面向醫(yī)療大數(shù)據(jù)處理的私有云安全架構(gòu)

喬日英　王琦　王偉娜

摘要：云計(jì)算將大量的計(jì)算、存儲(chǔ)資源進(jìn)行整合，將資源按需分配，也代表著信息技術(shù)領(lǐng)域向規(guī)模化、集中化和專業(yè)化道路發(fā)展的趨勢(shì)。伴隨著醫(yī)療行業(yè)數(shù)據(jù)呈現(xiàn)爆炸式增長(zhǎng)，傳統(tǒng)的醫(yī)療信息化方式已經(jīng)不能滿足醫(yī)療衛(wèi)生服務(wù)的需求，云計(jì)算+大數(shù)據(jù)的診療方式成為近幾年的研究熱點(diǎn)，借助云計(jì)算資源無限拓展的特性，醫(yī)院可以以更低的成本享受到更高的醫(yī)療IT服務(wù)。但是在提高資源使用率和節(jié)省成本的同時(shí)，在患者信息、個(gè)人資產(chǎn)安全與患者隱私保護(hù)中存在著極大的挑戰(zhàn)，安全成為云計(jì)算+大數(shù)據(jù)中最為重要和迫切需要解決的問題。為了解決云環(huán)境在使用過程中的機(jī)密、完整和可追溯性，提出基于openstack私有云安全框架的最佳實(shí)踐，從日志審計(jì)、入侵檢測(cè)、應(yīng)用防護(hù)、身份認(rèn)證以及數(shù)據(jù)安全等方面整合安全架構(gòu)，采用分布式部署來實(shí)現(xiàn)云計(jì)算環(huán)境對(duì)安全的需求。

關(guān)鍵詞：醫(yī)療大數(shù)據(jù)；openstack；云計(jì)算；云安全架構(gòu)；分布式

1云計(jì)算安全遇到的挑戰(zhàn)

1.1與傳統(tǒng)網(wǎng)絡(luò)的差異化比較

在云計(jì)算環(huán)境中，一般采用分布式以及軟件定義網(wǎng)絡(luò)（SDN）技術(shù)來構(gòu)架數(shù)據(jù)中心，而在云安全實(shí)現(xiàn)的過程中采用軟件定義安全的方式實(shí)現(xiàn)云安全架構(gòu)。而在傳統(tǒng)網(wǎng)絡(luò)中，安全的檢測(cè)、響應(yīng)和防護(hù)依然采用單機(jī)硬件安全設(shè)備以及人工安全運(yùn)維，無法實(shí)現(xiàn)統(tǒng)一安全管理，更無法實(shí)現(xiàn)自動(dòng)靈活的安全系統(tǒng)部署，無法解決云計(jì)算平臺(tái)中安全框架實(shí)現(xiàn)的痛點(diǎn)。

為解決云計(jì)算安全平臺(tái)的每個(gè)方面的安全問題，電信行業(yè)提出了計(jì)算機(jī)安全框架。從物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層以及數(shù)據(jù)安全幾個(gè)層面分別對(duì)云計(jì)算平臺(tái)的安全做了詳細(xì)的闡述：數(shù)據(jù)安全：數(shù)據(jù)隔離、數(shù)據(jù)備份恢復(fù)、鏡像文件保護(hù)、機(jī)密數(shù)據(jù)保護(hù)、參與數(shù)據(jù)處理：應(yīng)用安全：會(huì)話管理、應(yīng)用身份識(shí)別、應(yīng)用安全漏洞和入侵防護(hù)；主機(jī)安全：OS安全（數(shù)據(jù)隔離、主機(jī)訪問控制、主機(jī)安全漏洞、主機(jī)安全審計(jì)），VMM安全（vMM安全漏洞、VMM訪問控制、VMM身份鑒別）；網(wǎng)絡(luò)安全：虛擬安全域（虛擬防火墻、虛擬安全劃分）、（網(wǎng)格結(jié)構(gòu)、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)入侵保護(hù)、網(wǎng)絡(luò)安全審計(jì)）；物理安全：物理訪問控制、機(jī)房位置、防火、雷電、靜電等。

