云计算安全体系架构研究状况分析

云计算安全体系架构研究状况分析计算的出现是传统IT领域和通信领域技术进步、需求推动和商业模式变化共同促进的结果，具有以网络为中心、以服务为提供方式、高扩展性和高可靠性以及资源使用透明化等主要特征。业界认为云计算是继PC、互联网之后信息产业的第三次变革，将对社会信息化发展产生深远影响。根据IDC在2009年底发布的一项调查报告显示，云计算服务面临的前三大市场挑战分别为服务安全性、稳定性和性能表现。2009年11月，ForresterResearch公司的调查结果显示，有51%的中小型企业认为安全性和隐私问题是他们尚未使用云服务的最主要原因。Gartner2009年的调查结果显示，70%以上受访企业的CTO认为近期不采用云计算的首要原因在于存在数据安全性与隐私性的忧虑。由此可见，安全性是客户选择云计算应用时的首要考虑因素。云计算具有按需服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务、多用户等特征，为信息系统带来了新的安全威胁。云计算环境催生了新的信息安全技术，包括：虚拟机隔离、多用户隔离、共享虚拟化资源池的数据保护和自销毁、远程接入云等。同时，传统信息安全技术在云计算环境下存在大量的现实需求，包括：访问控制、数据传输和存储加密、身份认证、系统安全加固、漏洞扫描、安全配置管理等，由于云计算的新特点和面临的新威胁，使得这些技术需要在云计算环境下进一步发展。云计算安全涉及到云监管方、云使用方、云提供方三种角色。云监管方主要关注和云计算相关的安全制度、政策制定，云计算安全标准的制定，云计算安全水平评级，以及服务许可与监管等方面。云使用方主要关注用户数据和隐私的私密性问题、使用云服务给客户带来的安全问题，如何保证服务连续性的问题，以及云中用户数据的备份和恢复问题。云提供方主要关注云服务安全保障问题、云计算环境风险识别和管理、数据存储和容灾问题、云审计问题以及法规遵从问题。为了消除云用户将现有应用迁移到云过程中的安全忧虑，以及满足企业的各种合规性安全要求，安全业界推出了各种各样的云安全解决方案。本文对几个主要的云安全解决方案进行介绍。一、云安全联盟云计算安全架构CSA（CloudSecurityAlliance，云安全联盟）从云服务模型角度提出了一个云计算安全参考模型，该参考模型描述了三种基本云服务的层次性及其依赖关系，并实现了从云服务模型到安全控制模型的映射。该安全参考模型的重要特点是：供应商所在的等级越低，云服务用户所要承担的安全能力和管理职责就越多。在SaaS情况下，这意味着在合同里需要对服务本身和提供商的服务水平、安全、管控、合规性以及责任期望等有明确要求。在PaaS或IaaS情况下，这些内容的管理责任是用户自己的系统管理员，提供商对于安全保护底层平台和基础设施组件以确保基本服务的可用性和安全，其具体要求可能会有一些相关的出入。云计算中的安全控制机制与传统IT环境中的安全控制机制没有本质的不同。不过，云计算环境下存在其特有的安全风险，因此具有特别的安全关注领域。CSA将对云服务的主要安全关注点分为治理和运行两个领域，共涉及12个具体的关键域（D2-D13）。其中治理域范畴很宽，主要解决云计算环境中的战略和策略，而运行域则关注于更战术型的安全考虑以及架构内的实现。二、IBM云计算安全架构IBM基于其企业信息安全框架给出了一个云计算安全架构，云计算安全架构从资源的角度分为5个方面。1.用户认证与授权：授权合法用户进入系统和访问数据，拒绝非授权的访问。2.流程管理：对需要在云计算中心运行的项目比如资源的申请、变更、监控及使用进行流程化的管理。3.多级权限控制：对云计算资源的访问和管理涉及多个安全领域，每一个安全领域都需要进行权限控制，一般分为以下几级：机房管理和维护人员，云计算管理员，云计算维护员，系统管理员。4.数据隔离和保护：针对使用统一共享的存储设备为多用户提供存储的情况，需要通过存储自身的安全措施、LunMasking、LunMapping等功能管理数据的访问权限，从而对客户所有的数据和信息进行安全保护。