引言
云計(jì)算(Cloud Computing)的廣泛推廣和應(yīng)用,給巨大的中國互聯(lián)網(wǎng)市場注入了新的活力和動(dòng)力。當(dāng)前比較知名的基于云計(jì)算模式的應(yīng)用主要有:Google、Yahoo、百度等搜索引擎公司的云搜索,Amazon、EMC等存儲(chǔ)方案商提出的云存儲(chǔ),瑞星、趨勢、金山等殺毒軟件廠商的云安全,以及Salesforce等在線軟件服務(wù)提供商實(shí)現(xiàn)的諸多云服務(wù)。云計(jì)算作為一種新型計(jì)算模型,它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上,使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和各種軟件服務(wù)[1]。每個(gè)企業(yè)也可以自己搭建或者采用“托管式專用”模式,擁有自己的云,簡稱企業(yè)的私有云。在此“托管式專用”模式中,像 Sun ,IBM這樣的云計(jì)算提供商可以安裝、配置和運(yùn)營基礎(chǔ)設(shè)施,以支持一個(gè)公司企業(yè)數(shù)據(jù)中心內(nèi)的專用云。
云計(jì)算技術(shù)的發(fā)展應(yīng)用也引起了人們對(duì)信息安全問題的擔(dān)憂。大多數(shù)人對(duì)云計(jì)算的擔(dān)心與公共云計(jì)算有關(guān)。把云安全的討論歸結(jié)為“公共云不安全,私有云安全”的公式似乎過于簡單化。實(shí)際上,配置糟糕和管理混亂的私有云是非常容易受到攻擊的,而管理妥當(dāng)和配置合理的公共云能夠達(dá)到很好的安全性[2]。本文重點(diǎn)解析私有云的安全系統(tǒng)框架和應(yīng)對(duì)信息安全問題的措施。
1.企業(yè)私有云的特點(diǎn)
1.1數(shù)據(jù)安全
數(shù)據(jù)安全是企業(yè)的生命線。任何一個(gè)公有云服務(wù)商都盡力宣稱他們的服務(wù)完全安全,但大量的核心數(shù)據(jù)放在公有云中,難免令企業(yè)放心不下。因此,私有云往往成為企業(yè)選擇的主要方向。企業(yè)私有云是構(gòu)筑在防火墻之后的,和公有云相比,就像企業(yè)把錢放在自己公司的保險(xiǎn)柜里,而不是放在銀行的賬單上,不用擔(dān)心自己的錢丟在外面。
1.2 SLA(服務(wù)質(zhì)量)
企業(yè)私有云是企業(yè)內(nèi)部構(gòu)件的安全應(yīng)用框架,部署在網(wǎng)絡(luò)防火墻之后,不是將數(shù)據(jù)集中在云服務(wù)商的大型數(shù)據(jù)中心里。因此,在有效的訪問控制機(jī)制下,能起到很好的防護(hù)作用。當(dāng)企業(yè)內(nèi)部員工訪問那些云資源或者云服務(wù)時(shí)候,能有效地實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載均衡,方便提高資源的利用率,服務(wù)質(zhì)量相對(duì)公有云來說會(huì)更好。
1.3有效整合和利用現(xiàn)有軟硬件資源
很多公司在搭建云服務(wù)平臺(tái)之前,企業(yè)內(nèi)部已經(jīng)具有自己的數(shù)據(jù)中心和相應(yīng)的軟件服務(wù),尤其是一些大公司,他們?cè)谄髽I(yè)內(nèi)部網(wǎng)中已經(jīng)有了legacy的應(yīng)用。若在企業(yè)內(nèi)部搭建私有云平臺(tái),對(duì)他們來說并不要花費(fèi)巨大的開銷。而且,公有云對(duì)legacy的支持很一般,使得企業(yè)云服務(wù)質(zhì)量并不理想,這與公有云開發(fā)的軟件平臺(tái)有關(guān)[5]。
2.“私有云”安全系統(tǒng)框架
2.1 云安全框架分析
