為應(yīng)對(duì)業(yè)務(wù)系統(tǒng)建設(shè)面臨的資源利用率低、規(guī)模擴(kuò)展性有限、提供業(yè)務(wù)應(yīng)用需求快速響應(yīng)能力不足等問題，中國移動(dòng)積極引入云計(jì)算技術(shù)，依托云計(jì)算技術(shù)改造現(xiàn)有系統(tǒng)，同時(shí)建設(shè)基于虛擬化、集中管理、自動(dòng)調(diào)度的下一代業(yè)務(wù)系統(tǒng)。

在保證資源高效利用、業(yè)務(wù)需求快速響應(yīng)的同時(shí)，安全問題也是利用云計(jì)算技術(shù)中必然要考慮的。而且在云計(jì)算模式下，不僅要考慮傳統(tǒng)模式下設(shè)備的安全配置、賬號(hào)口令以及日志管理等問題，更重要的是要解決云計(jì)算自身特性帶來的新的安全問題。以短彩信系統(tǒng)為例，傳統(tǒng)模式下短、彩信中心面臨的主要安全風(fēng)險(xiǎn)一方面在于運(yùn)維人員賬號(hào)口令、日志審計(jì)以及端口服務(wù)等基礎(chǔ)安全落實(shí)不到位造成泄露客戶通信信息，另一方面在于短彩信等系統(tǒng)資源被非法利用濫發(fā)垃圾信息。而以云計(jì)算模式構(gòu)建短彩信系統(tǒng)時(shí)，面臨的業(yè)務(wù)風(fēng)險(xiǎn)沒有改變，但增加了導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)的因素，主要是云計(jì)算底層基礎(chǔ)設(shè)施系統(tǒng)運(yùn)維人員非法訪問、安全域劃分不善而導(dǎo)致的上述兩方面的風(fēng)險(xiǎn)。

另外，由于云計(jì)算資源共享、彈性擴(kuò)展等特性，對(duì)業(yè)務(wù)系統(tǒng)的運(yùn)維管理也提出了新的要求。從管理流程上，一方面要針對(duì)業(yè)務(wù)的具體風(fēng)險(xiǎn)制定相應(yīng)的防護(hù)措施。更重要的是要定期安全評(píng)估和檢查，同時(shí)建立對(duì)問題整改的閉環(huán)流程。

1. 中國移動(dòng)私有云安全建設(shè)思路

在私有云平臺(tái)上提供某業(yè)務(wù)服務(wù)時(shí)，云計(jì)算固有的虛擬化技術(shù)、資源共享、彈性擴(kuò)展等特征，必然會(huì)給基于云上的業(yè)務(wù)風(fēng)險(xiǎn)的新影響因素。

因此，中國移動(dòng)在構(gòu)建私有云平臺(tái)時(shí)，要結(jié)合云計(jì)算自身的特性，針對(duì)承載的業(yè)務(wù)面臨的風(fēng)險(xiǎn)及影響因素，針對(duì)私有云提出安全建設(shè)的思路。

2.1 重建網(wǎng)絡(luò)安全域邊界，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)

傳統(tǒng)網(wǎng)絡(luò)安全域的劃分都是按照網(wǎng)絡(luò)中物理設(shè)備的邊界來設(shè)置。而在私有云場景中，基于物理設(shè)備的網(wǎng)絡(luò)邊界變得模糊，存在一臺(tái)物理設(shè)備上部署不同安全需求和不同安全策略的多種業(yè)務(wù)。另外，傳統(tǒng)網(wǎng)絡(luò)中安全防護(hù)設(shè)備的部署也是圍繞安全域的物理邊界。這一部署方式在私有云的場景下，可以保護(hù)其中的物理設(shè)備，但無法為虛擬化資源提供有效保護(hù)。

云計(jì)算模式下安全域的劃分，需要結(jié)合云計(jì)算的虛擬機(jī)、資源共享、彈性擴(kuò)展等基本特性，重構(gòu)新的安全域邊界�？梢圆捎锰摂M機(jī)MAC地址分組控制策略或動(dòng)態(tài)隧道技術(shù)來重建安全域邊界，實(shí)現(xiàn)云計(jì)算網(wǎng)絡(luò)安全域隔離與保護(hù)。

