二、云的安全是阻礙云計算普及的最大障礙

A：云計算讓傳統信息安全防御體系面臨尷尬

信息安全是保障信息系統業務安全的，采用云計算技術后，并非只是增加了一個虛擬化管理軟件的安全風險那么簡單，最重要的是，它讓多年來信息安全保障基本思路---邊界安全防御思路面臨尷尬。

1、什么是邊界安全防御思路

多年來信息安全防御是基于邊界安全思路進行設計的，這源自于美國人的IATF(信息保障技術框架)，很早以前就提出了網絡安全的保障思路。把網絡按功能分為不同的安全域，域內安全需求相似，我們在安全域邊界上部署安全措施。典型的“3+1”劃分方式：計算域(服務器與存儲)、核心互聯網(網絡核心)、接入域(用戶接入網絡的匯聚)、基礎設施域(網管與安管的基礎設施)。

安全域防御思路是將用戶與服務器資源隔離開來，也把入侵者與保護對象隔離開來，在其訪問的必經路徑上，建立多道防御措施，延長入侵者到達目標的時間，同時為監控措施贏得發現并部署應急處理的時間。之所以成為“邊界安全思路”，是因為這種設計思路往往先劃出邊界，理清出入口，在“關口”上部署安全策略。

邊界安全源于保護領土的傳統安全做法，拉開我們與敵人的空間距離，這樣敵人在進攻時就會暴露在中間區域內，我們好有充足時間做出反應，組織強有力的阻擊行動。多重防護、也是延長敵人攻擊到我核心地域的時間。很顯然，這種方法是對付正面的、公開的敵人，面對已經在自己領域內部的敵人(內鬼或者間諜)，邊界措施就不適用了，因此，需要建立監控體系，以及對內部人員的信任管理系統，內部區域是我們可控的，保障的思路是提高犯罪門檻，以及秋后算總賬。

什么是網絡邊界?對于某個單位的局域網來說，就是互聯網出口的路由器;對某個業務系統來說就是服務器的網卡，就是連接交換機的那根網線。這里是外部入侵者的必經之路，安全防護的最佳位置。

2、“花瓶”模型

安全措施有很多，該如何選擇呢?是越多越好，越貴越好嗎?顯然不是!

安全部署是一個整體規劃、系統化的設計過程，建立縱深的、立體的防御體系，需要多方面的安全措施相互配合，沒有任何一種安全措施可以包打天下的。

安全保障的目的是減少安全事件的發生，或者是減少安全事件發生時帶來的損失。因此，處理安全事件就安全保障措施落地的基本流程。從對一個安全事件的處理過程中，可以看出安全措施的配合機理。

• 安全事件發生前：在所有的邊界出口上，部署安全訪問策略，提高訪問門檻，建立安全防護基線;
• 安全事件發生中：利用強大的安全檢測技術，分析網絡里的各種異常，監控設備、進程的運行動態，發現入侵行為，立即報警，啟動應急處理流程，盡量把安全事件限制在局部區域，把安全損失降低到最小;
• 安全事件發生后：利用用戶信用與審計體系，收集犯罪者的證據，挖出內鬼，秋后算賬，震懾處于犯罪邊緣的人;
• 日常運維管理：提高自身安全素質，減少安全漏洞。通過安全管理平臺管理安全策略，監控安全態勢。

“花瓶”模型把安全措施分為邊界防御、動態監控、信任體系三條措施基線，以及一個公共安全管理的支撐平臺。模型具體描述了各種措施部署的位置，以及各種措施之間相互支撐、相互協作的關系。邊界防御可以把一般水平的入侵者擋在“墻”外，對于高水平的入侵者，我不能不讓你進來，但可以通過動態監控措施看見你的一舉一動，發現異常，或者有安全隱患，立即報警或直接制止。目前流行的應對APT攻擊---“沙箱”技術，就是屬于監控體系中通過釋放行為，判斷是否為惡意代碼的監控類措施。邊界防御與動態監控可以應對外部入侵者;針對“內鬼”，就需要監控體系與信用體系了。發現越權訪問，以及濫用權限等不合違規行為，立即制止并進行制裁。

3、虛擬化網絡的邊界在哪里成了難解的問題

網絡就是要連通，連通才是數據共享、實時互通的基礎。但共享就意味著不安全，知道得人越多，泄露的可能性就越大。所以，我們建立網絡的同時，也建立了層層“關卡”，允許授權的人訪問，限制外來人的訪問權限，既享受互聯帶來的便利，又限制敏感數據的知悉范圍。

