云計算概念及其虛擬化帶來的安全挑戰(zhàn)云計算概念及其虛擬化帶來的安全挑戰(zhàn)“云計算”和“虛擬化”是目前IT建設中備受關注的兩個概念，同時也的確是標志著IT技術發(fā)展進入了一個新的階段，而這兩個抽象的概念是通過數(shù)據(jù)中心的構建和管理需求相互聯(lián)系起來?！霸朴嬎恪边@個概念是近年來興起的新理念，其目標是將計算和存儲簡化為像公共的水和電一樣易用的資源，用戶只要連上網(wǎng)絡就可以方便地使用，按量付費。但是這個目標的實質內容，則是在上個世紀中葉就已經(jīng)有提出了。就如同“虛擬化”的提出也是在上個世紀60年代IBM在360就已經(jīng)初步實現(xiàn)，也就是隨著軟硬件技術的發(fā)展，近幾年虛擬化才得到廣泛地應用。1. 什么是云計算數(shù)據(jù)中心1.1. 云計算的來源“云計算”為何被稱為“云”計算，有一種有趣的說法：我們在畫網(wǎng)絡拓撲圖時，通常用一朵云表示互聯(lián)網(wǎng)，表示那些網(wǎng)絡中對用戶透明、不需要關心的網(wǎng)絡轉發(fā)過程，因此在選擇一個名詞表示基于互聯(lián)網(wǎng)的新一代計算方式的時候，就采用了“云計算”這個名詞。當然這個解釋并不太準確，因為這朵“云”里面不僅包含了網(wǎng)絡，更包含了計算、存儲、服務和軟件等元素。云計算用于云描述包括網(wǎng)絡、計算、存儲等在內的IT基礎設施，以及包括操作系統(tǒng)、應用平臺、Web服務等在內的軟件，這樣是為了強調對這些資源的運用而不是他們實現(xiàn)的細節(jié)。1.2. 云計算的定義云計算的概念提出時間并不太長，對其解釋也是百家爭鳴，這里我們采用IBM的解釋。IBM認為云計算是一種共享的網(wǎng)絡交付信息服務的模式，云服務的使用者看到的只有服務本身，而不用關心相關基礎設施的具體實現(xiàn)。云計算是一種革新的IT運用模式，其核心原則是：硬件和軟件都是資源，并封裝為服務，用戶可以通過互聯(lián)網(wǎng)按需地訪問和使用。云計算包含四個關鍵要素： 硬件和軟件都是資源，通過互聯(lián)網(wǎng)以服務的方式提供給用戶。 這些資源都可以根據(jù)需要進行動態(tài)擴展和配置。 這些資源在物理上可以是分布式的共享方式存在，但最終在邏輯上以單一整體的形式呈現(xiàn)。 用戶按需使用云中的資源，按實際使用的量付費，而不需要管理它們。1.3. 云計算的分類及層次架構1.3.1. 按服務類型分類所謂云計算的服務類型，就是指其為用戶提供什么樣的服務；通過這些服務，用戶可以獲得什么樣的資源；以及用戶該如何去使用這樣的服務。按照云計算的服務類型，云計算可以分為三類： 基礎設施云（Infrastructure Cloud）典型的范例是Amazon EC2。這種云為用戶提供底層的、接近于直接操作硬件資源的服務接口。通過調用這些接口，用戶可以直接獲得計算和存儲能力，而且非常靈活，幾乎不受邏輯上的限制，但是用戶需要進行大量的工作來設計和實現(xiàn)自己的應用。順便提一下，Amazon 的EC2采用的是XEN的虛擬技術來構建其數(shù)據(jù)中心的。 平臺云（Platform Cloud）典型的范例是Google App Engine。這種云為用戶提供一個托管平臺，用戶可以將他們所開發(fā)的和運用的應用托管到云平臺中。但是這個應用的開發(fā)和部署必須遵守該平臺特定的規(guī)則和限制，如編程語言、框架、數(shù)據(jù)存儲模型等。通常，能夠在該平臺上運行的應用類型也會受到一定的限制。比如Google App Engine主要為Web應用提供運行環(huán)境。