2.2 增強(qiáng)虛擬機(jī)管理器的安全，確保私有云根基穩(wěn)固

虛擬機(jī)管理器作為業(yè)務(wù)系統(tǒng)私有云平臺(tái)的核心，其完整性及可用性是至關(guān)重要的。虛擬機(jī)管理器負(fù)責(zé)為上層虛擬機(jī)所在的各業(yè)務(wù)系統(tǒng)協(xié)調(diào)所有計(jì)算和存儲(chǔ)資源，從而使各業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)。

因此，在構(gòu)建私有云服務(wù)時(shí)，私有云平臺(tái)所在的虛擬機(jī)管理器的安全保障尤為關(guān)鍵。在保證操作系統(tǒng)最小化安裝的同時(shí)增強(qiáng)安全配置，限制或禁用某些不安全的服務(wù)，以提高系統(tǒng)的安全性。

2.3 做好虛擬機(jī)自身的安全防護(hù)，保障業(yè)務(wù)系統(tǒng)正常運(yùn)營

在私有云中構(gòu)建某業(yè)務(wù)系統(tǒng)時(shí)，首先要保證云平臺(tái)的虛擬機(jī)自身的安全。一方面需要保證創(chuàng)建虛擬機(jī)的鏡像文件的完整性，另一方面還需要從多個(gè)維度加強(qiáng)對(duì)虛擬機(jī)的安全防護(hù)。

·不同業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)的隔離保障

由于私有云資源共享的特性，就會(huì)給其上的業(yè)務(wù)系統(tǒng)帶來一定的安全風(fēng)險(xiǎn)，包括同一物理主機(jī)上虛擬機(jī)之間的攻擊，或某業(yè)務(wù)系統(tǒng)的運(yùn)維人員非法訪問其他業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)。因此保障虛擬機(jī)之間的有效隔離，是業(yè)務(wù)平臺(tái)正常運(yùn)營的基礎(chǔ)所在。

因此，需要確保同一物理機(jī)上不同業(yè)務(wù)系統(tǒng)所在虛擬機(jī)之間的資源隔離�？紤]將業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)的IP地址和MAC地址綁定，限制虛擬機(jī)只能發(fā)送本機(jī)地址的報(bào)文，防止虛擬機(jī)之間的地址欺騙。另外，可參照傳統(tǒng)方式，將業(yè)務(wù)系統(tǒng)所在虛擬機(jī)指定專門的虛擬端口，即使在同一臺(tái)物理主機(jī)上的虛擬機(jī)也接收不到其他虛擬機(jī)的數(shù)據(jù)包，防止虛擬機(jī)之間的惡意嗅探。

·業(yè)務(wù)系統(tǒng)所在虛擬機(jī)的訪問控制和權(quán)限管理

由于業(yè)務(wù)系統(tǒng)是構(gòu)建在底層基礎(chǔ)設(shè)施之上的虛擬機(jī)中，因此一旦虛擬機(jī)的訪問控制和權(quán)限管理不當(dāng)，就會(huì)造成底層基礎(chǔ)設(shè)施的系統(tǒng)管理員或運(yùn)維人員能訪問或修改上層業(yè)務(wù)系統(tǒng)的相關(guān)信息，從而影響業(yè)務(wù)系統(tǒng)的安全。因此，在業(yè)務(wù)系統(tǒng)的私有云中需要確保虛擬機(jī)賬號(hào)、密碼的安全，并設(shè)置嚴(yán)格的訪問控制方式。對(duì)于底層基礎(chǔ)設(shè)施的系統(tǒng)管理員或運(yùn)維人員賬號(hào)進(jìn)行合理的權(quán)限分配。

·保障在虛擬機(jī)之間以及虛擬機(jī)與虛擬機(jī)管理器之間的通信安全

在業(yè)務(wù)私有云中，業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)之間，以及虛擬機(jī)與下層的虛擬機(jī)管理器之間不可避免的要進(jìn)行信息的通信。因此，需要提供一定的機(jī)制保障彼此之間通信的安全，從而防止某業(yè)務(wù)系統(tǒng)運(yùn)維人員非法嗅探或監(jiān)視虛擬機(jī)網(wǎng)絡(luò)上明文信息的傳輸。

2.4 建立完善的數(shù)據(jù)保護(hù)方案，防止用戶信息非法泄露

由于云計(jì)算資源共享以及彈性動(dòng)態(tài)擴(kuò)展的特性，在業(yè)務(wù)系統(tǒng)的私有云建設(shè)中，對(duì)于用戶信息及業(yè)務(wù)經(jīng)營分析等重要數(shù)據(jù)的保護(hù)面臨更嚴(yán)峻的考驗(yàn)。因此，在制定數(shù)據(jù)保護(hù)方案時(shí)，除了要保證傳統(tǒng)模式下數(shù)據(jù)存儲(chǔ)、傳輸、冗余備份等安全防護(hù)之外，還需要結(jié)合云計(jì)算的特性，提供相應(yīng)的防護(hù)措施。

·防止數(shù)據(jù)被底層的系統(tǒng)管理員非法訪問

由于業(yè)務(wù)系統(tǒng)所在的虛擬機(jī)是架設(shè)在底層的基礎(chǔ)設(shè)施之上，一旦底層基礎(chǔ)設(shè)施的系統(tǒng)管理員或運(yùn)維人員權(quán)限分配不當(dāng)，就會(huì)造成非法訪問或篡改上層的業(yè)務(wù)信息。因此，在業(yè)務(wù)系統(tǒng)私有云的數(shù)據(jù)保護(hù)中，需要采取一定的措施防止數(shù)據(jù)被底層的系統(tǒng)管理員等的非授權(quán)訪問。

·剩余數(shù)據(jù)徹底刪除，防止被運(yùn)維人員非授權(quán)恢復(fù)

由于私有云共享基礎(chǔ)設(shè)施的特性，使得同一塊存儲(chǔ)資源可能在經(jīng)過處理后分配給其他業(yè)務(wù)系統(tǒng)所用。存儲(chǔ)空間上被刪除后的數(shù)據(jù)變成了剩余數(shù)據(jù)，若這些數(shù)據(jù)處理不徹底，可能就會(huì)被后來的業(yè)務(wù)系統(tǒng)的運(yùn)維人員恢復(fù)出來。因此，需要參考國際相關(guān)標(biāo)準(zhǔn)或通用做法進(jìn)行數(shù)據(jù)的徹底刪除，防止被非授權(quán)恢復(fù)。

2.5 私有云管理平臺(tái)統(tǒng)一納入4A系統(tǒng)集中管理

云計(jì)算模式下由于存在專門的云計(jì)算管理平臺(tái)負(fù)責(zé)所有資源的分配、調(diào)度以及業(yè)務(wù)系統(tǒng)的遷移等。一旦云計(jì)算管理平臺(tái)的系統(tǒng)管理員以及運(yùn)維人員權(quán)限設(shè)置不當(dāng)就會(huì)造成對(duì)云計(jì)算平臺(tái)上業(yè)務(wù)系統(tǒng)的非法訪問或信息泄露。因此，對(duì)于業(yè)務(wù)系統(tǒng)私有云管理平臺(tái)也要統(tǒng)一納入公司4A系統(tǒng)進(jìn)行集中管理，通過統(tǒng)一的入口嚴(yán)格控制對(duì)管理平臺(tái)的訪問以及通過管理平臺(tái)對(duì)業(yè)務(wù)系統(tǒng)執(zhí)行的操作。

2. 總結(jié)

私有云整體安全建設(shè)的過程中，一方面需要結(jié)合云計(jì)算的特性，從技術(shù)層面設(shè)計(jì)關(guān)于虛擬機(jī)管理器安全、虛擬機(jī)安全、以及私有云數(shù)據(jù)保護(hù)等新的技術(shù)手段或解決方案，以應(yīng)對(duì)云計(jì)算帶來的新的安全問題和風(fēng)險(xiǎn)。另一方面也需要從管理層面完善相應(yīng)的規(guī)章制度，積極應(yīng)對(duì)云計(jì)算模式下可能出現(xiàn)的各類安全事件，完善安全事件的應(yīng)急響應(yīng)機(jī)制，進(jìn)而保證整個(gè)私有云的安全。