文/張文清

第八屆中國(guó)云計(jì)算大會(huì)于2016年5月18日在北京國(guó)家會(huì)議中心正式拉開(kāi)帷幕。本屆大會(huì)的主題為“技術(shù)融合，應(yīng)用創(chuàng)新”，吸引了眾多來(lái)自云計(jì)算與大數(shù)據(jù)領(lǐng)域的優(yōu)秀服務(wù)商參展，同時(shí)大會(huì)主辦方也邀請(qǐng)到了許多業(yè)界大牛作為嘉賓蒞臨演講。我們?cè)诖髸?huì)進(jìn)行期間，有幸采訪到來(lái)自新致軟件的云計(jì)算事業(yè)部總經(jīng)理田奎先生，并圍繞其在本次大會(huì)中的演講主題“構(gòu)建安全的云計(jì)算平臺(tái)”進(jìn)行了簡(jiǎn)短的采訪。

以下我們將對(duì)田奎先生的采訪進(jìn)行了整理，在這里與大家一起分享：

先簡(jiǎn)單地介紹下云計(jì)算平臺(tái)的安全需要由哪幾個(gè)層面組成？

云平臺(tái)的基礎(chǔ)架構(gòu)安全我們需要將它分成兩個(gè)方面來(lái)解構(gòu)。其一是云平臺(tái)整體架構(gòu)安全，整體架構(gòu)安全是由物理架構(gòu)與虛擬架構(gòu)兩種組成的，這就包括了統(tǒng)一的網(wǎng)絡(luò)架構(gòu)、物理網(wǎng)絡(luò)平臺(tái)安全、防Ddos攻擊安全以及虛擬網(wǎng)絡(luò)平臺(tái)安全等一系列的安全內(nèi)容。而另一個(gè)層面就是云平臺(tái)的虛擬化安全，其中則包括CPU、內(nèi)存、存儲(chǔ)和網(wǎng)絡(luò)四個(gè)部分的虛擬化安全。說(shuō)得細(xì)一點(diǎn)，拿虛擬化安全中的網(wǎng)絡(luò)安全來(lái)舉例，虛擬化其實(shí)對(duì)網(wǎng)絡(luò)安全是存在巨大威脅的，虛擬機(jī)間可能通過(guò)內(nèi)存而不是網(wǎng)絡(luò)進(jìn)行通訊，因此這些通訊流量對(duì)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來(lái)說(shuō)是不可見(jiàn)的。而這時(shí)我們就需要通過(guò)云平臺(tái)運(yùn)維管理，采用有效的手段使云平臺(tái)上的所有環(huán)節(jié)都是可視化呈現(xiàn)的，以便我們進(jìn)行監(jiān)測(cè)與迅速反應(yīng)。

現(xiàn)在，越來(lái)越多的個(gè)人和企業(yè)都開(kāi)始接受并使用云，但是用戶的數(shù)據(jù)安全是否能夠得到絕對(duì)的保證也成為了熱議的話題，您對(duì)此有什么看法？

云平臺(tái)上的管理訪問(wèn)都是通過(guò)互聯(lián)網(wǎng)，而不是傳統(tǒng)數(shù)據(jù)中心模式中堅(jiān)持的受控制的和限制的直接或到現(xiàn)場(chǎng)的連接，這自然會(huì)增加風(fēng)險(xiǎn)和暴露，所以就要求對(duì)系統(tǒng)控制和訪問(wèn)控制限制的變化進(jìn)行極為嚴(yán)密的監(jiān)控。目前行業(yè)內(nèi)對(duì)用戶數(shù)據(jù)安全的保護(hù)必須要符合這幾點(diǎn)：1、用戶數(shù)據(jù)安全隔離?2、用戶數(shù)據(jù)存儲(chǔ)安全?3、用戶數(shù)據(jù)訪問(wèn)控制安全?4、用戶數(shù)據(jù)傳輸安全。當(dāng)然除此之外，肯定還需要必要的保密協(xié)議等等以保證云服務(wù)商自身不會(huì)對(duì)客戶的數(shù)據(jù)進(jìn)行權(quán)限外的處理。