但是，一旦客戶的應用開發(fā)和部署完成，所涉及的其他管理工作，如動態(tài)資源挑戰(zhàn)等，都將由該平臺層負責。實際上某些應用云的廠商也逐漸向平臺云上發(fā)展，例子就是八百客，這是一家復制Saleforce成功經(jīng)驗的國內CRM應用云供應商，目前也開始向客戶提供開發(fā)平臺，從而實現(xiàn)向平臺云供應商的遷移。（我們都知道應用程序的最大問題就是客戶需求在細節(jié)上的善變性和差異性，八百客將開發(fā)平臺交給客戶自己去處理，應該說是一種非常好的策略，也符合互聯(lián)網(wǎng)的Open趨勢） 應用云（Application Cloud）典型范例是S，這是一家由Oracle前VP創(chuàng)建的一家CRM供應商。這種云為用戶提供可以為其直接使用的應用，這些應用一般是基于瀏覽器的，針對某一特定的功能。應用云最易被用戶使用，因為都是開發(fā)完成的軟件，只需要進行一些定制就可以交付。但是其靈活性也是最低的，因為一種應用云只是針對一種特定的功能，無法提供其他功能的應用。1.3.2. 按服務方式分類云計算作為一種革新性的計算模式，同時也帶來了一系列的挑戰(zhàn)。首先是安全問題，其次是可靠性問題，最后還有監(jiān)管問題。有些企業(yè)希望自己的IT部門完全被公司所掌握，不受外界的干擾和控制。雖然云計算可以通過系統(tǒng)隔離和安全保護措施為用戶提供有保障的數(shù)據(jù)安全，通過服務質量管理來為用戶提供可靠的服務，但是有可能不能滿足用戶的所有預期。針對這一系列的問題，業(yè)界按照云計算提供者與使用者的所屬關系，將云計算分為公有云、私有云和混合云。一般來說，對安全性、可靠性及其IT可監(jiān)控性要求高的公司或組織，如金融機構、政府、大型企業(yè)等，都是私有云的潛在使用者。因為他們已經(jīng)擁有了規(guī)模龐大的IT基礎設施，因此只需要進行少量的投資，將自己的IT系統(tǒng)升級，就可以用于云計算帶來的靈活性與高效。除此之外，他們也可以選擇混合云，將一些對安全性和可靠性需求較低的應用，如人力資源管理等，部署在公有云上，來減輕自身IT基礎設施的負擔。有相關分析指出，一般中小型企業(yè)和創(chuàng)業(yè)公司將選擇公有云，而金融機構、政府機構和大型企業(yè)則更傾向于私有云或混合云。1.3.3. 云計算的架構與云計算中的基礎設施云、平臺云和應用云相對應，典型的云計算架構分為三個基本層次：基礎設施層、平臺層和應用層。 基礎設施層基礎設施層是經(jīng)過虛擬化后的硬件資源和相關管理功能的集合。云的硬件資源包括了計算、存儲和網(wǎng)絡等資源?；A設施層通過虛擬化技術對這些物理資源進行抽象，并且實現(xiàn)了內部流程自動化和資源管理優(yōu)化，從而向外部提供動態(tài)、靈活的基礎設施層服務，即IaaS。（我們的安全設備也是位于這個層次上的） 平臺層介于基礎設施層和應用層之間，具有通用性和可復用性的軟件資源的集合，為云應用提供了開發(fā)、運行、管理和監(jiān)控的環(huán)境。平臺層是優(yōu)化的“云中間件層”，能夠更好地滿足云的應用在可伸縮性、可用性和安全性方面的要求。 應用層是云上應用軟件的集合，這些應用構建在基礎設施層提供的資源和平臺層提供環(huán)境之上，通過網(wǎng)絡交付給用戶。云應用種類繁多，第一類主要是滿足個人用戶的日常生活辦公需求，如文檔編輯、日歷管理、登錄認證等；第二類主要面向企業(yè)和機構用戶的可定制解決方案， 比如財務管理、供應鏈管理和CRM等；第三類是由獨立軟件開發(fā)商或開發(fā)團隊為了滿足某一特定需求而提供的創(chuàng)新型應用，一般是在公有云平臺上搭建。