安全增强型云计算解决方案

XXXXXX安全增强型云计算解决方案目录第一章云平台建设的重要性 41、传统IT面临的困境 42、 云计算概念 51）什么是云计算？ 52）云计算的价值 73、 什么是安全云？ 84、 云计算面临的安全隐患 91）云平台的安全隐患 112）应用服务层的安全隐患 123）基础设施层的安全隐患 12第二章需求分析 131、项目背景 132、法律依据 143、需求分析 144、建设目标 155、方案设计思路 151)保障云平台及其配套设施 162)基于安全域的纵深防护体系设计 163)以安全服务为导向，并符合云计算的特点 164)充分利用现有安全控制措施及最新技术 175)充分利用云计算等最新技术 176)充分利用数据防泄密技术 177)安全运营 17第三章云计算的安全解决方案概述 171、确保云平台的安全 182、确保应用服务层的安全 193、确保基础设施层的安全 204、确保数据安全存储 215、确保云数据加密存储 226、安全运营 23第四章云建设方案系统总体架构 241、计算资源池 252、存储资源池 263、网络资源池 284、云层设计 285、应用系统迁移 296、虚拟桌面部署 307、云安全设计 311）物理安全 312）主机/虚拟化安全 313）网络安全 324）安全威胁基本解决方法 325）数据加密 34第五章方案特点 35

第一章云平台建设的重要性1、传统IT面临的困境自从上世纪90年代开始，IT行业在全球范围内得到了迅猛的发展，IT平台的规模和复杂程度出现了大幅度的提升，与此同时，很多企业的IT机构却因为这种提升而面临着一种新的困境：高昂的硬件成本和管理运营成本、缓慢的业务部署速度以及缺乏统一管理的基础架构。高昂的成本支出随着IT规模的不断膨胀，数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长，随之带来的是高昂的硬件成本支出以及运营成本支出（电力、制冷、占地空间、管理人员等）。基础结构成本：托管、冷却、连接服务器以及为服务器提供电源都会随着服务器数量的增长而导致成本大量增加。仅服务器电力需求一项就占总成本一大块，估计数据中心的1000台服务器的电力成本每年都在45,000美元以上。硬件成本：每年服务器在容量和计算能力上都呈增长趋势。随着服务器变得越来越强大，最大化的利用这些超强资源也变得愈加困难。IT组织和应用服务用户习惯为每个应用服务部署一台独立服务器以确保完全控制该应用服务。几乎在所有情况下，部署这些功能强大的服务器将会使服务器过剩50-500%。软件成本：通常服务器需要从操作系统或应用软件厂商那里获取许可证与支持。管理成本：迄今为止，管理成本是服务器成本中最大的一个部分，分析专家估计管理成本占服务器总拥有成本的50-70%。IT技术人员不得不对软硬件进行升级、打补丁、备份以及修复，部署新的服务器及应用，维护用户账户并执行许多其他任务。随着服务器数量的增长，IT部门发现他们面临着满足相关服务器管理需求的挑战。缓慢的业务部署速度新的服务器、存储设备和网络设备的部署周期较长，整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下，这个过程需要的工作量在20～40小时，交付周期为4～6周。分散的管理策略数据中心内的IT基础设施处于分散的管理状态，具体表现为：机房管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高。容易出现大量“只安装一个应用程序”而未得到充分利用的x86服务器。提交变更请求与进行运营变更之间存在较长的延迟。缺少统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。云计算概念1）什么是云计算？目前，业界关于云计算的概念众说纷“云”，可以说是仁者见仁，智者见智，关于云计算的概念，维基百科认为：“云计算是一种能够动态伸缩的虚拟化资源，通过互联网以服务的方式提供给用户的计算模式，用户不需要知道如何管理那些支持云计算的基础设施”。云计算主要是通过网络，将IT以抽象化的方式交付给客户，为基于IT的服务交付模式带来了巨大变革。云计算的一些独特优势，使其广为接受，包括：大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性、高运营效率及技术和IT的高透明度。因为云计算代表着一种新的商业计算模式，其在各方面的实际应用上还有很多不确定的地方，面临着很多的安全挑战。云计算主要包含两个层次的含义：一是从被服务的客户端看：在云计算环境下，用户无需自建基础系统，可以更加专注于自己的业务。用户可按需获取网络上的资源，并按使用量付费。如同打开电灯用电，打开水龙头用水一样，而无需考虑是电从哪里来，水是哪家水厂的。二是从云计算后台看：云计算实现资源的集中化、规模化。能够实现对各类异构软硬件基础资源的兼容，如电网支持水电厂、火电厂、风电厂、核电厂等异构电厂并网；还能够实现资源的动态流转，如西电东送，西气东输、南水北调等。支持异构资源和实现资源的动态流转，可以更好的利用资源，降低基础资源供应商的成本。云计算的特征如下：基于网络云计算是从互联网演变而来，云计算本质通过网络将计算力进行集中，并且通过网络进行服务，如果没有网络，计算力集中规模、服务的种类和可获得性就会受到极大的限制，如集群计算虽然也是基于网络的计算模式，但是不能提供基于网络的服务，还不能称之为云计算。支持异构基础资源云计算可以构建在不同的基础平台之上，即可以有效兼容各种不同种类的硬件和软件基础资源。