二、云的安全是阻礙云計算普及的最大障礙

A：云計算讓傳統(tǒng)信息安全防御體系面臨尷尬

信息安全是保障信息系統(tǒng)業(yè)務(wù)安全的，采用云計算技術(shù)后，并非只是增加了一個虛擬化管理軟件的安全風(fēng)險那么簡單，最重要的是，它讓多年來信息安全保障基本思路---邊界安全防御思路面臨尷尬。

1、什么是邊界安全防御思路

多年來信息安全防御是基于邊界安全思路進行設(shè)計的，這源自于美國人的IATF(信息保障技術(shù)框架)，很早以前就提出了網(wǎng)絡(luò)安全的保障思路。把網(wǎng)絡(luò)按功能分為不同的安全域，域內(nèi)安全需求相似，我們在安全域邊界上部署安全措施。典型的“3+1”劃分方式：計算域(服務(wù)器與存儲)、核心互聯(lián)網(wǎng)(網(wǎng)絡(luò)核心)、接入域(用戶接入網(wǎng)絡(luò)的匯聚)、基礎(chǔ)設(shè)施域(網(wǎng)管與安管的基礎(chǔ)設(shè)施)。

安全域防御思路是將用戶與服務(wù)器資源隔離開來，也把入侵者與保護對象隔離開來，在其訪問的必經(jīng)路徑上，建立多道防御措施，延長入侵者到達目標的時間，同時為監(jiān)控措施贏得發(fā)現(xiàn)并部署應(yīng)急處理的時間。之所以成為“邊界安全思路”，是因為這種設(shè)計思路往往先劃出邊界，理清出入口，在“關(guān)口”上部署安全策略。

邊界安全源于保護領(lǐng)土的傳統(tǒng)安全做法，拉開我們與敵人的空間距離，這樣敵人在進攻時就會暴露在中間區(qū)域內(nèi)，我們好有充足時間做出反應(yīng)，組織強有力的阻擊行動。多重防護、也是延長敵人攻擊到我核心地域的時間。很顯然，這種方法是對付正面的、公開的敵人，面對已經(jīng)在自己領(lǐng)域內(nèi)部的敵人(內(nèi)鬼或者間諜)，邊界措施就不適用了，因此，需要建立監(jiān)控體系，以及對內(nèi)部人員的信任管理系統(tǒng)，內(nèi)部區(qū)域是我們可控的，保障的思路是提高犯罪門檻，以及秋后算總賬。

什么是網(wǎng)絡(luò)邊界?對于某個單位的局域網(wǎng)來說，就是互聯(lián)網(wǎng)出口的路由器;對某個業(yè)務(wù)系統(tǒng)來說就是服務(wù)器的網(wǎng)卡，就是連接交換機的那根網(wǎng)線。這里是外部入侵者的必經(jīng)之路，安全防護的最佳位置。

2、“花瓶”模型

安全措施有很多，該如何選擇呢?是越多越好，越貴越好嗎?顯然不是!

安全部署是一個整體規(guī)劃、系統(tǒng)化的設(shè)計過程，建立縱深的、立體的防御體系，需要多方面的安全措施相互配合，沒有任何一種安全措施可以包打天下的。

安全保障的目的是減少安全事件的發(fā)生，或者是減少安全事件發(fā)生時帶來的損失。因此，處理安全事件就安全保障措施落地的基本流程。從對一個安全事件的處理過程中，可以看出安全措施的配合機理。

• 安全事件發(fā)生前：在所有的邊界出口上，部署安全訪問策略，提高訪問門檻，建立安全防護基線;
• 安全事件發(fā)生中：利用強大的安全檢測技術(shù)，分析網(wǎng)絡(luò)里的各種異常，監(jiān)控設(shè)備、進程的運行動態(tài)，發(fā)現(xiàn)入侵行為，立即報警，啟動應(yīng)急處理流程，盡量把安全事件限制在局部區(qū)域，把安全損失降低到最小;
• 安全事件發(fā)生后：利用用戶信用與審計體系，收集犯罪者的證據(jù)，挖出內(nèi)鬼，秋后算賬，震懾處于犯罪邊緣的人;
• 日常運維管理：提高自身安全素質(zhì)，減少安全漏洞。通過安全管理平臺管理安全策略，監(jiān)控安全態(tài)勢。