對于云供應商來說，交付的層次越高，其內部需要實現(xiàn)的功能就越多。例如Amazon EC2為用戶提供的是虛擬化的硬件資源，并提供對這些資源的管理；Google App Engine除了需要對硬件資源進行抽象和管理外，還要為用戶提供統(tǒng)一的應用開發(fā)和運行環(huán)境；對Salesforce CRM，不僅要提供對底層硬件和上層軟件平臺的支持，還要為用戶開發(fā)立即可用的軟件或者軟件功能模塊。除了上述的劃分為，也有一些派生子服務，比如由網(wǎng)絡設備供應商提出的Communication/Connection as a Service，CaaS；對運行環(huán)境提供監(jiān)控的Monitor as a Service，MaaS；還有安全即服務SaaS（這和軟件即服務SaaS的縮寫相同）。1.4. 云計算的基礎在技術層面上，云計算之所以出現(xiàn)，是有6個方面的推動： 芯片和硬件技術的飛速發(fā)展，使得硬件能力激增、成本大幅下降。 虛擬化技術已經(jīng)成熟。 SOA架構的廣泛應用。 SaaS模式的流行。 網(wǎng)絡帶寬和可靠性有了質的提高。 Web2.0技術的流行改變了人們使用互聯(lián)網(wǎng)的方式。其中虛擬化技術是云計算中最關鍵、最核心的技術基礎。2. 虛擬化虛擬化概念的提出是在上個世紀的50年代，60年代的時候IBM在大型機上實現(xiàn)了虛擬化的商用，隨著硬件技術的提升，基于X86體系架構的服務器虛擬化技術在本世紀蓬勃發(fā)展。虛擬化技術的普及直接為數(shù)據(jù)中心的整合提供了基礎。2.1. 虛擬化的定義關于虛擬化定義的表述方式也有很多，我們還是采用IBM的定義，“虛擬化是資源的邏輯表示，它不受物理限制的約束”。這里，資源可以是各種硬件資源，如CPU、內存、存儲、網(wǎng)絡；也可以是各種軟件環(huán)境，比如操作系統(tǒng)、文件系統(tǒng)、應用程序等。虛擬化的主要目標是對包括基礎設施、系統(tǒng)和軟件等IT資源的表示，訪問和管理進行簡化，并為這些資源提供標準的接口來接收輸入和提供輸出。2.2. 虛擬化的類型 基礎設施虛擬化基礎設施虛擬化包括網(wǎng)絡虛擬化、存儲虛擬化。網(wǎng)絡虛擬化是指將網(wǎng)絡的硬件和軟件資源整合，向用戶提供虛擬網(wǎng)絡來連接的虛擬化技術。網(wǎng)絡虛擬化可以分為局域網(wǎng)絡虛擬化（VLAN）和廣域網(wǎng)絡虛擬化(VPN)。存儲虛擬化是指為物理的存儲設備提供一個抽象的邏輯視圖，用戶可以通過這個視圖中的統(tǒng)一邏輯接口來訪問被整合的存儲資源（RAID、NAS、SAN）。 系統(tǒng)虛擬化系統(tǒng)虛擬化即是在同一臺物理機上運行多個獨立的操作系統(tǒng)。在操作系統(tǒng)內部看來，與使用直接安裝在物理計算機上的操作系統(tǒng)沒有顯著差異。系統(tǒng)虛擬化的核心思想是使用虛擬化軟件在一臺物理機上虛擬出一臺或多臺虛擬機。虛擬機是指使用系統(tǒng)虛擬化技術，運行在一個隔離環(huán)境中，具有完整硬件功能的邏輯計算機系統(tǒng)，包括客戶操作系統(tǒng)和其中的應用程序。系統(tǒng)虛擬化最大的價值就在于服務器虛擬化。另外還有新的變形，即虛擬桌面VDI。目前主流的服務器虛擬化產(chǎn)品有：思杰的XEN；IBM的PowerVM、zVM；微軟的Hyper-V；VMWare的ESX Server。 軟件虛擬化業(yè)界公認的軟件虛擬化技術主要包括應用虛擬化和高級語言虛擬化，比如JAVA。3. 