為滿足云計(jì)算對(duì)安全的需求，需要提出切實(shí)可行的安全實(shí)施和部署方案，以解決云安全中最難解決的檢測(cè)、審計(jì)、應(yīng)用防護(hù)以及AAA認(rèn)證。

2云計(jì)算安全的問題

通常概念中安全產(chǎn)品和網(wǎng)絡(luò)產(chǎn)品的部署模式一樣，通過接入網(wǎng)絡(luò)拓?fù)涞暮诵慕粨Q機(jī)或者透明串聯(lián)在網(wǎng)絡(luò)的出口位置來實(shí)現(xiàn)對(duì)流量的統(tǒng)一管理，但在云計(jì)算平臺(tái)中，無法將安全設(shè)備直接并行或者穿行部署在醫(yī)療機(jī)構(gòu)VPC中。除此以外在云計(jì)算環(huán)境中實(shí)現(xiàn)安全框架時(shí)需要解決如下問題：1）可伸縮性；2）海量數(shù)據(jù)（日志、流量）；3）安全審計(jì)和檢測(cè)；4）統(tǒng)一身份認(rèn)證；5）數(shù)據(jù)安全。

3基于openstack的醫(yī)療云計(jì)算安全架構(gòu)

3.1分布式日志審計(jì)

分布式日志審計(jì)系統(tǒng)主要解決海量醫(yī)療大數(shù)據(jù)并發(fā)造成的性能瓶頸，能彈性擴(kuò)展醫(yī)療機(jī)構(gòu)對(duì)日志審計(jì)系統(tǒng)的需求，并完成統(tǒng)一的日志分析和處理。日志內(nèi)容包括系統(tǒng)日志和web應(yīng)用訪問日志等，準(zhǔn)確定位分類日志中的攻擊行為。為安全和運(yùn)維工作人員提供加固應(yīng)用和事后追溯的有效依據(jù)。在分析過程中產(chǎn)生的大量日志，醫(yī)療云計(jì)算提供安全存儲(chǔ)服務(wù)器，已保證數(shù)據(jù)不會(huì)被未授權(quán)用戶訪問，造成用戶隱私數(shù)據(jù)的泄露。

在醫(yī)療云計(jì)算中日志審計(jì)一直都是一個(gè)巨大的挑戰(zhàn)，在面對(duì)海量日志的情況下，實(shí)現(xiàn)日志分類、分離和存儲(chǔ)的過程中會(huì)面臨非常對(duì)的問題。在實(shí)現(xiàn)分布式日志審計(jì)系統(tǒng)分為采集層、匯聚層、計(jì)算層、數(shù)據(jù)存儲(chǔ)層以及數(shù)據(jù)可視化。整體設(shè)計(jì)如圖1所示。

對(duì)于日志類型繁雜和多應(yīng)用多醫(yī)療機(jī)構(gòu)的環(huán)境中，采用如下步驟實(shí)現(xiàn)日志的采集和分類，采用syslog實(shí)現(xiàn)對(duì)海量日志的分布式收集，并將日志傳輸至flume-ng層完成日志的統(tǒng)一分發(fā)。在flume采集系統(tǒng)完成數(shù)據(jù)采集之后將日志匯聚至kafka層對(duì)日志流實(shí)現(xiàn)隊(duì)列化，實(shí)現(xiàn)日志數(shù)據(jù)的平穩(wěn)傳輸，并通過分布式實(shí)時(shí)計(jì)算集群storm來對(duì)日志做處理，定位存在sql注入、跨站腳本（SSS）、目錄遍歷、暴力破解登陸等攻擊行為的日志，并對(duì)結(jié)果進(jìn)行統(tǒng)計(jì)、存儲(chǔ)、預(yù)警以及可視化。

