云计算数据中心的安全体系架构设计.doc

1、云计算数据中心的安全体系架构设计 作者：周向军 来源：《江苏理工学院学报》第02期         摘 要：国内颁布的信息安全级别保护技术规范诞生的时间早于云计算技术的时间，因此，原有的安全体系架构并不能完全合用于云计算环境，本文进一步分析老式信息安全和云计算环境信息安全的差别点并提出系统的解决思路，在此基本上设计云计算数据中心的安全体系架构，并与级别保护技术措施进行整合。         核心词：云计算；安全架构；级别保护         中图分类号：TP393.08文献标记码：A文章编号：2095-7394（）02-0027-08         0 引言         国

2、内政府始终注重信息安全的防护，环绕着信息安全，颁布了一系列的安全条例，并在2月27日成立了中央网络安全和信息化领导小组。在技术手段上，贯彻国家信息安全级别保护的各项技术规范，已经成为国内政府在各行各业强化信息安全的最重要手段。         老式的信息安全级别保护解决方案，根据IT资源的属性（如服务器区、终端区、管理区等）划分安全域，并在安全域边界上，按照有关规范的各项安全规定，部署安全元素，贯彻各项安全措施。在云计算时代，信息系统由于其规模性和服务时效性的规定，其在信息安全上面临更大的安全挑战，重要体目前：（1）云计算数据中心自身的重要限度在提高；（2）云计算数据中心被破坏后的安全危害更

3、大；（3）云计算数据中心更开放，被袭击的目的更加明显；（4）新的技术和应用模式（如虚拟化技术）带来了新的安全风险。         国内颁布的信息安全级别保护技术规范诞生的时间早于云计算技术的时间。也因此，原有的安全体系架构并不能完全合用于云计算环境。为保证信息安全，必须要进一步分析老式信息安全和云计算环境信息安全的差别点，提出系统的解决方案，满足应用和安全的双重需求，而不能仅仅是在原有的安全体系和产品技术上进行简朴的升级和改造。         1 云计算重要安全风险特点         云计算下面临的安全风险，分为老式的信息化建设面临的安全风险，以及云计算应用模式和技术面临的安全风险

4、这两者之间的差别，重要体目前如下两个方面六大点。         1.1 应用模式的差别         （1）安全风险集中。云计算模式下，对信息资源进行有效地集中整合，往往会形成“所有鸡蛋放在一种或数个篮子里”的局面，从而为无处不在的顾客，按需提供服务。因此，在云计算应用模式下，被袭击的目的更加明显，类似于APT（Advanced Persistent Threat，高档持续性威胁）的有目的性袭击的危害更加明显。         （2）被动性。老式的安全防御手段，无论是基于特性库，还是基于行为判断，在云计算模式下，都无法及时应对新浮现的安全袭击行为。这种风险，在被袭击目的集中化的状况

5、下，危险将会更大。         （3）多租户的差别性。云端资源有不同类型的顾客，其安全防护规定不同样，老式的边界统一防护无法合用于此种需求。         1.2 技术变迁的差别         （1）安全边界消失。云计算模式下，以分布式计算和虚拟化为代表的技术得到广泛应用。分布式计算，带来的是信息资源的“多虚一”，是一种“化零为整”的资源整合模式；虚拟化，带来的是信息资源的“一虚多”，是一种“化整为零”的资源整合模式。由于技术应用的需求，例如虚拟机的迁移技术，导致老式的安全边界已经消失不再存在，数据在数据中心内部之间的交互增长。         （2）动态性。云计算的资源池化，

6、在按需匹配顾客需求时，面临着内部IT资源的不断动态调节的状况。也因此，老式的安全设备及安全方略固定部署的方式，无法适应这种状况；此外，大量的内部数据交互，导致对安全设备的性能需求也在增长，需要满足海量数据交互下的安全检测需求。         （3）内部安全性。云计算模式下，顾客可以按需租用云端资源。然而，合法顾客也许会运用云端资源进行非法的操作，例如袭击和窃取同一物理机下的其他虚拟机资源，或者是租用资源发起DDoS袭击。在Defcon大会上，就有与会者演示运用Amazon的EC2云计算服务平台，以6美元的成本对目的网站发起致命的回绝服务袭击。整个云计算环境的内部安全面临着重大挑战。   