硬件基础资源，主要包括网络环境下的三大类设备，即：计算（服务器）、存储（存储设备）和网络（交换机、路由器等设备）；软件基础资源，则包括单机操作系统、中间件、数据库等。从横向维度考虑，支持异构资源，意味着在同一时期内，可以采购不同厂商的软硬件。对云计算平台的构建者而言，这种形式更为灵活；而从纵向维度考虑，意味着云计算平台既可以兼容当下采购的新设备，也可以兼容以前的老设备，既可以兼容当前的新软件系统，也可以兼容以前遗留的老软件系统。支持异构的基础资源这一特性，在有效利用老资源的同时，也保证了新老资源的平滑过渡。支持资源动态扩展支持资源动态伸缩，实现基础资源的网络冗余，意味着添加、删除、修改云计算环境的任一资源节点，亦或任一资源节点异常宕机，都不会导致云环境中的各类业务的中断，也不会导致用户数据的丢失。这里的资源节点可以是计算节点、存储节点和网络节点。而资源动态流转，则意味着在云计算平台下实现资源调度机制，资源可以流转到需要的地方。如在系统业务整体升高情况下，可以启动闲置资源，纳入系统中，提高整个云平台的承载能力。而在整个系统业务负载低的情况下，则可以将业务集中起来，而将其他闲置的资源转入节能模式，从而在提高部分资源利用率的情况下，达到其他资源绿色、低碳的应用效果。支持异构多业务体系在云计算平台上，可以同时运行多个不同类型的业务。异构，表示该业务不是同一的，不是已有的或事先定义好的，而应该是用户可以自己创建并定义的服务。这也是云计算与网格计算的一个重要差异。支持海量信息处理云计算，在底层，需要面对各类众多的基础软硬件资源；在上层，需要能够同时支持各类众多的异构的业务；而具体到某一业务，往往也需要面对大量的用户。由此，云计算必然需要面对海量信息交互，需要有高效、稳定的海量数据通信/存储系统作支撑。按需分配，按量计费按需分配，是云计算平台支持资源动态流转的外部特征表现。云计算平台通过虚拟分拆技术，可以实现计算资源的同构化和可度量化，可以提供小到一台计算机，多到千台计算机的计算能力。按量计费起源于效用计算，在云计算平台实现按需分配后，按量计费也成为云计算平台向外提供服务时的有效收费形式。2）云计算的价值云计算是能够提供动态资源池、虚拟化和高可用性的下一代计算模式。如果把一个计算的资源，比如一台服务器，看成一个小水滴，当很多资源汇聚在一起的时候，它就形成了计算的云，正如我们不关心水滴是怎么产生的，用户也不需要关心计算资源位于哪台物理的服务器上。用户关心的是需要什么样的计算能力，需要什么时刻拥有这些计算能力。云计算管理平台可以为用户提供“按需计算”服务。从资源共享方面在整合XXX信息中心现有软硬件资源基础上建设云计算平台。充分发挥云计算平台虚拟化计算、按需使用、动态扩展的特性，为XXX各个部门提供计算、存储和信息资源服务，实现软硬件集中部署、统建共用、信息共享，避免重复投资。基于云计算技术建设公共的云服务平台来运行企业正常运行所需要的业务，可以将企业运维中共性的业务部分进行提炼和归纳，并实现，可以保证共性业务实现的规范性、安全性、全面性和稳定性，也避免了公共功能模块的多次开发实现所造成的冗余浪费乃至系统不兼容错误。更重要的是公共的云服务平台可以提供一系列支撑服务，业务应用子系统在这些支撑服务的基础之上进行开发，大大降低了开发难度和成本，使各部门可以更加专注于其本身综合的、深层次的、相关联的业务需求，而不是基础设施的建设，把精力用在企业高效运行和企业创新的关键点业务需求上，比传统的建设模式更好的把握业务需求，将会大大提高企业信息化的建设效益。从管理工作方面企业工作的本质就是服务。如果各部门的业务应用子系统都是按照“企业云计算”的统一标准进行开发实施、注册部署，可以方便的对机关各类业务工作进行标准化管理，从统一管理的的角度对系统进行规范管理，而不是各扫门前雪，在大大降低管理成本的同时，也大量的节约系统的运行成本。从技术实现方面基于云计算的企业公共服务平台可以按照SOA的松耦合方式来建设，模块间通过标准协议实现相互调用和消息传递，这种技术架构较为成熟，具有较好的扩展性，可以确保信息系统技术层面可持续发展，更有助于企业不同服务业务之间的信息共享，提高企业各部门业务之间的协同。从标准化实现方面基于云计算的企业公共服务平台可以提供一种标准化的建设模式，可以统一制定共性办公业务标准、管理工作实现标准、技术安全标准、保密安全标准、软硬件技术实现标准等，这对企业标准的实施和推广具有重要意义。什么是安全云？“安全云”(securityClouds)是网络时代信息安全的最新体现，将云技术、加密技术和信息资产管理进行有机结合，因而提供对数据、安全性和服务质量的最有效控制。云计算中的安全控制其主要部分与其它IT环境中的安全控制并没有什么不同，然而，基于采用的云服务模型、运行模式以及提供云服务的技术，与传统IT解决方案相比云计算可能面临不同的风险。从风险管理的角度讲，主要就是管理资产、威胁、脆弱性和防护措施及其相关关系，最终保障云计算平台的持续安全，以及其所支撑的业务的安全。安全不是写在清单上的简单要求，它必须建立在云的周围。一个云能为企业对自身业务提供安全及合法的控制、灵活性、安全性和监督。虽然每个公有云的提供商都对外宣称，其服务在各方面都是非常安全，特别是对数据的管理。但是对企业而言，特别是大型企业而言，和业务有关的数据是其的生命线，是不能受到任何形式的威胁。本方案独有的“多模透明加密”技术对云数据施行端对端的全程安全保护，并以一文一密钥方式所有的数据，确保任何人都不能从服务器读取用户文件。