惠普云安全性 — 为云服务消除后顾之忧

在当前的全球竞争和紧缩经济的形势下,许多企业都迫切希望采用云服务而获得渴望的业务实利。但它们也为如何确保云服务的安全性而犹豫。事实上,如果企业的应用和核心数据的安全性不能得到切实保障,大多数企业客户都只能在采用云的诱人实效面前裹足不前。唯一的出路是:积极推动企业采用云,同时又为他们进入云提供全面的安全保障服务。本文将以惠普的IT战略与架构(ITSA)方法学为基础,从业务、功能、技术和实施等角度,分析探讨云安全性的实现和方法。

确保云服务安全性的重要意义

在IT发展历史上,每一项新技术在提供许多诱人好处的同时,也必然会改变(或部分改变)原来行之有效的应用模式,和带来一些与之俱来的隐患和担忧。在这种转折关头,是抓住机遇、克服负面影响、满怀信心地采用新技术,还是畏缩不前?事实上,IT技术就是在这样的避害趋利的过程中不断发展的。

远的不说,上世纪90年代,随着Internet的发展,出现了基于Web的N-层分布式应用模式。许多企业用户一方面渴望采用Internet新技术,同时也担忧利用Internet作为广域通信介质,带来的种种问题,特别是安全性的隐患。在那一段时期里,新的安全解决方案的产生为企业跨入Internet和采用Web技术保驾护航,实现了既获得实利又避免负面影响的双赢局面。很显然,如果人们当年在Internet和Web面前畏缩不前,就不可能有当前IT的种种辉煌成就,也不可能使IT成为经济全球化的支柱。

今天历史又在重演。作为Internet的新型服务交付模式 – 云服务,给企业用户带来了许多畅想空间,也给云服务供应商带来了无限的商机。面对剧烈的全球竞争,企业用户需要更大规模的资源共享、更快的服务交付速度,而云就可以帮助他们实现这一目标。分析界人士指出:"单是这一点就保证了未来几年内云模式对企业的重要性。" 此外,云能够帮助企业减少IT前期资本投资、减少对内部IT技术人员的需求。企业用户只需要按照IT公用化服务的模式为实际使用的资源支付费用。从这一意义上讲,如图1所示,云服务是面向服务体系结构和公用服务计算深层次紧密结合的产物,大大加速了IT服务向象水电一样服务公用化方向发展的步伐。

虽然传统的IT系统也必须确保安全,但是云服务系统的高度分布性和多租户应用模式的资源共享、支持全球级用户和更加松散耦合等特性,使得基于云的服务系统的不确定性往往起源于更广泛、更复杂的可变因素,更加难以确保其安全。而这些问题如果不能得到妥善的解决,并且在云消费者和供应商之间通过服务等级协议(SLA)加以明确规定,广大的企业用户是不可能把自己关键任务应用托付给云供应商的。

事实上,过去采用传统技术时,我们也经常听到:一些本来应该高度保密的系统被黑客攻击和闯入、涉及到成千上万用户的公用服务系统因故障而停止服务。但我们并没有因此被吓倒,而不敢使用Internet。如今,IT 要向"一切皆服务"方向发展、IT服务要向"公用化"模式发展、IT技术要从预装软件向基于Internet服务交付方向发展。这些都是IT发展的大方向。因此,必须以前进和发展的观点来推动云的发展。一方面,要积极建设基于云的服务系统、加速云的应用推广;另一方面,又要针对云的特点,在安全性等领域给予全面保障。但即便如此,就像传统IT系统至今仍然面临黑客和病毒威胁一样,基于云的服务系统的发展也不可能是一帆风顺的。云终将遵循新生事物的发展规律,在克服困难和总结经验教训的曲折过程中走向光明的未来。不管怎样,加强对云服务系统的安全保障,无疑是加速这一进程的必要和有效举措!

构建安全云服务的方法学

根据分析机构IDC最近的研究,企业用户对云服务的所有担心中有三个最大的担心:安全性、性能和可用性。其中最为集中的是如何保障云服务的安全性。在这方面,云服务系统必须探测和消除安全弱点,确保系统各个层次和数据的安全,实现:确保基于云的应用得到充分安全防卫,防止云服务遭受到黑客或病毒的非法攻击;确保基于云的应用设计成能够防止非法数据访问、充分保护数据机密性和完整性;防止恶意入侵和意外访问对性能产生负面的影响。
科学的分析和实践的经验都表明, 孤立的技术、头痛医头脚痛医脚的临时措施都不可能真正满足云服务安全保障的要求,必须在科学的方法学(见图2)指导下制订全面覆盖云服务各个层次(从硬件平台、云服务软件层次结构直到最终用户设备)的安全战略,构建完整的安全云服务解决方案,方能提供持续的安全云服务。

安全性的标准:必须满足ISO 27001 国际安全性标准定义的技术和操作目标;

用户应用实例:允许每个用户方便地构建和维持可供多个服务使用的应用实例;

支持多设备和地点访问:允许消费者从多个交易点和多消费者共享的设备访问服务;

自治的服务实例:允许创建自治的服务应用实例,它们能够彼此通信和与客户设备通信,实现故障切换和灾难恢复;

可伸缩性:利用厂商的高可伸缩和虚拟化平台提供高性能和可伸缩性;

技术角度:
技术架构 如何构建安全的云服务解决方案?回答:系统如何设计和构建,使用什么界面,需要什么应用和数据。
身份识别和鉴定:能够对用户身份进行识别和鉴定,确保操作的安全;
访问控制:提供确保获得授权用户的访问和防止非法的访问。
安全的开发:开发维持服务安全性的流程,防止错误和滥用;
资产管理:能够跟踪和管理物理资产和信息资产
实施角度:
选择实施的产品、服务和工具 怎样实施安全的云服务解决方案?回答:选择使用什么产品、服务和工具,在规定的时间进度和经费预算范围内实施所设计的安全云服务解决方案 安全的云服务IT基础设施:云服务基础设施是利用HP为企业级的虚拟化基础设施计划定义的设备构建的;
云服务开发平台:提供安全地隔离和划分的平台、来支持云服务开发;
个性化的API:云服务解决方案是客户 API 允许用户控制共享的个人信息;
法规遵从监控:提供持续的法规遵从监控和审计;

如何构建安全云服务解决方案?

从技术角度来分析,就是要解决构建安全云服务解决方案中的技术问题。这可以用图3所示的安全架构来说明。

1. 隔离间和层次结构

针对云服务支持全球级用户访问和多租户资源共享模式的特点,安全云服务解决方案的基本设计思想是建立隔离间和层次结构,来确保安全。

每个隔离间是一个独立的应用运行环境,拥有属于本隔离间的CPU、内存、存储和网络联接资源,分层的软件应用层次结构,支持资源隔离和安全性。这种强制性的隔离能够防止在多用户共享环境中其它应用的破坏。隔离间的资源可以根据工作负载动态调度,从而在确保安全和性能的同时减少在共享环境中发生占用过多资源和拒绝服务事件的可能性。

为了确保安全,每个隔离间又分成3个层次:第一层是表示层。这一层允许最终用户的访问和系统访问,当然必须通过必要的身份识别鉴定;第二层是应用层。这一层运行应用的核心计算任务,禁止最终用户直接访问,但允许系统访问;第3层是数据库层。这一层存储应用数据,禁止直接的最终用户访问,也禁止隔离间外的系统访问,但允许第2层中应用通过安全的系统调用进行访问。这样做可以避免非法的用户和系统访问干扰应用的核心计算和破坏数据存储的完整性。

2. 身份识别和鉴定技术

保护IT系统安全、建立信任域的第一步是进行用户身份识别和鉴定,确保合法的用户能够方便地访问、拒绝非法用户的闯入。在计算环境中,这通常是由登录和口令或应用密钥控制的。因此,安全云服务解决方案必须采用各种有效身份识别和鉴定技术,来确保各个层次的访问安全,包括:

针对用户角色的身份识别:将用户划分为硬件管理员、 (OS) 管理员、操作员以及虚拟化管理员等,在登录和访问各个层次的服务时分别予以身份鉴定,清晰地定义每种角色可以执行的特权操作;

支持双因子身份鉴定机制:为了实现更高水平的安全性,往往需要使用双因子鉴定技术,规定需要使用两项证明(双因子),例如口令加上以及带数字证书的私有密钥,才能通过身份鉴定;

在Web联接中采用双向身份鉴定技术:云服务是通过Internet和Web界面交付的,保护Web联接是确保云应用系统安全的关键。在实践中采用双向身份鉴定、确保通信联线两边是所声称者本人。双向鉴定确保联接的每一端都是安全的,证实Web应用客户机侧和服务器侧都是安全的;也可以建立SSL协议加密通信联线、确保对话的机密性和完整性,防止第三方闯入对话、消除被欺骗的可能性和引入特洛伊木马;

提供一次登录功能:为了减少一个管理员执行不同任务要的登录次数,可以设立中心控制点支持一次登录功能,使得用户和管理员能够在中心控制点作鉴定身份后,可以透明地访问几乎所有系统部件;

3. 访问控制技术

访问控制的目的是允许或拒绝一个具体实体(一个人或程序)使用一个资源(信息)。访问控制确保信息只能被适当的人员或资源看到,提供机密性。它们也确保信息只能被适当的人员或资源修改,提供完整性。在安全的云服务解决方案中,控制对资源的访问和操作是至关重要的,包括:

基于角色的授权机制:提供简化管理用户分类(如普通用户、操作员、系统管理员)配置和管理各类用户可执行的任务的授权机制,确保只有拥有适当特权的用户才能够在给定的系统上执行给定的任务;

子系统之间通信保护 :在安全的云应用系统中,显然必须解决通信访问控制以及保护传输中数据等难题。首先要维持管理通信的机密性和完整性。例如,利用SSL (安全插槽层) 通信协议和SSH (安全内核)网络协议、加密通信联线确保Web客户机和逻辑服务器之间基于Web 通信和对话的安全性,并利用基于 Web企业管理 (WBEM)协议支持跨不同技术和平台的安全通信;

4. 安全的开发技术

安全的云服务解决方案必须通过前瞻性的管理支持安全的开发技术,包括:

法规遵从和审计管理:符合政府法规和企业内规、并且能够提供有效的证明是云服务安全性重要特性。因此,安全的云服务解决方案必须具有适当的审计跟踪配置和对审计跟踪的持续监控,维护系统法规遵从的可说明性,即能够以法律上有效的审计文件向政府管理部门说明云服务解决方案满足安全性和法规遵从要求;

安全性威胁和弱点管理:云计算环境是高度动态的,必须针对存在的安全性威胁进行持续的监控、前瞻性地消除安全弱点。因此,安全的云服务解决方案必须能够对从IT基础设施、中间件到服务软件整个应用层次结构进行全面检查和持续监控,包括虚拟机和存储安全性检查、网络扫描、操作系统强化扫描、Web服务和各种中间件以及支持业务流程的应用软件都必须进行测试和监控,发现和消除安全性弱点,从而证实整个云服务解决方案具有足够安全性来防止各种入侵和恶意的攻击;

设置专门的安全管理服务器: 安全的云服务解决方案可以设立安全专用服务器。有了这一安全专用服务器后,用户可以让管理程序的信息流经过专用服务器,执行信息流扫描等操作、提供防火墙和病毒探测服务;

5. 资产管理技术

资产管理的目标是跟踪一个机构拥有和控制的固定资产,包括从机架到服务器、从建筑物到存储设备一切资产。在提供云服务的高度分布的环境中,没有适当的技术和流程进行自动的资产管理,不仅难以实现及时软件升级和安全性补丁更新,甚至很快就会变得难以找到和管理所有资产,从而造成安全性弱点。因此,安全的云服务解决方案必须采用自动跟踪和管理物理资产和信息资产的技术,来确保安全。

怎样实施安全云服务解决方案?

从实施的角度来看,怎样实施安全的云服务解决方案?实质上,就是选择使用什么产品、服务和工具,在规定的时间进度和经费预算范围内实施所设计的安全云服务解决方案(在技术角度层次规定),提供所需的功能(在功能角度层次规定),满足应用的需求(在业务观点层次规定)。这主要包括:建立支持安全云服务的IT基础设施(IaaS服务模式)、建立支持安全云服务开发的应用开发平台(PaaS服务模式)、建立提供各种安全云服务的应用软件和支持开放个性化云应用的应用开发界面(API)以及对运行中安全性和法规遵从进行持续的监控和审计(SaaS模式)。

当前如何解决云服务安全性的难题不仅是企业用户最大的担忧,也已经成为服务供应商竞争的焦点。如果说在前面三个视角层次,主要是对安全的云服务解决方案作需求分析、功能设置和架构设计,那么在实施层次就必须具体选择适当的产品和服务来实施这一解决方案。为了满足云服务供应商和企业用户的迫切需求,惠普公司提供全面覆盖企业客户进入云各项需求的领先产品、服务、工具和解决方案,支持云服务供应商独立地或与客户合作快速和经济有效构建安全的云服务解决方案。它们将能够满足基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)等主要云服务交付模式的安全保障的需要,消除企业客户采用云服务的种种后顾之忧,确保它们在利用云服务的优势的同时避免其负面影响,有力地加速云服务模式在企业中推广应用。

1. 建立支持安全云服务的IT基础设施

在云服务模式下,对云供应商最主要的要求实现规模经济和有效的服务管理。因此,因此,云供应商必须建立大规模可伸缩的基础设施,装备大量服务器、海量存储和高速网络,从而支持大量不同的和不可预测的工作负载;同时必须采用先进的服务管理技术、在高度可变的世界中提供可管理性。云供应商必须能够支持多家租用,允许不同的消费者共享相同的下层基础设施资源。它必须能够以既精确又安全方式来管理数据,并且能够在发生各种意外状况下,自动恢复正常运行。

在IT基础设施方面,惠普提供基于集成虚拟化技术的云基础设施(HP BladeSystem Matrix),并且在从操作系统、虚拟机映象、中间件、数据库到应用各个层次进行了加固和强化,以满足云服务供应商对基础设施在大规模可伸缩性、资源动态调度、灾难恢复和安全性等方面的要求。

在惠普的云基础设施HP BladeSystem Matrix解决方案中,支持云服务的IT基础设施安全性建立在利用逻辑服务器实现应用环境隔离的基础之上,逻辑服务器方便地提供了安全隔离和划分应用的能力。这种强制性的隔离能够防止在多用户共享环境中其它应用的破坏。惠普Matrix 解决方案也使用Insight Dynamics 全局工作负载管理器提供对共享资源的附加保护,从而在确保安全的同时减少了在共享环境中发生占用过多资源和拒绝服务事件的可能性。按照云计算的要求,惠普Matrix解决方案除了提供独创性的虚拟化技术和动态资源自动供应外,对于IT基础设施的安全性考虑包括有:

逻辑服务器保护 :作为建立隔离间的基础,保护逻辑服务器的安全显然对保护建立在其上的云应用系统是至关重要的。首先要解决的初始配置的安全性,第一步是缩小攻击面。锁住系统,移除或禁止它们中不需要的程序和服务。必须检查配置参数和与服务器联接的设备、确保它们处于安全状态,并确保安全地配置未被使用的服务的设置(如打开的端口);当然更关键的是后续的努力、不断发现和消除安全性弱点和漏洞、确保服务器始终安全状态。在Matrix解决方案中 HP SIM 包括版本控制机制,发现和更新BIOS、驱动程序和代理版本偏离公司建立的基线的系统。HP SIM 利用Insight Control 和Vulnerability and Patch Manager(VPM)提供探测服务器上潜在的弱点和管理补丁的解决方案。软件部件在支持的服务器上探测弱点和管理补丁。VPM 也帮助自动部署补丁,根据安全性扫描的结果选择适当的操作系统补丁;

网络通信的安全保护:除了确保通信和机箱内部通信的安全外,BladeSystem Matrix 解决方案还利用许多网络安全性机制减少环境中的风险。例如,使用 HP ProCurve 网络产品提高基于 Matrix 应用系统的安全性。HP ProCurve Network Access Controller 不仅支持高速通信、缩短响应时间,而且能够验证与网络联接系统的完整性,也提供内置的防火墙和身份鉴定功能;

对存储区域网(SAN)的访问控制:SAN 适合于逻辑服务器环境,实现从远程存储设备自举和存储数据,这一特性对支持逻辑服务器移动和复制都是必要的。BladeSystem Matrix解决方案赋予SAN 上每个设备(服务器、磁盘阵列等)一个唯一的标识符(全球名字),采用光纤通道分段和选择的存储表示(SSP)技术进行访问控制,防止一个用户看到另一个用户的数据、确保数据的机密性和完整性;

磁盘阵列存储的安全防护:联接在SAN上的HP EVA磁盘阵列为BladeSystem Matrix 解决方案提供虚拟化存储环境。该解决方案使用CommandView软件支持基于Web 的标准管理和访问EVA,使用选择的存储表示(SSP)防止对数据卷(LUN)的非法访问、确保数据的安全和高效存取。
与HP BladeSystem Matrix解决方案支持IaaS云服务的同时,惠普提供的HP Cloud Assure 云保障服务也可用来对IaaS云服务供应商的IT基础设施进行全面的测试和检查,包括虚拟机和存储安全性检查、操作系统强化扫描,确认供应商在虚拟机映象上选择的操作系统已经作了强化、消除了安全性弱点,从而证实该IT基础设施能够为用户提供足够的虚拟化环境、存储和操作系统安全性来防止入侵和恶意的攻击;此外,HP Cloud Assure也可对IaaS云服务供应商的网络进行安全性和性能测试,包括联接测试、带宽测试和业务流程负载测试,证实云服务供应商的网络安全防火墙(WAF)以及访问控制表是适当地配置,必要的端口都已经适当地联接和打开,网络通信是安全和可靠的,带宽是足够的,联接池是适当地配置的,使得该环境能够持续满足高峰负载下并发用户的需要;

