云时代的安全风险与防护方案

（杭州华三通信技术有限公司，北京 100052）

云时代的安全风险与防护方案

焦暘

（杭州华三通信技术有限公司，北京 100052）

云计算已经在全球遍地开花，在给全球IT和经济模式带来变革的同时，安全问题也变得尤为突出，运营商已经逐步从公有云服务提供商进入到全新的专享云、托管云、私有云、混合云等各个云领域了，云时代的安全风险有哪些，作为云服务提供商，又该如何做好安全防范或者将安全作为一种产品进行销售和运营、管理是现今最值得关注的问题，针对大客户形态的不同云安全又有哪些不同，本文将做局部的深入探讨。

云安全服务；私有云；SDN；云安全

运营商是云计算的引导者和运营者，在云计算时代面临着全新的竞争环境，云计算的服务已经打破以往的商业模式，云计算服务提供商正在进入传统的CT、IT以及IDC运营等领域，使得竞争环境进一步恶化，运营商云计算服务领域也从原来的公有云服务，逐步延展到了私有云、专享云、混合云、托管云等领域，而在这些领域对安全的需求是与公有云完全不同的，本文重点将探讨一下针对私有云、专享云、混合云、托管（下文将统一对以上类型的云服务统称为“大客户云服务”）等针对大客户的云服务安全方案和防御方法。

1 大客户数据泄露风险——公有云或共享云

大客户数据泄露风险是目前政企客户是否选择大客户云服务最为担心的安全风险，作为大客户也更为关心这类问题，同时也是用户数据泄露的重要途径。用户数据在云计算环境中进行传输和存储时，用户本身对于自身数据在云中的安全风险并没有实际的控制能力，数据安全完全依赖于服务商，如果服务商本身对于数据安全的控制存在疏漏，则很可能导致数据泄露或丢失。现阶段可能导致安全风险的有以下几种典型情况。

（1）由于云服务提供商的安全漏洞导致的黑客入侵造成的用户数据丢失。

（2）由于虚拟化软件的安全漏洞造成的用户数据被入侵的风险。

（3） 数据在传输过程中没进行加密导致信息泄露。

（4）加密数据传输，但是密钥管理存在缺失导致数据泄露。

（5）不同用户的数据传输之间没有进行有效隔离导致数据被窃取。

（6）用户数据在云中存储没有进行容灾备份等。

从这个角度看，云计算服务商在向用户推荐云计算服务时，需要和企业用户签署服务质量保证协议，并从技术和管理两个方面向用户进行安全保证，以减轻用户对于数据安全的担忧。

从以上问题来看，建设针对大客户的专享云或私有云，并在远端实现托管云服务是一步步切入大客户云服务的良好途径，这种模式对比起公有云和共享型云服务有明显的优势。

（1）硬件基础平台即IaaS架构上各自分离独立，不会引起底层安全扩散和遭受攻击的威胁。

（2）针对IaaS平台的专享或私有，运营商可以提供用户侧放置独享或私有云的模式，来强化大客户的安全感，如果采用托管式的专享或私有云模式则也可以通过隔离独立的物理区域和硬件设备来实现安全性的保障。

（3） 在此基础上更可以提供专门的安全云增值服务，来提供针对客户专享云或私有云的安全增值服务，如华三公司的统一云安全管理平台，既可实现针对客户定制化的所有安全隐患的排查和检测，又能够覆盖到各个不同的层次和不同厂家的设备，可以通过华三公司的SCC平台实现全局很深入的安全问题排查和报表式通告。

（4）针对国家所颁布的等保要求，还要及时的根据大客户应处的等级保护级别来进行安全对应方案和产品的部署，确保等保用户接入时的等保要求，要定期做好等保防护和信息安全定时通告。

2 内部安全失控

企业的核心数据在云计算环境中的存储，离不开管理员的操作和审核，如果服务商内部的管理出现疏漏，将可能导致内部人员私自窃取用户数据，从而对用户的利益造成损害。在这种情况下，除了通过技术的手段加强数据操作的日志审计之外，严格的管理制度和不定期的安全检查十分必要。云计算服务供应商有必要对工作人员的背景进行调查并制定相应的规章制度避免内部人员“作案”，并保证系统具备足够的安全操作的日志审计能力，在保证用户数据安全的前提下，满足第三方审计单位的合规性审计要求。

由SDN技术可以对所有的数据流向和经过的节点进行记录和调度，采用Overlay网络可以让用户的数据路径变成唯一路径，不会被外部获取或转移数据路径，这样可以保障数据在传输的过程中不被轻易的欺骗或窃取，而数据存储的安全性保障则需要依靠数据访问审核、访问用户权限控制和数据一致性验证来保障了。

3 虚拟化安全策略的自动迁移调整

大客户服务往往与公有云服务有巨大差异，私有云业务往往出现频繁的虚拟机迁移等动作，而安全部署往往是依据环境变化而做出的定制化服务策略，在业务模式发生变化后，往往安全服务需要重新制定，中间时间和环节会造成大客户的云业务暴露在安全威胁中。

