浅谈企业私有云安全

邓烜

摘要：随着云计算、大数据等新一代信息技术的成熟，企业建设私有云成为信息化建设的一个趋势，，传统的信息安全防护方式和防护理念已不能适应云环境下灵活多变的安全防护需求。本文主要针对私有云所面临的安全挑战进行分析，并对企业的云安全防护从网络、主机、数据、安全审计等层面提出了安全防护的建议。

关键词：云计算;虚拟化;云安全;安全防护

1.绪论

近年来，云计算在各个领域都由了大规模的应用，技术逐渐发展应用成熟，其能够对企业中现有的IT资源进行量化的管理与整合，具有良好的资源弹性和敏捷性，相较于传统的IT资源的应用部署方式，优势明显。“上云“成了企业一个热门的话题，企业纷纷启动私有云平台的建设来替换企业现有的信息化基础设施。

在谈及云架构建设时，企业往往把关注的重点放在云架构的性能，业务交付的灵捷性与高可用上，其实，在云架构中，安全性问题更是需要企业去考虑的重要环节，但在实际的建设过程中，却往往被忽视。

2.面临风险与挑战

2.1管理复杂度提高

虚拟化让资源边界变得模糊，动态扩展了计算、存储、网络资源，打破了传统的物理隔离，使得原有的管理环境复杂起来。无论是基础设施还是系统架构，都有可能随着业务需求的变化而加大不确定性，给运维管理提出了新的挑战。

2.2传统的企业安全防护模式面临挑战

在云环境下，网络数据流在虚拟机之间传输，企业用户对敏感信息和高级恶意软件的监视和控制能力会被削弱，传统的基于网络边界和物理设备的防护模式大打折扣;同时端口流量对数据中心的网络性能和可靠性提出了更高的要求，在流量承载和业务匹配也变得更为灵活和高时效性，这就导致原有的安全策略不再适用于新的环境，需要动态的匹配机制。

2.3数据安全问题不然忽视

企业私有云的数据存储方式虽不像公有云那么多变，在云环境下，存储资源也进行了虚拟化，数据的存储位置是随机分配的，不同保密层级的资源会放在同一个存储介质内，存在调用资源时安全级别低的负载可以“跨级”访问到高敏感度的信息的问题，同样需要考虑资源隔离、加密保护、入侵检测、数据销毁等问题。

3.私有云平台建设安全防护建议

3.1网络安全

应至少将云网络划分为运维管理区和云服务器区等网络区域;

应保证关键网络设备及虚拟化网络设备的业务处理能力具备冗余空间，满足业务高峰期需要;

应保证核心网络的带宽满足业务高峰期需要;

应在不同网络区域之间设置访问控制策略;

应只允许被授权的服务和协议传输，未经授权的数据包将被自动丢弃;

应控制网络流量和边界，使用访问控制列表技术对网络进行隔离;

应对网络设备运行状况、网络流量等进行审计;

应通过自定义的前端服务器或设备定向所有外部流量的路由，可帮助检测和禁止恶意的请求;

应具备抵御分布式拒绝服务攻击和应用攻击的防御能力，防御架构应具备高弹性、可扩展能力，保证云计算平台防御能力不随用户增加而降低性能;

应具备异常流量检测、流量调度、流量清洗能力，为云服务和用户提供实时恶意流量清洗，清洗范围包括网络层、传输层、应用层的拒绝服务攻击、垃圾邮件等;

应严格限制由内部发起的对外连接，对内部采取必要的安全措施，进行内部行为监控。

完整的网络环境下应包含防火墙、路由器、交换机、主机等，在云平台环境下，可利用其自身虚拟化的特点，采用灵活的配置策略的虚拟子网内可根据管理的颗粒度针对主机设置不同的虚拟防护墙，虚拟交换机等。

3.2云主机安全

云主机安全管理的基本原则是实现同一物理机上不同云主机之间的资源隔离，避免云主机之间的数据窃取或恶意攻击，保证云主机的资源使用不受周边云主机的影响。终端用户使用云主机时，仅能访问属于自己的云主机的资源（如硬件、软件和数据），不能访问其他云主机的资源，保证云主机隔离安全。云主机安全主要包括主机安全和操作系统安全两个部分。

3.2.1主机安全

应在虚拟化实例的镜像生产环节通过加入协议级、服务级、必要的补丁升级及防入侵安全客户端等措施实现安全加固;

应保证虚拟化实例的镜像和快照文件的完整性，防止被恶意篡改，镜像和快照文件应具备容灾措施;

