云朵方案化解“私有云”安全过渡期难题

　　就是用户申请到的虚拟机，从用户角度看起来与物理服务器是一样的，用户选定的操作系统与业务服务软件，因此，虚拟机内的安全就如同对一个主机系统进行安全防护设计。由于虚拟机的管理比起物理机要简单的多，容易进行配置修改与补丁升级管理，开关机就是一个目录下的文件运行而已。

　　同时，虚拟机的计算资源是可动态申请的，不再存在传统主机内安全与业务争资源的矛盾， 因为驻留主机内部的安全监控会降低业务运行的效率，很多业务管理者拒绝安装其他驻留软件。当然，软件间的兼容问题依然是存在的，因此，在系统升级或安装安全软件前，一定要在其他的虚拟机上测试，保证不影响业务软件的正常运转。

　　虚拟机内的安全须考虑如下几个方面：

　　● 身份鉴别与权限管理：身份鉴别可以与整个网络的身份认证系统统一起来，但权限管理在云朵内部有自己的明细管理，保证云朵内部用户可访问业务的差异;

　　● 服务加固与反控制防御：这主要是针对服务器的，如同普通的业务服务器一样，需要基本的安全加固，安装适合的补丁、关闭不需要的服务、删除不需要的账户等，但这还是不够的。服务器是面向网络服务的，中断了服务，仅仅是影响自己的业务;若被黑客入侵，成为“肉鸡”，就可能成为攻击其他目标的工具。由于云朵内一般是多个业务系统在运行，一个系统的漏洞被利用，就建立了黑客入侵的桥头堡，成为内部攻击的跳板，很多黑客入侵正是这样一步一步渗透到核心机密服务器中的。因此，服务器不被入侵者控制，不成为“肉鸡”是服务器安全的最低底线要求，安装反控制防御系统，或对系统进行反控制加固是非常有必要的;

　　● 终端防护系统：这主要是针对远程桌面或BYOD的，因为访问者的终端种类繁多，安全状态千奇百怪，对访问终端进行适当的安全检查，或限制其访问云服务的权限都是必须的;当然，也可以利用“容器式”的远程桌面，隔离远程终端内本业务与其他系统，保证终端上的病毒、木马不能入侵到云服务内;

　　● 防病毒：病毒与木马是无孔不入的，对用户流量进行病毒过滤是必要的。当然，防病毒也可以在云朵的入口处实现，但对于应用层的病毒，还是要通过主机监控查杀的方式更为有效。

　　虚拟化平台上的安全

　　虚拟化平台上的安全与厂家产品的开放性有直接的关系，可以分为两种情况：

　　第一种情况是开源的平台，或者是得到了厂家的底层安全API 接口，如VMware 的VMSafe 接口，你可以利用接口插入自己的安全代码，对虚拟机上的流量进行安全检查与控制。

　　这种方式直接在虚拟化平台的底层hypervisor上控制用户数据流，有些像我们所理解的操作系统分为内核态与用户态，黑客要突破hypervisor 到内核层是比较困难的，想绕过这种安全监控也是十分困难的。

　　第二种情况是得不到虚拟化平台的底层接口，或者是希望通过第三方的安全控制措施，用户才放心( 虚拟化平台自己管理、自己控制的安全，总让人有些疑惑)。这种方式是目前安全厂家流行的流量牵引的安全控制措施。

　　实现的思路是利用SDN 技术中的流量牵引控制协议openflow，引导用户业务流量按照规定的安全策略流向，结合安全产品的虚拟化技术，建立防火墙、入侵检测、用户行为审计、病毒过滤等资源池，在用户申请虚拟机资源时，随着计算资源、存储资源一起下发给用户，保证用户业务的安全。

　　实现的步骤大致如下：

　　● 对安全资源虚拟池化：先对安全设备进行“多到一”的虚拟化，形成一个虚拟的、逻辑的、高处理能力的安全设备，如虚拟防火墙、虚拟入侵检测等;再对虚拟的安全设备进行“一到多”的虚拟，生成用户定制的、处理能力匹配的虚拟安全设备;

　　● 部署流量控制服务器：它是流量控制管理的中心，接受并部署用户流量的安全策略，当用户业务虚拟机迁移时，负责流量牵引策略的迁移落地;该服务器可以是双机热备，提高系统安全性，也可以采用虚拟机模式。同时，在虚拟计算资源池内安装流量控制引擎：具体方法是在每个物理服务器内开一个虚拟机运行流量控制引擎，负责引导该物理服务器上所有虚拟机，按照安全策略进行流量的牵引;

　　● 用户业务流量的牵引分为两种模式：

　　● 因为需要改变用户流量的流向，需要对目的MAC、目的IP 进行修改。具体的方案很多，这里我们采用的是MAC in MAC 技术，对数据包二次封装，经过安全设备处理以后的“安全流量”恢复到“正常”状态;在云朵中的物理交换机与虚拟交换机支持SDN 模式时，也可以采用openflow 协议进行导引时的封装;

　　● 当用户业务服务的虚拟机在不同的物理服务中迁移时，该用户业务的安全策略也随着迁移到目的物理服务内的流量控制虚拟机，继续执行对该用户的业务流量进行引导。

　　小结

　　“云朵”方案通过把不同安全需求的业务系统部署在不同的云朵内，降低了对云内业务流隔离的需求，而在云朵内部，通过流量牵引与虚拟机加固等办法，实现网络层面的安全过滤，同时加强业务系统自身的安全管理，如用户权限管理、业务行为审计等，实现应用层面的访问控制，对敏感数据的存储与传输都建议采用加密方式。

　　“云朵”方案是个过渡性质的方案，等到云朵内的安全隔离与控制技术成熟，多个云朵就可以合成一个云了。(启明星辰 翟胜军)

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!