企业私有云架构的安全挑战、安全设计和安全运营 | 最佳实践

云计算被称为是继个人PC、互联网之后的第三次信息化革命，不仅实现了IT技术的革新，更是IT商业模式和服务模式的一次重大变革。越来越多的商业活动几乎都采用云计算技术作为后台支撑，实现按需服务，按需计费。

我国对云计算的产业高度重视，已把云计算产业的发展提到了国家战略的高度，在十二五规划中将云计算列入重点扶植的战略新兴产业。通过云计算技术缩小中小企业和大企业的IT应用差距，让每个人能以极低的成本获得顶尖的信息技术和服务。

随着云计算市场规模的不断扩大，应用场景涉及到个人数据存储、企业数据及应用支撑、国家公共基础设施支撑等多个领域，云安全自然已成为业界关注的焦点。

云计算从部署场景分为公有云、私有云和混合云，本文将重点介绍在企业私有云建设过程中，云安全该如何考虑？什么时候考虑？

什么是信息安全？

对于什么是信息安全的概念，不同的人可能解释也不同。ISO/IEC、美国国家安全系统委员会和国际信息系统审计协会三家对信息安全的定义大同小异，其目标一致，都指出保障信息安全的最重要目的是保护信息的机密性、完整性和可用性。

定义概述为“为了保障机密性、完整性和可用性而保护信息和信息系统，以防止授权的访问、使用、泄露、中断、修改或者破坏”。

机密性：

简而言之，信息仅能够被授权的个人、组织、系统或流程访问，不应该被任何其他非授权行为获取。例如银行账户的交易流水和余额的信息，除账户持有人或经账户持有人授权的主体可以看到以外，其他人或组织不得查询或获取。

完整性：

简而言之，就是确保信息的一致性、准确性和可信赖性，不允许信息被篡改。例如用户通过银行网页提交个人信息为开通账户。数据是通过网页形式提交的，银行要通过某种措施，进行数据的校验，确保用户提交的信息和最终存储的信息的准确性。

可用性：

简而言之，就是业务连续性的体现，确保用户可以随时获得已授权的信息。例如银行要随时确保用户可以通过ATM、网银、柜台、移动终端等多种方式进行金融服务。

在考虑信息安全的时候，一定要把保障信息安全的三大属性作为重要的目标，从而建立完善和有效的保护措施，确保业务的可持续性和数据的安全性，更多信息安全方面的概念及介绍可以参考《浅谈企业信息安全架构之纵深防御模型》。

私有云前世今生

云计算可不像西游记中的孙猴子一样，从石头缝中一下子蹦出来。它是经过了16年的技术发展与业务需求而形成的。16年前，那个时期的计算机又笨重又昂贵，根本谈不上普及。之后随着芯片技术和软件计算的发展，体型越来越小，速度越来越快，价格逐渐亲民。各个企业可以购买符合业务性能需求的物理机，放到数据中心进行集中式的计算，这就形成了最原始的传统数据中心模型。

随着业务的快速增长，IT需求强烈，采购传统物理机需求暴增，成本逐年提高。但从运维角度发现，大量服务器的性能并未被全部使用，造成严重的资源浪费。为解决此问题，雏形的云计算基础形成，也就是虚拟化技术。将一台物理机逻辑分隔成多个虚拟机，每个虚拟机相互隔离，提供不同的业务服务。

虚拟化解决了资源浪费的问题，但在服务的提供和使用上，与物理机类似，依然存在资源超配的现象。随着需求精细化、资源可视化的需求，云计算诞生了。根据需要的计算、存储、网络等资源实现按需付费。人们使用资源时不再需要拥有自己的计算系统，就像使用水、电一样，不需要自己建立发电站和水厂。

云计算从部署场景又分为公有云、私有云和混合云：

私有云：

顾名思义，是为一个个人、组织、公司提供专有资源的云计算平台。自建基础设施，并控制在此基础设施上部署应用程序的方式。提供对数据、安全性和服务质量的最有效控制。私有云可部署在企业数据中心的防火墙内，也可以部署在一个安全的主机托管场所，私有云的核心属性是专有资源。