合法云用户能够在完全隐私的状态下，随时随地从自己的设备上接收所有的云数据，让存储数据更放心，即使网络不安全，系统不安全，人员不安全的情况下也不用担心，重要的云数据资料也不会泄露出去。针对云计算所面临的安全威胁及来自各方面的安全需求，需要对科学设计云计算平台的安全防护架构，选择安全措施，并进行持续管理，满足云计算平台的全生命周期的安全。云计算面临的安全隐患云计算系统一般都包括三个层次两个平台：基础设施即服务(IaaS)、平台即服务（PaaS）、云软件即服务（SaaS）、云管理平台和运维管理平台。如下图所示：图.云典型逻辑结构简单说明如下：基础设施即服务层（IaaS）：包括了各种服务器、存储、网络设备、链路等各种物理资源，以及虚拟化管理程序和对外提供服务的接口。可以基于此层对外提供虚拟主机服务；平台即服务层（PaaS）：包括了各种系统、平台、应用软件，可以提供应用软件的开发、测试、部署和运营环境；软件即服务（SaaS）：包括各一系列的应用软件，以及提供各客户/用户使用的交互展示程序。可以通过网络向用户交付相应的应用服务；云管理平台：负责云计算服务的运营，并对云计算资源池系统及其中的各类资源进行集中管理，主要功能包括云服务开通、用户管理、计价管理等功能。通常云管理平台通过与资源池系统之间的资源管理接口下发资源管理指令，并通过网管接口向云维管理平台（网管系统）提供资源池系统内各类设备的管理和监控信息；运维管理平台：实现对虚拟设备、系统、网络的技术维护和管理工作，包括容量、配置和事件管理等功能。一般通过带外网络与各种资源进行互联。云计算模式通过将数据统一存储在云计算服务器中，加强对核心数据的集中管控，比传统分布在大量终端上的数据行为更安全。由于数据的集中，使得安全审计、安全评估、安全运维等行为更加简单易行，同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。云计算特有的数据和服务外包、虚拟化、多租户和跨域共享等特点,带来了前所未有的安全挑战。云计算受到产业界的极大推崇并推出了一系列基于云计算平台的服务。但在已经实现的云计算服务中，安全问题一直令人担忧。安全和隐私问题已经成为阻碍云计算普及和推广主要因素之一。由于云计算环境下的数据对网络和服务器的依赖，隐私问题尤其是服务器端隐私的问题比网络环境下更加突出。客户对云计算的安全性和隐私保密性存在质疑，企业数据无法安全方便的转移到云计算环境等一系列问题，导致云计算的普及难以实现。云计算的特点安全威胁数据和服务外包（1）隐私泄露（2）代码被盗多租户和跨域共享（1）信任关系的建立、管理和维护更加困难;（2）服务授权和访问控制变得更加复杂；（3）反动、黄色、钓鱼欺诈等不良信息的云缓冲（4）恶意SaaS应用虚拟化（1）用户通过租用大量的虚拟服务使得协同攻击变得更加容易，隐蔽性更强；（2）资源虚拟化支持不同租户的虚拟资源部署在相同的物理资源上，方便了恶意用户借助共享资源实施侧通道攻击。实际上，对于云计算的安全保护，通过单一的手段是远远不够的，需要有一个完备的体系，涉及多个层面，需要从法律、技术、监管三个层面进行。传统安全技术，如加密机制、安全认证机制、访问控制策略通过集成创新，可以为隐私安全提供一定支撑，但不能完全解决云计算的隐私安全问题。需要进一步研究多层次的隐私安全体系（模型）、全同态加密算法、动态服务授权协议、虚拟机隔离与病毒防护策略等，为云计算隐私保护提供全方位的技术支持。由此可见，云计算环境的隐私安全、内容安全是云计算研究的关键问题之一，它为个人和企业放心地使用云计算服务提供了保证，从而可促进云计算持续、深入的发展。把云计算环境下的安全威胁细化，并按云计算环境下等级保护的基本要求进行对应，可得到如下的云计算环境下的具体安全威胁：1）云平台的安全隐患（1）平台构建漏洞，可用性、完整性差：任何平台都存在漏洞的风险，有些平台极端环境下可用性、完成性的工作能力不够，比如在大量网络连接下，web服务器的承受能力等。在对外提供API的平台应用中，编程环境的漏洞、堆栈溢出的漏洞、高权限非法获取的漏洞都会存在。（2）云用户身份安全问题：例如云用户身份盗用、破解、假冒问题（3）云服务权限控制问题：例如权限控制系统管理人员的监守自盗、权限的过大或者过小造成的控制失效、权限的随时变更带来的管理复杂度（4）云存储数据泄密问题：例如云存储的侧通道攻击问题、数据泄密问题、数据分享问题（5）云用户数据泄密问题：例如云存储的侧通道攻击问题、数据泄密问题、数据分享问题（6）SSL协议及部署缺陷。对PaaS用户而言，第三个需要考虑的威胁是SSL攻击。SSL是大多数云安全应用的基础。目前，众多黑客社区都在研究SSL，SSL在不久的将来或许会成为一个主要的病毒传播媒介。因此，客户必须明白当前的形势，并采取可能的办法来缓解SSL攻击，这样做只是为了确保应用不会被暴露在默认攻击之下。2）应用服务层的安全隐患（1）数据安全。SaaS提供的是一种数据托管服务，成千上万的企业将自己的信息托管于SaaS服务商。在信息输过程中极易丢失或被非法入侵主机的黑客篡改、窃取，为病毒所破坏或者因为程序的而不小心被其他使用者看到。（2）垃圾邮件与病毒。病毒、蠕虫邮件在网络中传播大量占用用户网络带宽资源，企业中被感染的局域网用户机器被植入木马程序，可能导致敏感、机密信息数据泄露(如重要文件、账号密码等)。（3）软件漏洞，版权问题。（4）操作系统以及IE浏览器的安全漏洞。由于目前操作系统、lE浏览器漏洞较多，容易被病毒、木马程序等破坏。而也就是因为这样用户口令丢失的事情时有发生，从而使得安全性得不到保障。（5）人员管理以及制度管理的缺陷。