我的《信息保卫战》读书笔记：云计算安全框架

通过上一篇我们对laaS、PaaS、SaaS三种云计算服务模式中的安全问题分析，研究提出了云计算平台的安全体系框架，如图5-2所示。

对于云计算系统的安全架构的进一步设计，我们建议根据从三个维度去考 虑这个问题.•安全目标、安全威胁和安全生命周期。首先，安全目标指的是需 保护的、可能成为被攻击目标的资产（设备、软件、信息）、行为（登录、登出、 数据传输）和流程（管理流程、控制流程等）。对于云计算系统来说，不同的服务模式涉及的资产、行为和流程各不相同，故而需要根据不同服务模式区分对 待，如SaaS模式涉及不到任何硬件资产，IaaS模式涉及不到任何信息资产。 其次，安全威胁指的是可以影响、攻击网络目标的事件、手段和方法，如地震、 洪水、盗窃、滥用和恶意使用、数据泄露、DDoS/DoS攻击、病毒、蠕虫等等。 在云计算网络中，除了传统的安全威胁以外，也需要对一些新出现的安全威胁 和风险付出足够的重视，如数据隔离风险、应用程序接口加固风险、合法合规 风险等等。将安全目标（假设m个目标）与安全威胁（假设n种威胁）合并可 以组成了一个mXn的矩阵，矩阵的每个结点代表了对某个安全目标的一种威 胁，如对网络设备的DDoS攻击、对P2P应用的滥用等等。安全措施和解决方 案将针对矩阵的每个结点中描述的安全风险、问题和攻击。安全架构的最后一 个维度称为安全生命周期，它延续了 ISO 27001的信息系统构建流程“PDCA (plan-do-check-act)”理念。这个维度的主要功能是通过生命周期管理系统去管 理和更新安全解决方案，以此来满足不断变化的安全目标和安全威胁。根据这 个三维安全架构设计理念，在图5-2框架基础上本章进一步提出了一个云计算 安全架构，如图5-3所示，分别从架构即服务（IaaS)、网络即服务（NaaS)、 平台即服务（PaaS)、数据即服务（DaaS)和软件即服务（SaaS)探讨云计算 的安全问题、安全威胁和相应的安全解决方案。

一、架构即服务（laaS)

作为云计算基础服务之一，IaaS旨在为用户提供物理和虚拟的计算存储资 源。因此IaaS的安全目标往往是保护环境、硬件设备免受各种安全威胁。

1. 物理环境层面

对于IaaS云服务提供商来说，他们需提供最基本的安全防护是承载云计算 功能的计算和存储设备所处环境的物理安全，包括机房温度、湿度、防洪、抗 震，人员访问控制、防盗、视频监控和人力安保措施。这些防护措施的目的与 目前计算机系统的通用安全措施是一致的，旨在保护计算机所在环境的基本安 全、保证计算机的基本运行条件以及阻止因为外界环境的变化对计算机运行带 来的负面影响。

2. 主机层面

从物理层面上看，云计算系统是由一个又一个的处在不同位置的网络计算 单元和存储单元有机结合而成的。因此每个计算单元和存储单元需根据具体需 求配备一定基于主机层面的安全功能。其中，包括基于主机的防火墙、基于主 机的入侵检测系统、基于主机的入侵防护系统、磁盘加密管理系统等来完成主 机保护功能；还包括硬件/软件日志管理系统和相应的安全事件响应管理来完成 审计功能。这些安全措施和系统通过保护单个主机形成了云计算系统的第一道 防线。

二、网络即服务（NaaS)

网络在云计算系统中起到的作用是为处于不同位置的计算单元和存储单元 提供稳定、安全、保密的连通功能。在很多情况下，这些计算单元和存储单元 往往位于不同的网络域之中和防火墙之后。也就是说，这些结点之间是无法直 接互访的。NaaS提供的功能就是将传统的网络边界打破，直接连接云结点并生 成云的混沌架构。当然，保证连通的稳定性、安全性和机密性也是NaaS服务 商的主要责任之一。

1. 传输的安全性

在云计算系统中，计算结点之间的互联互通往往会跨越非安全的公共网络， 因此数据传输面临着窃听、篡改、损毁等各种风险。从原理上说，若要保证数 据传输的安全则需要保证在发包端、收包端和包传输全过程三方面的安全。对 于发包和收包的终端来说，可以通过基于终端的安全措施来保护数据传输在发 送和接收过程中的安全性，如安全输入输出、内存屏蔽、存储密封等。云计算 系统中结点之间的安全数据传输可以通过加密隧道技术保证数据传输的机密  