2009年12月17日,云安全聯(lián)盟(CSA)發(fā)布了《云安全指南》,盡地介紹了云計(jì)算的架構(gòu)、云計(jì)算安全控制模型等。參閱CSA所提及的云安全框架,本文設(shè)計(jì)了一個(gè)更為合理的云安全框架模型,如圖1。
圖1 CSA提出的云安全控制模型
云模型分為IaaS、PaaS、SaaS三層。IaaS包括硬件底層設(shè)備、虛擬中間層和接口;PasS包括中間層、可編程開發(fā)接口等;SaaS包括程序、數(shù)據(jù)、應(yīng)用平臺(tái)等。
安全控制模型中,我們需要針對(duì)物理硬件、計(jì)算和存儲(chǔ)、可信計(jì)算的軟硬件平臺(tái)、計(jì)算機(jī)網(wǎng)絡(luò)通信、信息處理以及應(yīng)用程序做好應(yīng)有的安全防范措施。
針對(duì)特定的設(shè)施和具體的環(huán)節(jié),可實(shí)施的安全防范措施在合規(guī)模型中一一列出。
2.2 私有云安全模型分析
上述介紹的是云安全模型設(shè)計(jì)。信息安全問題在沒提出云概念之前就早已有之,由云計(jì)算的大力發(fā)展和廣泛應(yīng)用而顯得尤為突出。目前存在的關(guān)于云計(jì)算方面的安全問題其本質(zhì)和傳統(tǒng)的網(wǎng)絡(luò)信息安全問題沒本質(zhì)的區(qū)別,只是在云計(jì)算的基礎(chǔ)上有所發(fā)展,并有愈演愈烈的趨勢。不論是公有云還是私有云都面臨著諸如此類的安全威脅,主要包括:傳統(tǒng)的拒絕服務(wù)攻、API應(yīng)用程序編程接口安全問題、內(nèi)部員工的惡意破壞、非法用戶對(duì)數(shù)據(jù)庫的非法訪問、授權(quán)用戶的超權(quán)訪問、信息共享技術(shù)導(dǎo)致的數(shù)據(jù)泄露、正常網(wǎng)絡(luò)服務(wù)被劫持、密鑰管理機(jī)制的不健全導(dǎo)致的賬號(hào)泄露問題、用戶安全防范意識(shí)薄弱導(dǎo)致的信息泄露、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施不健全導(dǎo)致的黑客入侵等一系列問題。
云計(jì)算的安全問題有著深厚的傳統(tǒng)網(wǎng)絡(luò)信息安全問題的背景,很多IT研究機(jī)構(gòu)諸如Google、IBM、微軟等早已開始對(duì)云計(jì)算安全問題進(jìn)行研究,國內(nèi)的趨勢科技、聯(lián)想、瑞星、綠盟科技等也都對(duì)云安全問題進(jìn)行了深入研究和探索。云計(jì)算的安全體系的研究重點(diǎn)主要集中在安全架構(gòu)和具體的解決方案方面,其具體的技術(shù)細(xì)節(jié)包括網(wǎng)絡(luò)安全技術(shù)、應(yīng)用程序編程接口API、身份驗(yàn)證、加密算法等諸多方面因素。綜合多方面因素,本文設(shè)計(jì)了一個(gè)較為全面的基于私有云的安全模型,如圖2所示。
圖2 云計(jì)算安全模型框架
在上圖的模型中,按照服務(wù)類型分成三種不同的云服務(wù)模式即IaaS、PaaS、SaaS。三種模式具有一定的層次關(guān)系,服務(wù)模式不同,要解決的安全問題也不一樣?偟膩碚f,三種模式中安全問題,具有向上包含關(guān)系,最低層次的IaaS服務(wù)模式基本包括PaaS和SaaS模式中的基本所有安全問題。
3.信息安全的防護(hù)
3.1 信息安全防護(hù)策略
私有云和公有云一樣,需要從以下三個(gè)層面做好信息安全防護(hù)措施。
(1)IaaS層安全
IaaS即硬件技術(shù)設(shè)施即服務(wù),主要包括計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、主機(jī)、網(wǎng)絡(luò)設(shè)備、服務(wù)器等所有的計(jì)算機(jī)硬件平臺(tái)。在IaaS中,它首先是將硬件資源抽象起來,然后將這些硬件資源納入整個(gè)基礎(chǔ)設(shè)施的邏輯節(jié)點(diǎn)中,然后向用戶提供一個(gè)可統(tǒng)一編程調(diào)用的應(yīng)用程序接口API,讓用戶通過應(yīng)用程序?qū)?yīng)用程序編程接口API進(jìn)行調(diào)用,以完成物理設(shè)備的交互使用。在IaaS層中,主要關(guān)注的安全問題主要包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施的物理安全、環(huán)境安全、主機(jī)安全、主要網(wǎng)絡(luò)連接設(shè)備安全、系統(tǒng)的虛擬化安全等[8]。IaaS的服務(wù)提供商需要對(duì)IaaS環(huán)境提供一些基礎(chǔ)的公共安全保障,服務(wù)商需要對(duì)用戶的數(shù)據(jù)安全或應(yīng)用安全提供一定程度的安全保證等。對(duì)于只提供IaaS服務(wù)的云計(jì)算服務(wù)來說,上層的平臺(tái)安全和應(yīng)用安全也應(yīng)考慮進(jìn)來。
(2)PaaS層安全
PaaS即平臺(tái)即服務(wù),主要提供一個(gè)科安全運(yùn)行的平臺(tái)以及可以和用戶交互的編程接口。它是在IaaS基礎(chǔ)上增加了一個(gè)可以用以開發(fā)的API層面,來完成將數(shù)據(jù)庫、堆棧數(shù)據(jù)等集成在一起完成設(shè)備間信息傳遞和進(jìn)程間通信的一個(gè)平臺(tái)。PaaS層的安全主要包括接口安全、運(yùn)行安全以等。
(3)SaaS層安全
按照安全模型的層次來分,SaaS位于最外層。SaaS層中主要是為用戶提供應(yīng)用程序的運(yùn)行環(huán)境。在這個(gè)運(yùn)行環(huán)境中,用戶能夠充分利用云服務(wù)所提供的資源和軟件服務(wù),體驗(yàn)到云服務(wù)便捷高效的服務(wù)樂趣,并可與他人進(jìn)行充分的信息交流而不必關(guān)心應(yīng)用程序的運(yùn)行過程和底層硬件的工作原理。這一層次的安全問題主要表現(xiàn)為軟件的應(yīng)用環(huán)境安全,包括信息保密、數(shù)據(jù)加密方法、密鑰管理機(jī)制、身份驗(yàn)證、安全審計(jì)、訪問控制、安全事件處理、業(yè)務(wù)連續(xù)性等。在云計(jì)算的安全事件中,多數(shù)的安全事件都發(fā)生在SaaS層。
三個(gè)層次的安全,最底層的是IaaS,IaaS是基礎(chǔ),PaaS是應(yīng)用開發(fā)框架,SaaS是面向用戶提供最直接的服務(wù)[9]。三個(gè)層次對(duì)應(yīng)的信息保護(hù)措施如表1。
表1云計(jì)算安全模型框架中安全問題與對(duì)策
為更有效地保障云計(jì)算服務(wù)的安全性,除了上述提到的一些措施外,還應(yīng)該結(jié)合云計(jì)算的特點(diǎn),在數(shù)據(jù)的完整性、可用性和高可靠性方面進(jìn)一步做好信息的安全保密工作,在網(wǎng)絡(luò)身份認(rèn)證、加密算法研究、入侵檢測、VPN遠(yuǎn)程安全接入、數(shù)據(jù)存儲(chǔ)等方面加大研究和投入,構(gòu)建全面的安全防范體系。
3.2 目前私有云安全服務(wù)技術(shù)分析
國內(nèi)外很多反病毒公司都已經(jīng)對(duì)私有云內(nèi)部信息安全服務(wù)進(jìn)行了深入的研究,提供一整套私有云安全解決方案。具有代表性的公司如趨勢科技、瑞星、諾頓、金山等,都已經(jīng)設(shè)計(jì)和部署了以云計(jì)算為基礎(chǔ)的安全服務(wù)體系。以瑞星為例,2012年5月15日,瑞星正式推出了基于最新“私有云”技術(shù)的瑞星殺毒軟件網(wǎng)絡(luò)版2012和5S專業(yè)級(jí)企業(yè)信息安全服務(wù),瑞星已經(jīng)成為國內(nèi)信息安全領(lǐng)域中唯一可提供軟件、硬件和專業(yè)服務(wù)的整體解決方案的公司。瑞星所提供的信息安全服務(wù),主要?dú)w納為SaaS安全層上。