应在虚拟机实例上安装主机入侵防御系统或模块，可提供帐号暴力破解攻击防护、webshell查杀等功能。

3.2.2分布式操作系统安全

应确保分布式操作系统的安全，包括虚拟化实例对计算存储设备的访问控制，虚拟化实例之间的安全隔离，虚拟化实例的可靠性，确保虚拟化实例释放时其数据完全被清除。

应限制虚拟化实例对计算存储设备的直接访问，保证其对计算存储设备的调度和管理均在资源抽象与控制层内完成;

应实现不同虚拟化实例对同一物理主机CPU和内存的计算资源相互隔离和质量控制，确保同一物理主机上的不同虚拟化实例不会出现计算资源争抢;

应保证虚拟化实例的可用性，确保部分数据损坏不会影响其它实例，损坏的数据应自动修复;

应采用数据链路层、网络层访问控制技术实现对不同虚拟化实例的隔离;

应对ARP攻击实施隔离;

应对资源抽象与控制层的运维操作实时监控和审计;

对于多租户模式，在统一物理计算、内存和存储资源被回收后，应支持按策略彻底释放和完全清除虚拟化实例数据。

3.3數据安全

数据安全应同时考虑实时副本与备份两种方式，实时副本主要用于灾难恢复，保证硬件设备出现问题时数据不丢失;而备份则是用于保存业务数据的里程碑状态，以便在从业务到硬件的任何一个层面出问题时恢复数据。

3.3.1多重实时副本

云平台应使用多重副本来保障数据安全，副本必须做到实时副本，而且可以做到至少包含一份异地副本，这样即使源数据所在的主机出现问题，通过异地副本也能快速恢复。可采用分布式块存储技术或写时拷贝技术实现多重副本。

分布式块存储技术：将数据的多份拷贝分布存储在不同的物理服务器上提供数据的可靠性，这样的技术带来的是读写I/O性能显著提升，可以满足并发用户激增时对读写I/O性能的严格要求，并大大地节省了客户投资。

写时拷贝技术：写时拷贝是一种可以推迟甚至免除拷贝数据的技术，只有在需要写入的时候，数据才会被复制，从而使各个进程拥有各自的拷贝。也就是说，资源的复制只有在需要写入的时候才进行，在此之前，只是以只读方式共享。该技术大幅提升创建、改变和销毁资源的速度。

3.3.2备份与灾难恢复

备份是用于捕捉硬盘在某一个时刻的状态，未来可以随时恢复到这个状态。在某些时候，例如误操作或者应用逻辑的BUG，可能会导致业务数据的丢失，这种情况下实时副本无法恢复数据，因为硬件设备并没有问题。这时候，就需要通过备份，从历史备份点恢复数据。

除了被动副本之外，应该同时对数据备份功能以避免误操作等类似问题带来的数据丢失。备份（Snapshot）用于在块设备级别（blockdevicelevel）上进行硬盘备份与恢复，可以同时对多张硬盘做备份（包括系统盘和数据盘），也可以对正在运行的主机做在线备份。

3.4安全审计

建设私有云平台后，企业的数据资产均集中与云上，更加需要对云平台的运营情况进行监控和审计。在云平台的基础上应配置安全审计的功能或独立的产品，能够提供全方位的日志安全审计功能，采集和分析云计算和大数据各种系统日志，随时掌握何人、何时、通过何种方式，对云平台和大数据平台做过何种操作，实现安全事件报警和风险预测，为管理员提供客观、完整、准确的安全审计视角。

在安全审计方面，应具备日志数据采集、用户日志审计、统计报表等功能，能够对云平台的账户行为、事件处置、变更记录进行审计。

3.4.1账户行为

包含云平台主账号、子账号的所有活动记录，账号的权限，账号活动与其所有权限是否一直，权限是否在有效期内等。

3.4.2事件处置

云平台每天触发的安全事件都对安全事件的处置过程和处置结果进行，同时应能定期提供审计报表，以督促安全团队开展安全工作。

3.4.3变更记录

所有对云上资源进行操作的行为，包括：云主机开通和释放，安全区创建、配置和删除，SLB应用配置和节点摘除，高防IP服务配置、WAF参数调整、OSS资源配置、财务信息变更等，做好变更审计能有效协助故障响应和操作审计。

4.结语

在企业私有云环境下，各种的虚拟资源、数据都存储在数据中心，企业用户需要通过各种途径进行访问和获取，既要保证客户访问和获取数据的便捷性，又要防范潜在的安全风险，这是云服务所要达到的目标。

总的而言，如果要做好云安全防护的工作，不仅要求云产品本身具备灵活强大的安全防护功能，同时能够因地制宜与传统的安全防护手段相結合，建立用户终端-网络-数据中心全面的防护体系。面对越来越庞大的资源池和主机规模，私有云环境的安全性要做到管理的平台化和自动化。