云计算下的安全思考技术分析.ppt
我想跟大家分享一下联通在云安全和技术方面的一些认识和理解。我们对云安全方面的认知和理解主要有三个方面。首先,我先谈一下联通在云安全方面的相关背景和需求,以及基本的研发思路。比如说从云虚拟化安全,云数据安全,还有统一监控,这三个方面来进行开展。然后第二部分就是针对这三个方面,我们每个方面举出了一个研究的实例跟大家进行分享。最后一部分就是简单谈一下云安全技术研究下一步的具体工作建议。
云安全的背景和需求
由于云技术的不断演进,国内企业都在研发云平台和云系统。不过,国内云计算、云系统的安全问题却比较突出。因为近些年来网络安全事件频发,特别是国内国际安全方面的隐私泄露。这就导致云安全成为阻碍云技术发展的最大挑战,因此我们针对云安全也开展了相关的研究。首先我简单地谈一下在云计算安全方面的需求,大概有三个特点。比如说云计算技术的引入,可能会存在一些云平台上实现的数据集中存储,应用集中部署,包括用户集中管理的新特性。我们知道云计算里面会进行大量的虚拟化引用,以及一台虚拟机里面存储多个用户的数据,像这种架构特征也是云计算的新特点。
针对以上的新特点我们给出了相关的云安全需求。比如说刚刚提到的虚拟化,如何确保云平台虚拟机制安全运行,以及虚拟机构虚拟网络的安全,同时还包括云数据库,数据存储等等。另外,云中肯定有很多软件资源,如何实现统一的监管机制,来对云平台相关的资源来进行统一的监管,还有刚才提到的多住户的事情,怎么防御控制。包括在云状态下的存储不能满足云环境下相关的适配认证等等问题。同时我们有诺大的云体系,针对这个云平台风险我们是不是需要考虑云平台的系统评估。
突破云安全桎梏
针对以上的云安全需求我们正在寻找突破的方向。第一个是云基础设施安全,包括前面提到的虚拟机安全防护、虚拟机隔离、虚拟网络的安全。第二个是云数据安全,云环境下传统的安全边界已经模糊,不能满足云环境下的安全需求,特别是数据安全需求,所以在这个环境下需要考虑数据安全,数据的加密,还包括数据后面提到的数据库安全的实例。第三个方向是云监控,就是计算资源在云平台里面,如何实现集中管理监控的问题。
首先看云虚拟化安全,之前已经考虑了虚拟机相关的安全防护机制,比如说像虚拟机的防病毒,虚拟机的网络安全,但是我们知道虚拟机是在HMWD虚拟机管理器上面,虚拟机管理器安全是不是需要考虑,同时这个接口接到OPSDK,是否能够从安全角度去监控云虚拟机里面的安全级别和安全态势,这是一个问题。我们是否针对这个问题需要在多个HDSDK之上建立一个统一的集成管理平台来监管相关的HDSDK和HDSDK上面的虚拟机呢?这个是我们考虑的思路。
第二个方向是云数据安全,我们知道在云环境下传统的数据安全不能解决云数据下的数据库安全,同时云环境下可能会有一些新窗口,比如提供的数据库集服务,在数据库集服务场景下会不会有新的隐患,比如说数据库享受数据库的业务,我把数据传给SP了,这是不是需要第三方来监管SP,从而确保用户的数据不被泄露、不被篡改。然后还包括存在一些传统的安全隐患,比如云平台下处于某些攻击上的没有考虑安全的问题,比如说数据库存储。针对用户名密码存储,一旦云平台的门户被攻破,黑客就可以直接窃取云平台的数据以及用户数据信息。通过这些,我们在考虑云环境下数据库的安全云框架,主要是通过事前探测,事中防护,事后预警的管控。比如说像数据库的补丁检查,包括配置是否安全合理,数据库是否存在相关的弱点,以及包括数据库存在密码漏洞,还有信息安全加固,这样新的数据库才能上线。
至于目前已经上线的数据库我们会考虑三个问题,不同的用户我们必须确保分别给他不同的用户权限,让他访问权限之内的数据。第二个权限是安全加固,比如说入口令的问题,因为在通信企业每年都会查出入口令的问题,可能有些安全部门为了方便查阅,密码设置很简单。我们强调透明加密,正确的用户在使用正确的应用场景下才能访问这个解密后的数据,同时为了确保数据库安全,让他能不能实现制定的数据加密,比如说存储的用户信息。事后主要通过日志审计,安全审计,我们的审计内容以三维动态展现。
这个是我们云环境下数据库的思路,我们目前考虑的是针对端数据库,在未来云环境下,包括大数据的演进,非NSDP的数据库可能就会成为我们考虑的重点方向。这个是云环境下数据库的大环境思路。
第三个是云资源统一监控,目前在云平台下面有大大小小的资源,IAAS,PAAS和SAAS等等,这样架构比较零散,无法对IAAS和PAAS、SAAS相关的资源管理监控,包括目前无法整合监控能力而作为一种对外的服务推送出去,目前我们暂时提出一种统一的监控方案,核心就是监控服务器,它可以通过不同的软件资源设立不同的代理,从而通过这个代理可以达到统一数据格式的监控,不管是TXT还是其他数据都可以通过不同的代理得到,所以通过不同的存储平台,存储相关的监控数据,然后再传输到监控服务器上面,再传达给后台数据库。这个是我们相对过往监控云平台可视化的展现。
此外,监控服务器还可以实现下发策略管理,比如说实现对各监控对象实现报警机制和报警功能,这样第一个安全实例也可以实时监控,当然后面我们会把云数据库部署到云安全里面。
云安全的未来规划
第三个部分简单谈一下对云安全下一步工作建议,我们目前正在研究三个虚拟化安全,云数据库安全,云监控相关的方案,然后后续会积极把这些方案进行整合,开发相关的云数据库,争取和各集团、各省份接洽,从而争取早日实现部署安全。同时我们建立云管理机制,因为还没有提到云评估,后续还会建立云业务安全机制,将对各种服务源IDC进行评估。
(根据刘镝在2014第七届信息主管年会上的演讲整理而成)
