信息化觀察網(wǎng)

01、云的安全挑戰(zhàn)

大多數(shù)企業(yè)，特別是對(duì)安全極其重視的半導(dǎo)體企業(yè)對(duì)將業(yè)務(wù)環(huán)境遷移入云一直存有疑慮。理由充分可理解，畢竟機(jī)房、服務(wù)器和數(shù)據(jù)不在自己的眼皮子底下，加之云計(jì)算是建立在虛擬服務(wù)上的，很多業(yè)務(wù)模式是讓你和其他公司共用物理機(jī)的，因此數(shù)據(jù)的有效保障程度對(duì)客戶來(lái)說(shuō)是個(gè)未知數(shù)。

我們先來(lái)談?wù)勆显频膸讉€(gè)主要安全挑戰(zhàn)，相比企業(yè)能完全控制的物理環(huán)境，還是比較復(fù)雜的。

首先，劃分的安全域不再如企業(yè)自建環(huán)境直接而簡(jiǎn)單，自建環(huán)境用防火墻和機(jī)房做內(nèi)、外隔離即可；而云基礎(chǔ)設(shè)施和資源是建立在“共享”基礎(chǔ)之上，安全域是多維的，因此復(fù)雜度就加大了，如果服務(wù)商安全做得不夠細(xì)致、專(zhuān)業(yè)，可以讓攻擊者‘長(zhǎng)驅(qū)而入“；另外，數(shù)據(jù)存放在遠(yuǎn)端的云服務(wù)商的數(shù)據(jù)中心，雖然專(zhuān)業(yè)云服務(wù)商有著非常完善的保護(hù)措施，可是多用戶共享資源，用戶是無(wú)法知道具體的資源位置，更無(wú)從控制資源運(yùn)行，這更讓企業(yè)很不“安心”。

其次，計(jì)算機(jī)的管理和運(yùn)維是通過(guò)互聯(lián)網(wǎng)進(jìn)行的，攻擊方式更具有“侵略性”和“隱蔽性”。我們做過(guò)測(cè)試，直接部署云環(huán)境而不考慮安全加固的云環(huán)境，是非常容易受到外部攻擊的。另外，云是全面虛擬化的，攻擊者可以隱藏在和其他客戶共享宿主機(jī)的虛擬機(jī)里面，加之虛擬機(jī)具有移動(dòng)性，物理機(jī)之間的克隆和發(fā)布可能會(huì)產(chǎn)生配置錯(cuò)誤和安全漏洞的傳播，從這個(gè)角度，也增加了更多的安全風(fēng)險(xiǎn)。

再來(lái)說(shuō)說(shuō)數(shù)據(jù)安全，部署在云上的數(shù)據(jù)，其訪問(wèn)、存儲(chǔ)、傳輸更需要考慮加密方式，客戶還是云服務(wù)商來(lái)保護(hù)和控制密鑰，以及密鑰如何存放，這都需要花費(fèi)更多的努力。

因此，在云上部署的業(yè)務(wù)應(yīng)用，其審計(jì)要求更高，需要對(duì)資源和數(shù)據(jù)的訪問(wèn)、使用和活動(dòng)提供更為可靠的審計(jì)證據(jù)，以證明資源沒(méi)有被篡改或泄露。

盡管有上述的這些安全挑戰(zhàn)，但是如果我們了解云平臺(tái)的運(yùn)作機(jī)理、使用的技術(shù)手段，并熟知其產(chǎn)品特性，施之以完善的規(guī)劃和部署，那么我們還是可以比較有信心地說(shuō)：用戶是可以安心地使用云計(jì)算的。畢竟云計(jì)算的高彈性、“即開(kāi)即用”等特色和優(yōu)勢(shì)給企業(yè)帶來(lái)的好處是顯著的，想想因芯片的研發(fā)時(shí)間大幅度縮短而帶來(lái)的高效和經(jīng)濟(jì)效益，是多大的吸引力。讀者如果有興趣，可以從摩爾精英前期發(fā)表的《芯片上“云“的動(dòng)力》一文中了解更多的細(xì)節(jié)。

“物不因不生不革不成“，可是如何保證成功而安全的遷移，本文將從多個(gè)角度來(lái)闡述如何做、怎么做來(lái)保護(hù)企業(yè)上云安全，希望能增添大家上云的信心。

02、云的安全優(yōu)勢(shì)

