云環(huán)境下的機(jī)房安全

石菲

隨著虛擬化和云計(jì)算的不斷發(fā)展，許多企業(yè)的數(shù)據(jù)中心開始了跨物理、跨虛擬、跨云端的復(fù)雜環(huán)境，如何才能在這樣復(fù)雜的環(huán)境下構(gòu)建一個(gè)安全的數(shù)據(jù)中心，成為CIO們要考慮的問題。

迎接虛擬化挑戰(zhàn)

過去的IDC數(shù)據(jù)中心只需要提供機(jī)房、水電供應(yīng)，隨著虛擬化等新技術(shù)的出現(xiàn)，機(jī)房也在隨之改變。IT技術(shù)的演變不僅提供了更快的CPU計(jì)算速度，儲(chǔ)存空間也越來越大。怎樣提供更快更好的彈性服務(wù)，降低能耗，進(jìn)行虛擬化整合成為IDC關(guān)注的問題?！芭e例來說，IDC是一個(gè)集成系統(tǒng)，客戶需要什么我們就提供什么，客戶需要多少我們就馬上提供給他多少，這種彈性機(jī)制才是客戶需要的。而在云計(jì)算環(huán)境之下，自行配置就是客戶最大的需求。在滿足客戶需求的同時(shí)，我們會(huì)發(fā)現(xiàn)無法一次性達(dá)到目標(biāo)。要滿足這樣的需求就要把控制權(quán)還給使用者，讓客戶可以在云計(jì)算數(shù)據(jù)中心里自行配置調(diào)整?！?中華電信研究院資通安全研究所的研究員劉順德說。

因此，在規(guī)劃虛擬化機(jī)房的時(shí)候也必須考慮到虛擬化衍生所帶來的安全威脅。

首先是新增的虛擬化安全，在虛擬化環(huán)境下用戶具有了同時(shí)操作多臺(tái)虛擬服務(wù)器的條件，所以必須嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層，例如建立嚴(yán)格的控制措施，限制對(duì)于Hypervisor和其他虛擬化層次的物理和邏輯訪問控制。硬件虛擬化的安全可以借鑒物理服務(wù)器的安全措施，主要從實(shí)體機(jī)選擇、虛擬服務(wù)器安全和日常管理3個(gè)方面來制定安全防護(hù)方案。另外，在資源高度整合的條件下，對(duì)資源的按需分配、數(shù)據(jù)之間的安全隔離提出了更高的要求，安全設(shè)備應(yīng)適應(yīng)云計(jì)算數(shù)據(jù)中心虛擬化要求。

其次是安全邊界混雜，傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)體系建設(shè)的一個(gè)重要思路就是基于邊界的安全隔離和訪問控制，并且強(qiáng)調(diào)分區(qū)規(guī)劃，分層防護(hù)。但是在云計(jì)算數(shù)據(jù)中心里，資源高度整合，基礎(chǔ)設(shè)施架構(gòu)統(tǒng)一化，安全設(shè)備的部署邊界已經(jīng)變得十分模糊，甚至有消失的趨勢(shì)。

最后要注意的是安全威脅發(fā)現(xiàn)和處理作用范圍變大。在傳統(tǒng)數(shù)據(jù)中心里，安全威脅的信息來源主要是客戶端上部署的安全軟件和網(wǎng)絡(luò)中部署的硬件安全產(chǎn)品。管理人員在得到信息后，可以在很短的時(shí)間內(nèi)對(duì)安全威脅進(jìn)行處理，但這種處理是分區(qū)域的，也就是說無法做到整個(gè)數(shù)據(jù)中心的集中防范和集中處理，無法形成整體的安全防護(hù)。而在云計(jì)算數(shù)據(jù)中心里，安全威脅的感知和處理都將趨于統(tǒng)一，信息共享率極高，安全防護(hù)體系比傳統(tǒng)數(shù)據(jù)中心的體系更加宏觀，防護(hù)范圍更大。

也就是說在建設(shè)云計(jì)算數(shù)據(jù)中心時(shí)，由于資源整合程度和共享程度很高，不論是數(shù)據(jù)安全、應(yīng)用安全還是虛擬化安全，都以服務(wù)的方式交付給數(shù)據(jù)中心用戶。在這種建設(shè)思路的指引下，云計(jì)算數(shù)據(jù)中心的信息安全體系和傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)體系差別很大。

精確建立管理機(jī)制

中華電信股份有限公司是臺(tái)灣地區(qū)最大的固網(wǎng)電信、數(shù)據(jù)通信及移動(dòng)通訊公司。中華電信研究院是中華電信的獨(dú)立機(jī)構(gòu)，負(fù)責(zé)支持與中華電信業(yè)務(wù)相關(guān)的IT系統(tǒng)的研發(fā)等技術(shù)工作。劉順德負(fù)責(zé)研究所的資訊安全整體防衛(wèi)計(jì)劃，以支持中華電信業(yè)務(wù)安全為主，同時(shí)也自主研發(fā)一些跟安全相關(guān)的技術(shù)產(chǎn)品提供給客戶。

中華電信在經(jīng)營(yíng)云數(shù)據(jù)中心時(shí)面臨到的是和亞馬遜等供應(yīng)商的國(guó)際競(jìng)爭(zhēng)，中華電信的優(yōu)勢(shì)是可以提供更好的垂直服務(wù)，能否利用虛擬化機(jī)制將安全部分進(jìn)行垂直整合，成為中華電信追求的目標(biāo)。