公有云：

一般是指第三方提供商，如AWS、阿里、腾讯等公有云厂商，为用户提供服务的云。通过互联网，提供免费或成本低廉的服务，公有云的核心属性是共享资源服务。

混合云：

就是融合了私有云和公有云服务模型，来提供云计算解决方案。混合云服务将内部IT基础架构与其他公有云产品和服务集成在一起，以满足企业的特定和独特需求。

图1-云计算发展进程

云架构与传统架构的区别？

云架构和传统架构如果不说一下，很可能会让读者混淆。其实云计算最大的好处就是便利，用户按需索取，服务商按需提供。

传统IT架构较为封闭，计算、存储、网络相对集中，管理分化，各个资源相对独立。

传统架构的特点：

• 物理资源相对独立，如计算、网络、存储等设备；

• 存储架构集中，普遍采用集中式存储；

• 数据集中存储，可靠性问题明显；

• 性能主要集中在单机处理能力，无联动机制；

• 资源弹性扩展能力受限；

• 自动化运维方式欠缺，运维人员多。

首先要了解，云计算架构主要是为了解决业务扩展性和高并发的需求。从架构划分，可以分为基础设施层【IAAS】、平台层【PAAS】和软件服务【SAAS】三个层。

图2-云计算服务模型

IAAS：

Infrastructure as a service【基础设施即服务】，包括服务器、网络、存储等设备，池化计算、网络和存储等IT基础设施资源，将基础设施资源作为服务，按需提供给用户。用户无需购买任何硬件即可使用基础设施资源。

PAAS:

Platform as a Service【平台即服务】，是指将一个完整的软件研发和部署平台，包括应用设计、应用开发、应用测试和应用托管，都作为一种服务提供给客户。在这种服务模式中，客户不需要购买硬件和软件，只需要利用PaaS平台，按需索取，就能创建、测试和部署应用和服务。

SAAS：

Software as a service【软件即服务】，是一种通过互联网提供软件服务的软件应用模式。在这种模式下，用户不需要再花费大量投资用于硬件、软件和开发团队的建设，只需要支付一定的租赁费用，就可以通过互联网享受到相应的服务，而且整个系统的维护也由厂商负责，如Gmail、网盘、QQ邮箱等应用。

云计算架构的特点：

• 分布式架构、灵活扩展；

• 海量资源，按需分配；

• 资源动态分布，无物理限制；

• 性能弹性，动态调整；

• 分布式存储，数据高可用；

• 运维自动化程度高。

图3-云计算维护模型

私有云架构面临的安全挑战与防御措施

随着私有云在不同行业、企业普及率越来越高，规划快速扩大，已经成为企业核心平台之一。私有云上的系统的数据与信息安全将依赖于私有云计算平台所提供的保密性和安全性。一旦云平台安全受到威胁并被利用，无疑给云上应用造成了重大威胁。

所以随着云计算市场规模的扩张，也给云计算平台的安全带来了前所未有的挑战。

私有云架构面临的安全挑战

本文主要从技术安全挑战和管理安全挑战两个方面对私有云架构面临的风险进行阐述。

技术安全挑战：

• 网络数据流在虚拟机之间传输时，IT人员对敏感信息、高级恶意软件的监视及控制能力被削弱；

• 私有云对传统网络架构的灵活度和带宽要求较高；
  

• 私有云存储中的数据面临资源隔离、加密保护、入侵检测、数据销毁等问题；
  

• 漏洞频发，主机间迁移能力升级过程中对业务有影响。
  

管理安全挑战：

• 私有云平台管理无平台化支撑，需要借助统一的管理平台对计算、网络、存储等资源进行实时查看；

• 私有云平台自动化管理能力亟待提高，使自服务基础设施成为可能；

• 私有云平台要集成供应和编排引擎；

• 混合云作为未来的云趋势，在私有云平台建设过程中要考虑混合云模型过渡。

私有云架构的安全防御措施

私有云从整个架构来说与传统环境没有本质性区别，所以从安全角度来说，面临的安全问题和传统环境面临的安全问题无异。与以往操作系统面临的七层安全问题一样，在私有云情况下依然面临同样的安全问题。但由于私有云资源【计算、网络、存储】为集中管控，所以从安全角度来说容易管控，不像以往的分散管控。

