云数据中心安全设计要点

安全综述

安全设计的目标：

在设计过程中，充分考虑系统各个层面的安全性，消除或尽可能减少系统中的不安全因素，从而保证系统持续稳定地运行。

安全设计的原则（用以指导如何检验一个系统的安全性）：

1.     隔离性，云数据中心的各个组成部分都有各自的安全防护措施，当某一个部分出现故障时应尽可能减少对其他部分的影响。

2.     完整性，安全设计必须为整个系统提供全方位的安全防护，云数据中心的安全是一个完整的体系，任何一个环节出现问题都可能导致整个安全系统形同虚设；

3.     平衡性，在满足安全需求的前提下应该尽可能简化使用者的安全环境，尤其是云租户的安全操作环境。

4.     其他，如最小特权，纵深防御等。

安全规范

SC27云计算安全与隐私保护相关标准结构

ISO27000 信息安全管理体系

 

安全规范是一个参考，具体的安全策略和措施不可能完全按照标准中的规定实施，但这些标准可以作为整个系统安全设计的检查指标，客观的给出云数据中心的安全测评。

 

各个层面的安全措施

机房配套层

温度，湿度，供水，供电

保障整个系统的温度，湿度在一个合适的范围内，以使系统健康稳定的运行

供水供电方面主要是防止一些突发性的自然或人为灾害，如火灾，地震等

具体措施有：

       建立一套完整的告警上报系统（自动化），当硬件设备（空调，发电机等）或者环境状况出现异常，告警装置应该及时的做出反应（发出声音或者拨打电话）

       定期的人为巡检，按照清单进行安全检查，防止告警系统本身出现故障而带来严重损失。

基础设施层（重点）

基础设施层既包括硬件也包括软件，可以分为三个主要方面，计算，存储，网络。

计算资源的安全保障主要有对CPU，内存，虚拟机状态的实时监控和告警上报，针对潜在的威胁进行周期性的安全检查

存储资源安全依赖于冗余设计，主要侧重三个方面——数据泄露，数据丢失和数据篡改，具体的实现技术有raid，备份，存储多路径，访问控制，日志等。

网络资源的保护主要关注网络的可达性和服务质量（QoS）两个方面，相关的二层，三层技术较多，比如VLAN，端口隔离，Smart Link，包过滤，VPN技术等，为了防止单点故障可以在汇聚，核心层都做适当的冗余。在部署整个数据中心的网络环境时可以参考上面这张物理架构图。

除了传统的网络技术提供的安全保障外，采用VxLAN实现Overlay，可以解决多租户隔离安全问题。

总的来说，云数据中心的基础设施安全依赖于硬件和软件，除了采用更加合理的安全措施外，采用安全性更高的硬件设备和软件产品也是极为重要的，上述提到的这些安全技术都已在各种硬件，软件平台上有相应的实现，在云数据中心的实施过程中注意开启相关功能即可。

平台软件层（次重点）

平台软件主要是指数据库，服务器中间件（如tomcat）等为其他应用提供支持的软件，这类软件出现问题往往会影响许多上层业务。

平台软件层面临的安全威胁主要有管理员误操作，黑客恶意攻击等，具体而言有sql注入，暴力破解，特权提升等手段；

为了保证云数据中心平台软件层安全可靠一方面要加强数据中心管理人员的安全意识，二是要对系统进行严格的安全审计，建立完整的认证授权访问系统，适当的安装一些防病毒软件，如软件防火墙和入侵检测系统。

应用软件层

应用软件是云租户自行管理，维护的业务系统，数据中心管理员很难对其进行有效的监管，因此应用软件层的安全措施主要在于对用户的登录认证过程严格监督，采集相关的网络流量交由大数据平台进行分析处理，从而规范用户的行为，保障整个云平台的高可用性。基础设施层提供的安全隔离功能为租户的应用安全提供了天然的防护。

具体而言，可以采用如下措施：

1)        ssh作为云租户的远程接入方式，禁止密码登录

2)        设立严格的安全组规则，只开放必要的端口等

安全威胁及应对

DDoS

DDoS是分布式拒绝服务的简称，攻击原理简单来说就是攻击者控制一个具有一定规模的僵尸网络对目标主机发起网络连接，当访问请求过多时就会导致服务器无法响应其他正常的网络访问请求，从而导致服务器瘫痪。近年来，攻击者还尝试用DNS的漏洞和不正确的配置来进行攻击，如DNS反射攻击。

