圖1 阿里云安全模型

云時(shí)代下的虛擬化安全主要包括虛擬服務(wù)器的加固、虛擬服務(wù)器的隔離、虛擬服務(wù)器的銷(xiāo)毀，雖然因虛擬化服務(wù)器的服務(wù)類(lèi)型的原因，以上需求已無(wú)法通過(guò)購(gòu)買(mǎi)安全設(shè)備實(shí)現(xiàn)隔離，但針對(duì)用戶(hù)和云服務(wù)商自身的安全需求仍可通過(guò)一系列的軟件手段實(shí)現(xiàn)安全隔離和訪(fǎng)問(wèn)控制。

虛擬服務(wù)器的加固

在安全流程方面，阿里云通過(guò)建立安全加固流程來(lái)保證每個(gè)交付給客戶(hù)的虛擬服務(wù)器鏡像在生產(chǎn)環(huán)節(jié)已通過(guò)安全團(tuán)隊(duì)的嚴(yán)格檢測(cè)，去除了不安全的服務(wù)、協(xié)議、端口等可能導(dǎo)致入侵的因素。

在安全技術(shù)方面，阿里云已陸續(xù)發(fā)布了CentOS 6.2 64位安全加固版、Red Hat Enterprise Linux Server 5.4 64位安全加固版Windows Server 2003標(biāo)準(zhǔn)中文版 SP2 32位已加固激活三個(gè)經(jīng)過(guò)安全加固的操作系統(tǒng);阿里云的云安全產(chǎn)品——云盾更通過(guò)提供主機(jī)入侵檢測(cè)和補(bǔ)丁自動(dòng)更新服務(wù)等手段來(lái)保證用戶(hù)虛擬服務(wù)器的安全，并針對(duì)用戶(hù)需求有針對(duì)性的對(duì)虛擬機(jī)鏡像提供加密服務(wù)。

虛擬服務(wù)器的隔離

用戶(hù)租用云服務(wù)器就好比將用戶(hù)網(wǎng)站搬進(jìn)了一個(gè)個(gè)虛擬房間，最擔(dān)心的就是破門(mén)而入的不速之客，這種安全顧慮就是由虛擬服務(wù)器而引發(fā)的網(wǎng)絡(luò)邊界模糊威脅，而解決之道不再是傳統(tǒng)信息安全環(huán)境下的防火墻之類(lèi)設(shè)備的堆砌，取而代之的是阿里云自主開(kāi)發(fā)的一系列虛擬環(huán)境下的網(wǎng)絡(luò)隔離手段。

阿里云針對(duì)不同用戶(hù)購(gòu)買(mǎi)的云服務(wù)器之間的隔離需求，在其生產(chǎn)環(huán)節(jié)由云服務(wù)器的生產(chǎn)系統(tǒng)依據(jù)訂單自動(dòng)給每個(gè)用戶(hù)的云服務(wù)器打上標(biāo)簽，不同的用戶(hù)間通過(guò)安全組進(jìn)行隔離;針對(duì)本文開(kāi)篇提及的惡意虛擬服務(wù)器用戶(hù)通過(guò)制造大量的ARP通行量來(lái)導(dǎo)致網(wǎng)絡(luò)面臨阻塞或中斷的風(fēng)險(xiǎn)，阿里云采用上述云服務(wù)器標(biāo)簽和 arptables相結(jié)合予以防范;最后為防范云服務(wù)器被入侵后成對(duì)對(duì)外攻擊源，阿里云采用以太網(wǎng)防火墻(ebtables)隔離云服務(wù)器對(duì)外部公共網(wǎng)絡(luò)的異常協(xié)議訪(fǎng)問(wèn)。

圖2 云平臺(tái)安全開(kāi)發(fā)流程

虛擬服務(wù)器的銷(xiāo)毀

針對(duì)用戶(hù)云服務(wù)器在期滿(mǎn)后的數(shù)據(jù)銷(xiāo)毀問(wèn)題，阿里云的云服務(wù)器生產(chǎn)系統(tǒng)會(huì)定期自動(dòng)虛消除原有物理服務(wù)器上磁盤(pán)和內(nèi)存數(shù)據(jù)，使得虛擬服務(wù)器無(wú)法恢復(fù)。同時(shí)，采用虛擬化在線(xiàn)管理系統(tǒng)對(duì)虛擬服務(wù)器進(jìn)行管理，對(duì)物理服務(wù)器及Hypervisor的運(yùn)維操作，遵循運(yùn)維相關(guān)流程并采用實(shí)時(shí)審計(jì)技術(shù)予以監(jiān)控。