那么從整體的角度上來(lái)說(shuō)，我們?nèi)绾瓮ㄟ^(guò)云平臺(tái)運(yùn)營(yíng)管理來(lái)保證其安全性呢？

在云平臺(tái)運(yùn)營(yíng)管理中每個(gè)服務(wù)商肯定都會(huì)有一套相應(yīng)的標(biāo)準(zhǔn)化流程的，我簡(jiǎn)單地說(shuō)下我對(duì)云平臺(tái)運(yùn)營(yíng)管理流程的一些看法。從用戶管理的角度來(lái)說(shuō)，云服務(wù)商應(yīng)該對(duì)用戶帳號(hào)進(jìn)行集中維護(hù)管理，為集中訪問(wèn)?控制、集中授權(quán)、集中審計(jì)提供可靠的原始數(shù)據(jù)，并且要建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng)，以提高用戶訪問(wèn)的安全性。在安全審計(jì)方面，應(yīng)該建立安全審計(jì)系統(tǒng)，進(jìn)行統(tǒng)一、完整的審計(jì)分析，通過(guò)對(duì)操作、維護(hù)等各類日志的安全審計(jì)，提高對(duì)違規(guī)溯源的事后審查能力。當(dāng)然一個(gè)完備的安全運(yùn)營(yíng)策略及安全維護(hù)規(guī)章要求肯定是必不可少的。最后，就是應(yīng)急響應(yīng)這一塊，我們?cè)品?wù)商肯定需要制定數(shù)據(jù)中心安全事件應(yīng)急響應(yīng)機(jī)制及流程，包括安全事件的等級(jí)劃分、處理流程、事件上報(bào)等規(guī)范要求。

您跟我們分析了很多關(guān)于云平臺(tái)管理安全的相關(guān)內(nèi)容，我們也對(duì)云平臺(tái)管理安全方面有了一定的了解，那么您能給我們舉些詳細(xì)的例子讓我們更方便我們的理解么？

其實(shí)，在新致云的日常監(jiān)控中其實(shí)發(fā)生過(guò)這么一件事情，有一天新致云監(jiān)控平臺(tái)通過(guò)監(jiān)控發(fā)現(xiàn)外網(wǎng)的機(jī)器發(fā)出驚人的syn?半連接，因?yàn)槲覀兦捌谕ㄟ^(guò)防火墻部署過(guò)syn過(guò)濾數(shù)，流量在進(jìn)入到我們真正的服務(wù)器前都被我們的流量清洗設(shè)備過(guò)濾了，然后將干凈的流量送到了真正的被攻擊服務(wù)器。其實(shí)黑客攻擊的是我們?cè)诟鱾€(gè)數(shù)據(jù)中心部署的CDN網(wǎng)絡(luò),CDN中的流量檢測(cè)設(shè)備檢測(cè)到后，送給清洗設(shè)備，清洗后的流量就送給攻擊目標(biāo)，這樣就減輕了攻擊目標(biāo)的壓力。事后，我們統(tǒng)計(jì)下來(lái)?，這次我們的清洗設(shè)備擋住了100Gbit/s?攻擊。

可以看出我們的云服務(wù)廠商是真真切切地將云安全視為云服務(wù)環(huán)節(jié)中的重中之重。

我們大家都知道新致云可以說(shuō)是業(yè)界唯一一家兼顧IaaS、SaaS、PaaS服務(wù)的云服務(wù)提供商，相應(yīng)地，對(duì)云安全的要求自然也會(huì)更高吧？

這個(gè)是肯定的，在新致云建設(shè)初期，我們就著手建立了通過(guò)硬件防護(hù)和軟件預(yù)防與事后追蹤機(jī)制，同時(shí)也在積極準(zhǔn)備加入云安全聯(lián)盟，后期我們將提供給用戶全軟件方式的安全保障機(jī)制，這樣用戶可以更加靈活，無(wú)限擴(kuò)展性地使用云安全產(chǎn)品，降低用戶使用的門檻。另外新致云也建立了強(qiáng)大的數(shù)據(jù)中心監(jiān)控體系來(lái)實(shí)時(shí)地監(jiān)控?cái)?shù)據(jù)中心的運(yùn)行狀態(tài)，保證用戶的使用安全。后期的話，我們主要通過(guò)通過(guò)開(kāi)放軟件防護(hù)來(lái)提供給用戶自已選擇和使用，同時(shí)加入云安全聯(lián)盟，力求和業(yè)界與用戶共同建立強(qiáng)大的安全體系。

演講嘉賓簡(jiǎn)介：田奎，在2008年畢業(yè)于東華理工大學(xué)計(jì)算應(yīng)用技術(shù)專業(yè)，碩士學(xué)位?，F(xiàn)任新致云計(jì)算事業(yè)部總經(jīng)理，主管新致云平臺(tái)研發(fā)、新致云數(shù)據(jù)中心建設(shè)以及云平臺(tái)相關(guān)產(chǎn)品的研發(fā)工作。2009年至今，始終致力于與虛擬化、大數(shù)據(jù)、云計(jì)算技術(shù)相關(guān)的研發(fā)和管理工作。

在運(yùn)軟網(wǎng)絡(luò)科技（上海）有限公司，負(fù)責(zé)虛擬化、云計(jì)算領(lǐng)域的技術(shù)開(kāi)發(fā)。其參與開(kāi)發(fā)的Desktone項(xiàng)目后被vmware收購(gòu)；2012年，正式進(jìn)入云計(jì)算行業(yè)，曾于上海賽為信息技術(shù)有限公司就職，負(fù)責(zé)ovirt私有云的研發(fā)與管理，同時(shí)負(fù)責(zé)openstack的桌面云研發(fā)與管理；2015年至今，任新致云計(jì)算事業(yè)部總經(jīng)理一職。