服务商内部人员的诚信、职业道德可能造成安全危险，另外，安全法律制度的不健全，保密规范和条款缺失，也是一个急需解决的问题。缺少第三方监督认证机制。云端应用系统安全问题：云端应用系统中的数据泄密、使用者的数据泄密、管理人员的数据泄密、云系统安全问题造成的云应用系统数据泄密问题3）基础设施层的安全隐患（1）首先用户的数据在云中会存在泄露的危险。当用户迁移到云的时候，对于客户和他们的数据来说，有两大改变。其一，相对于客户的地理位置来说，数据会被远程存储；其二，数据通常是从单租户环境迁移到多租户环境的，这就是数据泄露问题发生的源头。数据泄露只不过是一个客户到另一个客户的数据迁移，实际上在云中的每个客户都应该只能访问他们自己的数据，而不能访问其他客户的数据。（2）计算服务性能不可靠。主要包括硬件与软件问题。硬件问题包括服务器、存储、网络的问题，硬件的不兼容、不稳定以及不易维护性，这都有可能造成计算性能的不可靠；软件主要指统一部署与硬件之上的虚拟化软件的可靠性能，包括兼容性、稳定性、可维护性等。（3）远程管理认证危险。IaaS资源在远端，因此你需要某些远程管理机制，这就存在认证上的危险，比如账户的盗用，冒用，丢失等。（4）虚拟化技术所带来的风险。由于IaaS基于虚拟化技术搭建，虚拟化技术所带来的风险便不可避免，包括堆栈溢出、权限管理、虚拟化管理程序软件会成为被攻击的目标等等。（5）用户本身的焦虑。包括我的数据放在哪里，如何保证我的数据安全性等。（6）服务中断。包括数据中心宕机，停止对外服务，以及灾难、电力供应等的毁灭性破坏。此类破坏大部分为不可抗拒性破坏，由于IaaS从层面上来说，更接近底层硬件设施，因而对硬件设施的这些问题，应该给予更多的关注。此类事件一旦发生，便会造成数据中心毁灭性的破坏。目前各家所提的云安全解决方案，大都根据自己企业对云平台安全的理解，结合本企业专长，专注于某一方面的安全。然而，对于用户来说云平台是一个整体，急需一套针对云平台的整体保护技术方案。针对云平台的信息安全整体保护技术的研究的是大势所趋，整体保护技术体系的建立，必将使云计算得以更加健康、有序的发展。第二章需求分析1、项目背景为推动XXX信息化的发展，XXX致力于私有云服务平台的建设。本项目将依据“加速成长、优势互补、资源汇聚、持续发展、创新增值”的原则，有效地整合和配置企业的公共服务资源，提供IT基础架构及应用的完整支撑和公共服务解决方案。本项目建成后不但将支撑企业在信息建设工作中的普遍需求，提供共性的技术和服务，而且会针对不同行业对于信息应用的特殊需求，提供面向特定行业领域的技术和服务。依据“资源共享、业务合作、优势互补、可持续发展”原则，有效地整合和配置企业的公共服务资源，提供软件研发及应用的完整支撑和公共服务解决方案。在充分依托现有资源的基础上，重点建设数据中心及云计算公共服务中心等服务模块。2、法律依据人大常委会《网络安全法》第三条国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；《网络安全法》第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。3、需求分析对于数据中心的建设，云计算是多种概念和技术并行发展，融合过程中逐渐形成的一个多层次，多模式，多维度的复合概念，不同的企业应用可以选择使用不同的云计算技术来构建。云计算不仅有助于提高资源利用率，节约成本，还能大幅度提高应用程序从设计开发到业务部署的速度，并有助于加快创新步伐，创造更大的业务成效。针对本次项目的需求，通过分析，认为此次项目的方案架构也应该从面向云服务和云计算的角度出发，搭建具有先进性的方案架构。云服务具有5个特征：（1）面向服务的（2）具有可扩展性，是一个弹性的框架（3）是共享的平台（4）按需计量的（5）云服务是基于互联网技术的“云计算”平台为企业提供共享计算、共享存储、开发环境平台搭建、支撑服务软件等内容的公共技术服务。建设内容包括：中心机房、服务器设备、存储设备、网络设备、安全设备、支撑软件、业务软件等模块。4、建设目标数据中心及云计算服务中心依托先进技术，能统一管理标准，确保平台的保密性、安全性、稳定性和可扩展性。统一标准的平台降低了IT维护成本，提高了对需求的响应速度，从而达到以下目标：充分利用现有的硬件、软件资源；支持计算、存储资源共享能力；为企业提供业务支撑服务。平台不管从系统安全、可靠性、大容量，还是可扩充性等诸多方面，都应给予非常全面的考虑：1. 经济性2. 可靠性,避免单点故障3. 大容量,可扩展性4. 安全性，实现安全域划分5. 分级网管2.4建设要求5、方案设计思路在进行方案设计时，将遵循以下思路：1)保障云平台及其配套设施云计算除了提供IaaS、PaaS、SaaS服务的基础平台外，还有配套的云管理平台、运维管理平台等。要保障云的安全，必须从整体出发，保障云承载的各种业务、服务的安全。2)基于安全域的纵深防护体系设计对于云计算系统，仍可以根据威胁、安全需求和策略的不同，划分为不同的安全域，并基于安全域设计相应的边界防护策略、内部防护策略，部署相应的防护措施，从而构造起纵深的防护体系。当然，在云平台中，安全域的边界可能是动态变化的，但通过相应的技术手段，可以做到动态边界的安全策略跟随，持续有效的保证系统的安全。3)以安全服务为导向，并符合云计算的特点云计算的特点是按需分配、资源弹性、自动化、重复模式，并以服务为中心的。因此，对于安全控制措施选择、部署、使用来讲必须满足上述特点，即提供资源弹性、按需分配、自动化的安全服务，满足云计算平台的安全保障要求。