初探“云安全解决方案”

1初探“云安全”一、云计算的发展及应用情况云计算是近几年互联网高速发展的产物，其通过对大量分散计算资源的统一调度和管理，构成一个计算资源池向用户提供按需服务；因极佳的便捷性，得到了用户的广泛认可，国际上知名的云计算平台有微软的WindowsAzure平台、GoogleApp、亚马逊的弹性计算云EC2、IBM的蓝云等。云计算的固有属性包括：资源共享、可扩展、弹性计算、可计量、按需自服务等，图1是NIST定义的云计算模型：图1NIST定义的云计算模型二、云计算环境下的安全问题云计算在降低IT成本、带来便利性的同时，也带来了一定的安全隐患。云计算主要的安全问题包括三个方面：第一，云服务提供商的基础设施是否安全，是否有被黑客入侵的可能？会不会造成数据泄密或者丢失？第二，由于云计算是多租户共享资源,多个虚拟资源很可能会被绑定到相同的物理资源上，如果云平台中的虚拟化软件中存在安全漏洞,那么用户的数据就可能被其他用户访问，因此需要考虑租户间数据安全隔离的问题。第三，云平台的身份认证问题，云计算2的发展也伴随着由欺诈行为驱动的“黑云”的出现，而要解决此问题，需要强大的身份认证和欺诈识别能力来对抗未经授权的接入、网络钓鱼、恶意软件等行为。针对云计算遇到的安全问题，笔者通过调查研究，搜罗到几个主流的解决方案，罗列如下：三、云安全解决方案1、VMware_vShield云安全解决方案VMware_vShield是VMware(威睿)公司针对云计算和虚拟化环境的应对方案，由vShieldEdge、vShieldAppandZones、vShieldEndpoint及vShieldManager四部分构成（具体架构详见图2）。图2VMware_vShield安全云架构在VMware_vShield解决方案中，vShieldEdge提供多租户、多组织环境下的隔离功能，以保证各租户数据中心的独立性，同时提供边界安全策略、VPN、负载均衡等保障服务，vShieldEdge扮演着传统数据中心安全接入网关的角色；vShieldAppandZones提供虚拟环境和物理环境之间以及虚拟环境和虚拟环境之间的安全边界，其本质是一个保护虚拟机和分析虚拟网络流量的虚拟防火墙，可以实现传统网络安全防护方案中安全域隔离的功能。vShieldEndpoint提供云环境下的防病毒措施，具有无代理、快速部署、3低负载等特性；vShieldManager实现云安全的集中化管理。2、JUNIPERVGW云安全解决方案VGW虚拟化网关是JUNIPER公司针对云部署环境和虚拟数据中心的安全解决方案，包括hypervisor层的状态检测防火墙、一体化的入侵检测系统、虚拟环境的防病毒保护和云安全管理中心，具体架构如图3所示：图3JUNIPERVGW云安全架构VGW是一种基于hypervisor的虚拟化安全解决方案，它利用虚拟机自省（VMIntrospection）等技术对每个虚拟机进行“X光”检查。利用这一优势，VGW能够监控每个虚拟机的安全性，当虚拟机安全状态发生改变时发出警报，并采取相应的保护措施。3、赛门铁克O3云身份和访问控制为保护云计算数据安全，赛门铁克O3提供一个数据安全访问控制点，该控制点为云应用提供访问控制、信息安全和信息管理三层保护，O3的一大创新是支持通过移动方式接入云中心的设备。此外，赛门铁克O3能够捕获访问信息和安全事件，可以达到合规管理的要求。4图4赛门铁克O3云身份和访问控制赛门铁克O3提供单点登录SSO功能、SaaS和web应用服务，可集成现有的AD域、LDAP和关系型数据库身份数据源，部署简单；同时，O3提供关联策略引擎，实现双因子身份认证功能。4、H3C云安全解决方案H3C推出的SecBlade云安全解决方案采用IRF网络虚拟化技术，以板卡的方式集成在S12500/S10500/S75E/S58等高密度核心交换机中，提供防火墙、网络流分析、负载均衡及IPS功能。图5H3CSecBlade云安全解决方案5、网御星云“御云”解决方案网御星云“御云”解决方案由虚拟化硬件安全网关、虚拟机软件安全网关和Hypervisor主机安全网关三部分组成，提供虚拟防火墙、虚拟UTM、虚拟IPS5虚拟防病毒网关及虚拟VPN等功能，保证云计算虚拟化平台从虚拟主机层、虚拟机层到数据中心边界的安全。图6网御星云“御云”解决方案归纳各家的设计理念，云安全解决方案大致可分为两种：软件虚拟机方案和物理安全方案，软件虚拟机方案的代表是VMware和JUNIPER，属于物理安全方案的有H3C、赛门铁克和网御星云等；从应用效果来看，二者各有千秋：软件虚拟机方案的优点是防护粒度细，可有效地防护同一台主机上各虚拟机之间的流量，而且这部分流量不占用物理带宽资源，对网络负载没有影响，缺点是对虚拟机厂商依存程度高，并且会占用每台虚拟机上的计算及存储资源；物理安全方案具有与虚拟机厂商无关、通用性强、不占用虚拟机资源等特性，当然物理解决方案也有自身的弱点，比如较难监控到同一台主机上各虚拟机之间的流量，需要借助网络虚拟化技术，将流量引出虚拟环境才可实现安全防护功能。四、总结针对云安全问题，信息安全技术委员会已于2010年10月启动了研究项目《云计算安全和隐私》；此外，在2009年的RSA大会上宣布成立了云安全联盟（CSA），我国的知名信息安全厂商启明星辰、绿盟及网御星云已成为CSA成员。在我国，信息安全标准化委员会（TC260）也在开展云计算安全方面的研6究。相信在信息安全学术界、产业界以及政府相关部门的共同努力下，一定可以找到云计算应用和云安全之间的平衡之道，以更加开放的姿态迎接云计算这一具有广阔前景的新兴产业。