虚拟化环境下的虚拟机自动迁移，是云计算环境的重要特征之一。为跟随这种虚拟机的迁移，业务系统本身的资源配置以及该虚拟机的接入端口属性都在积极响应并提供适配的手段。而要想实现安全策略的跟随迁移，安全管理平台需要提供包括下面在内的重要技术支撑。

（1）及时建立起网络中的每个虚拟机和安全策略组的对应关系，实现全局的虚拟机安全策略统一规划和管理。

（2）及时感知虚拟机的迁移动作，并获取虚拟机迁移后的网络位置信息，以此来触发安全策略的迁移。

（3）根据迁移后的虚拟机信息，探测计算出迁移后的虚拟机所对应的安全设备，为下一步的安全策略调整做准备。

（4）安全管理平台基于上述信息有效整合各方面资源，自动调整安全策略，将该虚拟机对应的安全策略组重新下发到新的安全设备上，完成整个安全策略的迁移。

图1 安全策略匹配虚拟机迁移自动跟随

如图1所示，根据大客户的云安全服务要求提供虚拟机迁移的安全策略自动跟随服务。

4 针对大客户的安全服务

4.1 安全即服务（SaaS，Security as a Service）

运营商针对大客户的云安全服务可以采用服务链的方式来实现云安全服务的部署。

（1）SaaS将安全以云服务方式提供，将流量引入安全云中心“清洗”，如图2所示，运营商可以通过专门的云服务来提供给大客户安全云服务业务。

图2 运营商可以通过专门的云服务来提供给大客户安全云服务业务

（2）“安全云中心”可以是数据中心的一个安全服务资源池，或以公有云的方式提供。

（3）“安全云服务中心” 的关键技术：如何识别与牵引流量，如何保证云中心的交付能力，多租户问题。

（4）Overlay + NFV提供灵活的流量控制及云端的横向扩张能力。如图3所示，运营商安全即服务产品结构。

4.2 升级安全架构，构建基于SDN技术架构的安全模型

基础架构安全升级：组合IaaS、PaaS、SaaS架构安全防护系统做统一防护，构建L2～L7层全面的防护体系，根据SDN技术结合，实现全安全架构的搭建，如图4所示，基于SDN技术的全局安全策略和部署模式，来完善云时代的安全模型。

4.3 做好基础安全信息收集

作为安全信息中最重要的环节部分，所有后续的动作均来自此，现阶段最流行的方法就是采用DPI（深度数据报文检测）将所有的设备流量做镜像，进行分析，除此之外，还建议部署设备日志收集分析系统，用于日志信息的收集和统计。

4.4 定期定时进行安全事件分析

图3 运营商安全既服务产品结构

图4 基于SDN技术的全局安全策略和部署模式

针对收集到安全信息进行分析并提早做出判断，是否有安全隐患，此系统是华三公司的SCC管理平台的内置功能，可以通过激活此功能来实现安全日志的统计和分析，可以参考华三公司相关技术白皮书。

4.5 利用新手段技术——大数据进行安全风险预警

在安全事件分析中最常用的一种手段就是大数据分析和预测，根据谷歌的大数据预测分析系统预测，大数据比专家更管用，早于其它信息手段预测至少2周时间，而安全的大数据有一个很重要的特性，就是关联性，大数据对于关联性分析稍显滞后，不能进行实时的预警和干预，对于这部分的解决方法就是部署在线式的安全防护设备来实现这个木桶短板的补齐，其中IPS可以提供L4～L7层的安全防护，以前基本用于云计算的门户出口处。

但现在由于大客户私有云的需求，往往在不同的业务分区和大客户业务的门户处都部署IPS设备，而IPS设备自身的应用防护信息库没有与云安全平台联通的时候是通过其人工设定的门限值来进行防护的，而与安全防护管理平台联动后，运营商可以向大客户的云安全防护设备提供全新的安全策略，以便大客户能够及时提升安全防护的能力。

5 结束语

云计算数据中心网络安全部署仅仅是云基础架构中基本的建设环节，要保证云计算中心的安全，还要考虑数据加密、备份，信息的认证授权访问以及法律、法规合规性要求，只有全面的进行规划，才能建立全面、完善的云数据中心安全综合防御体系。IT毕竟是手段，法律法规和严格的执行还是安全风险防范的最佳法宝，随着云安全服务的升级，华三公司提供给了运营商应对云安全问题的手段更多样化，以便能够适应云时代大客户对云安全的防护要求。

Safety and protection scheme of the cloud era

JIAO Yang
(H3C Technologies Co., Ltd., Beijing 100052, China)

Cloud computing is known as the most anticipated technological revolution over the entire world. Cloud computing has lead the entire IT, economy and industry to change.Meanwhile more and more people are concerned about cloud computing's security issues. Carrier operator gradually from public cloud supplier to many different territory such as private cloud deposit cloud mixed cloud and so on.What are the risks when cloud computing coming. The carrier operator can take what measures to prevent safety risks. This paper investigates the key account's safety requirements for different type cloud computing.

cloud security service; private cloud; SDN; cloud security

TN915

A

1008-5599（2014）08-0069-04

2014-07-26