云計算服務模式的來臨，對原來“諸侯割據”的網絡帶來極大的沖擊：

• 數據大集中：虛擬化的前提是整合信息系統，提高IT基礎設施的利用率。不僅是數據集中，服務器也集中;集中后，各個信息系統之間的隔離就難了，數據集中，也讓數據的價值更加凸顯，被入侵者關注的可能性大大增加;
• 數據共享：其實無論是否采用云服務模式，信息系統之間的數據共享都是必然的趨勢，網絡的目標就是讓“數據”動態起來，讓實時數據的價值進一步體現，讓隱藏在數據背后的關聯與規律進一步為決策者所用。繼云服務之后，大數據分析應用迅速風靡各個行業，不能不說是云服務模式推動了數據共享與業務互聯。無論是服務總線的互聯，還是數據交換平臺的互聯，信息系統之間的關系都更加密切，數據流的訪問邏輯都更加復雜，訪問控制策略也越來越復雜。

在服務器端，數據與服務的集中融合，模糊了業務系統與物理網絡的對應的關系，不僅讓信息系統之間的邊界模糊了，而且由于虛擬機的動態遷移，我們能確定的就只是服務器的URL地址(通過DNS翻譯成云門戶上的業務服務IP地址，再映射到VM在虛擬化池中的內部IP地址)。在用戶端，BYOD技術的推廣，隨時隨地網絡的接入，用戶的IP地址是變化的，沒有變的只有用戶的訪問賬戶。在TCP/IP統治的網絡世界了，IP可以變化，就意味著用戶的訪問路徑是不確定的，找不到必經的“關口”，安全防護的邊界該在哪里?

邊界模糊了，邊界部署安全策略的方式就不那么好使了。

當然虛擬化技術讓信息安全面臨的尷尬還遠不止這些：

傳統的安全威脅依然存在：

• 病毒、蠕蟲依然流行，DDOS同樣在威脅“門戶的路”，CC攻擊同樣可以讓業務服務器宕機;操作系統與數據庫的漏洞同樣可被利用;應用層的漏洞攻擊同樣隨處可見;物理安全因為數據中心大集中后增大了威脅的可能;
• 虛擬化管理平臺也是OS，是系統軟件，只是因為關注少而報出漏洞少。VM安全嗎?若是入侵者獲得了虛擬化管理平臺的權限，每個VM不是都面臨入侵的威脅嗎?
• 內部人員的有意與無意違規，第三方運維中別有用心人員的蓄意破壞，被人收買員工的非法訪問…這樣管理漏洞同樣嚴峻;
• 信息系統之間的隔離是新問題：VM可以動態遷移，基于網絡層的物理隔離設備無法部署在虛擬化的網絡里;針對每個VM的安全策略，是否可以跟隨VM一起遷移，不能出現“安全天窗”，是安全保障設計者最關心的問題;
• VM的安全：服務器變成了VM，VM在虛擬化管理平臺看來就是一個文件，一個可以被復制、拷貝、讀取、修改的文件，目前使用一種對虛擬終端VM休眠時病毒查殺的技術，就已經展示了直接修改VM文件的技術應用，若入侵者這樣操作業務VM，恐怕就沒有敏感數據可言了吧;
• VM之間的攻擊：從網絡外部直接入侵重要業務系統，要通過層層網絡安全措施的過濾與監控，困難是顯而易見的。先入侵不重要的業務服務器(一般安全防護也相對較弱)，再作為“肉雞”橫向入侵重要的業務系統，是入侵者常用的手段。有了虛擬化技術，不僅VM之間的隔離難以部署網絡層安全措施，而且這種橫向入侵的流量又可能是完全不進入物理交換機的“東西”向流量，因此，VM之間的安全狀態往往成為云服務建設者最大的“心病”;

#p#

B、業界目前提供云計算安全解決方案的分析

云計算是用戶需要的，選擇虛擬化技術是必然的，用戶需求就是技術發展的動力，讓用戶的業務在云中“裸奔”顯然是不可取的。隨著云計算服務的成熟，其安全解決方案也推出了很多，但由于傳統的安全邊界防護思路難以奏效，這些方案在效果上都有些捉襟見肘。

1、VMWare的安全虛擬機流量清洗方案

WMWare目前是虛擬化管理平臺軟件最大的廠家，率先推出其安全保障方案。其思路是：在每個物理服務器內開啟一個安全VM，安裝安全軟件，如病毒查殺。由于VM下層的Hypervisor是自己的代碼，他們提供了一個API接口，通過Hypervisor控制，讓進入VM的數據流先進入安全VM，安全清洗后，再流到目標VM中。實際上就是在VM的下層Hypervisor層上做每個VM的訪問控制。

