我想跟大家分享一下聯(lián)通在云安全和技術(shù)方面的一些認(rèn)識(shí)和理解。我們對(duì)云安全方面的認(rèn)知和理解主要有三個(gè)方面。首先，我先談一下聯(lián)通在云安全方面的相關(guān)背景和需求，以及基本的研發(fā)思路。比如說(shuō)從云虛擬化安全，云數(shù)據(jù)安全，還有統(tǒng)一監(jiān)控，這三個(gè)方面來(lái)進(jìn)行開(kāi)展。然后第二部分就是針對(duì)這三個(gè)方面，我們每個(gè)方面舉出了一個(gè)研究的實(shí)例跟大家進(jìn)行分享。最后一部分就是簡(jiǎn)單談一下云安全技術(shù)研究下一步的具體工作建議。

　　云安全的背景和需求

　　由于云技術(shù)的不斷演進(jìn)，國(guó)內(nèi)企業(yè)都在研發(fā)云平臺(tái)和云系統(tǒng)。不過(guò)，國(guó)內(nèi)云計(jì)算、云系統(tǒng)的安全問(wèn)題卻比較突出。因?yàn)榻┠陙?lái)網(wǎng)絡(luò)安全事件頻發(fā)，特別是國(guó)內(nèi)國(guó)際安全方面的隱私泄露。這就導(dǎo)致云安全成為阻礙云技術(shù)發(fā)展的最大挑戰(zhàn)，因此我們針對(duì)云安全也開(kāi)展了相關(guān)的研究。首先我簡(jiǎn)單地談一下在云計(jì)算安全方面的需求，大概有三個(gè)特點(diǎn)。比如說(shuō)云計(jì)算技術(shù)的引入，可能會(huì)存在一些云平臺(tái)上實(shí)現(xiàn)的數(shù)據(jù)集中存儲(chǔ)，應(yīng)用集中部署，包括用戶(hù)集中管理的新特性。我們知道云計(jì)算里面會(huì)進(jìn)行大量的虛擬化引用，以及一臺(tái)虛擬機(jī)里面存儲(chǔ)多個(gè)用戶(hù)的數(shù)據(jù)，像這種架構(gòu)特征也是云計(jì)算的新特點(diǎn)。

　　針對(duì)以上的新特點(diǎn)我們給出了相關(guān)的云安全需求。比如說(shuō)剛剛提到的虛擬化，如何確保云平臺(tái)虛擬機(jī)制安全運(yùn)行，以及虛擬機(jī)構(gòu)虛擬網(wǎng)絡(luò)的安全，同時(shí)還包括云數(shù)據(jù)庫(kù)，數(shù)據(jù)存儲(chǔ)等等。另外，云中肯定有很多軟件資源，如何實(shí)現(xiàn)統(tǒng)一的監(jiān)管機(jī)制，來(lái)對(duì)云平臺(tái)相關(guān)的資源來(lái)進(jìn)行統(tǒng)一的監(jiān)管，還有剛才提到的多住戶(hù)的事情，怎么防御控制。包括在云狀態(tài)下的存儲(chǔ)不能滿(mǎn)足云環(huán)境下相關(guān)的適配認(rèn)證等等問(wèn)題。同時(shí)我們有諾大的云體系，針對(duì)這個(gè)云平臺(tái)風(fēng)險(xiǎn)我們是不是需要考慮云平臺(tái)的系統(tǒng)評(píng)估。

　　突破云安全桎梏

　　針對(duì)以上的云安全需求我們正在尋找突破的方向。第一個(gè)是云基礎(chǔ)設(shè)施安全，包括前面提到的虛擬機(jī)安全防護(hù)、虛擬機(jī)隔離、虛擬網(wǎng)絡(luò)的安全。第二個(gè)是云數(shù)據(jù)安全，云環(huán)境下傳統(tǒng)的安全邊界已經(jīng)模糊，不能滿(mǎn)足云環(huán)境下的安全需求，特別是數(shù)據(jù)安全需求，所以在這個(gè)環(huán)境下需要考慮數(shù)據(jù)安全，數(shù)據(jù)的加密，還包括數(shù)據(jù)后面提到的數(shù)據(jù)庫(kù)安全的實(shí)例。第三個(gè)方向是云監(jiān)控，就是計(jì)算資源在云平臺(tái)里面，如何實(shí)現(xiàn)集中管理監(jiān)控的問(wèn)題。

