高影响力部署中的商业云安全

云计算是一种经济高效、可扩展且灵活的机制，适用于公共和私营部门的企业 IT 服务交付。美国国防部 （DoD） 在加速 IT 交付和创新的云计算战略方面取得了长足的进步。这项工作旨在节省在高效管理的商业云环境中托管敏感数据的成本。在研究此类平台时，必须特别注意由大量极其复杂的软件支持的虚拟化云环境中的安全性。

为了托管政府拥有的数据，云服务提供商 （CSP） 必须遵守联邦风险和授权管理计划 （FedRAMP） 下的一系列基准标准。CSP 还必须遵守国防部要求的一组更严格的安全控制措施，才能出现在国防信息系统局 （DISA） 的企业云服务代理 （ECSB） 目录中。收录授予影响级别 1 和 2 的临时接受，对应于低风险的非机密公共和未分类私人信息。根据联邦信息流程标准出版物 （FIPS） 199，迪砂指定的影响级别将数据描述为低、中或高风险。

风险较高的未分类数据和分类数据分别发生在影响级别 3-5 和 6，是商业云迁移的大部分成本节省。目前没有授权影响等级 3-5 的 CSP，也没有发布影响等级 6 的标准草案。

主要关注点围绕着云本质上是虚拟的这一事实，这意味着它们使用软件作为解决方案。这一事实是软件即服务 （SaaS） 和基础设施即服务 （IaaS） 提供商的关键卖点;基础设施可以根据需要启动和拆除。但是，通常的数据和软件安全问题仍然适用。商业云基本上是多租户的，必须非常小心地确保各种同居云客户之间的数据和计算分离。数据必须在动态和静止时受到保护，同时必须制定监控规定以确保高可用性并促进事件审计。

数据分离

将国防部基础设施迁移到商业云的最大障碍是必要的保证，即不同的数据域保持分离。虚拟机管理程序通常是在云计算平台上运行的第一层软件，用于从物理硬件中抽象软件服务依赖关系。这种硬件抽象通常称为虚拟化。虽然虚拟化使CSP能够无缝添加，删除和转移服务，而无需始终进行物理基础架构更改，但它也增加了云计算平台中运行的软件复杂性总量，并引入了通常被忽视的威胁媒介。

隔离是虚拟机管理程序支持安全计算云的最重要功能。在传统信息系统中，通过控制和监控计算节点之间的网络流量来实现安全性。维持安全的虚拟计算环境还依赖于控制计算节点之间的通信。但是，在虚拟化平台上，控制网络流量是不够的。来宾操作系统可以通过多种方式通过虚拟网络接口以外的方式相互通信。这些其他通信方式称为“侧信道”，它们源于虚拟化平台上共享资源（如处理器、内存、网络、存储设备和虚拟化子接口）的利用。

理想的安全虚拟机管理程序禁止来宾操作系统与虚拟机管理程序之间进行所有未经授权的通信形式，并显式控制硬件平台上的共享物理资源，以减少侧信道攻击。严格控制内存资源、CPU 时间和设备的隔离对于保证通道旁路的缓解是必要的。图 1 描述了将共享资源上下文切换到同一平台上的其他虚拟机时如何公开虚拟机中的剩余指令或数据。

图1：将共享资源上下文切换到同一平台上的其他虚拟机时，需要严格控制内存资源、CPU 时间和设备，以防止残留指令或数据泄露。

数据保护

利用云进行存储的一个好处是，数据可以在区域和全球数据中心之间复制，这对于完整性和可用性都非常重要。但是，数据中心之间和原始主机之间的数据传输都发生在公共互联网上。这使得数据在移动时容易受到机密性攻击。

在云中存储数据时，物理保护边界不再位于组织内，并且必须将一定程度的信任扩展到 CSP，即具有保护数据的机制。对数据存储设施的未经授权的数字访问和云提供商内部的内部威胁是静态数据的主要问题。

由于云本质上是虚拟的，因此无法保证物理媒体;此外，不可能依赖物理设备的保护。即使可以保证物理设备的存在，可信平台模块等功能也为给定的软件堆栈提供了一点信任，但无法保护数据本身免受软件漏洞的影响。因此，需要使用强加密的多种形式的加密。随着数据和服务跨平台和物理位置分布，加密机制必须比当今组织内常用的标准加密方法（如 VPN 和加密驱动器）更精细。加密信息流不仅可以提供数据分离，还可以在数据传输过程中强制实施机密性。通过对存储中的数据进行分层加密方案，可以保护信息免受渗透和外泄攻击。通过将这些加密机制与组织内受到物理保护的强大密钥管理方案相结合，可以维护对数据机密性的必要保证。

数据监控

监视和审核等系统管理原则在组织的云扩展中同样重要。能够监控和快速响应实时事件不仅对用户很重要，对云提供商也很重要。

消费者云的多租户结构意味着虚拟软件实例必须共存，并且不能相互干扰，不仅与应用程序资源，而且在虚拟基础架构中。确保软件资源不会造成中断的最佳方法是对交互进行低级持续监视，并在必要时提供数据卫士（参见图 2）。

图2：对交互进行低级持续监控，并在必要时提供数据卫士，可以确保虚拟软件实例共存，并且不会中断整个虚拟基础架构。

通过在低于被监控节点的级别上监控交互，可以实时采取适当的操作。这些操作可能包括通过重新启动意外关闭的资源或在灾难性事件（如检测到软件篡改）期间停止来确保可用性。审计这些事件的能力也有利于取证分析和未来的预防。

通过将资源迁移到商业云，国防部可以从基础设施、人员、电力和物理空间方面节省大量预算。随着对更高影响级别的架构进行审查——无论是使用 milCloud（迪砂的私有云服务组合）进行混合部署，还是全面部署到 CSP，该架构必须确保严格的数据分离策略，利用强大而精细的加密方案，并提供实时和反应性监控和审计功能。LynxSecure是Lynx软件技术公司的分离内核管理程序，为确保严格执行软件策略（包括资源分区，调度和数据信息流）提供了坚实的基础。其内置的持续监控和审计功能可满足安全环境所需的系统管理需求。

审核编辑：郭婷