劉順德介紹說，由于臺(tái)灣地區(qū)臺(tái)風(fēng)較多，中華電信在機(jī)房建設(shè)時(shí)采用了SRC的鋼骨防震結(jié)構(gòu)，耐震達(dá)7級(jí)以上，并且設(shè)計(jì)了防水閘門。在安全方面，主要是落實(shí)中華電信信息安全政策與實(shí)施細(xì)則，該細(xì)則每年都會(huì)進(jìn)行相應(yīng)調(diào)整與改版，從最初的6章增長(zhǎng)為現(xiàn)在的9章。中華電信將機(jī)房分為不同的級(jí)別，每個(gè)級(jí)別有不同的規(guī)范要求，嚴(yán)格按照實(shí)施細(xì)則執(zhí)行。一級(jí)就要有一級(jí)的規(guī)范，二級(jí)要有二級(jí)的規(guī)范，所有的建制都要依照這個(gè)實(shí)施細(xì)則來執(zhí)行。

隨著大數(shù)據(jù)時(shí)代的到來，信息量越來越大，安全威脅也越來越多。在制定實(shí)施細(xì)則時(shí)，研究院會(huì)邀請(qǐng)所有的網(wǎng)絡(luò)管理者、系統(tǒng)管理者一起來制定規(guī)范。“有些運(yùn)維管理者不配合，我印象很深的是有一次有一位管理者和我講，我今年要管理200臺(tái)系統(tǒng)，每天巡視一遍這200臺(tái)系統(tǒng)就要花一天的時(shí)間，在繁忙的工作中還要遵守安全實(shí)施細(xì)則不是給我們添麻煩嗎？所以要和他們充分溝通，制定讓他們認(rèn)可的安全細(xì)則。而隨著技術(shù)的發(fā)展，云化之后的系統(tǒng)數(shù)量會(huì)遠(yuǎn)遠(yuǎn)超過物理系統(tǒng)數(shù)量，需要更好的管理機(jī)制?！?/p>

消除組織文化抗拒

由云端安全聯(lián)盟（Cloud Security Alliance）所進(jìn)行的最新調(diào)查顯示，網(wǎng)絡(luò)犯罪已成為安全專家在云計(jì)算領(lǐng)域的首要擔(dān)憂因素。在2010年，信息泄露和網(wǎng)絡(luò)攻擊等因素還處于調(diào)查的中間位置，在2013年已分別成為第一名與第三名。

C S A公布的2013年云端運(yùn)算領(lǐng)域要面對(duì)的九大威脅分別是資料外泄（Data Breaches）、資料遺失（Data Loss）、 帳號(hào)被駭（Account Hijacking）、不安全的APIs程式（Insecure APIs）、拒絕服務(wù)（Denial of Service）、惡意的內(nèi)部人員（Malicious Insiders）、濫用云服務(wù)（Abuse of Cloud Services）、審慎評(píng)鑒不足（Insufficient Due Diligence）、共享環(huán)境所造成難以避免的問題（Shared Technology Issues）。

劉順德認(rèn)為排名第一到第八與傳統(tǒng)安全威脅大同小異，無論是處于云端還是位于傳統(tǒng)的IDC機(jī)房都會(huì)面臨，最大的不同是共享技術(shù)。“我們要重點(diǎn)考慮的是云計(jì)算環(huán)境下如何確保即使我在云中的鄰居被入侵也不會(huì)影響到我的底層環(huán)境?！?/p>

對(duì)于云端安全，客戶會(huì)關(guān)心存儲(chǔ)安全、信息會(huì)不會(huì)被泄露、管理者是不是盡責(zé)、被攻擊后會(huì)不會(huì)產(chǎn)生連帶影響、信息會(huì)不會(huì)被攔截等。這些都是虛擬化的衍生問題。所以云端治安研究的主軸上除了傳統(tǒng)的安全要考量之外，還有新的虛擬化的議題必須考量。除了資源共享的問題之外，還有政策的落實(shí)。比如說符合中華電信實(shí)施細(xì)則的情況下，當(dāng)它被復(fù)制到另外一個(gè)地方的時(shí)候能否做到安全。

在標(biāo)準(zhǔn)方面，中華電信分為三個(gè)層次，參考、復(fù)合和遵循。參考國(guó)際先進(jìn)的標(biāo)準(zhǔn)，如NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）提出的云端建制標(biāo)準(zhǔn)等，分析哪些標(biāo)準(zhǔn)符合自身的需求，之后進(jìn)行維護(hù)和認(rèn)證該標(biāo)準(zhǔn)。

目前中華電信的數(shù)據(jù)中心越來越趨向于采用虛擬化技術(shù)，在機(jī)房設(shè)置之初就應(yīng)該一并考慮虛擬化環(huán)境下的安全規(guī)劃。

信息安全是一個(gè)持續(xù)過程，沒有一次性解決方案，更需要一個(gè)持續(xù)的維護(hù)團(tuán)隊(duì)?！把芯克颂峁┌踩雷o(hù)之外，還為客戶提供加減密服務(wù)。我們由獨(dú)立的團(tuán)隊(duì)進(jìn)行信息安全監(jiān)控，采取垂直的組織架構(gòu)，可以跨機(jī)構(gòu)執(zhí)行安全任務(wù)?！眲㈨樀拢骸凹夹g(shù)是非常重要的，但絕對(duì)不是最重要的問題。我們構(gòu)建云安全的最大挑戰(zhàn)來自于組織和文化的抗拒，如果能夠獲得領(lǐng)導(dǎo)的支持，才可以實(shí)現(xiàn)安全細(xì)則的實(shí)施?！?/p>