云計算數據中心的安全體系架構設計

摘 要：我國頒布的信息安全等級保護技術規范誕生的時間早于云計算技術的時間，因此，原有的安全體系架構并不能完全適用于云計算環境，本文深入分析傳統信息安全和云計算環境信息安全的差異點并提出系統的解決思路，在此基礎上設計云計算數據中心的安全體系架構，并與等級保護技術措施進行整合。

關鍵詞：云計算；安全架構；等級保護

中圖分類號：TP393.08文獻標識碼：A文章編號：2095-7394（2015）02-0027-08

0 引言

我國政府一直重視信息安全的防護，圍繞著信息安全，頒布了一系列的安全條例，并在2014年2月27日成立了中央網絡安全和信息化領導小組。在技術手段上，落實國家信息安全等級保護的各項技術規范，已經成為我國政府在各行各業強化信息安全的最重要手段。

傳統的信息安全等級保護解決方案，依照IT資源的屬性（如服務器區、終端區、管理區等）劃分安全域，并在安全域邊界上，按照相關規范的各項安全要求，部署安全元素，落實各項安全措施。在云計算時代，信息系統因為其規模性和服務時效性的要求，其在信息安全上面臨更大的安全挑戰，主要體現在：（1）云計算數據中心自身的重要程度在提升；（2）云計算數據中心被破壞后的安全危害更大；（3）云計算數據中心更開放，被攻擊的目標更加明顯；（4）新的技術和應用模式（如虛擬化技術）帶來了新的安全風險。

我國頒布的信息安全等級保護技術規范誕生的時間早于云計算技術的時間。也因此，原有的安全體系架構并不能完全適用于云計算環境。為確保信息安全，必須要深入分析傳統信息安全和云計算環境信息安全的差異點，提出系統的解決方案，滿足應用和安全的雙重需求，而不能僅僅是在原有的安全體系和產品技術上進行簡單的升級和改造。

1 云計算主要安全風險特點

云計算下面臨的安全風險，分為傳統的信息化建設面臨的安全風險，以及云計算應用模式和技術面臨的安全風險，這兩者之間的差異，主要體現在以下兩個方面六大點。

1.1 應用模式的差異

（1）安全風險集中。云計算模式下，對信息資源進行有效地集中整合，往往會形成“所有雞蛋放在一個或數個籃子里”的局面，從而為無處不在的用戶，按需提供服務。因此，在云計算應用模式下，被攻擊的目標更加明顯，類似于APT（Advanced Persistent Threat，高級持續性威脅）的有目的性攻擊的危害更加明顯。

（2）被動性。傳統的安全防御手段，無論是基于特征庫，還是基于行為判斷，在云計算模式下，都無法及時應對新出現的安全攻擊行為。這種風險，在被攻擊目標集中化的情況下，危險將會更大。

（3）多租戶的差異性。云端資源有不同類型的用戶，其安全防護要求不一樣，傳統的邊界統一防護無法適用于此種需求。

1.2 技術變遷的差異

（1）安全邊界消失。云計算模式下，以分布式計算和虛擬化為代表的技術得到廣泛應用。分布式計算，帶來的是信息資源的“多虛一”，是一種“化零為整”的資源整合模式；虛擬化，帶來的是信息資源的“一虛多”，是一種“化整為零”的資源整合模式。因為技術應用的需求，例如虛擬機的遷移技術，導致傳統的安全邊界已經消失不再存在，數據在數據中心內部之間的交互增加。

（2）動態性。云計算的資源池化，在按需匹配用戶需求時，面臨著內部IT資源的不斷動態調整的情況。也因此，傳統的安全設備及安全策略固定部署的方式，無法適應這種情況；此外，大量的內部數據交互，導致對安全設備的性能需求也在增加，需要滿足海量數據交互下的安全檢測需求。

（3）內部安全性。云計算模式下，用戶可以按需租用云端資源。然而，合法用戶可能會利用云端資源進行非法的操作，例如攻擊和竊取同一物理機下的其它虛擬機資源，或者是租用資源發起DDoS攻擊。在2010年Defcon大會上，就有與會者演示利用Amazon的EC2云計算服務平臺，以6美元的成本對目標網站發起致命的拒絕服務攻擊。整個云計算環境的內部安全面臨著重大挑戰。