盡管上節(jié)中，我們講到了芯片上云面臨著許多挑戰(zhàn)，可是云的安全優(yōu)勢(shì)也是顯著的。

2.1、安全隨“云”而行

由于云是通過(guò)互聯(lián)網(wǎng)平臺(tái)提供的一種共享服務(wù)，其特殊性決定了它面臨的安全風(fēng)險(xiǎn)更高。因此，從基礎(chǔ)架構(gòu)和產(chǎn)品目錄布局開(kāi)始，云服務(wù)商就對(duì)安全進(jìn)行了布局。從跨數(shù)據(jù)中心的建設(shè)開(kāi)始，云廠商就將安全控件系統(tǒng)地、緊密地集成在硬件、固件和軟件服務(wù)中。比如說(shuō)，“多層安全”的安全方針從Iaas和Paas層，對(duì)互聯(lián)網(wǎng)威脅最大之一的DDoS攻擊進(jìn)行了全面的防御和阻斷；又比如，充分利用云優(yōu)勢(shì)、無(wú)縫結(jié)合大數(shù)據(jù)、實(shí)時(shí)捕捉安全信息從而高效地分析和判斷可能發(fā)生的安全風(fēng)險(xiǎn)和威脅[1]。可以說(shuō)，安全是“隨云而行、織密而彈性的”。

2.2、多層構(gòu)建、高安全邊界防御

由于云是面向互聯(lián)網(wǎng)的，云廠商要成功提供服務(wù)，在安全方面必然面臨持續(xù)的、嚴(yán)格的監(jiān)管，監(jiān)管部門(mén)要求云服務(wù)商必須通過(guò)和維護(hù)符合要求的安全認(rèn)證。因此，專(zhuān)業(yè)的云平臺(tái)服務(wù)商都在安全方面投入了很大的人力和財(cái)力，他們從物理數(shù)據(jù)中心開(kāi)始分層構(gòu)建，和眾多安全產(chǎn)品和方案提供商合力在平臺(tái)上筑建起嚴(yán)密的防入侵防御，并且有7x24的后臺(tái)運(yùn)維團(tuán)隊(duì)和安全專(zhuān)家團(tuán)隊(duì)做后盾，從而盡最大程度地控制安全風(fēng)險(xiǎn)，比如：

最高級(jí)別的數(shù)據(jù)中心物理安全

云的數(shù)據(jù)中心一般是根據(jù)數(shù)據(jù)中心安全要求按照最高級(jí)別設(shè)計(jì)的，比如：數(shù)據(jù)中心部所有基礎(chǔ)設(shè)施（空調(diào)、UPS等）按全冗余設(shè)計(jì)，嚴(yán)格隔離不同安全區(qū)域、設(shè)置不同級(jí)別的物理訪問(wèn)控制和監(jiān)控等。

●邊界防火墻頂級(jí)配置

●高集成事件日志的IDS防御

●應(yīng)用、數(shù)據(jù)庫(kù)層防火墻保護(hù)

●存留數(shù)據(jù)加密

由此可見(jiàn)，就以投資、人力和專(zhuān)業(yè)度而論，一般企業(yè)是“望塵不及、有心而力不足”的。另外，規(guī)模小的中、小企業(yè)，由于初期建設(shè)往往簡(jiǎn)單，缺少專(zhuān)業(yè)人員的建議、實(shí)施和運(yùn)維，他們的企業(yè)研發(fā)環(huán)境一般都存在著高安全風(fēng)險(xiǎn)。比如，盡管他們知道做跳板機(jī)，可是跳板機(jī)本身沒(méi)有做任何安全防護(hù)。同時(shí)，他們又局限在沒(méi)有專(zhuān)業(yè)人員維護(hù)、缺少駐場(chǎng)安全服務(wù)的困境中。如果上云，可以實(shí)現(xiàn)用較低的成本進(jìn)行環(huán)境安全管理的期望。

2.3、安全補(bǔ)丁和安全管理高度集成

安全機(jī)構(gòu)，比如Verizon【2】的最新調(diào)查表明，許多安全風(fēng)險(xiǎn)來(lái)自不完善的補(bǔ)丁管理。沒(méi)有及時(shí)更新的系統(tǒng)補(bǔ)丁很容易給入侵者入侵機(jī)會(huì)，而傳統(tǒng)的IT管理方法中的補(bǔ)丁管理是分散的、復(fù)雜的。補(bǔ)丁還涉及到備份、故障恢復(fù)等其他流程，比如，如果補(bǔ)丁更新失敗或者補(bǔ)丁造成系統(tǒng)崩潰后，如何恢復(fù)系統(tǒng)，特別是關(guān)鍵信息設(shè)施和重要系統(tǒng)，更是需要“刻不容緩”地復(fù)原。因此在傳統(tǒng)的IT環(huán)境中，補(bǔ)丁管理是讓管理員極其操心的。

而在云上，這個(gè)工作就變得很輕松了。因?yàn)樵剖且约衅脚_(tái)形式進(jìn)行補(bǔ)丁管理和安全管理的。補(bǔ)丁實(shí)施計(jì)劃：測(cè)試和回滾、更新時(shí)間表、安全策略更新、安全日志監(jiān)控等，都能在一個(gè)管理平臺(tái)上進(jìn)行管理和運(yùn)維。這極大程度減輕了管理員的工作負(fù)擔(dān)，提高了管理效率，并避免人為錯(cuò)誤而導(dǎo)致的更嚴(yán)重的后果。

