云计算安全解决方案白皮书(一)

云计算安全解决方案白皮书

Jack zhai

研究云的安全有两三年了,但形成完整的安全思路,还是去年的事,这也是“流安全”思路形成的主要阶段。

云计算的安全问题之所以突出,是因为虚拟机的动态迁移,以及多业务系统交织在一起,这让传统的网卡边界就是安全部署点的方法不在适用。流安全不再关注被保护服务器的物理位置,转而关注访问该服务器的数据流。通过对数据流的重新“路由”,保证对数据流的安全清洗,从而实现对服务器的网络保护。在访问控制模型中,有一类流模型,就是针对数据流进行保护的。

为了让大家容易理解基于流安全的云计算安全方案,我编写了这个白皮书,与大家交流。文档挺长,特分成四个部分。

0.      本方案适用范围:

云计算建设一般分为公有云与私有云,其安全需求是不同,安全防护思路也不相同。

公有云以阿里云、腾讯云等互联网运营商为代表,独立建设云服务为企业、个人提供云服务。选用这种云服务的用户,多数是对敏感性要求不高的,主要的便宜、快捷。同时,云服务提供商为了降低运营成本,大多采用在开源虚拟化平台上进行二次开发,不仅整个架构平台可以自己重新架构,而且可以增加自己对虚拟机的安全管理,如流量限制,内置安全软件进行安全监控,或者直接进行病毒查杀等等。总之,公有云的安全基本上是由云服务商来管理,用户可以根据自己的需要选择,若是有些敏感的信息,可以选择桌面的加密软件。

私有云的情况则不同,因为私有云的建设者,大多数技术力量不是很强,没有自行开发、运维虚拟化平台的能力,选择采用第三方的、较为成熟的云计算管理平台是常见的,用户则更关心自己的新业务开发。采用私有云方式的用户,一般其IT设施较多,业务对网络要求较高,多数有自己的城域网,有些还有专用的广域网,在安全上一般应该满足等级保护的国家要求。为了提高IT设备的利用率,加强对业务支持的灵活性,选用资源虚拟化管理,或者之间迁移到云服务平台。如政府、军队、央企、科研机构等,

本文主要是针对私有云,并且是在一个虚拟化池中不只是运行一种业务的场景,提出的云计算安全解决方案设计思路,不仅适合针对每个业务系统提供单独安全保障的需求,而且适合不同虚拟化管理平台的统一安全管理。


一、云计算其实是所有软件人的“梦”

1、云计算是一种新的IT服务模式体验

能够不受计算机处理能力的限制,能够有取之不尽的内存与外存空间,这对于每一个软件编程人员来说,无疑具有巨大的诱惑力。为了提高处理速度而绞尽脑汁设计的精巧算法,为了节省内存而反复优化的代码…而真正实现业务系统的逻辑、管理往往沦为“不重要的”。以至于很多人认为:计算机编程高手就意味着精于编程技巧,而应用系统开发只是软件工程,我们常说的“码农”。

云计算技术的出现让这个问题成为历史,增加处理能力,就是增加几个CPU,动态添加内存都不再是障碍,甚至已经出现了内存数据库,空间还是问题吗?因为云计算的特点之一是具有弹性的处理能力。

对于计算机的用户,能够随时随地接入主机系统,忙碌的办公室、温馨安逸的家、旅途中的宾馆、休假时的海滨,甚至行驶的汽车上、飞机上、轮船上…随时交流通信、随时编写方案、随时设计蓝图、随时项目审批、随时网上冲浪……云计算让这些梦想变成了可能,因为云计算还有一个显著特点:随时随地接入网络。

当然,得到如此“梦想”的服务,不只是高端富豪才能享用的,就像“自来水”一样,价格便宜,使用多少就付多少钱。可度量的、按需的服务是云计算的另一大特点。

以上是美国NIST定义云计算五大特点中的三个,这已经足够吸引所有计算机人士的眼球的了。因此,2013年还有很多专家称云计算落地还有待时日,到了2014年,政府与企业的IT建设立项不与云沾边的已经很少了,2015年一开始,一窝蜂似的涌出很多的云计算项目要落地实施。其实我们回想一下,这几年,我们身边基于云计算的服务与新应用:即时通信、社交网络、搜索引擎、电子政务、智慧城市、电商购物、影视媒体、大型游戏、安全态势分析、领导决策支持…

2、了解一下云计算的体系结构

云计算是一种新技术,也是一种新型的IT服务模式。你知道吗?支持云计算服务商的后台基础技术其实是资源管理的虚拟化技术。我们先看一下云计算的系统结构:

与传统IT架构不同的地方,是在IT基础设施与系统软件(操作系统)之间增加个一个虚拟化管理层,业务系统“看到”到不再是物理服务器,而是虚拟机(VM)。

正是因为对数据中心的IT基础实施采用了虚拟化管理技术,虚拟计算机可以动态调整CPU的个数、内存的大小,所以云计算才能够提供弹性的服务能力。按照用户业务运行的实际需求,动态分配处理能力给每个用户,这就是服务器虚拟化管理的核心之一。当然你需要的服务能力不能超过所有硬件服务器服务能力的总和。

这种虚拟化管理平台软件不同于传统的计算机操作系统,目前比较流行的有:VmWare、KVM、Xen、Hyper-V等,其他管理平台多是在KVM、Xen等开源平台上继续开发出来的。

服务器虚拟化技术的核心是生成与管理虚拟机(VM),不同平台技术上有差异,但大体思路是一致的。我们看一下VMWare平台的虚拟机架构:

Xen平台的虚拟机架构类似,但有个0号控制虚拟机:

虚拟机最基本的组成是CPU、内存、网卡、磁盘(外存),其他虚拟硬件按需添加,如光驱、软件、USB等。多个虚拟机共享一个物理服务器的硬件资源,对于多用户、多进程的操作系统来说这也不是什么难的事情,但如何将两个虚拟机安全隔离就是管理上关注的事情了。两个应用软件“跑”在一起,还有兼容问题呢,何况是两个虚拟机?用户使用虚拟机,对他来说,应该是一台“独立的”计算机,若他知道还有人与他一起“合租”,邻里关系不能熟视无睹吧。如何做到让用户感觉是跟自己的是一样的呢?

3、了解虚拟化技术

在一个服务器内实现多个虚拟机共享技术是第一步,要想真正支持弹性服务能力,没有上限的,就一定要突破多台服务器的联合技术,整体的服务能力才有增大。

从早先的双机热备,到服务器集群,再到网格计算,人们在把多台设备虚拟到一起的道路上,探索了很长的一段时间。目前流行的实现服务器虚拟化技术有如下两种模式:

  • 负载控制+“一虚多”:先建立一个总服务台,进行并行管理。把一个任务分成多个子任务,每个任务申请一个VM,最后处理的结果再返回用户。保证子任务对服务能力的需求不超过单个物理服务器。比如Google、百度的搜索服务,把搜索分成不同类别、资源的子搜索,搜索的时间才会到人满意的程度;
  • “多虚一”+“一虚多”:把多个物理设备虚拟成一个大的设备,成为一个很大处理能力的“巨型机”,再按需分给每个用户。这是资源虚拟化的理想方式,真正做到了用户申请的VM不受物理服务器的限制,不关心处理能力的承受问题。

不论是哪种虚拟化技术,目的都是在物理硬件与用户需求计算机之间建立一个虚拟层,由这个虚拟管理层负责把用户任务分配给具体的硬件资源,用户“看到的”是虚拟CPU、虚拟内存…既然硬件都是虚拟的,当然其大小就可以由虚拟管理者动态调整。管理虚拟层一方面要管理下层具体的硬件,驱动它们最大效率地工作,一方面要针对每个虚拟机提供出虚拟的硬件接口,让虚拟机的操作系统“正常”调用硬件资源工作。

4、虚拟网络的“诞生”

计算机是通过网卡连接网络与外界互联的,所以,传统的网络边界节点就是网卡,网卡收发的是网络TCP/IP协议的数据包,支持的网络路由交换协议。网卡是服务器与网络互通的必经路径点。连接网卡的网线就是通过网络进入服务器的“唯一”大门(直接到服务器控制端或串口接入控制端,需要接近物理设备,属于物理安全与运维管理范畴,这里不讨论),传统的网络安全措施,部署在网卡的前面,是最佳的防护位置。

虚拟机(VM)的产生让网络有了不同,每个VM也都有自己的虚拟网卡,这些虚拟网卡需要一个虚拟交换机将他们“连接”起来,再通过上行链路(服务器的物理网卡)连接到外边的网络上。

这个虚拟处理来的交换机,并不是把物理网卡与虚拟网卡简单的分时镜像,因为两个VM之间也会通信,这是的流量就无需到物理网卡去“兜一圈”了,通过虚拟交换机就可以进行“转发”,实际上是物理服务器的内存里搬移个地方,但是虚拟交换机应该与物理交换机一样支持TCP/IP各种交换协议。每个VM都有自己独立的IP地址(可以通过NAT技术对外界只有一个IP)。逻辑网卡的功能与物理网卡应该一样,同样处理TCP/IP的协议栈。