2 云計算主要安全風險應對思路

如何應對上述六點所描述的云計算信息安全挑戰？結合信息安全的一些方法論，可按照下面的思路來進行。

2.1 安全風險集中

安全風險集中，最有代表性的表現就是針對于云端目標的大規模安全攻擊。最有代表性的攻擊行為，就是DDoS攻擊。相比于傳統模式，云計算對于DDoS攻擊有天然的應對優勢。云計算提供了具有彈性可擴展的優點，當服務需求變大時，云計算服務提供商可以自動增加相應的資源，并且在很短的時間內就提供使用。因此，用戶幾乎不用擔心攻擊者企圖大量耗用基礎設施資源的攻擊。然而，DDoS攻擊會對云端資源出口的帶寬造成大量占用。據統計，2005年，受害者遭受攻擊時遇到的峰值流量是3.5 Gbps；2006年，這一數字已經超過10 Gbps；2009年，Arbor Networks探測到2700多次超過10 Gbps的攻擊。

針對于上述的這種情況，云計算服務提供商有必要和電信運營商進行合作，由其在最靠近云端的骨干網出口部署流量清洗的設備，防止非法攻擊對帶寬的占用。當然，除去針對于特定目標的攻擊之外，由于信息資源的集中，在云端的邊界出口還會面臨著大量的通用性安全風險。這些安全風險和傳統模式下相比，并沒有什么不同，但對于邊界的安全設備來說，其性能要求就非常高，而且還需要支持IPv6。

2.2 被動性

許多的安全漏洞，在發現問題到打上補丁，往往會存在數天到數十天的滯后期。這一滯后期往往會成為黑客攻擊的最佳時期，帶來很多的安全問題。另外，隨著長效僵尸網絡的不斷出現，以及這些僵尸網絡被大量出租給攻擊者，未來的網絡攻擊將會存在著更加隱蔽、更加持久的特點。

基于上述的兩個原因，導致傳統的基于特征庫升級和行為判斷的兩種安全防御手段，必須要進行升級。目前，比較通用的做法是，結合“云安全”的理念，采用分布式部署的方式，安全防御體系能夠通過分布在各地的、網狀的大量客戶端（安全防御設備）對網絡中軟件行為的異常監測，獲取互聯網中木馬、惡意程序的最新信息，發送到Server端進行自動分析和處理，再將解決方案發到每一個客戶端。這樣，既實現了特征庫或類特征庫在云端的儲存與共享，又可以作為一個最新的惡意行為（代碼、垃圾郵件或釣魚等）的快速收集、匯總和響應處理的系統。

2.3 多租戶的差異性

不同的用戶，在將信息資源存放在云端時，有著不同的安全防護需求，并且也希望和其它的用戶進行安全的隔離。解決這一訴求，有兩個方面的思路。

（1）對不同的用戶，其數據在進行傳輸和存儲時，要進行有效隔離。在物理服務器內部，需要建立虛擬服務器之間的隔離；在數據中心內部進行網絡傳輸時，可通過MPLS VPN技術來實現隔離。存儲隔離可通過區分資源池并進行加密的方式來實現。

（2）在云端的邊界，可部署支持虛擬化的安全防御設備（防火墻）。這樣，就可以為不同的租戶提供不同的安全策略。這同時意味著安全防御設備要能獲悉用戶的分組信息。

2.4 安全邊界消失

在傳統安全防護中，很重要的一個原則就是基于邊界的安全隔離和訪問控制，并且強調針對不同的安全區域設置有差異化的安全防護策略，在很大程度上依賴各區域之間明顯清晰的區域邊界。這一措施，在云端的邊界依然可以部署。

然而在云計算環境下，以分布式計算和虛擬化為代表的技術應用，使得存儲和計算資源高度整合，基礎網絡架構統一化，導致內部的數據信息交換邊界已經消失。這樣導致了兩個問題：一是任何一個虛擬節點遭到入侵，將會給整個物理節點乃至云端資源帶來很大的安全威脅；二是安全設備的部署方式將無法依照于傳統的安全建設模型。

云計算環境下的安全部署需要尋找新的模式。目前的解決方案是：一是利用虛擬服務器的管理平臺，使得虛擬機在跨物理服務器可以實現邊界的劃分，構建虛擬數據中心；二是要將基于虛擬機之間的流量“軟交換”回歸到網絡硬件，實現流量的可視和可控，例如IEEE 802.1工作組制定的標準802.1qbg，可以將虛擬機發送的所有報文全部交給交換機進行轉發；三是將網絡與安全充分融合，在交換機上集成防火墻模塊，使得數據交換平臺即可以作為安全部署平臺。

2.5 動態性

傳統數據中心按照模塊化分區的方式設計，安全邊界清晰、安全域固定，網絡層安全的部署一般在安全邊界在線或旁掛FW、IPS等安全設備來實現，安全設備和策略與較固定，調整和更改的需求較少。

