淺析云計算帶來的安全挑戰

何曉晗

（中國移動通信集團福建有限公司莆田分公司，福建莆田351100）

2006年，谷歌提出“云計算”（Cloud Computing）的概念，它讓用戶使用計算資源變得非常便利。打個比方，就好比每個用戶自己從采購發電機自己發電、供電轉向了電廠，用戶按需付費的模式。云計算意味著計算能力也可作為一種商品進行流通，像水電一樣，取用方便，費用低廉。

按照云計算提供的服務層次來區分，一般可分為IaaS、PaaS、SaaS三種模式，筆者在此大膽的預測，隨著人工智能的發展，人工智能和云計算在不遠的未來會不會結合起來，產生新的模式RaaS（需求即服務，Requirement as a Service）。當然，這里不做過多的討論。

我們在享受云計算帶來便利的同時，也不能忽視由云計算帶來的安全挑戰。我們來看一下云計算帶來了哪些改變，這些改變又出現了哪些安全挑戰及如何去解決這些挑戰。

1 操作系統獨立控制硬件資源的模式被顛覆

在傳統的計算架構中，每臺物理計算機上只能同時運行一個操作系統。無論這個操作系統是Windows還是Linux或者Unix，計算機的所有硬件資源如CPU、I/O、存儲、網絡等統一由這個操作系統調度分配，不存在多個操作系統爭搶同一臺計算機的硬件資源。但是，在云計算模式下，它提供底層支持的虛擬化技術改變了這一切。這種技術使得同一臺物理計算機上運行了多個虛擬操作系統，這些虛擬操作系統共享了同一臺物理計算機的CPU、I/O、存儲、網絡等資源。這些虛擬操作系統不再直接調用底層物理計算資源，操作系統和物理計算機之間多了一層中間層，即虛擬化系統的核心HyperVisor層，HyperVisor層實現了對物理計算機的硬件資源的調度、分配。

實際上，HyperVisor層從某些方面來看就是個中間件系統。不過我們常說的中間件協調的是底層軟件資源，如數據庫資源等，提供上層應用系統統一調用的接口。而HyperVisor協調的是底層硬件資源，提供給操作系統統一調用的接口。

分析到這里，問題就來了，我們知道在編寫應用軟件的時候，如果需要用到某種中間件軟件，我們需要遵循它的標準來編碼并編譯。那么，我們在HyperVisor上運行的操作系統及應用軟件本質上是否也應該如此去做？實際上，目前的做法是，虛擬化的廠商做了這種適應，他們推出的虛擬化底層軟件適應了常見的一些操作系統軟件。這樣，在這些虛擬操作系統上運行的應用軟件基本不會受到虛擬化架構改變帶來的影響。但是，對于安全軟件，事情就沒有這么簡單了。因為安全軟件（尤其是防病毒軟件）的權限非常高，在某些方面基本和操作系統一致的。就是說，在這些虛擬操作系統上運行的安全軟件在某種程度上可以直接請求I/O、存儲、網絡等資源。顯而易見，安全軟件挑戰了HyperVisor這個“硬件中間件”的權威，它的存在足以引發虛擬化架構最常見的一個問題——“I/O資源沖突”。

我們可以做一個實驗，在一臺物理計算機上虛擬出10～15個操作系統，在這些虛擬操作系統上安裝防病毒軟件，在某個時刻同時執行防病毒軟件的“本地掃描”功能。我們可以看到，整個虛擬化系統的性能變得非常慢，甚至接近停滯。這個現象我們通常稱之為“防病毒風暴”。

為了解決這個問題，目前有兩種做法，一種是繞開這個問題。簡單的說，就是在防病毒軟件內部強制設定，不能同時掃描、不能同時更新等。但這個做法除了可能帶來的安全隱患外（如多個虛擬操作系統同時中病毒時無法應對），更大的問題是帶來了管理的難題，如安裝、管理、策略跟隨虛擬機漂移、引擎更新等。另外一種就是重新設計一種防病毒軟件，在軟件設計之初就遵循HyperVisor這一“硬件中間件”的標準，防病毒軟件只需要安裝一套在HyperVisor上，不需要在每臺虛擬操作系統上都安裝，從根本上解決這一問題，也完全解決了上述的管理難題。