有了虚拟网卡、虚拟交换机,虚拟网络就诞生了。在云计算架构里,网络概念发生了延伸,对网络的理解从传统的网络边界---网卡,延伸到服务器的内部---VM的虚拟网卡。

5、虚拟机不仅仅是虚拟的

VM与物理计算机,用户使用起来是没有差别的。但管理这看来,是不同的。物理计算机是硬件实物,一般来说服务器的物理位置是固定的,要迁移是很麻烦的(涉及到网络IP的规划与路由设计,这里说的是服务器端,不是终端,可以使用动态IP);VM其实只是一个“文件”,迁移就是一个文件拷贝的操作。因此,采用虚拟化技术最为实惠的一大好处,就是VM可以动态迁移。

虚拟机动态迁移为IT管理带来的优势是显而易见的:

  • 没有业务处理时,VM休眠,释放全部的物理资源给其他用户使用;
  • 发现VM运行的服务器能力不足时,可以动态迁移几个VM到其他的物理服务器上,在不中断业务的情况下,动态调整服务能力的供给;
  • IT系统升级或更新硬件时,先把VM迁移出,升级完后再迁移回来,完全不影响应用服务状态,无需像从前那样,要业务系统退出、数据备份、硬件升级、重装系统、重启业务服务、恢复数据、同步操作等等;
  • 系统容灾变得简单易行。以往是建设备份机房,投资大,平时也用不上;有了动态迁移技术,可以在两地机房建立一体的虚拟化池,在一地出现大灾难时,业务自动将业务VM迁移到另一地的机房服务器中,自动实现系统容灾。近几年,传统设计的两地三中心(同城备份、异地容灾)IT基础架构,已经被“双活”、“多活”数据中心的架构所代替,核心就是采用虚拟化的迁移技术;
  • 快速重启备份系统。业务系统有Bug,系统逻辑宕机,要尽快恢复业务是所有IT管理者都需要的。传统采用双机热备或冷备机方式,重启硬件的时间是不可缺少的。有了虚拟化技术,可以建立不同时间段VM的动态文件镜像,发现宕机,立即启动备份VM,无论是恢复时间,还是最小损失窗口都有大幅度地提升;

VM动态迁移,带来的直接问题,就是IP管理。用户访问服务器是通过URL,再定位到IP地址,所以VM如何迁移,其IP地址应该是不变的。传统数据中心采用三层网络结构(接入、汇聚、核心),不同业务系统划分VLAN进行隔离,保障业务边界安全,VLAN之间的通信是通过三层路由网关转发。现在VM动态迁移,不知道在哪个物理服务器中,甚至到了异地数据中心的服务器里,三层路由在哪里做合适呢?若大家都放在一个二层VLAN里,好像又不安全,广播包太多也是问题。这就是目前很多数据中心采用“大二层”网络架构的原因所在。简单地理解大二层,就是大家可以在一个网段,又可以做一些逻辑域,一个VLAN的设备还在一个广播域,跨设备的VLAN之间建立“通道”,保障它们是一个逻辑的整体。

6、云计算让网络迈向一个新的时代

云计算采用了资源虚拟化,把物理网络从传统的物理网卡,延伸到物理服务器的“内部”,虚拟机的虚拟网卡上。VM的动态迁移,让我们对“设备”的管理,从物理的改变为逻辑的。

一方面,开发者不再关心服务器的处理能力;另一方面,用户也不再关心自己业务服务器在什么地方。传统的网络是七层架构,现在网络层上,“生出”一个“逻辑网络层”,虚拟化了服务器的计算资源,也虚拟化了网络资源。

采用了虚拟化技术,IT管理者已经无法像以前一样把某个业务系统与物理的服务器、存储、网络设备相对应,他们看到的只是某个业务系统访问的信息流,业务系统的虚拟网络拓扑。

传统的网络管理统治时代即将过去,面向对业务信息流的管理时代即将开启。

时间: 2024-11-10 15:14:00

云计算安全解决方案白皮书(一)的相关文章

云计算安全解决方案白皮书(二)

云计算安全解决方案白皮书 Jack zhai 二.云的安全是阻碍云计算普及的最大障碍   A:云计算让传统信息安全防御体系面临尴尬 信息安全是保障信息系统业务安全的,采用云计算技术后,并非只是增加了一个虚拟化管理软件的安全风险那么简单,最重要的是,它让多年来信息安全保障基本思路---边界安全防御思路面临尴尬. 1.什么是边界安全防御思路 多年来信息安全防御是基于边界安全思路进行设计的,这源自于美国人的IATF(信息保障技术框架),很早以前就提出了网络安全的保障思路.把网络按功能分为不同的安全域,

云计算安全解决方案白皮书(三)

云计算安全解决方案白皮书 Jack zhai 三.云计算安全解决方案的设计思路 云计算架构的显著特点是数据和业务的集中处理,加上VM的动态迁移,各个的业务VM就混在一起,要将这些VM之间完全隔离是十分困难的.业务VM之间是需要互通的,如虚拟桌面需要与服务器连通,网站服务器要与数据库服务器通信,中间件服务器要提供服务支持等等.虽然可以通过虚拟交换机上的访问控制,让VM之间逻辑隔离开来,互通时到外边的三层网关上做流量过滤,但这会成倍地增加循环流量,让虚拟交换机不堪重负. 局部难以解决的问题,我们可以