2. 建立满足开发安全云服务需要的平台

为了满足建立支持开发安全云服务平台的需要,惠普在安全的IT基础设施上,提供齐全的中间件支持,包括支持Internet应用的Apache和IIS、支持Web 服务的.Net 和WebLogic、SQL和Oracle等数据库软件等,并实现与HP Cloud Assure 云保障服务的无缝集成。HP Cloud Assure 云保障服务提供了一个端到端解决方案,它帮助我们执行安全风险评估、探测和纠正安全性弱点。HP Cloud Assure 能够扫描网络、操作系统、中间件层和web 应用层、执行自动的穿透测试,以证实各种中间件(例如IIS, Apache, .net, Java, SQL 等)和 Web应用层都已经作了优化配置,消除了安全性弱点;Web应用层也已经采用必要的技术(如SSL),以确保Web应用的安全性和能够满足期望的服务等级目标;并给予用户一个自己的云服务的精确安全-风险并存的状态趋势分析,当发现风险因素上升时将针对其原因及时采取措施规避。

对于采用平台即服务模式(PaaS)的用户,HP Cloud Assure 能够有针对性地帮助用户检查和诊断云供应商提供的IT 基础设施和整个应用开发平台(包括中间件、数据库等各个层次),验证是否确实满足在其上开发和运行安全、高性能和高可用的云应用的要求,它包括如上所述的:

对PaaS供应商提供IT基础设施和网络联接进行全面检查;

对PaaS供应商提供的迭加在基础设施上的各个层次进行全面检查,包括Web 应用扫描和Web 应用穿透测试等,从而证实该平台作为一个整体为用户提供了优质的云开发环境;

通过装入应用进行业务流程负载测试、业务流程监控、运行中各种事件的模拟测试,确保在云平台上所开发的应用得到全面的保障;

在实施软件即服务(SaaS)的云服务交付过程中,为通过云环境托管应用软件,必须满足应用软件的全生命周期安全性要求,包括使用安全的API、开发个性化的云应用软件。这一般可以分为如下的三种情况考虑:
第一种情况是大量用户接入云供应商的现有应用(如ERP应用):这与传统的应用托管模式非常相似,因此将集中于以相似的方法保障供应商用来交付的应用服务的安全性、可用性以及性能(如响应速度和支持并发用户的能力)以及用户接入的速度和网络安全;

第二种情况是企业用户利用云供应商的提供的新型编程环境进行应用开发,并在供应商的环境中进行测试和投入运行。如果把应用软件的生命周期划分为:架构、设计、开发、测试和生产性运行等阶段,那么此时,架构和设计阶段在企业内部进行,测试和运行阶段托管在外部进行,而开发则跨两个环境。许多资源和服务都处于内外共享的状态。因此,必须结合这一特点,采用专门的技术标准、应用保障和内部或外部验证(审计)工具,确保这样建立的应用系统与完全在内部的系统具有同样水平的安全性。

第三种情况是在SaaS模式下开发和运行定制的应用:此时,SaaS供应商提供基础设施和编程环境(API)以及通用的应用等服务,同时还支持通过增加扩展的软件、延伸原有应用的功能,开发和运行个性化的定制云应用。此时,安全性将主要依赖和以服务供应商所提供的平台安全性作保证。对于用于开发个性化云应用的API,惠普的Cloud Assure提供对外部的应用与SaaS平台提供的API之间数据交换的安全性的监控、发现和消除安全性弱点,确保利用API开发的定制云应用以及SaaS平台所有向外开放的服务的安全性。

对云消费者来说,使用SaaS服务最大的安全性隐患是接入的安全性。采用惠普提供的ProCurve 网络交换器产品和Web 2.0技术,能够确保云消费者安全地接入到云供应商,并避免由此而带来的性能瓶颈问题。

对云服务的安全性和合规性的监控和审计

云计算环境是动态的,必须持续的监控。建立和维持一个安全的云计算环境需要适当的审计跟踪配置和对审计跟踪的持续监控,维护系统法规遵从的可说明性,即能够法律上有效的审计文件向政府管理部门说明。HP SIM 软件为您提供了一个审计工具,包括:记录所有HP SIM用户在所有系统上执行的任务项目、执行任务、授权修改、用户登录和退出的方面信息。这些信息存储在中央管理服务器(CMS)的审计记录文件中。在云应用系统运行过程中, HP Cloud Assure将以无插入模式为客户提供安全性和性能监控功能,包括:提供一个控制面板,使客户能够观察系统的运行以完整的报告。这些实时事件信息可作为审计跟踪记录,用于探测潜在的安全性问题,或者可能会造成安全性问题的类似行为。审计跟踪分析可用于帮助控制进一步破坏,也可使用审计跟踪中的信息确保和证明法规遵从。