银联云平台:打造“云安全”堡垒

  随着云计算在金融行业的不断深入和推广,数据安全愈发引人关注。无论是私有云还是公有云,行业各方均向云环境下的数据体系建立、数据存储、访问权限、虚拟环境等方面不断探索并提升云安全系数。银联云平台在建设初期即认识到数据安全的重要性与迫切性,为保障数据安全,平台建立了一系列安全中心和安全服务,为应用和租户提供基础的安全服务,保障应用数据安全性。

  基础环境安全加固

  云基础平台为云中的应用运行提供基础网络、虚拟机等资源,在基础平台中,若网络隔离或虚拟机管理不当,将可能导致数据泄露窃密等问题。为避免通信混杂造成相互影响、带来数据安全隐患,加强基础网络安全性势在必行。在基础网络安全域中,银联云平台在业务区域内部所采用的安全策略,是将网络按用途划分为四套不同类型且物理上相互独立的网络,分别是:业务网、管理网、IPMI网和存储网。

  针对不同网络类型自身及所承载的业务特点,平台采用了不同的安全域划分策略:其中管理网、IPMI网和存储网采用以物理机为单位的粗分策略来划分安全域,而业务网则采用以虚拟机为单位的细分策略划分安全域,满足了不同的安全级别需求。

  在虚拟化安全中,平台对hyper-visor层进行安全加固,实现对虚拟机的安全隔离,并对云资源(物理、虚拟)的性能、日志、网络访问等运行情况进行一体化监控。发现异常及时告警,与云审计系统配合,确保虚拟化环境的安全状态。基于ossec部署了集中式一致性校验方案,实现了对虚拟机镜像、物理机/虚拟机重要文件的一致性校验,对变动项及时告警。平台规划与实施了基于vTPM架构的可信化虚拟环境解决方案,通过双向认证确保可信迁移源和目的,并对迁移信道进行加密处理,保障虚拟迁移中的数据安全。

  加解密服务与加密存储

  应用程序传输的数据可能被嗅探,使用处理时可能被不当用户越权访问,存储的数据可能被用户、管理员有意或无意地越权访问。因此有必要在对外传输、应用内部处理、存储时均进行数据加密,使得即使数据不当暴露,非法用户也无法取得数据明文,从而保障数据的安全性与稳定性。

  在云计算环境中,无论是数据的存储,加密解密传输,密钥的生成和管理都需要使用大量的加解密操作。如此众多的加解密需求,对建立安全、高效的密钥生成管理分发机制存在着很大的挑战。银联云计算平台建立了一个集中式的加解密服务中心,通过将加解密服务“云”化,使其能够为整个云平台提供灵活的加解密服务。云环境中的加解密公共服务包括统一的加密机池调用与管理子系统、CA服务子系统、密钥管理与分发子系统等方面。

  同时平台还将数据加密方式分别落地,为用户提供可选的透明加密存储与API加密服务。租户与应用程序根据自身情况可以有效地将两者综合起来,结合软硬件构成完整的加密存储体系,例如应用对应分配的存储介质中采用透明存储加密机制,由底层保障数据安全性。上层应用对于自身极其敏感的数据调用加密服务API进行加密,通过两项安全机制的有机结合,保障云中应用数据安全性。

  身份认证与访问控制

  访问控制是在保障授权用户能获取所需资源的同时,拒绝非授权用户的安全机制。在认证和授权后,访问控制机制将根据预先设定的规则对用户访问的资源进行控制,只有规则允许的资源才能访问。为满足银联云计算多租户环境下复杂的用户权限策略管理和海量的访问认证要求,提高云计算系统身份管理和认证的安全性,平台建立了包含三个子系统的一套身份认证服务:Kerberos、Web-SSO以及Oauth。Kerberos的身份认证主要为IaaS及大数据服务提供身份认证方面的服务,使用者主要是运维人员、租户、外部机构等类型。Web-SSO身份认证主要用于PaaS和SaaS服务,使用者类型主要是外部机构与最终用户。Oauth也主要用于PaaS和SaaS服务,使用者主要为最终用户。

  在身份认证系统完成搭建后,云平台中所有的数据访问授权均需要经由身份认证系统鉴权、授权。当用户欲访问某一块区域的数据时,首先需通过恰当的方式取得身份认证中心的授权,持有授权信息后再申请访问数据,此时云平台的访问控制机制将对比资源的访问控制规则,确定是否允许,是则放行并记录正常的访问日志,否则将拒绝并记录告警日志。云平台管理员等可通过特定的管理手段并修改资源访问规则实现授权策略管理等。

  综合审计中心

  以上各方面均是基于事前预防角度所提出的数据保护手段,银联云平台在上述组件的基础上建立了一套综合的审计中心,主要由“日志收集与分析”、“网络流量收集与分析”、“综合审计与管理”、“审计Agent”等子系统组成,提供多层次审计服务,这是保障云计算平台安全性、一致性、可追溯性必不可少的系统。

  审计中心采用网络数据监控、日志记录采集、性能状态获取、虚拟机流量导出等多种技术,对网络、操作系统、虚拟化层、应用等多种对象进行针对性审计以及综合审计。同时,借助大数据技术对采集的信息进行智能化分析,可发掘隐蔽的攻击、不合规行为,发现潜在的数据安全威胁。该系统能为系统管理员、安全管理员、租户、第三方审计人员等多种角色提供审计服务。

  安全保护效果

  通过将基础网络、虚拟化、加解密、访问控制及综合审计等方面进行落地实践,平台建成了整体的数据安全保护体系。该系统能够覆盖数据生命周期中所面临的主要安全风险及威胁,能够为云中应用提供全方位的保护措施,并通过事后审计发觉日常运营过程中的不合规现象并及时处理,适应了云环境对信息安全的要求,有力地保障了云平台整体的安全性。

  在信息技术飞速发展的今天,云计算、大数据热度不减,银联云平台着实助力数据安全的探索进入了崭新阶段。

  相关链接

  云计算(cloud computing),是业界将要面临的一个重大改变。云平台(cloud platforms)的出现是该转变的最重要环节之一。顾名思义,这种平台允许开发者们或是将写好的程序放在“云”里运行,或使用“云”里提供的服务,或二者皆是。至于这种平台的名称,例如按需平台(on-demand platform)、平台即服务(platform as a service,PaaS)等。但无论怎么称呼它,这种新的支持应用方式有着巨大的潜力。

  云计算到目前为止架构主要可分为四层,首先显示层,架构这层主要是以友好的方式展现用户所需内容,并利用中间件层提供的多种服务。比如HTML技术,标准的Web页面技术,现在主要以HTML4为主,但是将要推出的HTML5会在很多方面推动Web页面的发展,如视频和本地存储等方面。云计算作为一种虚拟化的延伸,影响范围愈广。

  本报记者 刘晶晶

……
关注读览天下微信, 100万篇深度好文, 等你来看……
阅读完整内容请先登录:
帐户:
密码: