浪潮SSR重塑合肥工業雲平臺安全

雲計算將大量計算資源、存儲資源與網路資源聚集在一起，形成規模巨大的共用虛擬IT 資源池，在提高可用性的同時，也把安全問題推上了風口浪尖。 如何保證雲平臺的安全是所有雲建設者都需要面對的問題。 日前，合肥在工業雲平臺安全建設的過程中，選擇浪潮SSR作業系統安全增強系統(簡稱「浪潮SSR」)對平臺加固，有效提升了雲平臺的安全性。

工業雲平臺對安全提出了高需求

雲計算正在深入改變各行業IT架構的模式，工業企業也不例外。 大型企業希望借助雲計算應對規模效應遞減的客觀規律，最大限度優化資源配置，發揮資源整體優勢;中小企業希望加快創新速度，運用較低成本的資訊化手段增強各部門協同和反應速度。 「工業雲」正是在這樣的背景下誕生的。 去年，工業和資訊化部提出了「工業雲」創新服務，並將其列入工信部《資訊化和工業化深度融合專項行動計畫(2013-2018年)》中。 合肥市是工信部「工業雲」創新服務的試點省市，將通過工業雲服務平臺建設，提供雲辦公系統、工業設計、外勤通等功能的服務能力。

合肥工業雲平臺帶來了更高的IT管理性與可用性，給工業企業帶來了更強大的資訊化能力支撐和商業模式轉型的驅動力。 但是，因為雲計算以及虛擬化本身的特點，安全的問題更為突出。

與傳統資料中心聚集著大量物理伺服器類似，雲計算環境中聚集著大量的虛擬伺服器。 運行在同一物理伺服器上的虛擬機器之間很容易造成相互攻擊，基於物理隔離和基於硬體的安全防護手段無法防止這種情況的發生，傳統針對物理機的入侵偵測等安全手段也都需要擴展到虛擬機器級別。 本機伺服器和雲端虛擬機器使用相同的作業系統和應用程式，進一步增加了攻擊者利用這些系統和程式中的漏洞進行遠端威脅的可能。 當程式在本地和雲平臺之間移動時，虛擬機器更容易受到攻擊。

在雲計算環境中，虛擬機器的動態遷移是系統的常見狀態，但是這種常見狀態給安全性原則下發帶來了難題，在物理伺服器之間克隆和發佈虛擬機器，安全性原則可能無法保持一致，並且可能因此導致配置錯誤和其他安全性漏洞的迅速傳播。

此外，傳統系統中的補丁問題在雲計算環境中更為突出。 工業雲平臺上，企業使用者使用雲計算資源，需要在自己的業務範圍之內對系統打補丁。 所以，對於補丁的維護更為分散，也就帶來了更大的安全隱患。

面對雲計算的複雜環境，如何把安全風險降到最低呢?在工業雲的建設中，合肥市採用了非政府的專業評估機構參與評估和調查，安全專家認為作業系統是虛擬化環境的核心部分，只要保證了虛擬機器作業系統的安全， 就可以從源頭上解決雲計算環境中的這些安全隱患。

固本清源 浪潮SSR重塑工業雲平臺安全

「針對工業雲平臺的構建情況，浪潮SSR能夠針對物理機和虛擬機器進行加固，有效保證雲平臺作業系統的安全。 」安全專家表示。 目前，合肥工業雲平臺上，部署了一整套的浪潮SSR，包括物理機和虛擬機器版本，保證了雲平臺作業系統的安全。

在雲計算環境中，安全的焦點在保證虛擬機器作業系統的安全，只要保證了每個作業系統的安全，就可以從源頭上避免虛擬機器之間的攻擊以及遠端威脅。 浪潮SSR攔截了所有的內核訪問路徑，所有符合雲平臺規則的檔、進程、服務、許可權都予以「放行」，不符合規則的就進行遮罩。 這樣做的效果與重構作業系統原代碼技術類似，而好處是不會影響使用者的業務連續性。 採用這種方式，雲平臺的作業系統中徹底清除了駭客攻擊、儒蟲和病毒感染的「生存環境」，也就從根本上解決了虛擬機器之間攻擊的問題。

浪潮SSR打造安全作業系統環境

針對虛擬機器遷移帶來的安全性原則不一致問題，SSR通過在雲計算環境裡實施安全區域隔離，保證不同區域採用不同的安全性原則，有效化解了安全性原則不一致的問題。

給作業系統打補丁的問題在部署浪潮SSR之後也不再是問題，因為浪潮SSR不需要依賴病毒行為特徵庫來識別攻擊，而是採用白名單防護技術。 只要配置好SSR安全性原則，管理員不再需要針對作業系統開展升級、打補丁等工作內容。 從發現漏洞到修補漏洞的‘真空期’也不存在了，系統具有了相當能力的‘免疫’能力。

「浪潮SSR説明工業雲平臺實現了安全能力的重要提升，保護了雲計算系統中重要資料和應用的安全，從根本上免疫了目前各種針對雲計算作業系統的攻擊行為，防止了病毒、蠕蟲、駭客攻擊等對雲計算作業系統和資料庫的破壞。 」安全專家表示。

目前，雲計算的應用範圍已經逐步擴大，雲環境的安全問題更為突出。 浪潮SSR通過主動防禦機制有效地保護了雲平臺，為化解雲計算應用中的安全威脅提供了一種重要選擇。