云主机资源池安全策略分析

翟丽娜

（广州番禺职业技术学院，广东 广州 511483）

0 引 言

云计算技术是一种新兴的共享基础架构方法，将庞大的信息系统池连接起来提供各种IT服务。云计算被视为“革命性的计算模型”，其利用互联网使得计算能力的自由流通成为可能，主要优势包括按需自助服务、广泛的网络接入、资源池化、快速弹性收缩以及可计量服务[1]。

目前，规模化开展的商业性云计算业务主要集中在云主机资源池和云存储资源池两大领域。随着信息系统的不断发展，安全问题也逐渐引起人们的注意。从本质上说，云主机资源池也是一种IT系统，存在和其他IT系统一样的安全问题，包括基础设施安全、数据安全、应用安全等。安全共性问题如图1所示。

图1 安全共性问题

与此同时，基于虚拟化、分布式计算等底层架构技术的引入，云计算应用的信息呈现出高度集中性、无边界性以及流动性特点，云主机资源池面临许多新的安全威胁。

1 云主机资源池安全问题

在深入探讨云主机资源池的安全问题前，不得不提到虚拟化。在云计算领域有一种共识，即云计算是一种模式，但虚拟化是一种技术，而且是提供基础设施即服务（Infrastructure as a Service，IaaS）云计算服务的核心技术。通过虚拟化可以在1台物理服务器上模拟出多个独立的服务器来，这些模拟出的多个服务器都有自己独立的操作系统。虚拟化的本质就是将原先的物理设备进行逻辑卷化，转化成1个个文件夹或文件，解除软硬件的绑定[2]。传统数据中心网络的安全策略更多针对看得见、摸得着的物理设备，对于数据和流量的安全方案也会有一一对应的检测设备去实现。云主机资源池安全问题类型如图2所示。

图2 云主机资源池安全问题类型

分布式拒绝服务攻击（Distributed Denial of Service，DDoS）是常见的网络攻击，并非云计算环境下特有。企业中的关键应用、核心服务数据由传统内外隔离的内网迁移到了云计算主机资源池，更多的数据应用和集成业务开始依靠互联网，DDOS带来的破坏程度将会大大增加，这也从侧面反映出安全性问题是云主机资源池推广和应用的最大挑战之一[3]。虚拟化技术的引入使得不同虚拟主机之间的安全边界不再清晰，传统以物理服务器为单位划分安全域的方式已不再适用。尤其在多租户模式下，安全需求复杂多变，虚拟安全域数量增多，用户都期望拥有独立的安全空间，并配备自我服务的安全管理和配置功能，因此虚拟安全域的隔离和防护是云安全的一个重要问题。

虚拟机管理器（Virtual Machine Monitor，VMM）是所有虚拟化的核心，负责管理所有的虚拟资源，具有分区、隔离、封装的功能。在虚拟环境中，以虚拟化机作为最小网元单位，传统防火墙、入侵检测与防御设备并不能感受到同一台物理服务器上各虚拟机之间的通信流量变化，这已经成为安全保护中的盲区。云主机资源池安全系统在提供安全防护的同时，应保持高可用度，以确保业务连续性、更高的可靠性、更短的停机时限以及更简单的维修与更新。同时，由于云主机资源池是弹性拓展，因此安全设备也必须是弹性扩展。主机资源池的用户数据、管理、存储等均与云计算系统有关，应支持通过采用隔离数据、控制访问、传输加密、存储安全以及保护剩余数据等技术手段向用户提供点对点（Peer-to-Peer，P2P）的数据安全与隐私保障，从而确保用户信息的可用性、私密性、完整性[4]。运维管理人员和客户有远程进行连接、访问并控制云服务器的需求，因此需要对服务器进行安全访问控制、安全审核等，确保服务器的安全接入。

2 云主机资源池安全防护架构

2.1 物理安全防护

云主机资源池对物理环境安全的要求符合数据中心相关建设标准，由于云计算技术的应用导致宿主服务器的使用率提升，数据中心容易出现局部热点问题，因此要充分考虑电力与空调配置安全。此外，考虑到多个数据中心的备份及冗余问题，独立双传输链路也很有必要[5]。

2.2 基础设施安全防护

主机主要指运行虚拟机的宿主主机（物理服务器），系统上线运行前要先进行安全评估，根据评估结果从系统安全加固、安全防护、访问控制3个层面采取安全措施。建议在云计算数据中心网络中部署入侵检测与防御系统，实时检测各类非法入侵行为，并在发生严重入侵事件时及时采取有效的解决措施[6]。