4)充分利用现有安全控制措施及最新技术在云计算环境中，还存在的传统的网络、主机等，同时，虚拟化主机中也有相应的操作系统、应用和数据，传统的安全控制措施仍旧可以部署、应用和配置，充分发挥防护作用。另外，部分安全控制措施已经具有了虚拟化版本，也可以部署在虚拟化平台上，进行虚拟化平台中的东西向流量进行检测、防护。5)充分利用云计算等最新技术信息安全措施/服务要保持安全资源弹性、按需分配的特点，也必须运用云计算的最新技术，如SDN、NFV等，从而实现按需、简洁的安全防护方案。6)充分利用数据防泄密技术以多模加密技术为核心，用其独有的AUF监控内核为核心和国际先进的加密算法，设置不同的加密策略，数据只可以在云环境内才能明文打开，一旦脱离了环境那便是乱码文件无法使用，这样就可以防止未经允许将公司办公文件带出公司环境有意或者无意的造成信息泄露。员工也无法私自将公司文件通过外发方式传输到环境外，因为外发控制模块可以控制文件外发，经过管理人员的审批才可以做到，同时还可以设置可供查看的时间或者是次数，可以给数据提供最可靠的安全防护。7)安全运营随着云平台的运营，会出现大量虚拟化安全实例的增加和消失，需要对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。第三章云计算的安全解决方案概述越来越多的数据中心和大企业开始采用虚拟化的私有云解决方案，网络虚拟化的安全越来越受到重视，为保障云平台安全，XXX采用了完整的安全架构，避免出现安全真空，强化了网络隔离和虚拟化隔离。XXX基于开源的具有开放的接口和灵活的架构的Openstack,它实现了虚拟化时的各个层面的安全机制。云数据中心安全框架从分层、纵深防御思想出发，根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面，同时整体上考虑满足合规性等需求，用来指导数据中心安全解决方案的部署。Openstack包括计算虚拟化（Nova模块）、存储虚拟化（Swift、Glance和Cinder模块）和网络虚拟化（Neutron模块）三大部分，它利用现有开源的计算、网络和存储工具，构建了面向服务的设施虚拟化解决方案。通俗来说，Openstack借助了已有的开源工具，驱动异构的物理资源，并提供集中管理和协同各类资源的能力。1、确保云平台的安全保证补丁能够及时得到更新。需要依靠应用供应商来提供正确应用配置或配置补丁的具体步骤。这里最关键的问题是要及时，必须要确保自己有一个变更管理项目，来确保SSL补丁和变更程序能够迅速发挥作用。重新设计安全应用。要解决这一问题，需要从两方面来考虑。一方面需要对你的应用进行重新设计，把安全工作做得更细一点，来确保使用应用的所有用户都能被证明是真实可靠的。另一方面，通过这样做，你可以应用适当的数据和应用许可制度，来确保所有访问控制决策都是基于用户授权来制定的。云用户身份安全解决方案：独立于云端的云登陆系统、基于区块链技术的云用户身份认证系统、每个用户一个算法、定期用户密钥的更新、OTP、生物识别、CA、用户密码多种认证技术的整合。云服务权限控制安全解决方案：独立于云端的权限控制系统、基于角色的权限控制系统、基于细颗粒度的权限控制参数、互相限制的内在管理系统(三权分立)云存储安全问题解决方案：采用环境指纹专利的加密技术、云加密模块的SDK云系统云端无缝调用、一用户一密钥的防攻击强度、存储自动加密，读取自动解密的动态机制、用户加密密钥二次加密防护；云用户数据泄密问题：采用环境指纹专利的加密技术、云加密模块的SDK云系统云端无缝调用、一用户一密钥的防攻击强度、存储自动加密，读取自动解密的动态机制、用户加密密钥二次加密防护；2、确保应用服务层的安全建立可信安全平台。结合防火墙、入侵检测、病毒防治、权限控制以及安全邮件技术，保证网络传输时系统的应用和数据存储、传输的安全性。数据存储与备份。这里的数据存储与备份针对运营数据，要达到安全性与实时性相结合。在SaaS环境下，为各个环节做冗余设计，保证任何一个硬件或者软件的单点故障都不会影响整个SaaS的运营。选择可靠的操作系统，定期升级软件补丁，并关注版权信息。选择稳定的主流操作系统，定期更新操作系统与软件补丁，定时扫描漏洞。有条件的客户可以选择安全专家对系统做评估，并选用定制的网络设备或者硬件设施。对服务器跟客户端的安全都要重视。对于客户端，最好采用通过SSL服务器端认证的HTTPS协议，保证所有传输的数据都是加密过的，以保证数据传输安全。同时对于身份认证，可以考虑给予USBKey的方式，唯一识别客户身份。对于服务器方面，可以使用虚拟化的高可用技术，以保证任意一台服务器出现故障，不会影响系统的整体可用性。选择可靠的SaaS提供商。首先，可靠的SaaS提供商应该具有业界领先的成熟的安全技术，比如对于SaaS邮件提供商，成熟的反病毒、反垃圾邮件技术必不可少。其次，知识产权也比较重要，SaaS提供商拥有核心知识产权，可以保证以后服务的延续性与可靠性。最后，SaaS提供商最好要有业界良好的信誉以及安全资质，可以保证服务运行的可靠性与可信度，并能够提供持续的技术支持。安全管理。首先，最好建立第三方监理制度，应用第三方监理确保科学化、公平化、专业化，才能使SaaS更合理、有效的运营下去。其次，安全制度也非常重要，要建立服务商与客户之间的诚信体系，社会方面也需要提供外部的法律支持，使泄露客户商机的行为能够收到惩处。良好的信用体系是SaaS安全发展的一个必要条件。再次，需要加强对人员技术知识和应急安全事件处理能力的培训，增强安全管理意识，并遵守安全管理规范。