哪種虛擬化技術(shù)，目的都是在物理硬件與用戶需求計(jì)算機(jī)之間建立一個(gè)虛擬層，由這個(gè)虛擬管理層負(fù)責(zé)把用戶任務(wù)分配給具體的硬件資源，用戶“看到的”是虛擬CPU、虛擬內(nèi)存…既然硬件都是虛擬的，當(dāng)然其大小就可以由虛擬管理者動(dòng)態(tài)調(diào)整。管理虛擬層一方面要管理下層具體的硬件，驅(qū)動(dòng)它們最大效率地工作，一方面要針對每個(gè)虛擬機(jī)提供出虛擬的硬件接口，讓虛擬機(jī)的操作系統(tǒng)“正常”調(diào)用硬件資源工作。

4、虛擬網(wǎng)絡(luò)的“誕生”

計(jì)算機(jī)是通過網(wǎng)卡連接網(wǎng)絡(luò)與外界互聯(lián)的，所以，傳統(tǒng)的網(wǎng)絡(luò)邊界節(jié)點(diǎn)就是網(wǎng)卡，網(wǎng)卡收發(fā)的是網(wǎng)絡(luò)TCP/IP協(xié)議的數(shù)據(jù)包，支持的網(wǎng)絡(luò)路由交換協(xié)議。網(wǎng)卡是服務(wù)器與網(wǎng)絡(luò)互通的必經(jīng)路徑點(diǎn)。連接網(wǎng)卡的網(wǎng)線就是通過網(wǎng)絡(luò)進(jìn)入服務(wù)器的“唯一”大門(直接到服務(wù)器控制端或串口接入控制端，需要接近物理設(shè)備，屬于物理安全與運(yùn)維管理范疇，這里不討論)，傳統(tǒng)的網(wǎng)絡(luò)安全措施，部署在網(wǎng)卡的前面，是最佳的防護(hù)位置。

虛擬機(jī)(VM)的產(chǎn)生讓網(wǎng)絡(luò)有了不同，每個(gè)VM也都有自己的虛擬網(wǎng)卡，這些虛擬網(wǎng)卡需要一個(gè)虛擬交換機(jī)將他們“連接”起來，再通過上行鏈路(服務(wù)器的物理網(wǎng)卡)連接到外邊的網(wǎng)絡(luò)上。

這個(gè)虛擬處理來的交換機(jī)，并不是把物理網(wǎng)卡與虛擬網(wǎng)卡簡單的分時(shí)鏡像，因?yàn)閮蓚€(gè)VM之間也會(huì)通信，這是的流量就無需到物理網(wǎng)卡去“兜一圈”了，通過虛擬交換機(jī)就可以進(jìn)行“轉(zhuǎn)發(fā)”，實(shí)際上是物理服務(wù)器的內(nèi)存里搬移個(gè)地方，但是虛擬交換機(jī)應(yīng)該與物理交換機(jī)一樣支持TCP/IP各種交換協(xié)議。每個(gè)VM都有自己獨(dú)立的IP地址(可以通過NAT技術(shù)對外界只有一個(gè)IP)。邏輯網(wǎng)卡的功能與物理網(wǎng)卡應(yīng)該一樣，同樣處理TCP/IP的協(xié)議棧。

有了虛擬網(wǎng)卡、虛擬交換機(jī)，虛擬網(wǎng)絡(luò)就誕生了。在云計(jì)算架構(gòu)里，網(wǎng)絡(luò)概念發(fā)生了延伸，對網(wǎng)絡(luò)的理解從傳統(tǒng)的網(wǎng)絡(luò)邊界---網(wǎng)卡，延伸到服務(wù)器的內(nèi)部---VM的虛擬網(wǎng)卡。

#p#

5、虛擬機(jī)不僅僅是虛擬的

VM與物理計(jì)算機(jī)，用戶使用起來是沒有差別的。但管理這看來，是不同的。物理計(jì)算機(jī)是硬件實(shí)物，一般來說服務(wù)器的物理位置是固定的，要遷移是很麻煩的(涉及到網(wǎng)絡(luò)IP的規(guī)劃與路由設(shè)計(jì)，這里說的是服務(wù)器端，不是終端，可以使用動(dòng)態(tài)IP);VM其實(shí)只是一個(gè)“文件”，遷移就是一個(gè)文件拷貝的操作。因此，采用虛擬化技術(shù)最為實(shí)惠的一大好處，就是VM可以動(dòng)態(tài)遷移。

虛擬機(jī)動(dòng)態(tài)遷移為IT管理帶來的優(yōu)勢是顯而易見的：

沒有業(yè)務(wù)處理時(shí)，VM休眠，釋放全部的物理資源給其他用戶使用;

發(fā)現(xiàn)VM運(yùn)行的服務(wù)器能力不足時(shí)，可以動(dòng)態(tài)遷移幾個(gè)VM到其他的物理服務(wù)器上，在不中斷業(yè)務(wù)的情況下，動(dòng)態(tài)調(diào)整服務(wù)能力的供給;