管理终端面临病毒、蠕虫、木马泛滥的威胁，不安全的管理终端可能对整个云计算系统构成极大的安全威胁。管理终端软硬件配置应能满足和保证终端安全策略的执行，主要包括终端系统安全防护、网络接入控制、用户行为控制3部分内容。初始化过程应严格遵守安全策略进行配置，加强系统补丁管理，安装防病毒和防恶意代码软件进行病毒恶意代码防范，及时更新病毒库等。设置网络认证功能，只允许获得合法授权的用户登录。强制性安全检查，只有符合接入网络安全策略的终端才允许接入网络。精细化访问控制，分级分权，禁止越权访问。制定访问策略规则，禁止非法外联，监控网络使用状态和网络流量等。

2.3 网络安全防护

网络安全最重要的部分是实现主机资源池内外网的分离、资源池内部不同安全域之间的隔离[7]。在网络搭建时，内外部网络链接实施物理隔离，即内外网接入不同交换机，服务器上联交换机端口。云主机数据网络安全部署如图3所示。

图3 云主机数据网络安全部署

根据云主机资源池的结构特点，云主机资源池划分为网络模块、计算模块、存储模块、管理模块等，并采用虚拟专网、虚拟防火墙、虚拟局域网（Virtual Local Area Network，VLAN）划分以及分布式虚拟交换机等实现各模块的安全隔离，避免网络安全问题的扩散。对大规模异常流量进行监测与诊断，防范网络攻击，可根据需求部署DDoS攻击防御系统、入侵检测和防御设备检测系统。此外，数据中心承载网络设备应支持设备级、链路级的冗余备份，并根据业务需求部署虚拟专用网络（Virtual Private Network，VPN）隔离，实现安全域划分[8]。

2.4 虚拟化安全防护

虚拟化安全防护主要处理虚拟机数据安全隔离与保护问题[9]。采用虚拟扩展局域网（Virtual eXtensible Local Area Network，VXLAN）技术解决服务器内虚拟2层网络通信问题，使用虚拟防火墙进行隔离保护。虚拟机自身安全防护主要包括虚拟机安全加固和恶意代码防护。为了防止虚拟机之间因非法互访产生的风险，在传统口令验证的基础上，增强VPN安全隧道防控能力，并采用令牌环方式解决伪造不法身份进行非法访问的问题。

2.5 数据安全防护

数据安全防护主要包括数据隔离、访问控制、剩余信息保护以及快照加密解密完整性保护等。数据安全隔离与访问控制对有安全需求的不同虚拟机划分不同的VLAN，赋予不同的VLAN ID。一般情况下，属于不同VLAN的虚拟机会划分不同的IP地址，不属于同一个VLAN的用户若要相互通信必须通过具有3层路由协议功能的网络设备。用户还可以根据自己的安全需求创建安全组，每个安全组都设定自己的访问规则，加入统一安全组的虚拟机必须遵循该规则。通过此种方式，可以实现虚拟机的安全隔离和访问控制。此时安全组的功能类似于防火墙的作用。

3 云主机资源池安全管理策略

云资源池安全管理主要通过构建并完善用户管理、认证、授权以及安全审计等服务安全运作管理体系来规范安全运营操作,减少用户对安全性的顾虑[10]。服务安全管理体系问题包括建立服务安全运作策略和安全保障制度等，并在用户管理、认证、授权以及安全审计等层次上规定安全运行要求。

云安全管理平台是承载云主机业务的基石，必须从多个层面做好合理的设置，提高其稳定性。首先，做好备份工作，建立多机热备机制，增强系统修复能力，提高管理平台可靠性和数据安全性。其次，实施分权、分级管理，规定不同级别用户的访问权限，明确授权机制，进行严格的访问控制。再次，设定非法登录标准，主要包括登录次数和登录时长。禁止非法登陆的次数一般设定为3次，当用户尝试3次登陆但均未能成功的情况下就将终止登录连接。设置会话超时控制，用户进入资源池后在规定的时间内未能完成操作，就将自动暂停与网络的连接。因此采用多种身份识别方法，包括采用复杂的口令、数据认证等，实现对用户身份的有效控制。最后，进行全面的日志审核，包含对系统自身审核、数据变更审核以及对日常应用操作的审核等。

4 结 论

云主机资源池安全方案是云计算主机业务开展的重要基础，通过全面分析云主机资源池面临的安全问题，明确其与传统IT系统安全策略的区别和联系。在此基础上，划分云主机资源池安全层次架构，制定对应的安全策略，重点实现虚拟化安全部署，为云主机安全方案的落地实施奠定基础。