7、      2 云计算重要安全风险应对思路         如何应对上述六点所描述的云计算信息安全挑战？结合信息安全的某些措施论，可按照下面的思路来进行。         2.1 安全风险集中         安全风险集中，最有代表性的体现就是针对于云端目的的大规模安全袭击。最有代表性的袭击行为，就是DDoS袭击。相比于老式模式，云计算对于DDoS袭击有天然的应对优势。云计算提供了具有弹性可扩展的长处，当服务需求变大时，云计算服务提供商可以自动增长相应的资源，并且在很短的时间内就提供使用。因此，顾客几乎不用紧张袭击者企图大量耗用基本设施资源的袭击。然而，DDoS袭击会对云端资源出口的带宽

8、导致大量占用。据记录，，受害者遭受袭击时遇到的峰值流量是3.5 Gbps；，这一数字已经超过10 Gbps；，Arbor Networks探测到2700多次超过10 Gbps的袭击。         针对于上述的这种状况，云计算服务提供商有必要和电信运营商进行合伙，由其在最接近云端的骨干网出口部署流量清洗的设备，避免非法袭击对带宽的占用。固然，除去针对于特定目的的袭击之外，由于信息资源的集中，在云端的边界出口还会面临着大量的通用性安全风险。这些安全风险和老式模式下相比，并没有什么不同，但对于边界的安全设备来说，其性能规定就非常高，并且还需要支持IPv6。         2.2 被动性

9、        许多的安全漏洞，在发现问题到打上补丁，往往会存在数天到数十天的滞后期。这一滞后期往往会成为黑客袭击的最佳时期，带来诸多的安全问题。此外，随着长效僵尸网络的不断浮现，以及这些僵尸网络被大量出租给袭击者，将来的网络袭击将会存在着更加隐蔽、更加持久的特点。         基于上述的两个因素，导致老式的基于特性库升级和行为判断的两种安全防御手段，必须要进行升级。目前，比较通用的做法是，结合“云安全”的理念，采用分布式部署的方式，安全防御体系可以通过度布在各地的、网状的大量客户端（安全防御设备）对网络中软件行为的异常监测，获取互联网中木马、歹意程序的最新信息，发送到Server端进行

10、自动分析和解决，再将解决方案发到每一种客户端。这样，既实现了特性库或类特性库在云端的储存与共享，又可以作为一种最新的歹意行为（代码、垃圾邮件或钓鱼等）的迅速收集、汇总和响应解决的系统。         2.3 多租户的差别性         不同的顾客，在将信息资源寄存在云端时，有着不同的安全防护需求，并且也但愿和其他的顾客进行安全的隔离。解决这一诉求，有两个方面的思路。         （1）对不同的顾客，其数据在进行传播和存储时，要进行有效隔离。在物理服务器内部，需要建立虚拟服务器之间的隔离；在数据中心内部进行网络传播时，可通过MPLS VPN技术来实现隔离。存储隔离可通过辨别资源池

11、并进行加密的方式来实现。         （2）在云端的边界，可部署支持虚拟化的安全防御设备（防火墙）。这样，就可觉得不同的租户提供不同的安全方略。这同步意味着安全防御设备要能获悉顾客的分组信息。         2.4 安全边界消失         在老式安全防护中，很重要的一种原则就是基于边界的安全隔离和访问控制，并且强调针对不同的安全区域设立有差别化的安全防护方略，在很大限度上依赖各区域之间明显清晰的区域边界。这一措施，在云端的边界仍然可以部署。         然而在云计算环境下，以分布式计算和虚拟化为代表的技术应用，使得存储和计算资源高度整合，基本网络架构统一化，导致内部的数

12、据信息互换边界已经消失。这样导致了两个问题：一是任何一种虚拟节点遭到入侵，将会给整个物理节点乃至云端资源带来很大的安全威胁；二是安全设备的部署方式将无法根据于老式的安全建设模型。         云计算环境下的安所有署需要寻找新的模式。目前的解决方案是：一是运用虚拟服务器的管理平台，使得虚拟机在跨物理服务器可以实现边界的划分，构建虚拟数据中心；二是要将基于虚拟机之间的流量“软互换”回归到网络硬件，实现流量的可视和可控，例如IEEE 802.1工作组制定的原则802.1qbg，可以将虚拟机发送的所有报文所有交给互换机进行转发；三是将网络与安全充足融合，在互换机上集成防火墙模块，使得数据互换平台

13、即可以作为安所有署平台。         2.5 动态性         老式数据中心按照模块化分区的方式设计，安全边界清晰、安全域固定，网络层安全的部署一般在安全边界在线或旁挂FW、IPS等安全设备来实现，安全设备和方略与较固定，调节和更改的需求较少。         在云计算数据中心内，由于计算、网络和存储资源的虚拟化构成了资源池，安全边界模糊。并且这些资源会随着租户的需求随时进行调度与调节，最普遍发生的就是虚拟机的动态迁移，这就导致安全域和安全方略要随着资源的变化进行动态调节。解决这一问题的思路，就规定安全资源可以感知到IT资源的变迁，使得安全资源的部署与租户的虚拟IT资源进行绑定

