雲計算安全解決方案白皮書
Jack zhai
<a href="http://www.yuanma007.com/" target="_blank">時時彩源碼下載下傳</a>
研究雲的安全有兩三年了,但形成完整的安全思路,還是去年的事,這也是“流安全”思路形成的主要階段。
雲計算的安全問題之是以突出,是因為虛拟機的動态遷移,以及多業務系統交織在一起,這讓傳統的網卡邊界就是安全部署點的方法不在适用。流安全不再關注被保護伺服器的實體位置,轉而關注通路該伺服器的資料流。通過對資料流的重新“路由”,保證對資料流的安全清洗,進而實作對伺服器的網絡保護。在通路控制模型中,有一類流模型,就是針對資料流進行保護的。
為了讓大家容易了解基于流安全的雲計算安全方案,我編寫了這個白皮書,與大家交流。文檔挺長,特分成四個部分。
0. 本方案适用範圍:
雲計算建設一般分為公有雲與私有雲,其安全需求是不同,安全防護思路也不相同。
公有雲以阿裡雲、騰訊雲等網際網路營運商為代表,獨立建設雲服務為企業、個人提供雲服務。選用這種雲服務的使用者,多數是對敏感性要求不高的,主要的便宜、快捷。同時,雲服務提供商為了降低營運成本,大多采用在開源虛拟化平台上進行二次開發,不僅整個架構平台可以自己重新架構,而且可以增加自己對虛拟機的安全管理,如流量限制,内置安全軟體進行安全監控,或者直接進行病毒清除等等。總之,公有雲的安全基本上是由雲服務商來管理,使用者可以根據自己的需要選擇,若是有些敏感的資訊,可以選擇桌面的加密軟體。
私有雲的情況則不同,因為私有雲的建設者,大多數技術力量不是很強,沒有自行開發、運維虛拟化平台的能力,選擇采用第三方的、較為成熟的雲計算管理平台是常見的,使用者則更關心自己的新業務開發。采用私有雲方式的使用者,一般其IT設施較多,業務對網絡要求較高,多數有自己的城域網,有些還有專用的廣域網,在安全上一般應該滿足等級保護的國家要求。為了提高IT裝置的使用率,加強對業務支援的靈活性,選用資源虛拟化管理,或者之間遷移到雲服務平台。如政府、軍隊、央企、科研機構等,
本文主要是針對私有雲,并且是在一個虛拟化池中不隻是運作一種業務的場景,提出的雲計算安全解決方案設計思路,不僅适合針對每個業務系統提供單獨安全保障的需求,而且适合不同虛拟化管理平台的統一安全管理。
一、雲計算其實是所有軟體人的“夢”
1、雲計算是一種新的IT服務模式體驗
能夠不受計算機處理能力的限制,能夠有取之不盡的記憶體與外存空間,這對于每一個軟體程式設計人員來說,無疑具有巨大的誘惑力。為了提高處理速度而絞盡腦汁設計的精巧算法,為了節省記憶體而反複優化的代碼…而真正實作業務系統的邏輯、管理往往淪為“不重要的”。以至于很多人認為:計算機程式設計高手就意味着精于程式設計技巧,而應用系統開發隻是軟體工程,我們常說的“碼農”。
雲計算技術的出現讓這個問題成為曆史,增加處理能力,就是增加幾個CPU,動态添加記憶體都不再是障礙,甚至已經出現了記憶體資料庫,空間還是問題嗎?因為雲計算的特點之一是具有彈性的處理能力。
對于計算機的使用者,能夠随時随地接入主機系統,忙碌的辦公室、溫馨安逸的家、旅途中的飯店、休假時的海濱,甚至行駛的汽車上、飛機上、輪船上…随時交流通信、随時編寫方案、随時設計藍圖、随時項目審批、随時網上沖浪……雲計算讓這些夢想變成了可能,因為雲計算還有一個顯著特點:随時随地接入網絡。
當然,得到如此“夢想”的服務,不隻是高端富豪才能享用的,就像“自來水”一樣,價格便宜,使用多少就付多少錢。可度量的、按需的服務是雲計算的另一大特點。
以上是美國NIST定義雲計算五大特點中的三個,這已經足夠吸引所有計算機人士的眼球的了。是以,2013年還有很多專家稱雲計算落地還有待時日,到了2014年,政府與企業的IT建設立項不與雲沾邊的已經很少了,2015年一開始,一窩蜂似的湧出很多的雲計算項目要落地實施。其實我們回想一下,這幾年,我們身邊基于雲計算的服務與新應用:即時通信、社交網絡、搜尋引擎、電子政務、智慧城市、電商購物、影視媒體、大型遊戲、安全态勢分析、上司決策支援…
2、了解一下雲計算的體系結構
雲計算是一種新技術,也是一種新型的IT服務模式。你知道嗎?支援雲計算服務商的背景基礎技術其實是資源管理的虛拟化技術。我們先看一下雲計算的系統結構:
<a href="http://s3.51cto.com/wyfs02/M02/6D/94/wKioL1Vm4zPhd5fhAAFXa_XMZO4422.jpg" target="_blank"></a>