服務器中虛擬網(wǎng)絡層的引入帶來的安全挑戰(zhàn)服務器虛擬化后，在服務器內部增加的虛擬網(wǎng)絡層，對于傳統(tǒng)的數(shù)據(jù)中心安全架構帶來兩方面的挑戰(zhàn)： 在同一物理服務器上的多臺VM間，可通過服務器內部的虛擬網(wǎng)絡之間通信，這短路掉了傳統(tǒng)的數(shù)據(jù)中心防火墻的安全防護。在傳統(tǒng)的數(shù)據(jù)中心內，不同的應用分布在不同的物理服務器上，在靠近物理服務器的位置會部署安全設備比如防火墻，用以提供隔離、狀態(tài)防護、入侵檢測等安全保護。當服務器虛擬化后，在物理服務器內部存在多個虛擬機VM，每個虛擬機承載不同應用；同時，物理服務器內部，還由于虛擬化引入了新的虛擬網(wǎng)絡層，具體就是一個虛擬交換機，同一物理服務器內部的不同虛擬機間的流量可以通過內部的虛擬交換機直接通信，不再通過外部的物理防火墻，因此原有的安全防護機制失效了。且不提我們在管理上，期望監(jiān)控應用間的通信情況時，也無法實現(xiàn)。 VM在同一數(shù)據(jù)中心內的不同服務器間遷移、或者跨數(shù)據(jù)中心站點的遷移時，傳統(tǒng)的數(shù)據(jù)中心防火墻上預先配置的安全策略無法跟隨，這帶來安全漏洞。在傳統(tǒng)數(shù)據(jù)中心里，為服務器提供安全防護的防火墻等設備，都是基于安全策略，針對具體服務器做好了固定的配置。而在虛擬化的數(shù)據(jù)中心里，出于負載均衡、資源動態(tài)調整、高可用性、服務器硬件維護甚至是節(jié)約電源的目的，虛擬機會在數(shù)據(jù)中心內手工或者動態(tài)地遷移，即虛擬機從一臺物理服務器遷移到另一臺物理服務器，此時外部防火墻無法感知虛擬機的位置變化，因此針對具體應用的安全策略無法跟隨，這又導致的新的安全漏洞。4. 業(yè)界針對此安全挑戰(zhàn)的解決方向4.1. 虛擬防火墻方向首先我們在部署FW時，希望防火墻越靠近服務器（應用）越好，既然服務器虛擬化在服務器內部引入了新的虛擬化層，那么在服務器內部的虛擬網(wǎng)絡層中再增加虛擬防火墻，提供物理世界中的防火墻相同的功能。目前我們看到的有Altor公司的虛擬防火墻(該公司已被J公司收購)，該防火墻利用hypervisor提供API（如VMWare ESX Server提供的VMSafe API）進行了實現(xiàn)。但由于目前的hypervisor有多種類型，比如VMWare的/XEN/Hyper-V，都需要針對上述虛擬化平臺分別開發(fā)。另外，我們注意到了新的開源項目OpenVSwitch，該項目不僅實現(xiàn)了基本的2層交換機功能，而且希望實現(xiàn)為多層交換機，也提供部分防火墻功能，目前已經(jīng)可以實現(xiàn)基于ACL的安全保護。4.2. 802.1Qbg 兼容的解決方向就像我們上面提到的，這個安全挑戰(zhàn)就是來源于虛擬機之間的通信可以在物理服務器內部完成，短路掉了物理防火墻，那么，針對此類虛擬機的流量，強制將虛擬機的流量轉發(fā)到外部，在通過物理防火墻的檢查后，再轉發(fā)回該物理服務器。這樣也能解決問題。IEEE802.1Qbg就是定義這種流量強制轉發(fā)的機制。5. 云計算在安全方面的技術挑戰(zhàn)虛擬化是云計算的基礎，但不是全部，云計算有著更宏大的范圍，在安全方面的挑戰(zhàn)來說，也不是一個層面的。5.1. 安全性在云計算的環(huán)境中，用戶不再擁有基礎設施的硬件資源，軟件都運行在云中，業(yè)務數(shù)據(jù)也存儲在云中，因此云計算安全關系到云計算這種革命性的計算模式是否能夠被業(yè)界接受。云計算的安全問題主要有兩個方面：一是云計算自身環(huán)境特有的安全問題，而是云計算會怎樣改變現(xiàn)有的軟件系統(tǒng)安全防護模式。