14、并根据租户的规定进行灵活动态调节。         2.6 内部安全性         云计算环境下对于内部租户的非法行为，要可以及时检测、及时制止和定位到人。数据安全格外重要。重点需要实现对于数据库读写操作的权限控制和审计。在技术实现的基本上，同步，要引入对租户的“可信额度”机制，并辅助于相应的法律法规措施。         3 云计算数据中心安全体系架构设计         大多数云计算数据中心基本架构没有深层次的考虑应用和服务的需求和特点。这种状况下，应当说，整个云计算基本架构的可靠性、可用性都存在某些问题，固然也涉及安全性。这样的系统更容易遭受到袭击，不仅仅涉及一切既有网络应

15、用中存在的袭击行为和方式，并且由于整个基本架构上的不完善，更多的漏洞和缺陷将被运用，其所带来的损失和危害也更大。         国内发布的《信息安全产业“十二五”规划》提出，要“研究建立支撑云计算、物联网、移动互联网等新一代信息技术应用保障的信息安全技术体系架构”。应对这些云计算安全隐患，需要更加注重云计算基本架构的全面、系统的设计，在必要的数据中心基本服务设施及内部网络上引入有针对性的技术和产品。         3.1 整体构造设计         将整个数据中心的网络设计分为两部分：后端是采用云计算有关技术、支持多架构融合的业务资源网，网络、计算、存储资源构建成虚拟的资源池；前端

16、是基于老式的Server Farm模块化数据中心的构造。         对于后端的业务资源网和前端的管理网，分别部署不同的安全措施，辨别的重点如下。         （1）业务资源网。需要构建大二层的网络环境，以满足虚拟化和资源的动态迁移需求。在安全上，可考虑在核心互换机上集成防火墙安全模块，同步将服务器内部的数据传播牵引出来，这样就能将安全方略部署在网络端口，保证安全方略得到贯彻；集成的安全防火墙模块，还需要支持虚拟化技术，这样可为不同安全级别（不同租户）提供针对性的安全方略。         （2）前端管理网。可采纳老式的信息安全级别保护的安全规定，在不同的区域边界部署安全方略。同

17、步，针对于数据中心的大出口，安全风险集中，要采用针对性的安全防御措施。         3.2 资源分域分级         针对于不同的服务方式、不同的应用系统、不同的安全级别、不用的顾客主体，可将后台统一的资源池划提成若干个小的资源池，在跨池的边界上采用必要的安全防护措施，一方面可以减少安全风险；另一方面则符合国家级别保护的安全规定。         此外，针对于服务器/存储虚拟化技术来说，自身对于构建同一资源池也有相应的技术规定，例如说服务器虚拟化资源池规定物理服务器的CPU型号接近。这样，在划分若干小资源池时，就可以充足运用旧有信息资源的特点进行整合。         在安全实

18、现上，保证同一安全级别（或同一租户）所需虚拟资源的调度，只能在同一级别的安全资源池之间进行。         3.3 边界安全防护         在边界区，针对于不同的应用应部署不同的安全防御措施。例如，对于网站服务器的应用，就需要部署网页防篡改设备。在出口处要辨别数据的流入流出，并做好数据的安全方略控制，基于CDN和流量清洗的需求，可规定运营商予以支持。         3.4 云安全矩阵平台         云计算数据中心由于其集中性和重要性，必然规定高规格的安全方略，需要将安全计算能力当作一种服务，既为数据中心自身提供安全服务，又可以提供公共安全服务。云计算数据中心安全体系需要

19、在顶层设计时，就不能只关注自身安全，更应考虑兼容对外公共服务。以此获得明显经济和社会效益，方能适应科学发展，建立云计算数据中心服务安全的长效机制。         云计算数据中心安全体系建设，需要同步满足自身安全需求和对外公共服务。顶层设计需要考虑如下因素：（1）满足各类安全需求。安全体系一方面能满足自身各类安全需求，涉及网络安全、应用安全、数据安全等；（2）兼容对外公共服务。安全体系在设计时需要数据中心系统松耦合，而是定义出原则化接口。数据中心自身和公共云安全服务使用者调用统一的界面享有云安全服务。         建设“云计算安全平台”，统一为数据中心自身和公众提供高质量云安全服务。“