云端应用系统安全解决方案：采用环境指纹专利加密技术、一文一密钥的安全机制、格式无关的数据加密实现、阅后即焚数据离线控制实现、基于角色多模加密控制实现。3、确保基础设施层的安全综合考虑数据中心软硬件部署。在软硬件选用中，考虑品牌厂商，硬件的选择要综合考虑质量、品牌、易用性、价格、高可维护性等一系列因素，并选择性价比高的厂商产品。建立安全的远程管理机制。根据定义，IaaS资源在远端，因此你需要某些远程管理机制，最常用的远程管理机制包括：VPN：提供一个到IaaS资源的安全连接。远程桌面、远程Shell：最常见的解决方案是SSH。Web控制台UI：提供一个自定义远程管理界面，通常它是由云服务提供商开发的自定义界面。对应安全策略如下：A.缓解认证威胁的最佳办法是使用双因子认证，或使用动态共享密钥，或者缩短共享密钥的共享期。B.不要依赖于可重复使用的用户名和密码。C.确保安全补丁及时打上。D.对于下面这些程序：SSH：使用RSA密钥进行认证；微软的远程桌面：使用强加密，并要求服务器认证；VNC：在SSH或SSL/TLS隧道上运行它；Telnet：不要使用它，如果你必须使用它，最好通过VPN使用。E.对于自身无法保护传输数据安全的程序，应该使用VPN或安全隧道（SSL/TLS或SSH），推荐首先使用IPSEC，然后是SSLv3或TLSv1。选择安全的虚拟化厂商以及成熟的技术。最好选择要能有持续的支持以及对安全长期关注的厂商。定期更新虚拟化安全补丁，并关注虚拟化安全。成熟的虚拟化技术不但能够预防风险，在很大情况下还能增强系统安全性。建立健全IT行业法规。在云计算环境下，用户不知道自己的数据放在哪儿，因而会有一定的焦虑，比如我的数据在哪儿，安全吗？等等的疑问。在IaaS环境下，由于虚拟机具有漂移特性，用户很大程度上不知道数据到底存放在那个服务器、存储之上。另外由于数据的独有特点，一旦为别人所知，价值便会急剧降低。这需要从法律、技术两个角度来规范，首先建立健全法律，对数据泄漏、IT从业人员的不道德行为进行严格约束，从人为角度防止出现数据泄漏等不安全现象。其次，开发虚拟机漂移追踪技术、IaaS下数据独特加密技术，让用户可以追踪自己的数据，感知到数据存储的安全。针对突然的服务中断等不可抗拒新因素，采取异地容灾策略。服务中断等风险在任何IT环境中都存在，在部署云计算数据中心时，最好采取基于异地容灾的策略，进行数据与环境的备份。在该环境下，一旦生产中心发生毁坏，可以启用异地灾备中心对外服务，由于数据需要恢复，用户感觉到服务中断，但短时间内会恢复，不会造成严重事故。4、确保数据安全存储数据安全是保障数据中心安全的重点。为了保障用户的数据安全，云数据中心从数据隔离、访问控制等多个方面采取措施。用户卷访问控制：系统对每个卷定义不同的访问策略，没有访问该卷权限的用户不能访问该卷，只有卷的真正使用者（或者有该卷的访问权限）才可以访问该卷，每个卷之间是互相隔离的。存储节点接入认证：存储节点是采用标准的iSCSI进行访问，并且支持CHAP（ChallengeHandshakeAuthenticationProtocol）认证功能，CHAP认证功能可以提高应用服务器访问存储系统的安全性。存储系统启用CHAP认证以后，应用服务器侧也必须启用CHAP认证，同时在存储系统中把应用服务器的信息加入到存储系统的合法CHAP用户，只有经过CHAP认证通过以后才能连接到存储系统并存取数据。数据多重备份：云数据中心的数据存储采用多重备份机制，每一份数据都可以有一个或者多个备份，当数据因存储载体（如硬盘）出现故障的时候，不会引起数据的丢失，也不会影响系统的正常使用。系统同时对存储数据按位或字节的方式进行数据校验，并把校验的信息均匀的分散到的阵列的各个磁盘上。阵列的磁盘上既有数据，也有数据校验信息，数据块和对应的校验信息会存储于不同的磁盘上，当一个数据盘损坏时，系统可以根据同一带区的其他数据块和对应的校验信息来重构损坏的数据。异地容灾：CDP/CDR的全面异地保护方案5、确保云数据加密存储云安全一直是现代技术发展的热门话题，保证云端的数据安全也是所有企业与服务商一直在尽力解决的部分。移动设备更是与普通人的工作直接相关，越来越多的人开始使用移动设备进行办公工作，这一块大肉引来不少心怀不轨的不法分子有所动作，移动安全也越加引人瞩目。但是说到底，无论攻击手法再怎么升级，攻击形式再怎么变幻，这些恶意攻击最终的目的还是数据，所以只要从数据本身入手，进行最根本的防护，就可以让重要数据转危为安。而目前最有效的办法就是使用国际先进的多模加密技术。多模加密技术由对称加密与非对称加密算法相结合，在不同的工作环境之下为用户提供不同的加密模式，灵活有针对性。值得一提的是，以多模加密技术为核心，XXX打造了代表产品XXX云数据防泄漏系统。该系统通过“双核双升”技术更新，不仅具有文件加密的功能，针对企业内部机密文件、企业外发文件、还有文件权限控制的特性。云平台多模加密模块：多模透明加解密模块是以用户需求为导向、以数据加密为基础、以使用者为对象的综合性管理模块。该模块提供多种不同加密模式，灵活加密可供企业用户根据业务需要进行选择，在正常使用时，计算机内存中的文件是以受保护的明文形式存放，但保存的数据却处于加密状态。所有加密方式有控制台端统一管理设置，所有客户端加密行为均在后台自动完成。加密后的文件没有合法的使用身份、访问权限和正确的安全通道，在计算机上是无法使用的。云应用服务器安全加固模块：启用了数据防泄密的客户端可以自由的访问应用系统服务器，实现在服务器上打开文件、下载文件均会被加密保护，即使是临时文件也一样会被加密防护。