性，通过数字摘要、数字证书和数字时间标签来保证数据的完整性和不可篡 改性。

2. 流量监控

流量监控旨在监测和控制云计算结点之间的流量特征，实时发现异常流量 并加以管理和控制。对于流量“异常”的定义往往需要将某一区域或链路大部 分时间的流量统计数据作为基准。当某一时刻这个链路或者区域的流量特征与 这个统计值有非常大的出入时，就会被认定为“异常”场景。在云计算系统中， 当文件和数据被分割、存储在多个虚拟机上之后，它们往往很少被再次移动了， 因为那会耗费很多不必要的网络传输资源。所有的计算命令将以并行计算的方 式发布到各个数据碎片上，数据处理完成后只传回处理结果，这个工作模式即 计算向存储迁移。因此，云计算系统结点之间的通信对大数据量传输往往非常 谨慎，并且对异常流量非常的敏感，如洪水攻击、蠕虫等等。流量监控往往牵 涉到从网络IP层到应用层的多种技术，在云计算的架构层，可以使用基于数据 包和数据流的流量分析和控制工具加以实现，如五元组分析工具、基于Netflow 的流分析等等。

三、平台即服务（PaaS)

我们可以用一个非常形象的比喻来说明云计算平台：它就像是运行在传统 计算机上面的操作系统，只不过这个操作系统有些特殊，它运行在互联网和多 台虚拟机上，它将互联网上的多台计算机、服务器、存储器变成了一个网络计 算机。云计算平台是云计算产业的核心技术，目前只有少数几家公司有能力开 发商用云计算平台。从安全的角度来看，这个平台需要有能力保护云计算系统 中存储的数据、传输命令和计算结果、管理用户鉴权和访问控制。

1. 虚拟化和数据隔离

从云计算平台的角度来看，云计算系统最基本的单元是虚拟机。当一个文 件初次存储到云计算系统中时，它会被分割成若干个碎片并存储在不同的虚拟 机上，并在各个虚拟机上面并行地完成对文件碎片的操作。这个文件分割、存 储和计算管理的全流程都是由云计算平台来负责的。来自不同公司的重要信息 和文件可能会被存储在同一个虚拟机上，因此数据隔离和数据保护就显得非常 重要了。虚拟机本身往往会附带一系列的数据管理系统，可以实现一定的加密、 数据访问控制和数据隔离功能。除此之外，虚拟防火墙可以实现针对单个虚拟 机设置安全策略和访问控制策略。最后，云计算系统中的虚拟机可以被分成若 干组，并配置不同的安全级别，如不同的加密强度、数据备份、数据恢复设置。 用户数据在初次存储到云计算系统中的时候，系统可以根据用户的服务级别将 用户数据存储在不同的虚拟机组中以实现服务分级和安全保护分级。

2. 补丁和设置管理

在云计算行业中，目前有几款己经发布的云计算平台产品，包括商用产品 如亚马逊的EC2/S3平台、谷歌的App Engine平台、微软的Azure平台，以及 开源产品如 Hadoop、Eucalyptus、EnomalyECP、Nimbus、Abiquo 等。从本质

上说，云计算平台是一种软件操作系统，所以PaaS平台也需要完善的补丁和设 置管理系统及流程去不断地完善云计算平台以应对不断出现的安全威胁和新发 现的系统漏洞。

3. 治理、风险和合法合归管理

传统的治理、风险和合法合归（GRC)管理平台几乎是伴随萨班斯-奥克斯 利法案（Sarbanes-OxleyAct, SOX)的生效而在世界范围内风靡的，尤其在北 美。治理、风险和合法合归管理平台旨在帮助行业和企业用户去跟踪项目进程、 管理风险并遵从不同国家和地区的法律法规的需求。但是在云计算系统中，传 统的GRC平台已经不再适合云计算的特点了，而是将GRC功能集成到云计算 平台上。在另一方面，由于往往会有多种行业的用户使用同一云计算平台，因 此集成在云计算平台上的GRC系统需要同时满足不同企业在治理、风险和合 法合归方面的特点和需求，并且细化到为用户（企业）提供“法律遵从”的文 件管理流程、工作流程，或提供商业法规资料库等。

四、数据即服务（DaaS)

DaaS泛指云存储服务，它可以部署在PaaS平台之上，也可以直接部署在 NaaS和IaaS之上。但无论是哪一种部署方式，DaaS平台的部署都会牵涉到存 储阵列的部署和相应的管理软件的加载。对于DaaS来说，它面临的安全威胁 主要是来自数据方面的，主要包括防数据外泄管理和灾难恢复。