20、云计算安全平台”内部由一种个安全单元矩阵构成。重要涉及云计算门户安全矩阵、云计算流量清洗矩阵、云计算防病毒矩阵等等，可按需扩容。“云计算安全平台”对外提供统一的服务界面。这样，公共服务流和数据中心内部跨越安全域边界的数据流，即可通过统一的界面享有同级别的安全服务。         3.5 信息数据安全防护         数据安全是数据中心的核心安全问题。数据量大、集中带来业务、管理便利的同步，也给数据安全带来更大的挑战。云计算数据中心的数据安全存在如下重要挑战：（1）来自互联网的袭击。云计算中心通过互联网对外提供服务。SQL注入等针对数据库的修改、窃取给数据泄漏带来极大风险。（2）内部信

21、息泄漏。内部人员的无意、故意泄密，U盘、光盘、软盘拷贝等扩散手段。甚至近年来通过图像、照片的泄漏层出不穷。         云计算数据中心，具有数据量大、访问方式多样、新技术层出不穷等特点。一般需要考虑如下三个问题：（1）数据的事前授权。需要对数据进行分级授权，保证对的的人访问对的的数据。同步对U盘拷贝等操作进行授权和记录。（2）事中应用数据防御。采用多种网络安全技术，对多种应用服务进行针对性防御。避免袭击者运用应用服务器为跳板对数据库进行非法操作。（3）事后审计到人。部署专业数据库审计系统。对直接数据库操作、通过应用服务器对数据库的操作统一进行审计。审计日记与身份认证系统关联，实现定位到人

22、便于对重大数据泄密事件进行追溯和问责。         在安全实现上，可以部署数据库审计系统，对于数据的所有使用进行审计，并能定位到人。         3.6 终端安全防护         云计算数据中心是云计算时代的产物，开展的业务具有明显的云计算时代特性。云计算时代，人们在网络中的活动，明显突破了老式的物理边界，呈现“无边界”特性。存在如下二种业务类型：一是服务场合固定，人突破边界。两种典型应用：一种是内部人员外出办公，通过VPN远程接入数据中心；另一种常用应用是公众通过网站远程访问数据中心。二是人固定，服务突破边界。本地访问云服务提供商的服务、远程视频会议系统、QQ等远程服务均

23、为此类典型服务。但这种突破又存在一种若隐若现的边界：人即边界。         在这种应用模式下，虽然云端的安全防护措施再严密，只要在终端上存在安全隐患，也会导致信息安全风险。         运用虚拟桌面技术，使得终端顾客使用的终端在和云端服务器交互时，之间传播的仅仅是屏幕动态图片和键盘鼠标指令，顾客终端本地没有数据，网络中传播中也没有真正的数据；同步通过内置方略，顾客无法将文献和信息保存在本地的多种设备上，避免机密数据被拷贝或打印导致的泄露，保障数据安全。         对于某些不考虑使用虚拟桌面的使用状况，在基于WEB的应用下，可考虑采用SSL VPN的加密方式。这样，也可以保障

24、一定的数据传播安全性。         4 与级别保护技术措施的整合         参照级别保护三级技术规定，云计算数据中心整体架构下的安全措施，结合级别保护的规定，具体实现如下。         参照文献：         [1]GB 17859-1999计算机信息系统安全保护级别划分准则[S].         [2]GB/T 25058-信息安全技术 信息系统安全级别保护实行指南[S].         [3]GB/T 20270-信息安全技术 网络基本安全技术规定[S].         [4]GB/T 20271-信息安全技术 信息系统通用安全技术规定[S].   

25、      [5]GB/T 20272-信息安全技术 操作系统安全技术规定[S].         [6]GB/T 20273-信息安全技术 数据库管理系统通用安全技术规定[S].         [7]GA/T671-信息安全技术 终端计算机系统安全级别技术规定[S].         [8]GA/T 709-信息安全技术 信息系统安全级别保护基本模型[S].         [9]GB/T 22239-信息安全技术 信息系统安全级别保护基本规定[S].         [10]ISO/IEC 27001信息系统安全管理体系原则[S].         Abstract：The

26、information security classified protection China promulgated was born is the early hours of cloud computing time，therefore，the security architecture of the original are not fully suitable for the cloud computing environment，This essay deeply analysis the differences between the traditional informati

27、on security and cloud computing environment and puts forward the solution of information security system，The security architecture bases on the design of cloud computing data center，and also integrates with the technical measures of protection grade.         Key words：cloud computing security architecture information security classified protection         责任编辑 祁秀春