安全VM中不僅可以安裝殺病毒軟件，還可以安裝入侵檢測、防火墻等軟件，形成一個超能力的安全處理機。其前提是有VMWare提供底層的流量引導與控制，否則安全處理機就只能“旁觀”了。

這個方案設計思路很不錯，Symantec、Checkpoint、McAfee、Trendmicro都在此方案上做了非常好的集成，尤其是查殺病毒方面實現的很理想。

但這個方案有一個致命的缺陷： VMWare公司的API接口是授權使用的，目前國內的安全廠商沒有一家獲得，要選擇此方案，安全虛擬機中只能安裝國外安全公司的產品，這很難符合國內等保、分保的要求。另外，這個方案在殺病毒方面應用安全案例很多，但在其他安全措施集成上，案例相對較少。

這個方案給了我們兩點非常好的啟示：一是安全虛擬機，可以隨時“生成”安全設備，多少、種類都不受限制;二是通過引導業務流可以讓“旁路”的安全措施發生效力。

2、安全虛擬機方案是否可以擴展?

如果可以讓各種安全設備都變成軟件，運行在VM里，就可以部署到業務VM的旁邊，通過虛擬交換機上流量引導就可以實現對業務VM的安全控制。這個方案是否可以進一步擴展呢?有兩個問題是難以回避的。

• 資源擠占：一般一個業務系統往往不止需要一種安全措施，如一個網站需要WAF過濾，還需要IDS檢測，這樣就需要在網站VM旁邊開啟兩個安全虛擬機。這種安全處理所需要的資源是很大的，vIDS與vWAF加起來占用的服務器資源，或許比業務VM需要的資源還要多。物理服務器的資源是有限的，安全與業務爭資源，是管理者不愿意看到的。如果網站業務流量增大，業務VM與安全VM可能就無法在一個物理服務器內了，所謂“旁邊”就近處理，也無法兌現了;
• VM遷移：VM遷移是虛擬化最有特色的功能了，這種遷移往往是系統自動的，當VM遷移時，安全虛擬機是否跟隨遷移?若要實現一起遷移，則涉及多個VM是否可以同時遷移(同源同目的)，新的物理服務器是否可以容納它們?遷移過程中底層的流引導是否能保持同步?業務不中斷，安全措施監控是否也能不間斷?若不做到一起遷移，VM遷移后，原來的安全虛擬機繼續處理流量，則需要流量跨物理交換機兩次，這顯然不可取;若在新位置重建安全虛擬機，安全虛擬機建立與開啟需要時間，就必然會形成安全監控的“天窗”。

很顯然，安全虛擬機方案很具誘惑，但不適合業務同時選用多種安全措施(VMWare方案中只是殺病毒一枝獨秀也可能有這方面的原因吧)。要讓安全虛擬機方案全面落地，除了底層的流量引導技術拓展之外，還要解決VM遷移同步，這一巨大的難題。

3、未來采用SDN流引導得到大家的共識

安全虛擬機方案是基于底層業務流引導思路的，除了VMWare提供的引導，采用業界“新寵”SDN也是一個選擇。很多網絡安全廠商采用SDN把業務流量引導到自己的安全設備中處理。SDN技術可以跨平臺地實現在VMWare、KVM、XEN等上。

SDN協議是一種通信協議，它將傳統的交換機分為兩層，底層轉發層(交換硬件)和轉發策略層(控制器)，非常適合流量重新路由定義。

該方案需要交換機支持SDN協議，目前SDN交換機還處于產品初步上市階段，承擔數據中心核心位置還有待產品成熟，同時，采用SDN交換機只能硬件升級，軟件升級無法實現。這對現有網絡改造需要時間過渡。

4、安全大一體機方案

對于虛擬化的云內處理有技術難度，很多廠家就拋開虛擬化平臺，在云的門戶上設立邊界的安全策略，這就是安全大一體機方案。

這個方案分為兩派廠家：

• 網絡安全廠商：做一個大安全一體機，把各種安全措施都可以放進去，有FW，有IDS，有審計，放在云的門戶上，對所有經過的信息流配置安全訪問控制策略;
• 網絡交換廠家：把安全措施直接放進核心交換機，這里本就是流量的匯聚地。插上FW的處理板，插上IDS的處理板，就可以對IP包做訪問控制了。

大一體機方案，顯然是傳統安全模式的延伸，只在云的邊上，不到云的內部去。這個方案的最大問題是，要求設備處理能力極強，因為門戶的流量最大，隨著云計算業務的擴展，這種壓力會指數級增加;

另外，這個方案對云內部的東西流量根本看不見，更談不上安全策略了。實際上是默認了放棄云內部安全的處理。