1. 防数据外泄管理

云计算系统的防数据外泄管理（DLP)旨在保护存储在云计算系统中的客 户数据以防来自内部和外部的非授权的访问和传输。当有竞争关系的多个企业 用户将各自公司的机密数据存储在同一个云计算服务提供商的网络上时，数据 泄露威胁就变得尤为突出了。对于用户来说，云计算系统的数据处理是非透明 的，即用户并无法获知云计算系统将其资料存储的具体位置，数据读取的流程 和路径是什么，哪个虚拟机在处理它，如何处理它。换句话说，用户无法对其 重要文件和数据保持有效的机密控制。但是这些数据的存储、读取、管理等诸 多流程对于云计算服务提供商来说是透明的。在这种情况下，云计算服务提供 商就需要负担起保护存储在云计算系统中的所有数据的责任，并根据各用户的 具体需求建立一个完备的DLP系统规范包括自己在内的各个公司员工的行为， 保证各个公司的机密数据不被外泄。总体来说，云计算的DLP需要完成两个主 要的目标：防止来自企业用户外部的数据窃取和防止来自企业用户内部的数据 泄露。来自企业用户外部的数据窃取可以通过云计算平台的用户授权、访问管 理和数据加密来保护。防止来自企业用户内部数据泄露的主要措施有深度内容 检测和行为检测：深度内容检测可以确定数据的重要性并确保其自动转移到安 全级别较高的磁盘空间上；行为检测则是通过监控员工对数据的操作并作出如 允许、拒绝、警告的响应。

2. 灾难恢复

数据备份和灾难恢复是指将系统关键状态、H志和用户数据进行周期性备 份，以备系统在遭受了自然或人为灾害后，重新启用系统的数据、硬件及软件 设备，恢复正常商业运作。由于云计算系统是广泛分布在不同地理位置的计算 单元和存储单元的集合体，故而它在灾难恢复上有着先天的优势。它的难点在 于在同一云计算系统中根据不同行业企业的业务特点和恢复需求规划不同的灾 备计划和系统，包括对企业或机构的灾难性风险作出评估，对关键性业务数据、 流程予以及时记录、备份，设置不同的业务恢复时间和业务恢复点。

五、软件即服务（SaaS)

SaaS提供商借助应用程序接口将云计算软件部署在云计算平台之上。这些 云计算软件可以为某个或多个行业提供服务，如流程管理、订单管理、客户管 理、企业内部管理等。由于用户拥有极其有限的权限对云软件进行二次幵发， 所以在SaaS模式下的安全责任基本由云服务提供商负担。

1. 深度包检测

在一些特殊的场景下，一些云计算应用非常有可能被滥用和恶意使用：云 计算系统强大的计算能力和网络能力有可能会被用作DDoS攻击、垃圾邮件发 送、非法暴力破解密码。这些现象的出现需要云计算服务提供商准确地了解谁 使用什么应用、在如何使用它的服务和资源。深度包检测技术在应用识別方面 拥有得天独厚的优势。深度包检测技术不但分析数据包的包头，还通过模式识 别、行为分析和统计分析等算法分析数据包的载荷。对于网络第三层的数据包 来说，它的载荷包括了有效载荷和第四层至第七层每一层的包头信息。换句话 说，深度包检测技术对网络流量的分析覆盖了从第三层到第七层的全方位分析。 若将深度包检测技术应用到云计算系统中，它能够使得云计算系统准确地了解 到应用正在被谁使用、如何使用。

2. Web应用程序防火墙

云计算软件服务提供商通过基于Web的“瘦”客户端为用户提供鉴权、登录和应用是云计算软件服务非常常见的场景。但由于Web浏览器本身的脆弱 性，Web应用程序会很容易被植入恶意代码而对用户和服务提供商带来损失。 Web应用程序防火墙可以良好地防范一些基于Web的常见攻击，如跨网站脚本 攻击、SQL注入等。

六、安全是一个过程

为云计算系统设计安全架构是一个长期和全面的过程。在ISO 27001构建 信息安全管理系统的“Plan-Do-Check-Act (PDCA)”流程的启发下，我们提出： 云计算安全系统和框架不是通过上马一个产品、一种解决方案或者一套流程规 范可以实现的，它是一个长期的并且不断完善的过程，即安全是一个过程。首 先，云计算服务提供商需定义所属系统的资产（物理和信息资产）、安全需求和 安全计划并以此定义相应的安全控制策略。在不同的云计算服务模式下，资产 是各不相同的：SaaS和PaaS提供商拥有的资产仅涵盖软件和数据，安全控制 需面向信息安全和平台稳定；对于IaaS、NaaS和DaaS模式，资产既包括信息 资产还包括物理资产，安全控制策略需将物理环境安全囊括在内。其次，安全 策略需根据资产的变更、安全需求的提升或降低来周期性地检查和更新现有的安全控制策略。