在云計算數據中心內，由于計算、網絡和存儲資源的虛擬化構成了資源池，安全邊界模糊。而且這些資源會隨著租戶的需求隨時進行調度與調整，最普遍發生的就是虛擬機的動態遷移，這就導致安全域和安全策略要隨著資源的變化進行動態調整。解決這一問題的思路，就要求安全資源能夠感知到IT資源的變遷，使得安全資源的部署與租戶的虛擬IT資源進行綁定，并根據租戶的要求進行靈活動態調整。

2.6 內部安全性

云計算環境下對于內部租戶的非法行為，要能夠及時檢測、及時制止和定位到人。數據安全格外重要。重點需要實現對于數據庫讀寫操作的權限控制和審計。在技術實現的基礎上，同時，要引入對租戶的“可信額度”機制，并輔助于相應的法律法規措施。

3 云計算數據中心安全體系架構設計

大多數云計算數據中心基礎架構沒有深層次的考慮應用和服務的需求和特點。這種情況下，應該說，整個云計算基礎架構的可靠性、可用性都存在一些問題，當然也包括安全性。這樣的系統更容易遭受到攻擊，不僅僅包括一切現有網絡應用中存在的攻擊行為和方式，而且由于整個基礎架構上的不完善，更多的漏洞和缺陷將被利用，其所帶來的損失和危害也更大。

我國發布的《信息安全產業“十二五”規劃》提出，要“研究建立支撐云計算、物聯網、移動互聯網等新一代信息技術應用保障的信息安全技術體系架構”。應對這些云計算安全隱患，需要更加重視云計算基礎架構的全面、系統的設計，在必要的數據中心基礎服務設施及內部網絡上引入有針對性的技術和產品。

3.1 整體結構設計

將整個數據中心的網絡設計分為兩部分：后端是采用云計算相關技術、支持多架構融合的業務資源網，網絡、計算、存儲資源構建成虛擬的資源池；前端是基于傳統的Server Farm模塊化數據中心的結構。

對于后端的業務資源網和前端的管理網，分別部署不同的安全措施，區分的重點如下。

（1）業務資源網。需要構建大二層的網絡環境，以滿足虛擬化和資源的動態遷移需求。在安全上，可考慮在核心交換機上集成防火墻安全模塊，同時將服務器內部的數據傳輸牽引出來，這樣就能將安全策略部署在網絡端口，確保安全策略得到落實；集成的安全防火墻模塊，還需要支持虛擬化技術，這樣可為不同安全等級（不同租戶）提供針對性的安全策略。

（2）前端管理網?？刹杉{傳統的信息安全等級保護的安全要求，在不同的區域邊界部署安全策略。同時，針對于數據中心的大出口，安全風險集中，要采取針對性的安全防御措施。

3.2 資源分域分級

針對于不同的服務方式、不同的應用系統、不同的安全級別、不用的用戶主體，可將后臺統一的資源池劃分成若干個小的資源池，在跨池的邊界上采取必要的安全防護措施，一方面可以降低安全風險；另一方面則符合國家等級保護的安全要求。

另外，針對于服務器/存儲虛擬化技術來說，本身對于構建同一資源池也有相應的技術要求，比如說服務器虛擬化資源池要求物理服務器的CPU型號接近。這樣，在劃分若干小資源池時，就可以充分利用舊有信息資源的特點進行整合。

在安全實現上，確保同一安全等級（或同一租戶）所需虛擬資源的調度，只能在同一級別的安全資源池之間進行。

3.3 邊界安全防護

在邊界區，針對于不同的應用應部署不同的安全防御措施。例如，對于網站服務器的應用，就需要部署網頁防篡改設備。在出口處要區分數據的流入流出，并做好數據的安全策略控制，基于CDN和流量清洗的需求，可要求運營商給予支持。

3.4 云安全矩陣平臺

云計算數據中心因為其集中性和重要性，必然要求高規格的安全策略，需要將安全計算能力當作一種服務，既為數據中心自身提供安全服務，又可以提供公共安全服務。云計算數據中心安全體系需要在頂層設計時，就不能只關注自身安全，更應考慮兼容對外公共服務。以此獲得顯著經濟和社會效益，方能適應科學發展，建立云計算數據中心服務安全的長效機制。

云計算數據中心安全體系建設，需要同時滿足自身安全需求和對外公共服務。頂層設計需要考慮以下因素：（1）滿足各類安全需求。安全體系首先能滿足自身各類安全需求，包括網絡安全、應用安全、數據安全等；（2）兼容對外公共服務。安全體系在設計時需要數據中心系統松耦合，而是定義出標準化接口。數據中心自身和公共云安全服務使用者調用統一的界面享受云安全服務。

