云计算安全方案与部署研究.doc

运营创新论坛运营创新论坛云计算安全方案与部署研究王 哲，区 运营创新论坛 运营创新论坛 云计算安全方案与部署研究 王 哲，区洪辉，朱培军 （中国电信股份有限公司广东分公司 广州 510081） 如图 1 所示。 云计算的规划建设以集群为最小单位，一个 集群是配置了一定数量的相同 CPU 厂 商 的 x86 服 务 器 、 共享存储和网络设备，使用同类型虚拟化软件的资源组织 单位。 同一集群中可进行动态迁移、HA （high availability， 高可用性）等云特性的操作。 若干个集群通过接入交换机 连接到汇聚交换机，汇聚流量通过核心路由器统一连接到 外部网络，构成了一个典型的私有云。 在云计算部署中，一 般采用云管理平台对云资源进行统一的资源管理和调度， 实现运营管理。 同一个集群内的技术特性是一致的，对外提供统一的 服务等级。 但目前虚拟化软件的技术因素导致一个集群内 x86 物理服务器的数量有所限制， 如 VMware ESX 中一个 集群的物理服务器限制为 24 台。 另外大型私有云所承载 的业务也是多种多样的， 因此在大规模私有云部署方案 中，针对不同的业务需求，可以组合虚拟化软件、x86 服务 器和存储系统形成不同的虚拟化解决方案，构建不同种类 的集群，如应用 VMware 构建核心业务集群、 应用 KVM 虚 拟化软件构建创新孵化集群等。 采用多个不同类型的集群 前言 1 云计算是一种将池化的集群计算能力通过互联网向 内外部用户提供按需服务的互联网新业务， 是传统 IT 领 域和通信领域技术进步、需求推动和商业模式变化共同促 进的结果，具有以网络为中心、以服务为提供方式、高扩展 与高可靠性、资源池化与透明化四大特点。目前，云计算快 速发展， 但在部署中仍然面临着大量挑战， 其中安全问题 排在首位。 全球有多个研究组织对云计算的安全进行了研 究，但大多从云计算使用者的角度分析研究了公有云的安 全，针对私有云安全的研究较少，尚未形成成熟的成果。 《计算机世界》对 155 名调查者进行调查的结果显示， 未来企业在云计算投入方面私有云排名第一，私有云是目 前云计算应用的主要模式。 下面将结合私有云的典型部 署，给出私有云的安全方案与部署建议。 2 私有云典型部署方案 一种基于虚拟化技术的大规模私有云典型部署方案 摘 要 云安全是云计算产业发展面临的关键问题，业界尚未形成完整成熟的体系及解决方案。 本文给出了典 型的云计算部署方案，分析了云计算安全要素，并结合典型云计算架构，提出了全面的私有云安全部署 方案。 关键词 云计算；私有云；安全方案 图 图 1 大规模私有云典型部署方案 图 2 CSA 云安全架构模型运营创新论坛构建大规模私有云，既充分发挥了同一集群中虚拟化资源弹性灵活调整的特点， 图 2 CSA 云安全架构模型 运营创新论坛 构建大规模私有云，既充分发挥了同一集群中虚拟化资源 弹性灵活调整的特点， 又可以突破单个集群的技术限制， 满足多种业务承载的需求。 3 私有云安全要素 典型的私有云架构可以实现企业 IT 资源的高度集约 管理， 有效提升了资源部署效率和使用效率， 但同时也带 来了集中的安全问题，如病毒、数据泄露等，可能造成由原 来单一系统、 单一应用不可用扩展为多个系统、 多个应用 甚至全部 IT 基础设施不可用的后果， 因此安全问题已经 成为规模部署云计算技术的最关键环节。 CSA （ 云 安 全 联 盟 ） 于 2010 年 3 月 发 表 了 云 计 算 的 七 大威胁，获得了业界广泛的引用和认可，图 2 是 CSA 云 安全架构模型， 从全局安全控制、 虚拟化技术安全控制和 业务连续性 3 个方面介绍了云服务安全架构，但其主要是 从云计算使用者的角度针对公有云的云服务进行安全分 析和防范。 对于企业大规模私有云来说，如何从私有云部署的角 度综合应用各种安全举措进行安全分析和防范，是目前云 计算规模应用过程中迫切需要解决的问题。 参考 CSA 模 型中的安全控制要点， 针对典型的私有云部署架构 ， 对云 计算的集群、 网络出口、 云管理平台 3 个重要组成部分进 行安全分析，归纳出各部分的安全要点，见表 1。 根据上述分析， 私有云部署的各组成部分中， 由于云 计算引入带来的安全重点和难点集中在共享存储、虚拟化 软件及虚拟机、网络、管理平台 4 个方面。 量清洗、网络防火墙等传统的安全防护措施达到相应的安 全等级； 而共享存储、 虚拟化软件及虚拟机、 网络、 管理平 台 4 个方面就必须在传统安全防护措施的基础上，再针对 云的新特性进行安全防范。 4.1 共享存储安全方案 共享存储中存放的是私有云的关键数据， 数据的重要 性不言而喻。 云计算环境下的数