2.4安全威脅彈性應(yīng)對(duì)、快速隔離

對(duì)于云的彈性屬性，大家應(yīng)該耳熟能詳了。“隨云而行”的安全當(dāng)然也是具有彈性特征的。云的安全自動(dòng)運(yùn)維效率極高，不僅有邊界安全防護(hù)提升了智能分析、處置能力。比如面對(duì)威脅，它能有效自動(dòng)攔截機(jī)制。

還有，比起傳統(tǒng)的線下數(shù)據(jù)中心的邏輯隔離，它能更容易地分割服務(wù)和功能模塊。萬(wàn)一其中一個(gè)服務(wù)或者模塊被攻擊了，云的虛機(jī)和容器技術(shù)可以使工作流的不同模塊或服務(wù)運(yùn)行在不同的物理區(qū)域里，因此被攻擊的部分不會(huì)影響到其他服務(wù)或功能模塊，從而實(shí)現(xiàn)快速隔離。并且云的事件和消息服務(wù)功能強(qiáng)大，下一個(gè)工作流的任務(wù)會(huì)鑒別和確認(rèn)上一個(gè)工作流的事件消息，被攻擊部分不會(huì)得到確認(rèn)所以會(huì)被丟棄。因此，我們很容易追蹤溯源，這使得安全事件很容易找到根本原因。

03、責(zé)任共同模型

本節(jié)我們來(lái)著重介紹“責(zé)任共擔(dān)模型”。因?yàn)槿绻涣私膺@個(gè)模型，企業(yè)可能會(huì)進(jìn)入另外一個(gè)“誤區(qū)”：認(rèn)為既然云廠商有著這么多的安全“優(yōu)勢(shì)”，就將業(yè)務(wù)環(huán)境完全托管給云服務(wù)商，如果有事情就問(wèn)責(zé)服務(wù)商。如果大家有這個(gè)想法，那么筆者這里要大大地敲“黑板”了，千萬(wàn)不可這么認(rèn)為，否則造成的安全風(fēng)險(xiǎn)不減反而更高。

梳理一下，我們可以看到所有的云服務(wù)商，包括著名的阿里、騰訊、亞馬遜或微軟都是和客戶以共擔(dān)責(zé)任模式來(lái)運(yùn)營(yíng)系統(tǒng)和業(yè)務(wù)環(huán)境的。

雖然各家服務(wù)商具體實(shí)現(xiàn)的方式不同，但本質(zhì)相同，和客戶的合作都是建立在責(zé)任共擔(dān)之基礎(chǔ)上的。

云服務(wù)商負(fù)責(zé)“云自身”安全，包括云服務(wù)所包含的所有基礎(chǔ)設(shè)施，運(yùn)營(yíng)、管理和控制所提供服務(wù)組件所在的物理數(shù)據(jù)中心、網(wǎng)路設(shè)備、軟、硬件和虛擬層。

而客戶的主要責(zé)任在于和其業(yè)務(wù)相關(guān)的企業(yè)數(shù)據(jù)、所選云服務(wù)的配置管理及身份驗(yàn)證，這也是從企業(yè)角度出發(fā)，保障企業(yè)的關(guān)鍵利益。

我們具體以微軟云和亞馬遜云為例。

微軟云的“責(zé)任共擔(dān)“【3】模型如下圖3.1所示，紅色部分為客戶責(zé)任范圍，包括終端設(shè)備、賬號(hào)和驗(yàn)證、業(yè)務(wù)信息和數(shù)據(jù)，這些屬于客戶的責(zé)任。

圖3.1.微軟云的“責(zé)任共擔(dān)“模型

再看下圖3.2.亞馬遜云的“責(zé)任共擔(dān)“模型，同樣，亞馬遜也強(qiáng)調(diào)客戶需要對(duì)自己的數(shù)據(jù)、身份驗(yàn)證及訪問(wèn)和信息系統(tǒng)環(huán)境負(fù)責(zé)，其中，信息系統(tǒng)包括：操作系統(tǒng)、網(wǎng)絡(luò)訪問(wèn)控制部分，其中，亞馬遜在模型中特別強(qiáng)調(diào)數(shù)據(jù)的加密責(zé)任在于客戶【4】。

圖3.2亞馬遜云的“責(zé)任共擔(dān)”模型

因此我們必須清楚地認(rèn)識(shí)到：企業(yè)對(duì)其自身的業(yè)務(wù)環(huán)境還是有著“義不容辭”的責(zé)任和義務(wù)，只是范圍縮小和集中了，讓企業(yè)的財(cái)力和人力更集中于其最關(guān)注的利益部分。因此，安全投資成本小了，環(huán)境更安全了。

