在企业私有云环境下,不同业务系统的安全需求差异很大,那么在一个“云”内:如何为不同业务系统提供不同的安全策略?各种安全策略如何部署,部署在哪里?如何满足差异化的需求?
云桌面通过虚拟化技术实现了桌面的统一、资源的共享,让员工通过客户端来实现任何时间、任何地点访问跨平台的桌面系统,能够解决传统桌面管理模式的弊端。
而且,通过统一规划所有云桌面用户的IP地址,在防火墙和交换机上设置策略、建立访问控制列表,限制该网段互联网访问权限,也可以方便实现云桌面用户与互联网的隔离。
随着虚拟化技术的发展,虚拟化桌面终端安全问题也逐渐凸显。
虚拟化桌面的终端安全主要面临两类问题:
●传统的终端安全问题的延续;
●在虚拟化环境下所面临的新问题,包括虚拟化环境所面临的安全威胁、无边界访问带来的安全威胁、虚拟机防护间隙带来的威胁和安全防护引发的资源争用等。
从云桌面的系统角度来看,客户端、传输网络、服务器端、存储端等各个方面,都会产生安全风险。忽略任何一个细节都会导致整个系统的信息漏洞。
客户端:在虚拟云桌面的应用环境中,只要有访问权限,任何智能终端都可以访问云端的桌面环境。如果使用单纯的用户名密码作为身份认证,那么一旦泄露就意味着对方可以在任何位置访问你的桌面系统,并获取相关数据。这就要求有更加严格的终端身份认证机制。
目前比较好的解决方案有 Ukey 准入认证。它作为云平台的安全接入认证不仅能够提高云平台的安全性,也能够使 Ukey 发挥最大效能,充分利用 Ukey 高可靠性的特点实现对云计算资源的保护,防止无授权用户的非法操作。
对于远程用户,可以采用 Ukey 认证与 SSL VPN 技术相结合的方式,提供一种安全通信服务。
还有就是通过 MAC 地址对于允许访问云端的客户端进行一个范围限定也是不错的办法。虽然牺牲了一定灵活性,但这种方式可以大幅提升客户端的可控性。
传输网络:绝大部分企业级用户都会为远程接入设备提供安全连接点,供在防火墙保护以外的设备远程接入,但是并非所有的智能终端都支持相应的 VPN 技术。智能手机等设备一般可采用专业安全厂商提供的定制化 VPN 方案。
企业内部的终端和云端的通讯可以通过 SSL VPN 协议进行传输加密,确保整体传输过程中的安全性。
服务器端:在虚拟桌面的整体方案架构中,后台服务器端架构通常会采用横向扩展的方式。好处是一方面通过增强冗余提升了系统的高可用性;另一方面可以根据用户数量逐步增加计算能力。
在大并发的使用环境下,系统前端会使用负载均衡器,将用户的连接请求发送给当前仍有剩余计算能力的服务器处理。但是这种架构很容易遭到分布式拒绝攻击,因此需要在前端的负载均衡器上配置安全控制组件,或者在防火墙的后端设置安全网关进行身份鉴定授权。
存储端:采用虚拟桌面方案之后,所有的信息都会存储在后台的磁盘阵列中,为了满足文件系统的访问需要,一般会采用 NAS 架构的存储系统。这种方式的优势是企业只需要考虑保护后端磁盘阵列的信息防泄漏,使得原本前端客户端可能引起的主动式信息泄密几率大为减少。
但是,这种集中式的信息存储方式还是存在隐患的。比如系统管理员,或者是具有管理员权限的非法用户可以使用超级用户权限打开所有用户目录,获取数据的权限。
一般可以采用专业的加密设备进行加密存储并且加密算法可以由前端用户指定。同时,在数据管理上考虑采用三权分立的措施,即需要系统管理员、数据外发审核员和数据所有人同时确认也能够允许信息的发送。这样可以实现主动防泄密。
此外,还需要通过审计方式确保所有操作的可追溯性。
云计算的大规模运营给传统网络架构和应用部署带来了挑战,不论是技术革新还是架构变化,都需要服务于云计算的核心要求,即动态、弹性、灵活,并实现网络部署的简捷化。
1、服务器的利用率从20%提高到80%,服务器端口流量大幅提升,对数据中心网络承载性能提出巨大挑战,对网络可靠性要求也更高。
2、多种应用部署在同一台物理服务器上运行,使网络流量在同一台物理服务器上产生叠加,流量模型更加不可控。