“花瓶”模型把安全措施分為邊界防御、動態(tài)監(jiān)控、信任體系三條措施基線，以及一個公共安全管理的支撐平臺。模型具體描述了各種措施部署的位置，以及各種措施之間相互支撐、相互協(xié)作的關(guān)系。邊界防御可以把一般水平的入侵者擋在“墻”外，對于高水平的入侵者，我不能不讓你進來，但可以通過動態(tài)監(jiān)控措施看見你的一舉一動，發(fā)現(xiàn)異常，或者有安全隱患，立即報警或直接制止。目前流行的應(yīng)對APT攻擊---“沙箱”技術(shù)，就是屬于監(jiān)控體系中通過釋放行為，判斷是否為惡意代碼的監(jiān)控類措施。邊界防御與動態(tài)監(jiān)控可以應(yīng)對外部入侵者;針對“內(nèi)鬼”，就需要監(jiān)控體系與信用體系了。發(fā)現(xiàn)越權(quán)訪問，以及濫用權(quán)限等不合違規(guī)行為，立即制止并進行制裁。

3、虛擬化網(wǎng)絡(luò)的邊界在哪里成了難解的問題

網(wǎng)絡(luò)就是要連通，連通才是數(shù)據(jù)共享、實時互通的基礎(chǔ)。但共享就意味著不安全，知道得人越多，泄露的可能性就越大。所以，我們建立網(wǎng)絡(luò)的同時，也建立了層層“關(guān)卡”，允許授權(quán)的人訪問，限制外來人的訪問權(quán)限，既享受互聯(lián)帶來的便利，又限制敏感數(shù)據(jù)的知悉范圍。

云計算服務(wù)模式的來臨，對原來“諸侯割據(jù)”的網(wǎng)絡(luò)帶來極大的沖擊：

• 數(shù)據(jù)大集中：虛擬化的前提是整合信息系統(tǒng)，提高IT基礎(chǔ)設(shè)施的利用率。不僅是數(shù)據(jù)集中，服務(wù)器也集中;集中后，各個信息系統(tǒng)之間的隔離就難了，數(shù)據(jù)集中，也讓數(shù)據(jù)的價值更加凸顯，被入侵者關(guān)注的可能性大大增加;
• 數(shù)據(jù)共享：其實無論是否采用云服務(wù)模式，信息系統(tǒng)之間的數(shù)據(jù)共享都是必然的趨勢，網(wǎng)絡(luò)的目標就是讓“數(shù)據(jù)”動態(tài)起來，讓實時數(shù)據(jù)的價值進一步體現(xiàn)，讓隱藏在數(shù)據(jù)背后的關(guān)聯(lián)與規(guī)律進一步為決策者所用。繼云服務(wù)之后，大數(shù)據(jù)分析應(yīng)用迅速風(fēng)靡各個行業(yè)，不能不說是云服務(wù)模式推動了數(shù)據(jù)共享與業(yè)務(wù)互聯(lián)。無論是服務(wù)總線的互聯(lián)，還是數(shù)據(jù)交換平臺的互聯(lián)，信息系統(tǒng)之間的關(guān)系都更加密切，數(shù)據(jù)流的訪問邏輯都更加復(fù)雜，訪問控制策略也越來越復(fù)雜。

在服務(wù)器端，數(shù)據(jù)與服務(wù)的集中融合，模糊了業(yè)務(wù)系統(tǒng)與物理網(wǎng)絡(luò)的對應(yīng)的關(guān)系，不僅讓信息系統(tǒng)之間的邊界模糊了，而且由于虛擬機的動態(tài)遷移，我們能確定的就只是服務(wù)器的URL地址(通過DNS翻譯成云門戶上的業(yè)務(wù)服務(wù)IP地址，再映射到VM在虛擬化池中的內(nèi)部IP地址)。在用戶端，BYOD技術(shù)的推廣，隨時隨地網(wǎng)絡(luò)的接入，用戶的IP地址是變化的，沒有變的只有用戶的訪問賬戶。在TCP/IP統(tǒng)治的網(wǎng)絡(luò)世界了，IP可以變化，就意味著用戶的訪問路徑是不確定的，找不到必經(jīng)的“關(guān)口”，安全防護的邊界該在哪里?