IT系統(tǒng)升級或更新硬件時(shí)，先把VM遷移出，升級完后再遷移回來，完全不影響應(yīng)用服務(wù)狀態(tài)，無需像從前那樣，要業(yè)務(wù)系統(tǒng)退出、數(shù)據(jù)備份、硬件升級、重裝系統(tǒng)、重啟業(yè)務(wù)服務(wù)、恢復(fù)數(shù)據(jù)、同步操作等等;

系統(tǒng)容災(zāi)變得簡單易行。以往是建設(shè)備份機(jī)房，投資大，平時(shí)也用不上;有了動(dòng)態(tài)遷移技術(shù)，可以在兩地機(jī)房建立一體的虛擬化池，在一地出現(xiàn)大災(zāi)難時(shí)，業(yè)務(wù)自動(dòng)將業(yè)務(wù)VM遷移到另一地的機(jī)房服務(wù)器中，自動(dòng)實(shí)現(xiàn)系統(tǒng)容災(zāi)。近幾年，傳統(tǒng)設(shè)計(jì)的兩地三中心(同城備份、異地容災(zāi))IT基礎(chǔ)架構(gòu)，已經(jīng)被“雙活”、“多活”數(shù)據(jù)中心的架構(gòu)所代替，核心就是采用虛擬化的遷移技術(shù);

快速重啟備份系統(tǒng)。業(yè)務(wù)系統(tǒng)有Bug，系統(tǒng)邏輯宕機(jī)，要盡快恢復(fù)業(yè)務(wù)是所有IT管理者都需要的。傳統(tǒng)采用雙機(jī)熱備或冷備機(jī)方式，重啟硬件的時(shí)間是不可缺少的。有了虛擬化技術(shù)，可以建立不同時(shí)間段VM的動(dòng)態(tài)文件鏡像，發(fā)現(xiàn)宕機(jī)，立即啟動(dòng)備份VM，無論是恢復(fù)時(shí)間，還是最小損失窗口都有大幅度地提升;

VM動(dòng)態(tài)遷移，帶來的直接問題，就是IP管理。用戶訪問服務(wù)器是通過URL，再定位到IP地址，所以VM如何遷移，其IP地址應(yīng)該是不變的。傳統(tǒng)數(shù)據(jù)中心采用三層網(wǎng)絡(luò)結(jié)構(gòu)(接入、匯聚、核心)，不同業(yè)務(wù)系統(tǒng)劃分VLAN進(jìn)行隔離，保障業(yè)務(wù)邊界安全，VLAN之間的通信是通過三層路由網(wǎng)關(guān)轉(zhuǎn)發(fā)。現(xiàn)在VM動(dòng)態(tài)遷移，不知道在哪個(gè)物理服務(wù)器中，甚至到了異地?cái)?shù)據(jù)中心的服務(wù)器里，三層路由在哪里做合適呢?若大家都放在一個(gè)二層VLAN里，好像又不安全，廣播包太多也是問題。這就是目前很多數(shù)據(jù)中心采用“大二層”網(wǎng)絡(luò)架構(gòu)的原因所在。簡單地理解大二層，就是大家可以在一個(gè)網(wǎng)段，又可以做一些邏輯域，一個(gè)VLAN的設(shè)備還在一個(gè)廣播域，跨設(shè)備的VLAN之間建立“通道”，保障它們是一個(gè)邏輯的整體。

6、云計(jì)算讓網(wǎng)絡(luò)邁向一個(gè)新的時(shí)代

云計(jì)算采用了資源虛擬化，把物理網(wǎng)絡(luò)從傳統(tǒng)的物理網(wǎng)卡，延伸到物理服務(wù)器的“內(nèi)部”，虛擬機(jī)的虛擬網(wǎng)卡上。VM的動(dòng)態(tài)遷移，讓我們對“設(shè)備”的管理，從物理的改變?yōu)檫壿嫷摹?/p>

一方面，開發(fā)者不再關(guān)心服務(wù)器的處理能力;另一方面，用戶也不再關(guān)心自己業(yè)務(wù)服務(wù)器在什么地方。傳統(tǒng)的網(wǎng)絡(luò)是七層架構(gòu)，現(xiàn)在網(wǎng)絡(luò)層上，“生出”一個(gè)“邏輯網(wǎng)絡(luò)層”，虛擬化了服務(wù)器的計(jì)算資源，也虛擬化了網(wǎng)絡(luò)資源。

采用了虛擬化技術(shù)，IT管理者已經(jīng)無法像以前一樣把某個(gè)業(yè)務(wù)系統(tǒng)與物理的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備相對應(yīng)，他們看到的只是某個(gè)業(yè)務(wù)系統(tǒng)訪問的信息流，業(yè)務(wù)系統(tǒng)的虛擬網(wǎng)絡(luò)拓?fù)洹?/p>

傳統(tǒng)的網(wǎng)絡(luò)管理統(tǒng)治時(shí)代即將過去，面向?qū)I(yè)務(wù)信息流的管理時(shí)代即將開啟。