中国移动私有云的安全建设思路初探

为应对业务系统建设面临的资源利用率低、规模扩展性有限、提供业务应用需求快速响应能力不足等问题，中国移动积极引入云计算技术，依托云计算技术改造现有系统，同时建设基于虚拟化、集中管理、自动调度的下一代业务系统。

在保证资源高效利用、业务需求快速响应的同时，安全问题也是利用云计算技术中必然要考虑的。而且在云计算模式下，不仅要考虑传统模式下设备的安全配置、账号口令以及日志管理等问题，更重要的是要解决云计算自身特性带来的新的安全问题。以短彩信系统为例，传统模式下短、彩信中心面临的主要安全风险一方面在于运维人员账号口令、日志审计以及端口服务等基础安全落实不到位造成泄露客户通信信息，另一方面在于短彩信等系统资源被非法利用滥发垃圾信息。而以云计算模式构建短彩信系统时，面临的业务风险没有改变，但增加了导致业务风险的因素，主要是云计算底层基础设施系统运维人员非法访问、安全域划分不善而导致的上述两方面的风险。

另外，由于云计算资源共享、弹性扩展等特性，对业务系统的运维管理也提出了新的要求。从管理流程上，一方面要针对业务的具体风险制定相应的防护措施。更重要的是要定期安全评估和检查，同时建立对问题整改的闭环流程。

1. 中国移动私有云安全建设思路

在私有云平台上提供某业务服务时，云计算固有的虚拟化技术、资源共享、弹性扩展等特征，必然会给基于云上的业务风险的新影响因素。

因此，中国移动在构建私有云平台时，要结合云计算自身的特性，针对承载的业务面临的风险及影响因素，针对私有云提出安全建设的思路。

2.1 重建网络安全域边界，加强网络安全防护

传统网络安全域的划分都是按照网络中物理设备的边界来设置。而在私有云场景中，基于物理设备的网络边界变得模糊，存在一台物理设备上部署不同安全需求和不同安全策略的多种业务。另外，传统网络中安全防护设备的部署也是围绕安全域的物理边界。这一部署方式在私有云的场景下，可以保护其中的物理设备，但无法为虚拟化资源提供有效保护。

云计算模式下安全域的划分，需要结合云计算的虚拟机、资源共享、弹性扩展等基本特性，重构新的安全域边界。可以采用虚拟机MAC地址分组控制策略或动态隧道技术来重建安全域边界，实现云计算网络安全域隔离与保护。

2.2 增强虚拟机管理器的安全，确保私有云根基稳固

虚拟机管理器作为业务系统私有云平台的核心，其完整性及可用性是至关重要的。虚拟机管理器负责为上层虚拟机所在的各业务系统协调所有计算和存储资源，从而使各业务系统正常运转。

因此，在构建私有云服务时，私有云平台所在的虚拟机管理器的安全保障尤为关键。在保证操作系统最小化安装的同时增强安全配置，限制或禁用某些不安全的服务，以提高系统的安全性。

2.3 做好虚拟机自身的安全防护，保障业务系统正常运营

在私有云中构建某业务系统时，首先要保证云平台的虚拟机自身的安全。一方面需要保证创建虚拟机的镜像文件的完整性，另一方面还需要从多个维度加强对虚拟机的安全防护。

·不同业务系统所在的虚拟机的隔离保障

由于私有云资源共享的特性，就会给其上的业务系统带来一定的安全风险，包括同一物理主机上虚拟机之间的攻击，或某业务系统的运维人员非法访问其他业务系统所在的虚拟机。因此保障虚拟机之间的有效隔离，是业务平台正常运营的基础所在。

因此，需要确保同一物理机上不同业务系统所在虚拟机之间的资源隔离。考虑将业务系统所在的虚拟机的IP地址和MAC地址绑定，限制虚拟机只能发送本机地址的报文，防止虚拟机之间的地址欺骗。另外，可参照传统方式，将业务系统所在虚拟机指定专门的虚拟端口，即使在同一台物理主机上的虚拟机也接收不到其他虚拟机的数据包，防止虚拟机之间的恶意嗅探。

·业务系统所在虚拟机的访问控制和权限管理

由于业务系统是构建在底层基础设施之上的虚拟机中，因此一旦虚拟机的访问控制和权限管理不当，就会造成底层基础设施的系统管理员或运维人员能访问或修改上层业务系统的相关信息，从而影响业务系统的安全。因此，在业务系统的私有云中需要确保虚拟机账号、密码的安全，并设置严格的访问控制方式。对于底层基础设施的系统管理员或运维人员账号进行合理的权限分配。

·保障在虚拟机之间以及虚拟机与虚拟机管理器之间的通信安全

在业务私有云中，业务系统所在的虚拟机之间，以及虚拟机与下层的虚拟机管理器之间不可避免的要进行信息的通信。因此，需要提供一定的机制保障彼此之间通信的安全，从而防止某业务系统运维人员非法嗅探或监视虚拟机网络上明文信息的传输。

2.4 建立完善的数据保护方案，防止用户信息非法泄露

由于云计算资源共享以及弹性动态扩展的特性，在业务系统的私有云建设中，对于用户信息及业务经营分析等重要数据的保护面临更严峻的考验。因此，在制定数据保护方案时，除了要保证传统模式下数据存储、传输、冗余备份等安全防护之外，还需要结合云计算的特性，提供相应的防护措施。

·防止数据被底层的系统管理员非法访问

由于业务系统所在的虚拟机是架设在底层的基础设施之上，一旦底层基础设施的系统管理员或运维人员权限分配不当，就会造成非法访问或篡改上层的业务信息。因此，在业务系统私有云的数据保护中，需要采取一定的措施防止数据被底层的系统管理员等的非授权访问。

·剩余数据彻底删除，防止被运维人员非授权恢复

由于私有云共享基础设施的特性，使得同一块存储资源可能在经过处理后分配给其他业务系统所用。存储空间上被删除后的数据变成了剩余数据，若这些数据处理不彻底，可能就会被后来的业务系统的运维人员恢复出来。因此，需要参考国际相关标准或通用做法进行数据的彻底删除，防止被非授权恢复。

2.5 私有云管理平台统一纳入4A系统集中管理

云计算模式下由于存在专门的云计算管理平台负责所有资源的分配、调度以及业务系统的迁移等。一旦云计算管理平台的系统管理员以及运维人员权限设置不当就会造成对云计算平台上业务系统的非法访问或信息泄露。因此，对于业务系统私有云管理平台也要统一纳入公司4A系统进行集中管理，通过统一的入口严格控制对管理平台的访问以及通过管理平台对业务系统执行的操作。

2. 总结

私有云整体安全建设的过程中，一方面需要结合云计算的特性，从技术层面设计关于虚拟机管理器安全、虚拟机安全、以及私有云数据保护等新的技术手段或解决方案，以应对云计算带来的新的安全问题和风险。另一方面也需要从管理层面完善相应的规章制度，积极应对云计算模式下可能出现的各类安全事件，完善安全事件的应急响应机制，进而保证整个私有云的安全。