继承传统安全问题的同时，私有云还有哪些新的防护模式要部署？同样我们依然遵守微软的STRIDE威胁分析模型进行分析和出具防御措施。

STRIDE威胁分析模型是微软提出的一套安全设计方法论，六个字母代表六种安全威胁，分别是：

身份假冒（Spoofing）：

身份假冒，即伪装成某对象或某人。例如，通过伪装成别人的身份进行操作。

篡改（Tampering）：

篡改，即未经授权的情况下，修改数据或者代码。例如，非授权人员通过网络抓包或者

某种途径修改某个请求包，使得篡改的请求包提交成功。

抵赖（Repudiation）：

抵赖，即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如，A攻击了某个产品，产品方并不知道是A做的，没有证据证明是A做的，A就可以进行抵赖。

信息泄露（Information Disclosure）:

信息泄露，即将信息暴露给未授权用户。例如，通过某种途径获取未经加密的敏感信息。

拒绝服务（DenialofService）：

拒绝服务，即拒绝或降低有效用户的服务级别。例如，通过拒绝服务攻击，使得其他正常用户无法使用产品的相关服务功能。

特权提升（Elevation of Privilege）：

特权提升，即通过非授权方式获得更高权限。例如，试图用管理员的权限进行业务操作。

图4-STRIDE威胁分析模型（摘自互联网）

微软的全系产品都是基于它进行安全考虑与设计。STRIDE模型几乎是可以涵盖现在世界上绝大部分的安全问题。

但这些威胁根据其性质，基本上可以归结为以下几个方面：

• 信息泄露：被保护的信息被无意或有意的泄露；

• 破坏信息的完整性：被保护的数据被非法篡改或破坏；

• 拒绝服务：非法阻止合法信息使用者对信息服务的访问；

• 非授权访问：受保护资源被非授权个人或组织进行使用；

• 窃听：利用用各种可能的非法的手段窃取系统中受保护的信息资源和敏感信息；

• 假冒：通过欺骗通信系统或用户，达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客攻击往往采用此方式，伪装欺骗用户，达到目的；

• 漏洞攻击：攻击者利用系统的安全缺陷或漏洞获得非法的权限；

• 内部攻击：被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的；

• 抵赖：通常为内部攻击的分支，攻击者否认自己曾经发布过的某条消息；

• 计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序；

• 法律法规不完善：由于信息安全法规法律方面的不完善，给信息窃取、信息破坏者以可趁之机。

私有云的安全方面，建议从以下几个层次去考虑：

• 终端层（用户层）

终端层也称为用户层，主要是要确保用户访问云资源时，处于一个安全的终端环境；

• 应用层

为云平台承载的发布业务，确保发布的应用实现通信加密、数据脱敏及访问控制等；

• 数据层

确保云上数据，包括用户数据、系统数据及平台数据【VM】，处于加密状态，可用状态；

• 系统层

确保云上系统，包括云平台、云宿主和VM处于安全状态，漏洞及时更新；

• 网络层

网络作为云平台的血脉至关重要，要确保网络通路的顺畅及通信加密；

• 基础设施层

高可用的基础设施架构，是确保业务连续性的前提条件；

• 运维层

云平台内各种资源的访问控制应及时进行安全审计，确保操作可控、运维透明。

私有云架构安全设计实践

通过上文了解了什么是私有云以及信息安全的威胁源，本章主要介绍如何通过之前文章介绍的纵深防御模型（《浅谈企业信息安全架构之纵深防御模型》），分层次的精准部署安全策略，做到有的放矢，对私有云进行保护，提升云平台安全威胁防御能力。