3、服务器虚拟化技术的应用必然伴随着虚拟机的迁移,这种迁移需要一个高效的网络环境来保障。
4、虚拟机的部署和迁移,使得安全策略的部署变得复杂和无助,需要一个动态的机制来对数据中心进行防护。
私有云从两个方面解决上述问题:
(在企业私有云环境下,融合了多业务和多租户资源池环境,业务之间和租户之间的安全隔离成为云平台建设必须要解决的问题。)
1、东西向安全
与传统的网络架构相比,私有云数据中心网络流量模型逐步由东西向流量取代南北向流量,多业务和多租户隔离一方面需要考虑隔离方案的可维护性,另一方面需要考虑网络能力的横向可扩展性。
目前,大部分资源池的安全隔离仍然采用物理防火墙作为东西向和南北向隔离方案,但物理防火墙在扁平化数据中心网络中存在结构性瓶颈,限制了网络的横向扩展能力。
这里可以考虑采用分布式虚拟防火墙对业务和租户之间的横向流量进行隔离,南北向流量隔离利用 NFV 防火墙实现,通过 SDN Controller 向 DFW (分布式虚拟防火墙)自动下发定制的策略,实现业务和租户之间安全隔离。
分布式虚拟防火墙的性能是我们目前主要关注的问题,随着流量规模的增长,我们会根据情况考虑虚拟防火墙和物理防火墙相结合部署的架构。
2、南北向安全
NFV (网络功能虚拟化),通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。
常用的 NFV 组件有 vFW、vLB、vSwitch 等,下面以 vFW、vLB 为例,对 IT 云平台 NFV 的部署运用进行简单介绍。
●利用 vFW (虚拟防火墙)实现南北向安全防护
南北向流量主要是客户端到服务器之间的业务流量,这类流量需要进出资源池,安全隔离的边界在资源池出口处,在此位置可以部署物理防火墙,也可以部署 NFV 防火墙集群,用于对整个资源池与外部网络的安全隔离。
●利用 vLB (虚拟负载均衡)实现业务负载按需开通
通过部署虚拟负载均衡器,统一为多个租户提供负载均衡服务。虚拟负载均衡目前可支持各类TCP应用,如FTP、HTTP、HTTPS等,支持丰富的负载分发算法和会话保持方式。
随着业务量的增长,还可以为每个业务或租户单独部署一套虚拟负载均衡设备,提高负载均衡的可管理能力和扩展能力。
从不同角度能看到安全的不同层面。如果从私有云安全规划角度看,有四个层面需要注意:
边界防护:它是私有云安全防护的底线;
基础防护:它是与私有云建设过程同步开展的阶段,需要构建云安全管理系统;
增强防护:随着云安全技术逐渐成熟,需要增强和完善云安全服务,加密认证等;
云化防护:面向 SaaS 等更复杂的云计算模式,需要引入云安全访问代理等新技术,结合业务实现防护。
在边界防护上,基于 SDN 技术构建“流网络层”,提升“东西向”的隔离颗粒度与强度,以及加强云内流量监控;
在基础防护上,构建云安全管理系统,增强各种安全加固技术在私有云底层平台的应用,特别是通过安全手段固化底层行为;
在增强防护上,提供比如加密认证、安全扫描服务,定期对所有的云主机进行安全扫描,及时发现安全漏洞,还有防护DNS型的攻击,防 DDoS 攻击,自动化抵御 SYNFLOOD、UDPFLOOD 等常见攻击,有效保障用户业务的正常运作;
在云化防护上,面向业务操作与业务数据的云安全代理机制等,引入云安全相关的新技术,结合业务实现防护。
在私有云环境下,企业在使用应用时,不需要关心数据实际存储的位置,只需要将数据提交给虚拟卷或虚拟磁盘,由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上,安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息。