從第一個方面來說，傳統(tǒng)的觀念認為將信息保存在自己可控制的環(huán)境內，比存放在不了解、不熟悉的地點更安全。因此云計算在安全領域遇到的第一個問題，就是傳統(tǒng)用戶無法認可自己不可控的環(huán)境能夠提供更好的安全性。其實，用戶的個人電腦或者中小型服務器、數(shù)據(jù)中心，遠沒有云計算環(huán)境安全。因為在云計算環(huán)境中，數(shù)據(jù)中心和它運行的基礎服務都有專業(yè)的機構和人員進行運營和管理，他們遠比個人用戶及中小企業(yè)的IT管理員更有安全管理的經(jīng)驗。同時，云計算提供的規(guī)模效應，用戶可以在付出更小成本的情況下享受更高級別的安全服務。不過，云計算還有一些安全問題有待解決。由于云計算最開始是在企業(yè)內部網(wǎng)絡運行，并不對外開發(fā)，因此云計算在設計之初沒有太多考慮安全性問題，從而導致云計算安全的一系列問題。首先，傳統(tǒng)的IT系統(tǒng)是封閉的，存在于企業(yè)內部，對外暴露的只有網(wǎng)頁服務器、郵件服務器等少數(shù)接口，因此只需要在出口設置訪問控制、防火墻等安全措施，就可以解決大部分安全問題。但在云計算環(huán)境下，云暴露在公開的網(wǎng)絡中，任何一個節(jié)點及它們的網(wǎng)絡都可能受到攻擊，因此安全模式需要從“據(jù)敵于國門之外”改變?yōu)椤叭窠员?，處處作?zhàn)”，而大多數(shù)安全廠商還沒有準備好迎接這樣的場景。其次，在云環(huán)境中，用戶的服務系統(tǒng)更新和升級大多數(shù)是由用戶在遠程執(zhí)行的，而不是采用傳統(tǒng)的在本地按版本更新的方式。另外一個嚴重的問題還不是技術層面的，而是政策法規(guī)層面的。雖然人們經(jīng)常把將數(shù)據(jù)存在云環(huán)境中與把錢存在銀行中做類比，但是云環(huán)境與銀行的最大區(qū)別就在于，銀行業(yè)是一個傳統(tǒng)的行業(yè)，有相應的法規(guī)來規(guī)范銀行的流程和制度，另外國家或者相關機構對銀行的信譽進行了擔保，而對于云環(huán)境來說，目前缺乏有效的規(guī)范和立法，云環(huán)境提供商的信譽完全依靠于用戶的認同感，對云計算環(huán)境的規(guī)范和立法，也是一個需要關注的問題。目前應對云的安全問題，有一個傳統(tǒng)的技術可以派上用場，就是VPN。VPN在云計算出現(xiàn)之前就已普遍的應用于企業(yè)網(wǎng)絡中，一個典型的場景是，企業(yè)對自己的網(wǎng)絡設置的防火墻和安全策略，在默認的情況下，如果用戶處于企業(yè)外部的網(wǎng)絡，由于他不在企業(yè)內部的網(wǎng)段之內，他就無法訪問很多企業(yè)內部受到保護的服務。但在很多情況下，用戶需要在家庭、賓館、戶外等場所介入企業(yè)網(wǎng)絡以實現(xiàn)移動辦公，這是就可以使用VPN。VPN會給移動用戶提供一個虛擬的企業(yè)內部的網(wǎng)絡地址，用戶通過身份認證、授權等方式，利用這個虛擬地址介入企業(yè)內部網(wǎng)絡，進行辦公。VPN的這種使用場景在云計算的環(huán)境內可以得到很好的應用，云服務器提供商以及云用戶可以設置靈活的訪問控制策略，使得用戶還是像在傳統(tǒng)的局域網(wǎng)內一樣使用云，由此在一定程度上克服云計算的安全問題。換句話說，我們的設備可以作為VPN網(wǎng)關部署在云計算數(shù)據(jù)中心的Internet邊界。5.2. 信息保密信息保密與信息安