與傳統IT架構不同的地方,是在IT基礎設施與系統軟體(作業系統)之間增加個一個虛拟化管理層,業務系統“看到”到不再是實體伺服器,而是虛拟機(VM)。
正是因為對資料中心的IT基礎實施采用了虛拟化管理技術,虛拟計算機可以動态調整CPU的個數、記憶體的大小,是以雲計算才能夠提供彈性的服務能力。按照使用者業務運作的實際需求,動态配置設定處理能力給每個使用者,這就是伺服器虛拟化管理的核心之一。當然你需要的服務能力不能超過所有硬體伺服器服務能力的總和。
這種虛拟化管理平台軟體不同于傳統的計算機作業系統,目前比較流行的有:VmWare、KVM、Xen、Hyper-V等,其他管理平台多是在KVM、Xen等開源平台上繼續開發出來的。
伺服器虛拟化技術的核心是生成與管理虛拟機(VM),不同平台技術上有差異,但大體思路是一緻的。我們看一下VMWare平台的虛拟機架構:
<a href="http://s3.51cto.com/wyfs02/M02/6D/94/wKioL1Vm5BLhuorWAACfyCT2vfc627.jpg" target="_blank"></a>
Xen平台的虛拟機架構類似,但有個0号控制虛拟機:
<a href="http://s3.51cto.com/wyfs02/M02/6D/98/wKiom1Vm4o-gVMWvAAC5wISt0hA777.jpg" target="_blank"></a>
虛拟機最基本的組成是CPU、記憶體、網卡、磁盤(外存),其他虛拟硬體按需添加,如光驅、軟體、USB等。多個虛拟機共享一個實體伺服器的硬體資源,對于多使用者、多程序的作業系統來說這也不是什麼難的事情,但如何将兩個虛拟機安全隔離就是管理上關注的事情了。兩個應用軟體“跑”在一起,還有相容問題呢,何況是兩個虛拟機?使用者使用虛拟機,對他來說,應該是一台“獨立的”計算機,若他知道還有人與他一起“合租”,鄰裡關系不能熟視無睹吧。如何做到讓使用者感覺是跟自己的是一樣的呢?
3、了解虛拟化技術
在一個伺服器内實作多個虛拟機共享技術是第一步,要想真正支援彈性服務能力,沒有上限的,就一定要突破多台伺服器的聯合技術,整體的服務能力才有增大。
從早先的雙機熱備,到伺服器叢集,再到網格計算,人們在把多台裝置虛拟到一起的道路上,探索了很長的一段時間。目前流行的實作伺服器虛拟化技術有如下兩種模式:
<a href="http://s3.51cto.com/wyfs02/M00/6D/94/wKioL1Vm5DfRHXQ6AAEYIddIZrA422.jpg" target="_blank"></a>
負載控制+“一虛多”:先建立一個總服務台,進行并行管理。把一個任務分成多個子任務,每個任務申請一個VM,最後處理的結果再傳回使用者。保證子任務對服務能力的需求不超過單個實體伺服器。比如Google、百度的搜尋服務,把搜尋分成不同類别、資源的子搜尋,搜尋的時間才會到人滿意的程度;
“多虛一”+“一虛多”:把多個實體裝置虛拟成一個大的裝置,成為一個很大處理能力的“巨型機”,再按需分給每個使用者。這是資源虛拟化的理想方式,真正做到了使用者申請的VM不受實體伺服器的限制,不關心處理能力的承受問題。
不論是哪種虛拟化技術,目的都是在實體硬體與使用者需求計算機之間建立一個虛拟層,由這個虛拟管理層負責把使用者任務配置設定給具體的硬體資源,使用者“看到的”是虛拟CPU、虛拟記憶體…既然硬體都是虛拟的,當然其大小就可以由虛拟管理者動态調整。管理虛拟層一方面要管理下層具體的硬體,驅動它們最大效率地工作,一方面要針對每個虛拟機提供出虛拟的硬體接口,讓虛拟機的作業系統“正常”調用硬體資源工作。
4、虛拟網絡的“誕生”
計算機是通過網卡連接配接網絡與外界互聯的,是以,傳統的網絡邊界節點就是網卡,網卡收發的是網絡TCP/IP協定的資料包,支援的網絡路由交換協定。網卡是伺服器與網絡互通的必經路徑點。連接配接網卡的網線就是通過網絡進入伺服器的“唯一”大門(直接到伺服器控制端或序列槽接入控制端,需要接近實體裝置,屬于實體安全與運維管理範疇,這裡不讨論),傳統的網絡安全措施,部署在網卡的前面,是最佳的防護位置。
<a href="http://s3.51cto.com/wyfs02/M02/6D/94/wKioL1Vm5FTTpwZnAADZc6zX9vI127.jpg" target="_blank"></a>
虛拟機(VM)的産生讓網絡有了不同,每個VM也都有自己的虛拟網卡,這些虛拟網卡需要一個虛拟交換機将他們“連接配接”起來,再通過上行鍊路(伺服器的實體網卡)連接配接到外邊的網絡上。