为了避免这种情况的发生,虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制,保证只有授权的主机/应用能访问授权的资源,未经授权的主机/应用不能访问,甚至不能看到其他存储资源的存在。
在各类安全技术中,加密技术是最常见也是最基础的安全防护手段,在私有云环境下,数据的加密保护仍然是数据保护的最后一道防线,对数据的加密存在于数据的传输过程中和存储过程中。
对数据传输过程中的加密保护能保护数据的完整性、机密性和可用性,防止数据被非法截获、篡改和丢失。
针对不同虚拟化对象的特点,企业应采用不同的传输加密方式。如对 IP SAN 网络,可以采用 IPSec Encryption ( IPSec 加密)或 SSL 加密功能防止数据被窃听,确保信息的保密性,采用 IPSec 摘要和防回复的功能防止信息被篡改,保证信息的完整性。
对数据存储的加密能实现数据的机密性、完整性和可用性,还能防止数据所在存储介质意外丢失或者不可控的情况下数据自身的安全。对数据存储的保护一般在主机端完成,通常由应用系统先对数据进行加密,然后再传输到存储网络中。
但是由于不同应用采用加密算法的多样性导致加密强度的不一致,不利于数据存储安全的统一防护。为了解决这个问题,IEEE 安全数据存储协会提出了 P1619 安全标准体系,这个体系制定了对存储介质上的数据进行加密的通用标准,使得各厂家生产的存储设备具有很好的兼容性。
对数据进行存储保护的另一种思路是在存储设备之前串接一个硬件加密装置,对所有流入存储网络的数据进行加密后,将密文提交给存储设备。对所有流出存储设备的数据进行解密后将明文提交给服务器;这种加密方式与上面提到的采用 P1619 的解决方案类似,但这里的加密是由外部加密装置完成,而不是集成在存储网络中。这种解决思路与上层应用和存储无关,但在数据量大的情况下,对硬件加密装置的加解密性能和处理能力要求比较高。
对数据加密保护的第三种解决办法是依靠存储设备自身的加密功能,如基于磁带机的数据加密技术,通过在磁带机上对数据进行加密,使数据得到保护。目前可信计算机组织( TCG,Trusted Computing Group )也已提出了针对硬盘的自加密标准,将加密单元放置在硬盘中,对数据进行保护。
自加密硬盘提供用户认证密钥,由认证密钥保护加密密钥,通过加密密钥保护硬盘数据。认证密钥是用户访问硬盘的惟一凭证,只有通过认证后才能解锁硬盘并解密加密密钥,最终访问硬盘数据。
基于存储的入侵检测系统嵌入在存储系统中,如 SAN 的光纤交换机、磁盘阵列控制器或 HBA 卡等设备中,能对存储设备的所有读写操作进行抓取、统计和分析,对可疑行为进行报警。
由于基于存储的入侵检测系统是运行在存储系统之上,拥有独立的硬件和独立的操作系统,与主机独立,所以它能够在主机被入侵后继续对存储介质上的信息提供保护。
在存储虚拟化网络中,企业应在系统的关键路径上部署基于存储的入侵检测系统,建立全网统一的管理中心,统一管理入侵检测策略,实现特征库的实时更新和报警事件及时响应。
数据的彻底删除也是必须考虑的问题。由于数据存放的物理位置是位于多个异构存储系统之上,对于应用而言,并不了解数据的具体存放位置,而普通的文件删除操作并不是真正删除文件,只是删掉了索引文件的入口。
因此,在应用存储虚拟化技术之后,虚拟化管理软件应将安全保密需求相同的文件在物理存储上分配在同一块或多块磁盘上。在删除文件时,为了彻底清除这些磁盘上的敏感信息,将该磁盘或多块磁盘的文件所有位置同时进行物理写覆盖。对于安全保密需求高的场合,还应采用消磁的方式来进行彻底销毁。
安全问题仍然是阻碍企业全面部署应用云平台的最大障碍。如何有效控制访问权限和整体安全管理机制,如何对数据进一步划分等级,实时安全操作和监控,如何更有效地管控外部攻击威胁带来的风险,都需要深入开展研究,才能更有效地提高云计算平台的安全,为云计算在企业中的广泛应用提供更安全的保障。
CIO之家 www.ciozj.com 公众号:imciow