邊界模糊了，邊界部署安全策略的方式就不那么好使了。

當然虛擬化技術(shù)讓信息安全面臨的尷尬還遠不止這些：

傳統(tǒng)的安全威脅依然存在：

• 病毒、蠕蟲依然流行，DDOS同樣在威脅“門戶的路”，CC攻擊同樣可以讓業(yè)務(wù)服務(wù)器宕機;操作系統(tǒng)與數(shù)據(jù)庫的漏洞同樣可被利用;應(yīng)用層的漏洞攻擊同樣隨處可見;物理安全因為數(shù)據(jù)中心大集中后增大了威脅的可能;
• 虛擬化管理平臺也是OS，是系統(tǒng)軟件，只是因為關(guān)注少而報出漏洞少。VM安全嗎?若是入侵者獲得了虛擬化管理平臺的權(quán)限，每個VM不是都面臨入侵的威脅嗎?
• 內(nèi)部人員的有意與無意違規(guī)，第三方運維中別有用心人員的蓄意破壞，被人收買員工的非法訪問…這樣管理漏洞同樣嚴峻;
• 信息系統(tǒng)之間的隔離是新問題：VM可以動態(tài)遷移，基于網(wǎng)絡(luò)層的物理隔離設(shè)備無法部署在虛擬化的網(wǎng)絡(luò)里;針對每個VM的安全策略，是否可以跟隨VM一起遷移，不能出現(xiàn)“安全天窗”，是安全保障設(shè)計者最關(guān)心的問題;
• VM的安全：服務(wù)器變成了VM，VM在虛擬化管理平臺看來就是一個文件，一個可以被復(fù)制、拷貝、讀取、修改的文件，目前使用一種對虛擬終端VM休眠時病毒查殺的技術(shù)，就已經(jīng)展示了直接修改VM文件的技術(shù)應(yīng)用，若入侵者這樣操作業(yè)務(wù)VM，恐怕就沒有敏感數(shù)據(jù)可言了吧;
• VM之間的攻擊：從網(wǎng)絡(luò)外部直接入侵重要業(yè)務(wù)系統(tǒng)，要通過層層網(wǎng)絡(luò)安全措施的過濾與監(jiān)控，困難是顯而易見的。先入侵不重要的業(yè)務(wù)服務(wù)器(一般安全防護也相對較弱)，再作為“肉雞”橫向入侵重要的業(yè)務(wù)系統(tǒng)，是入侵者常用的手段。有了虛擬化技術(shù)，不僅VM之間的隔離難以部署網(wǎng)絡(luò)層安全措施，而且這種橫向入侵的流量又可能是完全不進入物理交換機的“東西”向流量，因此，VM之間的安全狀態(tài)往往成為云服務(wù)建設(shè)者最大的“心病”;

#p#

B、業(yè)界目前提供云計算安全解決方案的分析

云計算是用戶需要的，選擇虛擬化技術(shù)是必然的，用戶需求就是技術(shù)發(fā)展的動力，讓用戶的業(yè)務(wù)在云中“裸奔”顯然是不可取的。隨著云計算服務(wù)的成熟，其安全解決方案也推出了很多，但由于傳統(tǒng)的安全邊界防護思路難以奏效，這些方案在效果上都有些捉襟見肘。

1、VMWare的安全虛擬機流量清洗方案

WMWare目前是虛擬化管理平臺軟件最大的廠家，率先推出其安全保障方案。其思路是：在每個物理服務(wù)器內(nèi)開啟一個安全VM，安裝安全軟件，如病毒查殺。由于VM下層的Hypervisor是自己的代碼，他們提供了一個API接口，通過Hypervisor控制，讓進入VM的數(shù)據(jù)流先進入安全VM，安全清洗后，再流到目標VM中。實際上就是在VM的下層Hypervisor層上做每個VM的訪問控制。

安全VM中不僅可以安裝殺病毒軟件，還可以安裝入侵檢測、防火墻等軟件，形成一個超能力的安全處理機。其前提是有VMWare提供底層的流量引導(dǎo)與控制，否則安全處理機就只能“旁觀”了。

這個方案設(shè)計思路很不錯，Symantec、Checkpoint、McAfee、Trendmicro都在此方案上做了非常好的集成，尤其是查殺病毒方面實現(xiàn)的很理想。

但這個方案有一個致命的缺陷： VMWare公司的API接口是授權(quán)使用的，目前國內(nèi)的安全廠商沒有一家獲得，要選擇此方案，安全虛擬機中只能安裝國外安全公司的產(chǎn)品，這很難符合國內(nèi)等保、分保的要求。另外，這個方案在殺病毒方面應(yīng)用安全案例很多，但在其他安全措施集成上，案例相對較少。

這個方案給了我們兩點非常好的啟示：一是安全虛擬機，可以隨時“生成”安全設(shè)備，多少、種類都不受限制;二是通過引導(dǎo)業(yè)務(wù)流可以讓“旁路”的安全措施發(fā)生效力。

2、安全虛擬機方案是否可以擴展?

