IDC基础设施云的安全策略研究.docVIP

IDC基础设施云的安全策略研究 段勇 朱源 （中国电信股份有限公司上海研究院 上海 200122） 摘要：云计算是一种新的技术和商业模式，通过“基础设施云平台”可以为用户提供基于互联网的IT基础设施服务（IaaS），有效提高IDC相关产品的盈利能力，扩大客户群。然而，“基于互联网”的特点在带来易用性的同时，对业务支撑平台提出了更高的安全要求。本文结合基础设施云平台的特点，提出了面向基础设施云的安全框架，以及由于云计算的引入新增的安全问题相应的对策。 关键字：云计算；IaaS；安全策略 引言 虽然云计算到目前已经广为人知，但是关于到底什么是云计算还没有完全统一的看法或定义。在业界有影响的机构组织或商业公司有多种不同的描述。但是大家普遍认同的，云计算应该具有以下五个基本特征： 按需的自服务：自己动手、丰衣足食。作为云服务，不同于传统网络服务或普通IT服务的一个鲜明特征就是云服务是不用人工干预的自助服务，例如服务开通、配置变更、缴费、取消等。 宽带接入：该特征要求云服务通过网络提供，并且应该涵盖基本上所有的客户端，包括各种电脑、上网本、智能手机等。 虚拟池化的资源：该特征来源于云服务的多客户性质。在同一套物理资源之上，给多个客户提供服务，需要将原来孤立的、个体的物理资源通过虚拟化技术映射成为虚拟的、功能模块化的、面向多用户服务的资源池。并由系统统一的、动态的、按需的再分配给各个客户。由此而来的另外一个结果就是客户不再关心、也基本上无法知道自己的某个服务在某个时刻运行在哪个物理位置的物理硬件之上。这些资源包括CPU计算能力、内存、存储、进程、网络带宽、虚拟机、备份数据、维护人员等等。 快速弹性架构：这个特征被认为是云计算带来的最大好处之一。用户不再为系统扩容跟不上用户需求预测而苦恼，也不用为短期项目完工后闲置的IT资源而担心。 系统规模扩大、减小，对于云服务的用户来说，变成了鼠标点击事件，就好像云里的服务和虚拟资源是无限的、召之即来、挥之即去的。 可测量的服务：这里强调的 “服务”，它应该是可以测量的、有明确价格和收费政策的。在使用过程中，各种服务（例如存储、带宽、活动用户账号、各种计算资源等）的使用、监视、控制等对于服务提供者和用户都是透明的。 除了上述五个关键特征之外，多租户也是云计算的重要特征。这些关键特征直接影响到了云计算环境的安全威胁和相关的安全保护策略。 在互联网进入Web2.0时代以后，网络安全威胁的发展趋势有了很大变化。云计算服务的大量涌现、个人计算和企业计算大量向云服务迁移进一步加剧了围绕着 Web的各种安全威胁。按照IDC 2008年8月份的调查结果，在人们对云计算担心问题排序中，安全问题高居榜首。 图1云计算面临的挑战 IDC基础设施云业务是基于云计算平台的IT基础设施租用服务。它通过虚拟化、自动化等云计算关键技术智能动态地调配各种资源（如计算、 存储、带宽、硬件、软件等）提供给客户。使得客户无需为繁琐的细节而烦恼，能够更加专注于自己的业务。 安全需求分析 IDC基础设施云的安全需求来自于两个方面，一方面，IDC基础设施云业务的基础还是传统的IT环境，从这个层次上来看，大多数环境下，IDC基础设施云平台面临的风险和威胁和传统的IT环境没有什么太大的不同；另一方面，由于采用的云服务模式、运营模式和云计算一些新技术的引入，云计算会比传统的IT环境给运营商带来更多的风险。 网络层 IDC基础设施云是一类面向互联网客户的公共云服务，要保证业务的正常运维，必须解决客户与IDC基础设施云之间的交互可能存在的风险，这部分由于云计算技术的引入带来的风险主要有虚拟化的网络设备和云计算技术带来的网络区域和层次的隔离模型的变化。 虚拟网络设备 在IDC基础设施云环境下，已经可以提供具备VLAN以及更多能力的虚拟交换设备，这些虚拟交换设备给在虚拟环境下部署支撑应用的灵活虚拟网络多层架构提供了条件，比如部署不同的应用服务器、Web服务器、甚至数据服务器。如果用传统的部署在虚拟环境外的安全组件，是无法完成对虚拟网络架构的各个服务器流量监控和审计的。同样，发生在虚拟交换机间的流量也是无法监控的。这样虚拟环境就成了整个安全的黑盒子，如果任何一台虚拟环境下的服务器收到攻击，会极其容易的扩散到其他的虚拟服务器或主机。 网络区域和层次的变化 以往的网络区域和层次的隔离模型在公共的云计算模式下发生了很大变化。多年来，网络安全依靠分区，例如内部网与外部网、开发环境和生产环境，通过隔离网络流量提高网络的安全性，该模型是基于只有特定的个人和系统有权访问特定区域。同样，在一个特定的层系统往往只有特定的访问权限，例如，在展现层的系统不能直接和数据库层通讯，但可以与授权的应用系统通讯。 在IDC基础设施云里，传统网络里分区和层的概念已被公共云的“安全组”，“安全域