　　首先看云虛擬化安全，之前已經(jīng)考慮了虛擬機(jī)相關(guān)的安全防護(hù)機(jī)制，比如說(shuō)像虛擬機(jī)的防病毒，虛擬機(jī)的網(wǎng)絡(luò)安全，但是我們知道虛擬機(jī)是在HMWD虛擬機(jī)管理器上面，虛擬機(jī)管理器安全是不是需要考慮，同時(shí)這個(gè)接口接到OPSDK，是否能夠從安全角度去監(jiān)控云虛擬機(jī)里面的安全級(jí)別和安全態(tài)勢(shì)，這是一個(gè)問(wèn)題。我們是否針對(duì)這個(gè)問(wèn)題需要在多個(gè)HDSDK之上建立一個(gè)統(tǒng)一的集成管理平臺(tái)來(lái)監(jiān)管相關(guān)的HDSDK和HDSDK上面的虛擬機(jī)呢？這個(gè)是我們考慮的思路。

　　第二個(gè)方向是云數(shù)據(jù)安全，我們知道在云環(huán)境下傳統(tǒng)的數(shù)據(jù)安全不能解決云數(shù)據(jù)下的數(shù)據(jù)庫(kù)安全，同時(shí)云環(huán)境下可能會(huì)有一些新窗口，比如提供的數(shù)據(jù)庫(kù)集服務(wù)，在數(shù)據(jù)庫(kù)集服務(wù)場(chǎng)景下會(huì)不會(huì)有新的隱患，比如說(shuō)數(shù)據(jù)庫(kù)享受數(shù)據(jù)庫(kù)的業(yè)務(wù)，我把數(shù)據(jù)傳給SP了，這是不是需要第三方來(lái)監(jiān)管SP，從而確保用戶(hù)的數(shù)據(jù)不被泄露、不被篡改。然后還包括存在一些傳統(tǒng)的安全隱患，比如云平臺(tái)下處于某些攻擊上的沒(méi)有考慮安全的問(wèn)題，比如說(shuō)數(shù)據(jù)庫(kù)存儲(chǔ)。針對(duì)用戶(hù)名密碼存儲(chǔ)，一旦云平臺(tái)的門(mén)戶(hù)被攻破，黑客就可以直接竊取云平臺(tái)的數(shù)據(jù)以及用戶(hù)數(shù)據(jù)信息。通過(guò)這些，我們?cè)诳紤]云環(huán)境下數(shù)據(jù)庫(kù)的安全云框架，主要是通過(guò)事前探測(cè)，事中防護(hù)，事后預(yù)警的管控。比如說(shuō)像數(shù)據(jù)庫(kù)的補(bǔ)丁檢查，包括配置是否安全合理，數(shù)據(jù)庫(kù)是否存在相關(guān)的弱點(diǎn)，以及包括數(shù)據(jù)庫(kù)存在密碼漏洞，還有信息安全加固，這樣新的數(shù)據(jù)庫(kù)才能上線(xiàn)。

　　至于目前已經(jīng)上線(xiàn)的數(shù)據(jù)庫(kù)我們會(huì)考慮三個(gè)問(wèn)題，不同的用戶(hù)我們必須確保分別給他不同的用戶(hù)權(quán)限，讓他訪(fǎng)問(wèn)權(quán)限之內(nèi)的數(shù)據(jù)。第二個(gè)權(quán)限是安全加固，比如說(shuō)入口令的問(wèn)題，因?yàn)樵谕ㄐ牌髽I(yè)每年都會(huì)查出入口令的問(wèn)題，可能有些安全部門(mén)為了方便查閱，密碼設(shè)置很簡(jiǎn)單。我們強(qiáng)調(diào)透明加密，正確的用戶(hù)在使用正確的應(yīng)用場(chǎng)景下才能訪(fǎng)問(wèn)這個(gè)解密后的數(shù)據(jù)，同時(shí)為了確保數(shù)據(jù)庫(kù)安全，讓他能不能實(shí)現(xiàn)制定的數(shù)據(jù)加密，比如說(shuō)存儲(chǔ)的用戶(hù)信息。事后主要通過(guò)日志審計(jì)，安全審計(jì)，我們的審計(jì)內(nèi)容以三維動(dòng)態(tài)展現(xiàn)。