而syslog的應(yīng)用配置和部署則通過RESTful API交互，實(shí)現(xiàn)對(duì)配置文件的下載，并開啟服務(wù)。為保證數(shù)據(jù)的完整性和機(jī)密性使用SSL/TLS協(xié)議進(jìn)行加密，醫(yī)療機(jī)構(gòu)agent通過VR（虛擬路由器）轉(zhuǎn)發(fā)至日志審計(jì)系統(tǒng)，通過訪問控制實(shí)現(xiàn)可信路徑。

3.2分布式入侵檢測(cè)

在網(wǎng)絡(luò)安全的概念中，入侵檢測(cè)往往包括網(wǎng)絡(luò)層入侵檢測(cè)（NIDS）、主機(jī)層入侵檢測(cè)（HIDS）以及物理層入侵檢測(cè)等，本文只討論NIDS和HIDS在云計(jì)算環(huán)境中的分布式部署。傳統(tǒng)設(shè)備中部署IDS需要在交換機(jī)中實(shí)現(xiàn)流量的鏡像，如果是多個(gè)用戶或者多個(gè)需要分隔的子網(wǎng)則需要多條策略實(shí)現(xiàn)不多端口的流量鏡像。而在醫(yī)療云中采用軟件定義安全，將控制平面上移，自動(dòng)下發(fā)安全策略，借助SDN技術(shù)可以方便地實(shí)現(xiàn)流量調(diào)度，通過SDN控制器向Open vSwitch等網(wǎng)絡(luò)設(shè)備下發(fā)FLOW_MOD指令并下發(fā)流表，對(duì)匹配策略的流量進(jìn)行控制，實(shí)現(xiàn)將流量鏡像至vIDS，如圖2所示。

私有云中HIDS的實(shí)現(xiàn)則需要通過部署agent實(shí)現(xiàn)對(duì)云主機(jī)全方位細(xì)粒度的監(jiān)控，對(duì)主機(jī)用戶的可疑行為、系統(tǒng)文件完整性及基線安全等進(jìn)行識(shí)別、記錄和預(yù)警。而agent的部署通過編譯鏡像文件將agent綁定在鏡像中，在申請(qǐng)資源的開始部署agent在客戶端中，如圖3所示。

3.3分布式應(yīng)用防火墻

采用反向代理的方式實(shí)現(xiàn)分布式應(yīng)用防火墻的部署，有兩種方式實(shí)現(xiàn)反向代理vWAF的部署：

第一種：通過SDN控制器下發(fā)FLOW_MOD指令，在虛擬網(wǎng)關(guān)上將Web服務(wù)器的HTFP流量定向至交換機(jī)端口，部署vWAF的入口為此端口。由于正常的HTYP流量目的IP為Web應(yīng)用服務(wù)器地址，而此時(shí)反向代理實(shí)現(xiàn)的vWAF不會(huì)處理該流量。而需要通過重定向目的地址，將流量重新定向至vWAF，可采用iptables實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，如圖4所示。

第二種：通過nginx實(shí)現(xiàn)對(duì)應(yīng)用的反向代理，將流量指向反向代理服務(wù)器，從而實(shí)現(xiàn)安全防護(hù)。Web應(yīng)用通過nginx對(duì)外發(fā)布，通過在nginx層部署防護(hù)引擎和安全防護(hù)規(guī)則，可采用Modsecurity作為vWAF的防護(hù)引擎，并部署OWASP開源防護(hù)規(guī)則。通過此種方式部署可以將nginx層的應(yīng)用訪問日志通過agent傳輸至分布式日志審計(jì)系統(tǒng)中對(duì)日志進(jìn)行分析。