未启用防水墙的客户端的用户将无法访问应用系统服务器。这种严密的服务器安全防护，可以最大限度避免终端与服务器之间数据传输的泄密问题。云平台数据传输通道加密模块：使主机间的文件传输不可被破解，服务器上的文件不可被盗窃。所传输数据均得到高强度算法的加密处理；每次加密的密钥动态变化，密文也随之变化；先进的加密密钥保护方案；用户帐号密码二次加密存放；用户登录时口令以密文传输；服务器采用强认证（无匿名登录），必须采用合法帐号登录；用户权限严格限制，上传帐号只能在限定的用户目录进行上传操作；服务器可限定指定地址进行连接，服务器端口可根据需要自行设定等。云平台文件外发控制：当云用户需要外发数据时，用户可以采用云平台文件外发控制实现给文档设置口令、打开次数、累计时间、打印权限、环境设置、复制、截屏等使用限制功能。还可以精确限制时间的文件外发控制软件，即用户不管如何修改系统时间、不管将收到的密文明送文件复制为多少版本，一旦到截至时间，则所有的版本均将失效。为应对热门技术发展而可能带来的不安因素，保证各个领域各个途径中的信息安全，主动使用保护本源数据安全的加密软件永远是不二之选！6、安全运营随着云平台的运营，会出现大量虚拟化安全实例的增加和消失，需要对相关的网络流量进行调度和监测，对风险进行快速的监测、发现、分析及相应管理，并不断完善安全防护措施，提升安全防护能力。操作维护账号管理、认证和授权云管理系统提供基于角色的用户权限控制功能，包括用户管理、角色管理、角色授权、登陆认证、鉴权等功能，实现全系统的安全功能。角色和操作权限管理，不同角色对应不同的操作权限，不同的操作用户对应于不同的角色。XXX管理平台支持角色管理功能和基于角色的授权功能，目前云管理系统支持三种角色定义：超级管理员、操作维护管理员、一般用户，分别对应不同的权限控制。XXX管理系统提供一种项目的概念，进一步增强了可以为不同的管理员或用户进行“分权分域”管理。“项目”关联着一组资源以及人员，不同的成员有不同的角色和权限，成员本身不拥有资源。权限的粒度只细化到某一类资源的增删改查。在鉴权过程中，云管理系统还可以和用户自己的鉴权机制进行对接进行权限认证。安全维护操作严格执行安全补丁管理流程，及时完成固件的安全更新；及时安装来自操作系统厂商的安全更新管理员功能需根据具体网络及工作站受限–管理员应该只能从特定网络或工作站接入；更改服务器配置建立严格的管理流程，保存全部配置信息，在上线前全面测试；定期根据最后应用的配置核实系统文件；定期在support网站上发布经过测试的操作系统补丁包，由维护管理人员定期下载和安装操作系统补丁。第四章云建设方案系统总体架构XXX云基于开源的具有开放的接口和灵活的架构的Openstack,它实现了虚拟化时的各个层面的安全机制。云数据中心安全框架从分层、纵深防御思想出发，根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面，同时整体上考虑满足合规性等需求，用来指导数据中心安全解决方案的部署。Openstack包括计算虚拟化（Nova模块）、存储虚拟化（Swift、Glance和Cinder模块）和网络虚拟化（Neutron模块）三大部分，它利用现有开源的计算、网络和存储工具，构建了面向服务的设施虚拟化解决方案。通俗来说，Openstack借助了已有的开源工具，驱动异构的物理资源，并提供集中管理和协同各类资源的能力。1、计算资源池服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器，是一种逻辑概念。对不同处理器架构的服务器以及不同的虚拟化平台软件，其实现的具体方式不同。在x86系列的芯片上，其主要是以常规意义上的虚拟机的形式存在。2、存储资源池目前主流的存储架构包括DAS、NAS、SAN，下面针对3种主流应用系统做架构分析。直连方式存储（DirectAttachedStorage-DAS）。顾名思义，在这种方式中，存储设备是通过电缆（通常是SCSI接口电缆）直接到服务器。I/O请求直接发送到存储设备。存储区域网络（StorageAreaNetwork-SAN）。存储设备组成单独的网络，大多利用光纤连接，服务器和存储设备间可以任意连接。I/O请求也是直接发送到存储设备。如果SAN是基于TCP/IP的网络，则通过iSCSI技术，实现IP-SAN网络。网络连接存储（NetworkAttachedStorage-NAS）。NAS设备通常是集成了处理器和磁盘/磁盘柜，连接到TCP/IP网络上（可以通过LAN或WAN），通过文件存取协议（例如NFS，CIFS等）存取数据。NAS将文件存取请求转换为内部I/O请求。上述几种存储方式的优劣势分析：DAS费用低；适合于单独的服务器连接主机的扩展性受到限制，主机和存储的连接距离受到限制，只能实现网络备份，对业务网络的压力较大SAN高性能，高扩展性；光纤连接距离远；可连接多个磁盘阵列或磁带库组成存储池，易于管理；通过备份软件，可以做到Server-Free和LAN-Free备份，减轻服务器和网络负担。成本较高NAS安装过程简单；易于管理；利用现有的网络实现文件共享；高扩展性。不支持数据库应用通过以上对比可以看出SAN具有如下优点：关键任务数据库应用，其中可预计的响应时间、可用性和可扩展性是基本要素；SAN具有出色的可扩展性；SAN克服了传统上与SCSI相连的线缆限制，极大地拓展了服务器和存储之间的距离，从而增加了更多连接的可能性；改进的扩展性还简化了服务器的部署和升级，保护了原有硬件设备的投资。