SaaS也可以理解為安全即服務(wù)。瑞星的云安全服務(wù)主要有兩個(gè)功能:一是提供安全服務(wù)平臺(tái),方便管理軟件服務(wù)和監(jiān)控人員操作。二是為企業(yè)定制安全服務(wù)技術(shù),可以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部所有主機(jī)的病毒庫及時(shí)升級(jí)、快速查殺病毒、及時(shí)發(fā)現(xiàn)安全問題并上報(bào)管理中心,降低系統(tǒng)資源的占有率。為了實(shí)現(xiàn)其功能,瑞星公司采用了幾項(xiàng)主要技術(shù)如下。
3.2.1智能動(dòng)態(tài)資源分配技術(shù)
智能動(dòng)態(tài)資源分配技術(shù)優(yōu)化了殺毒引擎的核心技術(shù),使其變得更加輕便,突破了傳統(tǒng)殺毒軟件一次性將病毒庫加載到內(nèi)存中,使用高負(fù)荷CPU進(jìn)行運(yùn)算的方式,并對(duì)病毒庫進(jìn)行了細(xì)化,同時(shí)優(yōu)化其存儲(chǔ)和加載方式,在殺毒時(shí),實(shí)現(xiàn)化整為零、按需加載,從而達(dá)到降低資源占用的目的,使更多的老舊電腦也可以流暢運(yùn)行最先進(jìn)的殺毒軟件。
3.2.2自定義白名單
企業(yè)自定義白名單系統(tǒng)意味著瑞星可以為每個(gè)企業(yè)提供專屬、快速、個(gè)性化的解決方案。有效解決企業(yè)內(nèi)部程序、文件、網(wǎng)站的誤報(bào)問題。全新的企業(yè)白名單系統(tǒng),可實(shí)現(xiàn)用戶自主在系統(tǒng)中心將文件、網(wǎng)站進(jìn)行自動(dòng)錄入,通過系統(tǒng)的自動(dòng)識(shí)別、入庫,借助瑞星“私有云”技術(shù)瞬間將方案分發(fā)給所有客戶端。
3.2.3快速自動(dòng)定位
大型企業(yè)在遇到安全問題時(shí),最為頭疼的是管理員很難在短時(shí)間內(nèi)定位到具體出現(xiàn)問題的電腦,從而使問題變得更加復(fù)雜,延遲解決時(shí)間。在新一代瑞星網(wǎng)絡(luò)版殺毒軟件中,增加了第二代身份識(shí)別標(biāo)示,對(duì)用戶標(biāo)示進(jìn)行升級(jí),加入了CPU、主板、硬盤串號(hào)、mac地址、微軟身份標(biāo)示等信息,管理員可精確定位每臺(tái)電腦。
在瑞星新一代企業(yè)級(jí)整體解決方案中,用戶不僅可享受到“私有云”技術(shù)帶來的安全成果,而且能夠得到專業(yè)級(jí)企業(yè)信息安全服務(wù)。在企業(yè)信息安全領(lǐng)域,瑞星向企業(yè)用戶提供了信息安全評(píng)估服務(wù)、信息安全預(yù)警服務(wù)、信息安全專家服務(wù)、信息安全應(yīng)急響應(yīng)服務(wù)、信息安全培訓(xùn)服務(wù)。
4.總結(jié)
公有云和私有云相比較,不能說私有云一定比公有云安更全,但是,在信息安全技術(shù)不斷進(jìn)步的今天,企業(yè)更傾向于搭建一個(gè)安全穩(wěn)定的私有云。文中對(duì)私有云信息安全模型進(jìn)行了分析并提出具體實(shí)施方案。此外,還針對(duì)企業(yè)私有云服務(wù)商的信息安全服務(wù)案例進(jìn)行了剖析。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:私有云架構(gòu)下的信息安全模型分析
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112158526.html