云数据中心相比于传统数据中心具有更多的计算和网络资源，因而对于通常的大数据泛洪攻击而言具有天然的抵御能力，然而通过增加资源来防止服务中断有一些缺点，比如成本偏高。

因而，更为智能的做法是收集流量日志并基于阈值告警，或者利用专用的设备和软件检测网络层和应用层不同类型的攻击，比如华为的AntiDDoS8000。

防火墙技术

       防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。

       虚拟化技术的引入，使得云数据中心的网络边界变得模糊，除了在数据中心物理网络边界部署物理防火墙产品外，云操作系统和租户自行管理的虚拟机也应具有相应的软件防火墙。

入侵检测和入侵防御系统

 

IPS和IDS的比较：http://blog.cechina.cn/huarong/443555/message.aspx

 

参考资料:

云计算面临的九大安全威胁：http://netsecurity.51cto.com/art/201305/396528.htm

安全设计十大原则：http://www.docin.com/p-939240183.html

黑客攻击数据库的六大手段：http://www.jb51.net/hack/5888.html

云数据中心安全解决方案：https://wenku.baidu.com/view/e2af657849d7c1c708a1284ac850ad02de8007bb.html

https://wenku.baidu.com/view/e4cad25ef524ccbff02184ce.html?re=view

防御DDoS：https://www.aliyun.com/zixun/content/2_11_474636.html

基于云的DDoS缓解方案：http://www.freebuf.com/articles/others-articles/10412.html

 

 

延伸阅读：

如何理解安全?

       安全的主体应该是人，计算机系统受到侵害实际上损害的是系统所有者和使用者的利益。

 

漏洞扫描与渗透测试

漏洞扫描和渗透测试是所有PaaS和基础设施即服务（IaaS）云安全技术都必须执行的。无论他们是在云中托管应用程序还是运行服务器和存储基础设施，用户都必须对暴露在互联网中的系统的安全状态进行评估。

对于在PaaS和IaaS环境中测试API和应用程序的集成来说，与云供应商协作的企业应重点关注处于传输状态下的数据，以及通过绕过身份认证或注入式攻击等方式对应用程序和数据的潜在非法访问。

云安全技术配置管理

云安全技术中最重要的要素就是配置管理，其中包括了补丁管理。

在SaaS环境中，配置管理是完全由云供应商负责处理的。如有可能，客户可通过鉴证业务准则公告（SSAE）第16号、服务组织控制（SOC）报告或ISO认证以及云安全联盟的安全、信任和保证注册证明向供应商提出一些补丁管理和配置管理实践的要求。

在PaaS环境中，平台的开发与维护都是由供应商来负责的。应用程序配置与开发的库和工具可能是由企业用户管理的，因此安全配置标准仍然还是属于内部定义范畴。然后，这些标准都应在PaaS环境中被应用和监控。

云安全技术的安全控制

云供应商负责所有基础设施的运行，其中包括了虚拟化技术、网络以及存储等各个方面。

它还负责其相关代码，包括了管理界面和API，所以对它的开发实践和系统开发生命周期的评价也是非常必要的。只有IaaS客户会对整个系统规格拥有真正的控制权；如果虚拟机是基于一个供应商提供的模板而部署的，那么在实际使用前也应对这些虚拟机进行仔细研究并确保其安全性。[1]

云安全技术的关键

云安全技术关键在于首先理解客户及其需求，并设计针对这些需求的解决方案，例如全磁盘或基于文件的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理（SIEM）、日志分析、双重模式身份验证、物理隔离等等。

云安全技术的安全标准包括支付卡行业数据安全标准（PCI DSS），一个供企业保护信用卡信息的专用信息安全标准。2002年的Sarbanes-Oxley法案（SOX），它要求对支持企业披露准确性和可靠性的数据进行保护和存储。1996年的健康保险流通与责任法案（HIPAA），它规定了受保护健康电子信息的国家级安全性标准。

 

云安全技术的分类

 

云安全从性质上可以分为两大类，一类是用户的数据隐私保护，另一类是针对传统互联网和硬件设备的安全。

在云安全技术方面，首先是多租户带来的安全问题。不同用户之间相互隔离，避免相互影响。云时代，需要通过一些技术防治用户有意或无意识地"串门"。

其次，采用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心，一旦租用第三方的云平台，那么这里面就存在服务提供商管理人员权限的问题。