云计算安全解决方案白皮书(四)

云计算安全解决方案白皮书 Jack zhai 四.云朵内的安全设计思路---云导流方案 云朵内不同于传统的安全设计思路就是云导流方案.它实现了云朵内以流为核心,重塑信息系统逻辑网络拓扑的过程,同时,定义了该信息系统的安全属性,即部署的网络安全措施. 云导流方案包括三个核心的组成部分:策略管理平台.安全资源池.导流网络. 1.流量引导与控制模块(CFC:云导流模块) 流引导的范围就是导流控制的网络.该网络与虚拟机紧挨着,保证进出VM的流能得到正确的引导:该网络与安全资源池相邻,保证引导的数据包进入

云计算相关资料

个人总结的云计算相关的资料 优秀友商 aws 云 青云 UCloud 腾讯云 阿里云 综合 openstack 官方文档 openstack 中国社区 浅谈“中国”语境下的公有云发展 <<cloud application Architectures>> pdf 公有云架构ppt by 九州云 青云的混合云(Hybrid Cloud)架构 演讲 麦子迈的博客 有云 朱荣泽 云存储 陈沙克的博客 如何学习openstack ustack博客 OpenStack Hacker养成指南

[转帖]中国云计算产业:中上游芯片“卡脖子”,下游云生态百花齐发

中国云计算产业:中上游芯片“卡脖子”,下游云生态百花齐发 https://mp.weixin.qq.com/s/aEgG9L2kfCQTSdj5yUxLqQ 存储芯片的场景弄错了.. 估计是合肥长鑫 武汉长江存储的活儿. 文:张帅 中国云计算产业发展到什么程度,大概少有人能说得十分清楚,将云计算产业置于全局视角看待的解读更是少之又少. 近日,由国务院发展研究中心国际技术经济研究所出品的<中国云计算产业发展白皮书>正式发布.云计算行业白皮书数量不少,本次的特殊之处在于国务院下属单位直接发布,国务

IBM Bluemix云计算大会见闻

经IBM多次邀请,今天终于抽出时间去学习了一下,想不到人非常多,看来大家都挺关心IBM的技术.总体而言IBM的Bluemix实际上是针对大数据的一整套开源的解决方案,Bluemix就是一个开源大杂烩.虽然整个上午IBM用了大量的时间展示了自己的技术优势,虽然开源免费对开发者来说是重大福利,但是依然没有打消我的疑虑:要想服务国内的创客,IBM作为一家海外云服务商,必须很好的解决如下两个问题: 1. 传输速度的问题:国内的设备数据传输到海外服务器,数据传输肯定要比在国内机房的本土云服务商要差,这点I

云计算发展与BPaaS构建企业Private PaaS分析

1. 云计算发展概述 云计算的发展[2],追根溯源是从并行计算.分布式计算.网格计算.虚拟化.SaaS.SOA 等技术混合演进的结果. 1959年6月,ChristopherStrachey 发表虚拟化论文,虚拟化是今天云计算基础架构的基石. 1996年,网格计算Globus 开源网格平台起步,网格计算是聚合分散资源,支持大型集中式应用,从技术层面面向科研计算. 2000年,SaaS 兴起. 2004年,Google 发布MapReduce 论文.Hadoop 就是Google 集群系统的一个开

基于H3C CAS的云计算平台搭建

基于H3C CAS的云计算平台搭建 1.H3C CAS介绍 H3C CAS(CloudAutomation System)云计算管理平台是H3C 公司推出的构建云计算基础架构的资源管理平台,它为数据中心云计算基础架构提供虚拟化管理解决方案,实现对数据中心云计算环境的集中管理和控制.此外,CAS 还支持vStor 分布式存储管理功能,即整合多个宿主机内的硬盘资源,构建IP SAN 提供给本云计算资源平台或其他业务系统使用. 2.产品组件 CAS 由四个组件构成: CVK(Cloud Virtual

摘-BMC自动化解决方案产品概览

以下内容摘自BMC解决方案白皮书 BMC 解决方案助力您的企业快速享受自动化带来的快速效益,并随时间推移实现这些优势的最大化. BMC 自动化技术可帮助您优化敏捷性,同时保持必要的治理和合规性控制.无论您的团队是肩负内部策略或外部规定( PCI DSS 或 HIPAA)等合规性任务,还是负责保护企业免受安全威胁, BMC 解决方案都可助您一臂之力.• BMC Atrium Orchestrator. 让 IT 员工众观全局,通过跨越多个应用.系统或基础架构的工作流自动执行任务,实现以更少的资源获