对存放于完全不同的存储格式中的数据进行发现、归类、保护和监控，并提供对关键的知识产权和敏感的企业信息的保护。对于存储在云计算平台的数据，可采用快照、备份、容灾等重要保护手段确保客户重要数据的安全。对于数据备份用户可通过专门的软件对其文件、数据库按照用户设定的备份策略进行自动备份及恢复，包括在线或离线备份。提供对操作系统级的整体备份从而进一步保护用户数据及运行环境。5.服务器隔离：对于重要的应用，通过双机备份的形势来保障应用的可靠性，实现虚拟机之间的热迁移，从而保证应用的连续性；从安全角度考虑，通过虚拟化解决方案的分区组件，实现所有虚拟计算机之间CPU、存储和网络资源的隔离，这样进程、动态连接库及应用程序不会影响同一台服务器上其他虚拟服务器的应用。6.存储隔离：对于数据存储的安全，可以采用单独的存储设备，从而从物理层面隔离数据，确保数据安全；也可采用虚拟统一存储，通过划分LUN，并设置LUN访问权限来从逻辑层保护数据的访问安全。7.网络隔离：通过VLAN保证网络的安全性和隔离性。VLAN的隔离性由交换机及各主机上的虚拟化引擎保证。VLAN提供数据链路层的隔离，可以保证一个VLAN的帧不会发给另一个VLAN。VLAN通过虚拟机的MAC地址对虚拟机进行标识，即使用户手动改变虚拟机IP地址，他也无法变更虚拟机所处的VLAN。云计算管理服务器以及各物理主机本身处于一个独立的VLAN，防止云计算的用户从自己的项目环境侵入管理环境。8.系统灾备：云计算系统以集中灾备的方式帮助平台使用者尽快恢复业务和数据，客户可在本地同城或异地建立远距离的容灾中心，容灾中心与云计算中心通过专用网络相连，以便传输应用或数据。三、思科云数据中心安全架构思科提出的云数据中心安全框架描述了云数据中心的威胁模型以及可减少安全风险的措施。此外，该框架还显示了控制合规和SLA组件的关系。思科认为，云数据中心的安全关键在于要在架构的每一层实现，而不是事后考虑或者作为一个组成模块。威胁：包括服务崩溃，入侵，数据泄漏，数据披露，数据修改，以及身份窃取和假冒。云数据中心可视性：包括身份识别、监控和关联分析。云数据中心保护：包括虚拟机加固、虚拟机隔离、网络隔离和强制。云数据中心控制：云数据中心的安全架构的控制方面有多个维度，从对数据的控制供应到访问管理系统，在这部分需要考虑安全基线、数据划分、加密策略、虚拟操作系统的管理和访问、强认证、身份和访问管理、单点登录、完整性监控等。合规和服务水平协议SLA：云数据中心安全架构的合规和SLA是多方面的。比如对于数据和系统的合规必须考虑分类需求和隔离。审计和风险、隐私需求评估。云数据中心的架构和安全交付应该映射SLA的内容。四、AmazonEC2安全架构AmazonEC2安全架构在多个层次上提供安全保障：宿主系统的操作系统层次，guest操作系统，防火墙，签名API调用。目标是保护AmazonEC2中的数据不被未授权的系统或用户拦截。宿主操作系统：访问管理平台的业务管理员需要使用多因子认证方式访问特意建造的管理主机。这些管理主机是特别设计、建造、配置和加固的，以保护云管理平台。所有到管理主机的访问都被写入日志并被审计。当员工不在有访问管理平台的业务需求时，他对这些主机及相关系统的的特权和访问将被撤销。Guest操作系统（虚拟化操作系统）：由用户完全控制。用户有用root权限，对账户服务和应用有管理员控制权限。用户一般应禁止基于密码的访问方式，而使用多因子认证的方式来确认使用者的身份。防火墙：AmazonEC2提供了一个完整的防火墙解决方案，默认防火墙的设置是deny，用户需要开放自己的端口。可以从协议、服务端口、源IP或CIDR块等角度来做限制。Hypervisor：AmazonEC2使用高度定制化的Xenhypervisor，在guest和hyperbisor之间完全隔离。实例隔离：同一物理机上运行的不同实例通过Xenhypervisor相互隔离。