一種雲安全服務架構的設計與實現

1.研究背景

雲計算是網格計算、分散式運算、平行計算、效用計算、網路存儲、虛擬化、負載均衡、等傳統電腦技術和網路技術發展融合的產物。 借助SaaS、PaaS、IaaS、MSP 等先進的商業模式把這強大的計算能力分佈到終端使用者手中。 雲計算的核心思想，是將大量用網路連接的計算資源統一管理和調度，構成一個計算資源池向使用者按需服務。

隨著雲計算逐漸成為未來發展的趨勢，得到了當前業界乃至全社會的關注，被廣泛認為是新一代資訊技術變革和業務應用模式變革的核心。 作為IT基礎設施、資訊服務的交付和使用模式及基於互聯網的新型計算模式，雲計算使資訊技術更加簡單、易用，使知識普及成本大幅下降，使人們能夠更好地獲取和使用知識，能夠更好地支撐工作、生活。 雲計算的出現是傳統IT 領域和通信領域技術進步、需求推動和商業模式變化共同促進的結果，具有以網路為中心、以服務為提供方式、高擴充性和高可靠性以及資源使用虛擬化、透明化等重要特徵。 隨著雲計算技術及理念的深入應用，利用雲計算強大的服務能力提供安全服務(即雲安全)越來越成為安全業界關注的重點，同時雲計算技術及理念也對傳統安全技術及應用產生了深遠的影響。

2.雲安全服務的關鍵技術

當前雲計算在資源分享和分配上體現的是一個整體的獨立系統，是以固定數量的資源或既定的解決方案為使用者提供服務，其業務流程相對比較固定。 隨著網路技術的發展，以及基於服務架構(ServiceOriented Architecture，SOA) 思想的提出，網路安全設備的共用和應用過程應該是基於服務而形成的，對如何發佈資源以及如何搜索資源開展了大量的工作， 但是如何實現資源和任務在介面、功能、流程、語義、服務品質等方面的智慧匹配、尋租、動態組合等，則缺乏有效的解決手段。 正因為目前的安全雲技術沒有很好地解決網路安全設備的動態共用與智慧分配、終端物理設備智慧嵌入式接入等問題，使其推廣應用和發展受到了限制。

安全雲涉及的關鍵技術大致可以分為： 模式、體系架構、標準和規範;雲端化技術;雲服務的綜合管理技術;安全雲業務管理模式與技術。

(1) 安全雲模式、體系架構、相關標準及規範

主要是從系統的角度出發，研究安全雲平臺的結構、組織與運行模式等方面的技術，同時研究支援實施安全雲的相關標準和規範。 包括：支援多使用者的、商業運行的、面向服務的安全體系架構;安全雲應用模式下設備的交互、共用、交互操作模式;安全雲平臺的相關標準、協定、規範等， 如雲服務接入標準、雲服務描述規範、雲服務訪問協定等。

(2) 雲端化技術

主要研究安全雲服務提供端各類安全設備的嵌入式雲終端封裝、接入、調用等技術， 並研究安全服務請求端接入安全雲平臺、訪問和調用安全雲平臺中服務的技術， 包括：支援參與安全雲的底層終端物理設備智慧嵌入式接入技術、雲計算互接入技術等 ;雲終端設備服務定義封裝、發佈、虛擬化技術及相應工具的開發;雲請求端接入和訪問雲製造平臺技術，以及支援平臺使用者使用安全雲平臺的技術;物聯網實現技術等。

(3) 雲服務綜合管理技術

主要研究和支援雲服務運營商對雲端服務進行接入、發佈、組織與聚合、管理與調度等綜合管理操作，包括： 雲提供端資源和服務的接入管理，如統一介面定義與管理、認證管理等;高效、動態的雲服務組建、聚合、存儲方法;高效能、 智慧化安全雲服務搜索與動態匹配技術;安全雲任務動態構建與部署、分解、資源服務協同調度優化配置方法;安全雲服務提供模式及推廣，雲使用者(包括雲提供端和雲請求端) 管理、授權機制等。

3.系統實現

本文的主要研究內容包括如何利用藍盾網路安全雲防護平臺基於利用雲計算平臺，在藍盾現有的綜合網路安全設備和系統的基礎上，實現統一威脅管理雲服務、統一終端管理雲服務、以及統一策略管理雲服務，體現雲計算環境在網路安全， 特別是在外網防禦方面的優勢。 同時，本文利用了基於同態hash(homomorphic hashing)的資料持有性證明方法、虛擬網路隨動審計、基於通用的認證和金鑰管理框架、可證明安全的高效認證金鑰協商協定、 自主可控的細細微性雲資料共用存取控制等手段來保護使用者的隱私和資料安全，消除使用者對於雲計算的疑慮，保障雲平臺的穩定運行。