3.4身份認(rèn)證

Keystone作為openstack中的安全認(rèn)證模塊，通過API實(shí)現(xiàn)身份驗(yàn)證、服務(wù)規(guī)則和服務(wù)令牌的功能，Openstack在F版本之前只能依靠UUID生成令牌ID，生成的令牌保存在keystone的后臺(tái)數(shù)據(jù)庫中的同時(shí)發(fā)布給客戶端，客戶端擁有了ID之后通過keystone驗(yàn)證請(qǐng)求的合法性。此種方式可能會(huì)造成請(qǐng)求并發(fā)，從而導(dǎo)致keystone成為性能的瓶頸。而在F版本之后keystone引入了PKI機(jī)制，通過在服務(wù)端存放CA的公鑰證書和用戶簽名公鑰證書可以本地實(shí)現(xiàn)對(duì)token的驗(yàn)證，可以有效地解決keystone頻繁交互造成的瓶頸問題，與此同時(shí)只要用戶并未丟失自己的私鑰，其他用戶將無法盜用和冒充這個(gè)合法用戶，極大的提升了openstack的整體安全性。

為實(shí)現(xiàn)醫(yī)療云AAA認(rèn)證，可以采用Lightweight DirectoryAccess Protocol（以下簡(jiǎn)稱LDAP協(xié)議）結(jié)合keystone集成實(shí)現(xiàn)，通過Keystone的LDAP身份驅(qū)動(dòng)程序使用已安裝的LDAP服務(wù)器。能夠讓keystone從第三方的LDAP服務(wù)器獲取統(tǒng)一管理的用戶，來完成對(duì)OpenStack的操作，并能keystone兼容tenant，user，role等概念。可以通過LDAP服務(wù)對(duì)賬號(hào)進(jìn)行驗(yàn)證，實(shí)現(xiàn)企業(yè)和組織內(nèi)部的統(tǒng)一身份驗(yàn)證。

3.5數(shù)據(jù)安全

海量患者的數(shù)據(jù)安全將在存儲(chǔ)安全和傳輸安全實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全防護(hù)。存儲(chǔ)安全方面首先需要對(duì)數(shù)據(jù)卷加密，OpenStack中Cinder與libvirt都可支持存儲(chǔ)卷加密，而在機(jī)密性極其重要的項(xiàng)目中，采用配置多后端存儲(chǔ)，將敏感數(shù)據(jù)放在相互隔離的存儲(chǔ)中。而數(shù)據(jù)在傳輸過程中，openstack提供了SSL/TLS加密，對(duì)keystone的RESTAPI進(jìn)行加密傳輸，并對(duì)云計(jì)算中應(yīng)用通訊同樣采用SSL/TLS實(shí)現(xiàn)加密傳輸。

4結(jié)束語

利用云計(jì)算技術(shù)來解決醫(yī)療信息化和醫(yī)療大數(shù)據(jù)的難題已經(jīng)成為各學(xué)者和專家的研究熱點(diǎn)，必然是我國(guó)推進(jìn)醫(yī)改過程中的發(fā)展趨勢(shì)。本文介紹了基于openstack實(shí)現(xiàn)的私有云安全框架的實(shí)現(xiàn)方式，解決了醫(yī)療私有云云的統(tǒng)一身份認(rèn)證、安全審計(jì)、應(yīng)用防護(hù)和流量監(jiān)測(cè)，采用分布式方式部署，解決醫(yī)療大數(shù)據(jù)的安全防護(hù)，避開性能瓶頸。云計(jì)算安全在云計(jì)算的不斷發(fā)展過程中會(huì)顯得越來越重要，而其被入侵之后造成的損失也會(huì)隨著云計(jì)算的發(fā)展變得越來越大，云場(chǎng)景下的安全也對(duì)傳統(tǒng)IT環(huán)境中安全架構(gòu)提出挑戰(zhàn)，在滿足云計(jì)算的特性的同時(shí)實(shí)現(xiàn)細(xì)粒度、全方位的安全框架是未來需要重點(diǎn)解決的痛點(diǎn)。另外由于醫(yī)療大數(shù)據(jù)和云計(jì)算都存在復(fù)雜性、多樣性等特點(diǎn)，云計(jì)算+醫(yī)療大數(shù)據(jù)還需要長(zhǎng)期的探索和實(shí)踐。