如果可以讓各種安全設(shè)備都變成軟件，運行在VM里，就可以部署到業(yè)務(wù)VM的旁邊，通過虛擬交換機上流量引導(dǎo)就可以實現(xiàn)對業(yè)務(wù)VM的安全控制。這個方案是否可以進一步擴展呢?有兩個問題是難以回避的。

• 資源擠占：一般一個業(yè)務(wù)系統(tǒng)往往不止需要一種安全措施，如一個網(wǎng)站需要WAF過濾，還需要IDS檢測，這樣就需要在網(wǎng)站VM旁邊開啟兩個安全虛擬機。這種安全處理所需要的資源是很大的，vIDS與vWAF加起來占用的服務(wù)器資源，或許比業(yè)務(wù)VM需要的資源還要多。物理服務(wù)器的資源是有限的，安全與業(yè)務(wù)爭資源，是管理者不愿意看到的。如果網(wǎng)站業(yè)務(wù)流量增大，業(yè)務(wù)VM與安全VM可能就無法在一個物理服務(wù)器內(nèi)了，所謂“旁邊”就近處理，也無法兌現(xiàn)了;
• VM遷移：VM遷移是虛擬化最有特色的功能了，這種遷移往往是系統(tǒng)自動的，當VM遷移時，安全虛擬機是否跟隨遷移?若要實現(xiàn)一起遷移，則涉及多個VM是否可以同時遷移(同源同目的)，新的物理服務(wù)器是否可以容納它們?遷移過程中底層的流引導(dǎo)是否能保持同步?業(yè)務(wù)不中斷，安全措施監(jiān)控是否也能不間斷?若不做到一起遷移，VM遷移后，原來的安全虛擬機繼續(xù)處理流量，則需要流量跨物理交換機兩次，這顯然不可取;若在新位置重建安全虛擬機，安全虛擬機建立與開啟需要時間，就必然會形成安全監(jiān)控的“天窗”。

很顯然，安全虛擬機方案很具誘惑，但不適合業(yè)務(wù)同時選用多種安全措施(VMWare方案中只是殺病毒一枝獨秀也可能有這方面的原因吧)。要讓安全虛擬機方案全面落地，除了底層的流量引導(dǎo)技術(shù)拓展之外，還要解決VM遷移同步，這一巨大的難題。

3、未來采用SDN流引導(dǎo)得到大家的共識

安全虛擬機方案是基于底層業(yè)務(wù)流引導(dǎo)思路的，除了VMWare提供的引導(dǎo)，采用業(yè)界“新寵”SDN也是一個選擇。很多網(wǎng)絡(luò)安全廠商采用SDN把業(yè)務(wù)流量引導(dǎo)到自己的安全設(shè)備中處理。SDN技術(shù)可以跨平臺地實現(xiàn)在VMWare、KVM、XEN等上。

SDN協(xié)議是一種通信協(xié)議，它將傳統(tǒng)的交換機分為兩層，底層轉(zhuǎn)發(fā)層(交換硬件)和轉(zhuǎn)發(fā)策略層(控制器)，非常適合流量重新路由定義。

該方案需要交換機支持SDN協(xié)議，目前SDN交換機還處于產(chǎn)品初步上市階段，承擔數(shù)據(jù)中心核心位置還有待產(chǎn)品成熟，同時，采用SDN交換機只能硬件升級，軟件升級無法實現(xiàn)。這對現(xiàn)有網(wǎng)絡(luò)改造需要時間過渡。

4、安全大一體機方案

對于虛擬化的云內(nèi)處理有技術(shù)難度，很多廠家就拋開虛擬化平臺，在云的門戶上設(shè)立邊界的安全策略，這就是安全大一體機方案。

這個方案分為兩派廠家：

• 網(wǎng)絡(luò)安全廠商：做一個大安全一體機，把各種安全措施都可以放進去，有FW，有IDS，有審計，放在云的門戶上，對所有經(jīng)過的信息流配置安全訪問控制策略;
• 網(wǎng)絡(luò)交換廠家：把安全措施直接放進核心交換機，這里本就是流量的匯聚地。插上FW的處理板，插上IDS的處理板，就可以對IP包做訪問控制了。

大一體機方案，顯然是傳統(tǒng)安全模式的延伸，只在云的邊上，不到云的內(nèi)部去。這個方案的最大問題是，要求設(shè)備處理能力極強，因為門戶的流量最大，隨著云計算業(yè)務(wù)的擴展，這種壓力會指數(shù)級增加;

另外，這個方案對云內(nèi)部的東西流量根本看不見，更談不上安全策略了。實際上是默認了放棄云內(nèi)部安全的處理。