1)       数据安全：云环境下，用户数据直接在云端计算与存储，数据的所有权与管理权相分离，带来了云环境下的数据安全问题。现阶段，云中数据安全防护技术主要有：增强加密技术、密钥管理、数据隔离、数据残留。

2)       虚拟化安全：虚拟化技术加强了基础设施、软件平台、业务系统的扩展能力，同时也使得传统物理安全边界逐渐缺失，以往基于安全域/安全边界的防护机制已经难以满足虚拟化环境下的多租户应用模式，用户的信息安全、数据隔离等问题在共享物理资源环境下显得更为迫切。 由于虚拟化技术的引入，云环境中涉及虚拟化软件安全和虚拟服务器安全两个问题。虚拟化带来的安全问题也只是才刚刚起步，虚拟环境中的安全机制与传统物理环境中的安全措施相比，仍有较大差距。所以，想要迁移至云计算环境中的用户需详细了解用户与云服务提供商所要承担的安全责任，安全的云计算环境需要用户与云服务商共同来维护。 　　

3)       终端安全：随着云计算的发展，云终端得以出现。目前可以从终端安全基础设施、终端硬件芯片可信技术、操作系统安全机制、终端应用安全更新机制等四个方面进行终端安全防护。 　　

4)       应用安全：由于云环境的灵活性、开放性以及公众可用性等特性，给应用安全带来了很大挑战。云服务提供商在部署应用程序时应当充分考虑可能引发的安全风险。对于使用云服务的用户而言，应提高安全意识，采取必要措施，保证云终端的安全。例如，用户可以在处理敏感数据的应用程序与服务器之间通信时采用加密技术，以确保其机密性。云用户应建立定期更新机制，及时为使用云服务的应用打补丁或更新版本。

DoS 和DDoS 攻击

此外，应当留意应用层的DoS 和DDoS 攻击，它可潜在的破坏云计算服务相当长的时间。这些攻击通常来自互联网上被感染的计算机系统（通常，黑客劫持并控制被感染的电脑，这些电脑被病毒、木马、恶意软件以及有时是被强大的未受保护的服务器所感染）。应用程序级DoS 攻击可以表现为大量的网页重新加载，XML 注25Web 服务请求（通过HTTP 或HTTPS），或者是云计算服务支持的特定协议的请求。由于这些恶意请求包含在合法流量当中，在不影响整体服务的情况下进行选择性的恶意流量过滤往往是极度困难的。例如，2009 年8月6日针对Twitter 的DDoS 攻击，使其服务终止了数小时（参见图3-3 ）。

 

图3-2 ：软件开发生命周期

 

除了破坏云计算服务，DoS 攻击还会造成不良的用户体验并影响服务质量，DoS 攻击可以快速榨干公司在云计算服务方面的预算。对按使用付费的云计算应用程序的DoS 攻击会造成云计算使用费用的急剧增加：对网络带宽、CPU 和存储的消耗会增加。这种类型的攻击也被定性为拒绝经济可持续性（EDoS）。

中小企业采用云计算的门槛低，使用方便，这也为黑客提供了发挥空间。通过对用户账户的劫持及利用，黑客将能够把计算资源连接到一起实现大量计算，而这些并不需要支付任何基础设施的资金费用。在不久的将来，你将可以见证从IaaS 或PaaS 云计算中发起的对其他云计算服务的DoS 攻击（这种敌对的攻击性云计算模式被定性为“乌云”）。

终端用户的安全

作为云计算服务的用户，你对终端用户的安全负有责任，即保护你连接到互联网的个人电脑的安全，实现“安全冲浪”。保护措施包括在你连接到互联网的电脑上使用安全软件，如反恶意软件、反病毒、个人防火墙、安全补丁以及入侵防御系统等。“浏览器就是你的操作系统”的说法恰当地说明了浏览器的重要作用，对于使用云计算服务的用户而言，它成为了无所不在的“操作系统”。几乎所有的互联网浏览器经常会因为软件漏洞而遭殃，终端用户安全很容易因此遭到攻击。因此，我们建议云计算用户采取合适的步骤以保护浏览器不受攻击。为了达到云计算终端到终端的安全，用户保持浏览器的良好安全状态是很必要的。这就需要对浏览器（例如Internet Explorer 、Firefox 和Safari）安装补丁和升级以降低浏览器漏洞的威胁。目前，虽然浏览器安全插件还没有商业化，用户还是应当定期关注其浏览器提供商的网站上的安全更新，并使用自动升级功能，及时安装补丁以维护终端用户的安全性注27 。