集中的存储备份，其中性能、数据一致性和可靠性可以确保关键数据的安全；高可用性和故障切换环境可以确保更低的成本、更高的应用水平；可扩展的存储虚拟化，可使存储与直接主机连接相分离，并确保动态存储分区；改进的灾难容错特性，在主机服务器及其连接设备之间提供光纤通道高性能和扩展的距离。为了达到系统的故障快速切换，本方案中配置后端共享存储，以实现动态HA和迁移.存储是指虚拟机文件（含数据文件和配置文件）保存的地方。按照存储的位置可以划分为两类：本地磁盘存储和通过网络存储在远端服务器上。本地存储包括：本地目录文件、LVM逻辑存储卷、SCSI/FC存储；网络存储则包含：iSCSI网络存储、NFS网络文件系统、共享文件系统和Windows系统共享目录。这里我们选择比较典型的三种应用配置来说明：本地目录文件、iSCSI存储和共享文件系统。3、网络资源池本次项目基础网络采用“扁平化”设计，核心层直接下联接入层，市去了中间汇聚层。随着网络交换技术的不断发展，交换机的端口接入密度也越来越高，“扁平化”组网的扩展性和密度已经能够很好的XXX数据中心服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下，扁平化二层架构更容易实现VLAN的大二层互通，满足虚拟机的部署和迁移。相比传统三层架构，扁平化二层架构可以大大简化网络的运维与管理。4、云层设计在“IT即服务”的云计算平台系统中，IT服务的自助式提供和业务自动化部署是云计算业务的关键特点。而上述特点均依赖于云业务部署流程的合理管理和业务自动化部署的结合。通过云业务工作流程的管理，可以将云计算平台中各功能模块有机的结合起来。从而实现云计算平台业务快速和自动化开展实施。云业务工作流作为一个公共基础系统贯穿了云平台业务过程，最终实现IT服务的对业务部门的自助式交付。云计算解决方案基于Web页面提供了完整的端到端云业务工作流程管理。根据数据中心云业务划分需求，可以将管理员划分为多级进行管理，不同的级别具有不同的管理权限和访问权限。过灵活的用户访问控制，对虚拟机的配置和远程访问权限进行保护，同时，审核日志会对重大操作进行详细记录，方便事后审计追踪。5、应用系统迁移针对XXX现状，本次方案建议分以下几个步骤将现有业务应用逐步迁移至XXX云平台中，如下图所示：6、虚拟桌面部署桌面虚拟化解决方案在不改变用户使用习惯的前提下，将传统企业用户桌面系统以虚拟机的形式提供给终端用户。这些虚拟机运行于云计算数据中心的虚拟计算资源池中，共享数据中心内的计算、网络、存储资源，从而有效的实现了企业内IT资源的弹性部署。如前所述，依托云计算管理平台和云业务工作流程，系统可以自动化部署用户自助申请的虚拟桌面资源，部署完成后用户即可使用。从而极大的提升了企业桌面应用的弹性和效率。另一方面，云平台业务管理人员可以通过管理通道远程集中式管理企业内各用户的虚拟桌面系统。避免了管理人员上门服务，效率低下等传统桌面系统的问题。综上所述，桌面虚拟化系统具备有效保障关键数据的安全性，IT硬件资源的弹性部署，增强企业桌面系统的灵活性的同时，增强了企业桌面系统的可管理性并降低了总体拥有成本和维护成本。7、云安全设计1）物理安全云计算数据中心的跟传统的数据中心管理一样，物理接入需进行严格的控制，只有授权的人员才能够进入。机房内安装监控设备，方便事后审计。2）主机/虚拟化安全整个云计算环境中，主机和虚拟机上安装了各种操作系统（OS）、数据库（DB）以及各种应用软件，如网络Web服务器等软件，很容易遭受病毒入侵、漏洞攻击、木马、拒绝服务等安全威胁。云数据中心可主要通过系统加固、防病毒和安全补丁这三方面措施来提供。云平台的虚拟化层能真正地把虚拟机和物理主机、不同公司（客户/租户）、不同部门、不同用户的虚拟机和虚拟机之间安全地隔离开来，这一点正是保障虚拟机安全性的根本。3）网络安全为了抵御数据中心网络可能遭受的各种类型的DoS攻击和用户数据遭窃听和篡改等安全威胁，可从“网络隔离、攻击防护、传输安全”等多个角度考虑。通过子网划分、网络隔离手段实现计算、存储、管理、接入等域的隔离，管理面单独物理组网，保证网络安全性，避免网络风暴等问题扩散。4）安全威胁基本解决方法防御欺诈攻击：使用公钥基础架构（PKI，PublicKeyInfrastructure）实现身份验证；使用认证完善的SSL/TLS作为HTTP会话保护；在结点部署时修改厂商的初始密码；对于云用户亦是如此使用OpenStackKeystone与LDAP/ActiveDirectory的整合，确保验证系统、密码政策及账户的安全性。防御恶意篡改：使用数字化签名确保数据安全。OpenStackAlgorithm。Mitaka版本将对此做出改善；使用强制访问控制（MandatoryAccessControl,MAC）以及基于角色的访问控制（RoleBasedAccessControl,RBAC）保护OpenStack服务；防御恶意否定：起用登录及安全审计；使用集中化日志管理机制；将日志内容尽可能实时发送至安全的远程高可用SIEM系统；监控租户网络，及时发现异常状况–最好的方式是针对已知漏洞使用基于网络的入侵检测及防御系统（IDS/IPS）;

针对zero-day漏洞使用沙盒系统防御信息泄露：使用存储加密（OpenStackCinder与libvirt都可支持存储卷加密）；为用户的工作负载使用OpenStack许可、域、租户及组实施MAC/RBAC；防御DDoS攻击:为域、项目及用户设定配额，实施OpenStackHA最佳实践。HA架构以冗余为基础，所以运维人