　　這個(gè)是我們?cè)骗h(huán)境下數(shù)據(jù)庫(kù)的思路，我們目前考慮的是針對(duì)端數(shù)據(jù)庫(kù)，在未來(lái)云環(huán)境下，包括大數(shù)據(jù)的演進(jìn)，非NSDP的數(shù)據(jù)庫(kù)可能就會(huì)成為我們考慮的重點(diǎn)方向。這個(gè)是云環(huán)境下數(shù)據(jù)庫(kù)的大環(huán)境思路。

　　第三個(gè)是云資源統(tǒng)一監(jiān)控，目前在云平臺(tái)下面有大大小小的資源，IAAS，PAAS和SAAS等等，這樣架構(gòu)比較零散，無(wú)法對(duì)IAAS和PAAS、SAAS相關(guān)的資源管理監(jiān)控，包括目前無(wú)法整合監(jiān)控能力而作為一種對(duì)外的服務(wù)推送出去，目前我們暫時(shí)提出一種統(tǒng)一的監(jiān)控方案，核心就是監(jiān)控服務(wù)器，它可以通過(guò)不同的軟件資源設(shè)立不同的代理，從而通過(guò)這個(gè)代理可以達(dá)到統(tǒng)一數(shù)據(jù)格式的監(jiān)控，不管是TXT還是其他數(shù)據(jù)都可以通過(guò)不同的代理得到，所以通過(guò)不同的存儲(chǔ)平臺(tái)，存儲(chǔ)相關(guān)的監(jiān)控?cái)?shù)據(jù)，然后再傳輸?shù)奖O(jiān)控服務(wù)器上面，再傳達(dá)給后臺(tái)數(shù)據(jù)庫(kù)。這個(gè)是我們相對(duì)過(guò)往監(jiān)控云平臺(tái)可視化的展現(xiàn)。

　　此外，監(jiān)控服務(wù)器還可以實(shí)現(xiàn)下發(fā)策略管理，比如說(shuō)實(shí)現(xiàn)對(duì)各監(jiān)控對(duì)象實(shí)現(xiàn)報(bào)警機(jī)制和報(bào)警功能，這樣第一個(gè)安全實(shí)例也可以實(shí)時(shí)監(jiān)控，當(dāng)然后面我們會(huì)把云數(shù)據(jù)庫(kù)部署到云安全里面。

　　云安全的未來(lái)規(guī)劃

　　第三個(gè)部分簡(jiǎn)單談一下對(duì)云安全下一步工作建議，我們目前正在研究三個(gè)虛擬化安全，云數(shù)據(jù)庫(kù)安全，云監(jiān)控相關(guān)的方案，然后后續(xù)會(huì)積極把這些方案進(jìn)行整合，開(kāi)發(fā)相關(guān)的云數(shù)據(jù)庫(kù)，爭(zhēng)取和各集團(tuán)、各省份接洽，從而爭(zhēng)取早日實(shí)現(xiàn)部署安全。同時(shí)我們建立云管理機(jī)制，因?yàn)檫€沒(méi)有提到云評(píng)估，后續(xù)還會(huì)建立云業(yè)務(wù)安全機(jī)制，將對(duì)各種服務(wù)源IDC進(jìn)行評(píng)估。

　　（根據(jù)劉鏑在2014第七屆信息主管年會(huì)上的演講整理而成）

　　中國(guó)聯(lián)通研究院博士后 劉鏑

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……