云時(shí)代下云平臺(tái)是一切云服務(wù)的最終載體，其自身的安全態(tài)勢(shì)直接決定各項(xiàng)云服務(wù)的正常開(kāi)展，從以上虛擬化安全的控制手段已然可以發(fā)現(xiàn)通過(guò)軟件實(shí)現(xiàn)安全控制將是云安全的主要技術(shù)實(shí)現(xiàn)途徑。而云平臺(tái)自身也是軟件開(kāi)發(fā)的產(chǎn)物，由此，構(gòu)建云平臺(tái)安全就應(yīng)從云平臺(tái)的初始開(kāi)發(fā)以及云服務(wù)帶給云平臺(tái)的安全沖擊等角度予以考慮。

云平臺(tái)的開(kāi)發(fā)推薦參照軟件安全開(kāi)發(fā)周期(Security Development Lifecycle)建立安全開(kāi)發(fā)流程如圖2所示。

安全需求分析環(huán)節(jié)：應(yīng)根據(jù)功能需求文檔進(jìn)行安全需求分析，針對(duì)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架進(jìn)行溝通，形成《安全需求分析建議》。

安全設(shè)計(jì)環(huán)節(jié)：應(yīng)根據(jù)項(xiàng)目特征，與測(cè)試人員溝通安全測(cè)試關(guān)鍵點(diǎn)，形成《安全測(cè)試建議》。

安全編碼環(huán)節(jié)：應(yīng)參考例如OWASP指南、CERT安全編碼等材料編寫(xiě)各類(lèi)《安全開(kāi)發(fā)規(guī)范》，避免開(kāi)發(fā)人員寫(xiě)出不安全的代碼。

代碼審計(jì)環(huán)節(jié)：應(yīng)盡可能使用代碼掃描工具并結(jié)合人工代碼審核，對(duì)產(chǎn)品代碼進(jìn)行白盒、黑盒掃描。

應(yīng)用滲透測(cè)試：應(yīng)在上線(xiàn)前參照諸如OWASP之類(lèi)的標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。

系統(tǒng)發(fā)布：依據(jù)上述環(huán)節(jié)評(píng)價(jià)結(jié)果決定代碼是否發(fā)布。

針對(duì)云服務(wù)對(duì)云平臺(tái)的安全沖擊，例如前文提到的ODPS存在通過(guò)用戶(hù)程序包含的惡意代碼在云服務(wù)商物理機(jī)上植入后門(mén)，實(shí)現(xiàn)非法外聯(lián)、提權(quán)等一系列非法操作的風(fēng)險(xiǎn)，阿里云采用了研發(fā)虛擬化的沙箱或者解釋器級(jí)別的沙箱來(lái)予以包裝，并通過(guò)鑒權(quán)、授權(quán)等一整套安全措施來(lái)保證用戶(hù)程序中可能包含的惡意程序無(wú)法在ODPS集群上直接執(zhí)行。

回顧上述云安全帶來(lái)的挑戰(zhàn)，我們可以得出以下結(jié)論：

傳統(tǒng)網(wǎng)絡(luò)安全手段在云時(shí)代安全體系中的重要性下降了;

依靠應(yīng)用軟件實(shí)現(xiàn)的安全手段，以及應(yīng)用軟件開(kāi)發(fā)本身的安全在云時(shí)代安全體系中的重要性將大大增強(qiáng);

用戶(hù)數(shù)據(jù)的集中化管理使安全管理和運(yùn)營(yíng)的重要性日益突出。

雖然云計(jì)算的背景下，云計(jì)算安全與傳統(tǒng)信息安全的目標(biāo)仍是相同的：“保護(hù)信息資產(chǎn)的保密性、完整性、可用性”，但云計(jì)算安全的保護(hù)核心正逐步從基礎(chǔ)的信息安全風(fēng)險(xiǎn)管理轉(zhuǎn)向數(shù)據(jù)安全管理，而阿里云在國(guó)內(nèi)率先選擇以數(shù)據(jù)為核心的云服務(wù)而不僅僅是傳統(tǒng)的IDC，其基礎(chǔ)設(shè)施通過(guò)ISO27001國(guó)際認(rèn)證正是對(duì)此的有力回應(yīng)。

wangxueyang