04、摩爾精英的安全架構(gòu)體系

摩爾精英的安全框架體系是立體多層、多維度的，并參考了國(guó)、內(nèi)外的網(wǎng)安全標(biāo)準(zhǔn)，基于行業(yè)特點(diǎn)而設(shè)計(jì)的，該框架體系不僅適用于傳統(tǒng)研發(fā)環(huán)境，而且可以輕松延展到各類(lèi)云平臺(tái)。

圖4.1.摩爾精英安全系統(tǒng)框架

我們這里給大家介紹一個(gè)適用于中、小型客戶的安全上云方案。我們考慮一個(gè)20個(gè)人左右的初創(chuàng)企業(yè)。初創(chuàng)企業(yè)規(guī)模不大，一般啟動(dòng)資金有限，希望馬上開(kāi)始芯片設(shè)計(jì)，又需要時(shí)間搭建環(huán)境。同時(shí)又面臨很多問(wèn)題，就如我們剛發(fā)表的《芯片設(shè)計(jì)上云-路徑篇》一文中提到的諸多問(wèn)題：

人員規(guī)模不大，但是站點(diǎn)較多，有些可能還有國(guó)外的設(shè)計(jì)人

啟動(dòng)資金有限，自建機(jī)房負(fù)擔(dān)較重，

沒(méi)有專(zhuān)職的IT/CAD人員，

對(duì)設(shè)計(jì)平臺(tái)如何搭建缺乏專(zhuān)業(yè)知識(shí)，

公司初期辦公地點(diǎn)不定，可能會(huì)經(jīng)常搬家。

隨著云實(shí)施方案的成熟，全云方案對(duì)初創(chuàng)企業(yè)無(wú)疑是一個(gè)不錯(cuò)的選擇。

如下圖4.2所示，該云方案將線下的傳統(tǒng)芯片開(kāi)發(fā)環(huán)境完整地搬到了Azure云，而又無(wú)縫地集成了彈性算力集群。

圖4.2初創(chuàng)企業(yè)全云方案拓?fù)鋱D

摩爾精英在安全體系框架上，深入結(jié)合微軟云的7層零安全，如下圖4.2

充分考慮客戶的使用成本集成上，制定了“三層隔離、7層防護(hù)”的安全方案，體現(xiàn)了安全“隨云而行”的精髓。如下圖4.3所示。

圖4.3初創(chuàng)企業(yè)上云安全方案

用戶的工作區(qū)為OA區(qū)，通過(guò)安全隧道和安全身份認(rèn)證，登入位于VDI區(qū)域的云上服務(wù)器，打開(kāi)VNC就可以進(jìn)行開(kāi)發(fā)工作。

所有位于HPC區(qū)域的Login服務(wù)器，作業(yè)集群和存儲(chǔ)，通過(guò)安全產(chǎn)品和手段保護(hù)在另外隔離的私有網(wǎng)絡(luò)中；面向與公網(wǎng)的Infra組件，比如windows服務(wù)器等用防火墻等安全組件增強(qiáng)安全，抵御來(lái)自互聯(lián)網(wǎng)的DDoS攻擊等威脅。

同時(shí)我們通過(guò)secure center，“一個(gè)中心”來(lái)監(jiān)控、預(yù)防和進(jìn)行安全管理。

另外，我們單獨(dú)給管理員登錄和管理做了另外的安全隔離，通過(guò)安全的方法，使管理員安全地進(jìn)行運(yùn)維，所有的行為都進(jìn)行記錄和保存。

05、總結(jié)

我們上云的好處不再贅述，在《芯片上“云”的動(dòng)力》一篇已經(jīng)做了重點(diǎn)介紹?？墒俏覀円部吹綗o(wú)論在戰(zhàn)略還是應(yīng)用部署，比起國(guó)外芯片行業(yè)，國(guó)內(nèi)企業(yè)還是有諸多顧慮上云，其中之一就說(shuō)安全方面的擔(dān)憂。

筆者在本文細(xì)數(shù)了上云的主要安全挑戰(zhàn)，闡述了云服務(wù)商應(yīng)對(duì)這些挑戰(zhàn)的方案，這些挑戰(zhàn)使云平臺(tái)在安全方面做得更詳盡和專(zhuān)業(yè)，甚至“如云隨行”、彈性等安全優(yōu)勢(shì)更優(yōu)于線下的環(huán)境安全。

我們可以看到，通過(guò)對(duì)安全知識(shí)的充分了解，理解責(zé)任共擔(dān)模型，制定詳細(xì)規(guī)劃后，當(dāng)我們?cè)賮?lái)問(wèn)“云是安全的嗎？云可以做到安全嗎？”我們可以信心滿滿地回答：“是”！