這個虛拟處理來的交換機,并不是把實體網卡與虛拟網卡簡單的分時鏡像,因為兩個VM之間也會通信,這是的流量就無需到實體網卡去“兜一圈”了,通過虛拟交換機就可以進行“轉發”,實際上是實體伺服器的記憶體裡搬移個地方,但是虛拟交換機應該與實體交換機一樣支援TCP/IP各種交換協定。每個VM都有自己獨立的IP位址(可以通過NAT技術對外界隻有一個IP)。邏輯網卡的功能與實體網卡應該一樣,同樣處理TCP/IP的協定棧。
有了虛拟網卡、虛拟交換機,虛拟網絡就誕生了。在雲計算架構裡,網絡概念發生了延伸,對網絡的了解從傳統的網絡邊界---網卡,延伸到伺服器的内部---VM的虛拟網卡。
5、虛拟機不僅僅是虛拟的
VM與實體計算機,使用者使用起來是沒有差别的。但管理這看來,是不同的。實體計算機是硬體實物,一般來說伺服器的實體位置是固定的,要遷移是很麻煩的(涉及到網絡IP的規劃與路由設計,這裡說的是伺服器端,不是終端,可以使用動态IP);VM其實隻是一個“檔案”,遷移就是一個檔案拷貝的操作。是以,采用虛拟化技術最為實惠的一大好處,就是VM可以動态遷移。
<a href="http://s3.51cto.com/wyfs02/M02/6D/98/wKiom1Vm4tqjgfiaAACnoRXonpU046.jpg" target="_blank"></a>
虛拟機動态遷移為IT管理帶來的優勢是顯而易見的:
沒有業務處理時,VM休眠,釋放全部的實體資源給其他使用者使用;
發現VM運作的伺服器能力不足時,可以動态遷移幾個VM到其他的實體伺服器上,在不中斷業務的情況下,動态調整服務能力的供給;
IT系統更新或更新硬體時,先把VM遷移出,更新完後再遷移回來,完全不影響應用服務狀态,無需像從前那樣,要業務系統退出、資料備份、硬體更新、重裝系統、重新開機業務服務、恢複資料、同步操作等等;
系統容災變得簡單易行。以往是建裝置份機房,投資大,平時也用不上;有了動态遷移技術,可以在兩地機房建立一體的虛拟化池,在一地出現大災難時,業務自動将業務VM遷移到另一地的機房伺服器中,自動實作系統容災。近幾年,傳統設計的兩地三中心(同城備份、異地容災)IT基礎架構,已經被“雙活”、“多活”資料中心的架構所代替,核心就是采用虛拟化的遷移技術;
快速重新開機備份系統。業務系統有Bug,系統邏輯當機,要盡快恢複業務是所有IT管理者都需要的。傳統采用雙機熱備或冷備機方式,重新開機硬體的時間是不可缺少的。有了虛拟化技術,可以建立不同時間段VM的動态檔案鏡像,發現當機,立即啟動備份VM,無論是恢複時間,還是最小損失視窗都有大幅度地提升;
VM動态遷移,帶來的直接問題,就是IP管理。使用者通路伺服器是通過URL,再定位到IP位址,是以VM如何遷移,其IP位址應該是不變的。傳統資料中心采用三層網絡結構(接入、彙聚、核心),不同業務系統劃分VLAN進行隔離,保障業務邊界安全,VLAN之間的通信是通過三層路由網關轉發。現在VM動态遷移,不知道在哪個實體伺服器中,甚至到了異地資料中心的伺服器裡,三層路由在哪裡做合适呢?若大家都放在一個二層VLAN裡,好像又不安全,廣播包太多也是問題。這就是目前很多資料中心采用“大二層”網絡架構的原因所在。簡單地了解大二層,就是大家可以在一個網段,又可以做一些邏輯域,一個VLAN的裝置還在一個廣播域,跨裝置的VLAN之間建立“通道”,保障它們是一個邏輯的整體。
6、雲計算讓網絡邁向一個新的時代
雲計算采用了資源虛拟化,把實體網絡從傳統的實體網卡,延伸到實體伺服器的“内部”,虛拟機的虛拟網卡上。VM的動态遷移,讓我們對“裝置”的管理,從實體的改變為邏輯的。
一方面,開發者不再關心伺服器的處理能力;另一方面,使用者也不再關心自己業務伺服器在什麼地方。傳統的網絡是七層架構,現在網絡層上,“生出”一個“邏輯網絡層”,虛拟化了伺服器的計算資源,也虛拟化了網絡資源。
采用了虛拟化技術,IT管理者已經無法像以前一樣把某個業務系統與實體的伺服器、存儲、網絡裝置相對應,他們看到的隻是某個業務系統通路的資訊流,業務系統的虛拟網絡拓撲。
傳統的網絡管理統治時代即将過去,面向對業務資訊流的管理時代即将開啟。
<下部分将介紹業界提供的雲計算安全方案,并對其優缺點進行分析......>
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/1656071,如需轉載請自行聯系原作者
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)