安全的原则

通过信息安全业界专家和学者的多年研究，总结出10个最关键且有效的安全原则，分别是：

• 纵深防御；

• 运用戴明环模型；

• 最小权限；

• 白名单机制；

• 失败安全；

• 避免通过隐藏功能实现安全；

• 入侵检测；

• 不信任第三方系统；

• 默认安全配置；

• 业务隔离

这10个基本原则，基本保证了业务的基本信息安全要求，每个原则具体的含义可以参考之前我在TWT发表的《浅谈企业信息安全架构之纵深防御模型》。

架构设计

图5-安全防御示意图

以下是各个层级常用的一些安全防御技术分享，通过每层的安全加固，实现云平台整体的安全。

• 终端层（用户层）：

用户的桌面环境可能是Windows，也可能是Linux，但是无论哪种操作系统，都应该至少做到以下几点，尽可能确保终端环境的安装：

1、安装杀毒软件，病毒库更新到最新；

2、定期更新系统漏洞，确保系统自身相对安全；

3、避免安装未授权软件及禁止访问未知网站；

4、禁止安装不明插件。

• 应用层：

1、应用门户应部署SSL数字证书，实现通信加密，防止数据传输过程中被窃取；

2、租户间进行逻辑隔离，进行访问控制；

3、建立应用审计机制，对应用访问进行审计；

4、加固应用自身架构，减少应用自身漏洞。

• 数据层：

1、建立数据库审计机制，对关键行为进行阻止与告警；

2、核心数据进行加密存储，私钥异地保存；

3、建立系统备份机制，对核心数据进行异地备份；

4、底层不同租户数据逻辑隔离存储，防止数据共享。

• 系统层：

1、统一身份认证，授权访问；

2、部署堡垒机，实现精准授权运维；

3、开启系统防火墙，授权流量访问；

4、部署补丁管理系统，针对安全和关键补丁进行下发；

5、部署虚拟机微隔离机制，实现东西向VM隔离；

6、宿主机安装杀毒软件，防止发生虚机溢出。

• 网络层：

1、互联网区部署ADS【抗拒绝攻击】WAF【应用防火墙】IPS【入侵防御】IDS【入侵检测】；

2、部署下一代防火墙，阻止南北流向的非法访问及病毒流量；

3、建立负载均衡机制，对大流量进行分流；

4、建立态势感知平台，对南北、东西威胁进行预警、追踪及分析。

• 基础设施层：

1、租赁或自建符合国家数据中心机房建设B级标准或以上的机房，确保风、火、水、电等基础设施高可用；

2、计算资源、网络资源及存储资源均采用高可用部署机制；

3、建立访问控制体系，拒绝非授权访问；

4、有条件的企业可以建立多云灾备机制。

运维层：

1、基于ITIL，建立运维体系流程，如：变更流程、应用上下线流程、VM生命周期管理管理等；

2、建立私有云安全风险应急机制，应对突发事件发生；

3、建立一支经验丰富的云运维团队，提供技术支持。

私有云安全运营

一个完整的私有云防御离不开技术与管理，正所谓“三分技术，七分管理”。要保障云平台安全，除了有必要的技术手段支持以外，还要考虑组织和管理的因素，也就是人、流程与制度的因素。

告警机制

做运维的都知道，监控系统就如一双眼睛，可以7*24小时看护系统的运行状态，你累它不累，你困它不困，你休息它不休息。一个好的告警机制，可以在隐患发生前告诉管理员，化解风险。

私有云作为资源集中管控的一个平台，告警机制的建立就尤为重要，监控指标更是多不胜数。涉及IT基础设施层、资源层、平台控制层、应用层及网路链路。主要分为以下几个维度：

系统资源监控：

主要是对计算系统、存储系统及网络系统的CPUMEM硬盘等核心参数进行监控，避免因为高负载，造成VM的频繁迁移甚至宕机。

平台利用率监控：

监控私有云平台内VM的分布情况，对于分布不均匀的区块进行调整。

访问控制监控：

监控未授权的访问以及暴力破解事件，如平台访问、系统访问等。

网络质量监控：

监控平台虚拟机、宿主机间的网络流量，避免大流量的产生。监控用户到平台的链路状态。

安全风险监控：

监控云平台周边安全设备的状态和安全事件，如ADSWAFIPS产生的告警日志，及时收集与分析。

流程化管控

正所谓“制度管人，流程管事”。基于流程化管理，私有云运营团队可以根据不同的安全事件、安全请求、系统变更进行快速响应和精确处理。量化安全事件和安全处理情况，为精细化运营提供佐证。

自动化

私有云平台是各种资源的集中体现，无论计算节点、存储节点还是网络节点都会随着业务的发展进行不断的扩容。从初期的几个节点发展到庞大的数据中心，单靠人工已经无法满足在技术、业务、管理等方面的要求。同时考虑运维成本的增加，自动化运维是必经之路。

• 提高运维人员主动意识、提高运维手段；

• 形成一套高效的IT运维机制；
  

• 利用高效的IT运维技术工具，提高运维效率。
  

结束语

信息安全防御措施必须渗透到系统的每个环节，通过信息安全管理以确保私有云平台的系统安全。

私有云的安全与传统架构安全无异，只是需要投入更多的精力，更细化的安全策略。企业在规划私有云平台的架构时，建议融入安全因素，参考信息安全纵深防御模型，从多个层次对私有云平台进行保驾护航，确保整体云平台正常提供云服务。

原题：企业信息安全剖析之私有云安全