建設“云計算安全平臺”，統一為數據中心自身和公眾提供高質量云安全服務。“云計算安全平臺”內部由一個個安全單元矩陣構成。主要包括云計算門戶安全矩陣、云計算流量清洗矩陣、云計算防病毒矩陣等等，可按需擴容?！霸朴嬎惆踩脚_”對外提供統一的服務界面。這樣，公共服務流和數據中心內部跨越安全域邊界的數據流，即可通過統一的界面享受同等級的安全服務。

3.5 信息數據安全防護

數據安全是數據中心的核心安全問題。數據量大、集中帶來業務、管理便利的同時，也給數據安全帶來更大的挑戰。云計算數據中心的數據安全存在以下主要挑戰：（1）來自互聯網的攻擊。云計算中心通過互聯網對外提供服務。SQL注入等針對數據庫的修改、竊取給數據泄漏帶來極大風險。（2）內部信息泄漏。內部人員的無意、有意泄密，U盤、光盤、軟盤拷貝等擴散手段。甚至近年來通過圖像、照片的泄漏層出不窮。

云計算數據中心，具有數據量大、訪問方式多樣、新技術層出不窮等特點。一般需要考慮以下三個問題：（1）數據的事前授權。需要對數據進行分級授權，保證正確的人訪問正確的數據。同時對U盤拷貝等操作進行授權和記錄。（2）事中應用數據防御。采用多種網絡安全技術，對各種應用服務進行針對性防御。防止攻擊者利用應用服務器為跳板對數據庫進行非法操作。（3）事后審計到人。部署專業數據庫審計系統。對直接數據庫操作、通過應用服務器對數據庫的操作統一進行審計。審計日志與身份認證系統關聯，實現定位到人。便于對重大數據泄密事件進行追溯和問責。

在安全實現上，可以部署數據庫審計系統，對于數據的所有使用進行審計，并能定位到人。

3.6 終端安全防護

云計算數據中心是云計算時代的產物，開展的業務具有明顯的云計算時代特征。云計算時代，人們在網絡中的活動，明顯突破了傳統的物理邊界，呈現“無邊界”特征。存在以下二種業務類型：一是服務場所固定，人突破邊界。兩種典型應用：一種是內部人員外出辦公，通過VPN遠程接入數據中心；另一種常見應用是公眾通過網站遠程訪問數據中心。二是人固定，服務突破邊界。本地訪問云服務提供商的服務、遠程視頻會議系統、QQ等遠程服務均為此類典型服務。但這種突破又存在一種若隱若現的邊界：人即邊界。

在這種應用模式下，即使云端的安全防護措施再嚴密，只要在終端上存在安全隱患，也會導致信息安全風險。

利用虛擬桌面技術，使得終端用戶使用的終端在和云端服務器交互時，之間傳輸的僅僅是屏幕動態圖片和鍵盤鼠標指令，用戶終端本地沒有數據，網絡中傳輸中也沒有真正的數據；同時通過內置策略，用戶無法將文件和信息保存在本地的各種設備上，防止機密數據被拷貝或打印造成的泄露，保障數據安全。

對于一些不考慮使用虛擬桌面的使用情況，在基于WEB的應用下，可考慮采用SSL VPN的加密方式。這樣，也可以保障一定的數據傳輸安全性。

4 與等級保護技術措施的整合

參照等級保護三級技術要求，云計算數據中心整體架構下的安全措施，結合等級保護的要求，具體實現如下。

參考文獻：

[1]GB 17859-1999計算機信息系統安全保護等級劃分準則[S].

[2]GB/T 25058-2010信息安全技術 信息系統安全等級保護實施指南[S].

[3]GB/T 20270-2006信息安全技術 網絡基礎安全技術要求[S].

[4]GB/T 20271-2006信息安全技術 信息系統通用安全技術要求[S].

[5]GB/T 20272-2006信息安全技術 操作系統安全技術要求[S].

[6]GB/T 20273-2006信息安全技術 數據庫管理系統通用安全技術要求[S].

[7]GA/T671-2006信息安全技術 終端計算機系統安全等級技術要求[S].

[8]GA/T 709-2007信息安全技術 信息系統安全等級保護基本模型[S].

[9]GB/T 22239-2008信息安全技術 信息系統安全等級保護基本要求[S].

[10]ISO/IEC 27001信息系統安全管理體系標準[S].

Abstract：The information security classified protection China promulgated was born is the early hours of cloud computing time，therefore，the security architecture of the original are not fully suitable for the cloud computing environment，This essay deeply analysis the differences between the traditional information security and cloud computing environment and puts forward the solution of information security system，The security architecture bases on the design of cloud computing data center，and also integrates with the technical measures of protection grade.

Key words：cloud computing security architecture information security classified protection

責任編輯 祁秀春