2 安全邊界的改變

我們在討論網絡安全的時候，有一個必然的命題--安全邊界，安全邊界是我們設計及實施網絡安全的很重要的一個因素。在傳統的網絡體系架構中，安全邊界非常清晰，我們只需要根據應用防護等級、使用者權限等級等策略來設計我們的網絡安全。但云計算及虛擬化改變了這一切。在虛擬化的體系中，我們常常談到的是“主機虛擬化”、“存儲虛擬化”、“網絡虛擬化”。我們來看看主機虛擬化改變了什么，前文我們提到HyperVisor，實際上，有了HyperVisor，在同一臺物理計算機上虛擬出來的多臺虛擬機之間的互相通信是完全被封裝在HyperVisor層中的，也就是說，我們在傳統的網絡邊界部署的防火墻、IDS/IPS、審計設備等等完全成了擺設！虛擬化技術新生成了一層虛擬交換層，我們的傳統安全軟件或設備對發生在這個虛擬交換層的事情無能為力。

談到網絡安全，幾乎所有接觸過網絡安全的人都知道一個非常有名的原理——木桶原理，決定這個網絡的安全級別的是組成這個網絡的最不安全的一個單元。在傳統物理機時代，通過安全域的劃分，通過一些隔離手段，我們可以把我們的網絡看成一個個“小木桶”，一個網元的安全問題可能影響的是它所在的一個“小木桶”。云計算及虛擬化的時代，我們的網絡已經融合成了一個“大木桶”（虛擬化的標準化、資源池化、資源融合），任何一個網元的安全問題可能影響的就是整個“大木桶”。

要解決這些問題，我們需要具備對虛擬化HyperVisor的虛擬交換層做安全管理的能力，即我們的防火墻、IDS/IPS、審計系統等要具備管理這個虛擬交換層的能力。只有將防火墻、IDS/IPS、審計系統等部署于HyperVisor，我們才能真正管理這個安全邊界，才能像管理傳統網絡一樣具備將網絡劃分成一個個安全級別、防護級別等不同的“小木桶”，才能從網絡安全層面真正管理好虛擬化及云計算系統的所有網元。

3 網絡安全可視化的挑戰

我們討論網絡安全，網絡安全的“可視性”是必不可少的話題。就像我們的“平安城市”建設第一步是部署攝像頭一樣，網絡安全的基本要求也是“可視性”。

APT（高級持續性威脅）是目前最新的攻擊方式，APT具備幾個主要特征，如攻擊代碼新穎（用傳統的防病毒軟件、IPS等無法識別）、攻擊一般由潛入目標內部網絡開始（如郵件夾帶第一段代碼潛入用戶網絡以繞過用戶的防火墻、IPS等，區別于以往的破解邊界防護來攻擊）、攻擊行為潛伏性極強等。前文我們提到云計算及虛擬化帶來了新的邊界，其實，云計算的發展還模糊了邊界，云計算使得使用者可以分布于任何地方。這種改變也增加了APT攻擊潛入網絡的入口。

APT攻擊作為一種威脅性極強的安全威脅，國家從戰略高度已經重視并研究這一議題。2013年國家發改委發布的一份文件中明確提出了防范APT攻擊的要求，并明確提示防范APT攻擊需要用到虛擬沙盒系統。

要防范APT及其他網絡安全威脅，我們需要做的第一步就是實現可視性，傳統的IDS可以識別網絡層的攻擊，但對于應用層的識別及分析非常不足。有鑒于此，國際上的一些網絡安全研究組織在前些年提出了一個“進階IDS”的概念。進階IDS就是可以完全識別并分析網絡2～7層協議的系統。進階IDS可以使得網絡中的通信及內容對于網絡安全管理者完全可視，并可以自動分析其中的攻擊、病毒、威脅等行為。這種進階型IDS如果附帶“虛擬沙盒”（Sandbox）系統，就可以在整個云計算網絡中實時分析包括APT在內的安全威脅。

云計算帶來了IT的又一次革命，我們都在享受云計算帶來的便利、環保等優點。但是，我們不能忽視云計算帶來的安全挑戰，在云計算帶來的顛覆性革命中，我們也需要在深入了解云計算的體系架構的基礎上，用新的角度、新的技術來管理網絡安全問題。讓我們一起擁抱安全的云計算的時代。