任新勃 发表于:14年12月23日 17:00 [综述] DOIT.com.cn
云计算将大量计算资源、存储资源与网络资源聚集在一起,形成规模巨大的共享虚拟IT 资源池,在提高可用性的同时,也把安全问题推上了风口浪尖。如何保证云平台的安全是所有云建设者都需要面对的问题。日前,合肥在工业云平台安全建设的过程中,选择浪潮SSR操作系统安全增强系统(简称“浪潮SSR”)对平台加固,有效提升了云平台的安全性。
工业云平台对安全提出了高需求
云计算正在深入改变各行业IT架构的模式,工业企业也不例外。大型企业希望借助云计算应对规模效应递减的客观规律,最大限度优化资源配置,发挥资源整体优势;中小企业希望加快创新速度,运用较低成本的信息化手段增强各部门协同和反应速度。“工业云”正是在这样的背景下诞生的。去年,工业和信息化部提出了“工业云”创新服务,并将其列入工信部《信息化和工业化深度融合专项行动计划(2013-2018年)》中。合肥市是工信部“工业云”创新服务的试点省市,将通过工业云服务平台建设,提供云办公系统、工业设计、外勤通等功能的服务能力。
合肥工业云平台带来了更高的IT管理性与可用性,给工业企业带来了更强大的信息化能力支撑和商业模式转型的驱动力。但是,因为云计算以及虚拟化本身的特点,安全的问题更为突出。
与传统数据中心聚集着大量物理服务器类似,云计算环境中聚集着大量的虚拟服务器。运行在同一物理服务器上的虚拟机之间很容易造成相互攻击,基于物理隔离和基于硬件的安全防护手段无法防止这种情况的发生,传统针对物理机的入侵检测等安全手段也都需要扩展到虚拟机级别。本地服务器和云端虚拟机使用相同的操作系统和应用程序,进一步增加了攻击者利用这些系统和程序中的漏洞进行远程威胁的可能。当程序在本地和云平台之间移动时,虚拟机更容易受到攻击。
在云计算环境中,虚拟机的动态迁移是系统的常见状态,但是这种常见状态给安全策略下发带来了难题,在物理服务器之间克隆和发布虚拟机,安全策略可能无法保持一致,并且可能因此导致配置错误和其他安全漏洞的迅速传播。
此外,传统系统中的补丁问题在云计算环境中更为突出。工业云平台上,企业用户使用云计算资源,需要在自己的业务范围之内对系统打补丁。所以,对于补丁的维护更为分散,也就带来了更大的安全隐患。
面对云计算的复杂环境,如何把安全风险降到最低呢?在工业云的建设中,合肥市采用了非政府的专业评估机构参与评估和调查,安全专家认为操作系统是虚拟化环境的核心部分,只要保证了虚拟机操作系统的安全,就可以从源头上解决云计算环境中的这些安全隐患。
固本清源 浪潮SSR重塑工业云平台安全
“针对工业云平台的构建情况,浪潮SSR能够针对物理机和虚拟机进行加固,有效保证云平台操作系统的安全。”安全专家表示。目前,合肥工业云平台上,部署了一整套的浪潮SSR,包括物理机和虚拟机版本,保证了云平台操作系统的安全。
在云计算环境中,安全的焦点在保证虚拟机操作系统的安全,只要保证了每个操作系统的安全,就可以从源头上避免虚拟机之间的攻击以及远程威胁。浪潮SSR拦截了所有的内核访问路径,所有符合云平台规则的文件、进程、服务、权限都予以“放行”,不符合规则的就进行屏蔽。这样做的效果与重构操作系统原代码技术类似,而好处是不会影响用户的业务连续性。采用这种方式,云平台的操作系统中彻底清除了黑客攻击、儒虫和病毒感染的“生存环境”,也就从根本上解决了虚拟机之间攻击的问题。
浪潮SSR打造安全操作系统环境
针对虚拟机迁移带来的安全策略不一致问题,SSR通过在云计算环境里实施安全区域隔离,保证不同区域采用不同的安全策略,有效化解了安全策略不一致的问题。
给操作系统打补丁的问题在部署浪潮SSR之后也不再是问题,因为浪潮SSR不需要依赖病毒行为特征库来识别攻击,而是采用白名单防护技术。只要配置好SSR安全策略,管理员不再需要针对操作系统开展升级、打补丁等工作内容。从发现漏洞到修补漏洞的‘真空期’也不存在了,系统具有了相当能力的‘免疫’能力。
“浪潮SSR帮助工业云平台实现了安全能力的重要提升,保护了云计算系统中重要数据和应用的安全,从根本上免疫了目前各种针对云计算操作系统的攻击行为,防止了病毒、蠕虫、黑客攻击等对云计算操作系统和数据库的破坏。”安全专家表示。
目前,云计算的应用范围已经逐步扩大,云环境的安全问题更为突出。浪潮SSR通过主动防御机制有效地保护了云平台,为化解云计算应用中的安全威胁提供了一种重要选择。