藍盾網路安全雲防護平臺架構包括有網路安全基礎設施層IaaS (Security Infrastructure as a Service)、網路安全應用平台層PaaS (Security Platform as a Service)， 以及網路安全服務層SaaS(Security Software as a Service)。 其中：

圖1 藍盾雲安全平臺架構

(1)網路安全基礎設施層IaaS 提供基礎的存儲資源和計算資源，通過開源Xen 雲計算虛擬基礎設施系統構造雲基礎設施層，實現硬體資源的虛擬化，並且以虛擬機器為基礎單位對資源進行分配、調度和管理等。 Xen 虛擬化了基礎設施資源，實現了基礎設施資源的網路化交付。

(2)在IaaS 的基礎上，通過設計相應的服務介面，實現基礎和共性功能，構造網路安全應用平台層PaaS。 PaaS 基於開源的Hadoop 雲計算應用平臺，分別提供HDFS 分散式存儲以及Map/Reduce 平行計算的支援，為各個創新軟體/服務的共性需求提供支援，包括海量資料存儲和備份、海量安全資訊的採集、分析和監控、 協同防禦的基本實現。

(3)在PaaS 的基礎上，通過Web Service 介面，以網路服務的形式提供各類直接面向應用的軟體服務，包括雲網站防護、雲風險評估、雲審計和雲防火牆等等軟體服務。

(1)網路安全基礎設施層

網路安全基礎設施層IaaS 提供基礎的存儲資源和計算資源，通過Xen 雲計算虛擬基礎設施系統構造雲基礎設施層，實現硬體資源的虛擬化，並且以虛擬機器為基礎單位對資源進行分配、調度和管理等。 Xen虛擬化了基礎設施資源，實現了基礎設施資源的網路化交付。

Xen 是雲虛擬化基礎設施平臺，該雲虛擬化基礎設施平臺完成對硬體資源的虛擬化以及提供統一的平臺對資源進行管理和訪問。 在設備中引入虛擬化的概念，使得一個物理設備可以虛擬化為多個設備。 同時各個虛擬裝置之間的環境有嚴格的隔離;本專案支援使用者在任意位置、使用各種終端獲取應用服務。 使用者請求的資源來自「雲」，而不是固定的有形的實體。 應用在「雲」中某處運行，使用者無需瞭解應用運行的具體位置。 只需要一台筆記本或者一個手機，就可以通過網路來實現安全雲服務。

圖2 Xen 應用體系

Xen 實現了下列主要功能：①硬體資源的虛擬化。 通過對硬體資源進行虛擬化， Xen 能夠在不同的硬體環境中虛擬出一致的環境和平臺，以簡化軟體的研發和管理。 ②硬體資源的多租戶共用和服務的安全隔離。 Xen 通過虛擬化，對硬體資源進行分割、隔離和共用，可以實現單一硬體上的多組使用者共用，提升硬體資源的利用率。 同時，虛擬化過程形成的嚴格隔離區域，為各個服務提供安全的運列區域。 ③資源的池化集約式管理。 Xen 對把硬體資源虛擬化後，形成一個統一的大資源池。 Xen 集中管理和分配硬體資源，最大化資源的利用率。 ④實現了集約式產品研發模式。 傳統的煙囪式研發需要從硬體平臺開始進行產品研發。 在整合Xen 平臺後，產品研發可以直接從產品的應用模組開始，而無需在考慮軟硬體平臺等問題。

(3)網路安全應用平台層

在網路安全應用平台層，通過Hadoop 平臺，為網路安全服務層提供多種共性服務，例如網站安全雲防護、雲防火牆、雲安全風險評估，雲安全性原則管理，雲安全協同防禦，雲安全流量管理等。

4.結論

本文主要探索了雲安全服務所需要的關鍵技術，在藍盾現有的綜合網路安全設備和系統的基礎上，設計了三層雲安全服務架構，實現統一威脅管理雲服務、統一終端管理雲服務、以及統一策略管理雲服務，體現雲計算環境在網路安全， 特別是在外網防禦方面的優勢。