云計(jì)算是一種經(jīng)濟(jì)高效、可擴(kuò)展且靈活的機(jī)制，適用于公共和私營部門的企業(yè) IT 服務(wù)交付。美國國防部 （DoD） 在加速 IT 交付和創(chuàng)新的云計(jì)算戰(zhàn)略方面取得了長足的進(jìn)步。這項(xiàng)工作旨在節(jié)省在高效管理的商業(yè)云環(huán)境中托管敏感數(shù)據(jù)的成本。在研究此類平臺時，必須特別注意由大量極其復(fù)雜的軟件支持的虛擬化云環(huán)境中的安全性。

為了托管政府擁有的數(shù)據(jù)，云服務(wù)提供商 （CSP） 必須遵守聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃 （FedRAMP） 下的一系列基準(zhǔn)標(biāo)準(zhǔn)。CSP 還必須遵守國防部要求的一組更嚴(yán)格的安全控制措施，才能出現(xiàn)在國防信息系統(tǒng)局 （DISA） 的企業(yè)云服務(wù)代理 （ECSB） 目錄中。收錄授予影響級別 1 和 2 的臨時接受，對應(yīng)于低風(fēng)險(xiǎn)的非機(jī)密公共和未分類私人信息。根據(jù)聯(lián)邦信息流程標(biāo)準(zhǔn)出版物 （FIPS） 199，迪砂指定的影響級別將數(shù)據(jù)描述為低、中或高風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)較高的未分類數(shù)據(jù)和分類數(shù)據(jù)分別發(fā)生在影響級別 3-5 和 6，是商業(yè)云遷移的大部分成本節(jié)省。目前沒有授權(quán)影響等級 3-5 的 CSP，也沒有發(fā)布影響等級 6 的標(biāo)準(zhǔn)草案。

主要關(guān)注點(diǎn)圍繞著云本質(zhì)上是虛擬的這一事實(shí)，這意味著它們使用軟件作為解決方案。這一事實(shí)是軟件即服務(wù) （SaaS） 和基礎(chǔ)設(shè)施即服務(wù) （IaaS） 提供商的關(guān)鍵賣點(diǎn);基礎(chǔ)設(shè)施可以根據(jù)需要啟動和拆除。但是，通常的數(shù)據(jù)和軟件安全問題仍然適用。商業(yè)云基本上是多租戶的，必須非常小心地確保各種同居云客戶之間的數(shù)據(jù)和計(jì)算分離。數(shù)據(jù)必須在動態(tài)和靜止時受到保護(hù)，同時必須制定監(jiān)控規(guī)定以確保高可用性并促進(jìn)事件審計(jì)。

數(shù)據(jù)分離

將國防部基礎(chǔ)設(shè)施遷移到商業(yè)云的最大障礙是必要的保證，即不同的數(shù)據(jù)域保持分離。虛擬機(jī)管理程序通常是在云計(jì)算平臺上運(yùn)行的第一層軟件，用于從物理硬件中抽象軟件服務(wù)依賴關(guān)系。這種硬件抽象通常稱為虛擬化。雖然虛擬化使CSP能夠無縫添加，刪除和轉(zhuǎn)移服務(wù)，而無需始終進(jìn)行物理基礎(chǔ)架構(gòu)更改，但它也增加了云計(jì)算平臺中運(yùn)行的軟件復(fù)雜性總量，并引入了通常被忽視的威脅媒介。

隔離是虛擬機(jī)管理程序支持安全計(jì)算云的最重要功能。在傳統(tǒng)信息系統(tǒng)中，通過控制和監(jiān)控計(jì)算節(jié)點(diǎn)之間的網(wǎng)絡(luò)流量來實(shí)現(xiàn)安全性。維持安全的虛擬計(jì)算環(huán)境還依賴于控制計(jì)算節(jié)點(diǎn)之間的通信。但是，在虛擬化平臺上，控制網(wǎng)絡(luò)流量是不夠的。來賓操作系統(tǒng)可以通過多種方式通過虛擬網(wǎng)絡(luò)接口以外的方式相互通信。這些其他通信方式稱為“側(cè)信道”，它們源于虛擬化平臺上共享資源（如處理器、內(nèi)存、網(wǎng)絡(luò)、存儲設(shè)備和虛擬化子接口）的利用。

理想的安全虛擬機(jī)管理程序禁止來賓操作系統(tǒng)與虛擬機(jī)管理程序之間進(jìn)行所有未經(jīng)授權(quán)的通信形式，并顯式控制硬件平臺上的共享物理資源，以減少側(cè)信道攻擊。嚴(yán)格控制內(nèi)存資源、CPU 時間和設(shè)備的隔離對于保證通道旁路的緩解是必要的。圖 1 描述了將共享資源上下文切換到同一平臺上的其他虛擬機(jī)時如何公開虛擬機(jī)中的剩余指令或數(shù)據(jù)。

圖1：將共享資源上下文切換到同一平臺上的其他虛擬機(jī)時，需要嚴(yán)格控制內(nèi)存資源、CPU 時間和設(shè)備，以防止殘留指令或數(shù)據(jù)泄露。

數(shù)據(jù)保護(hù)

利用云進(jìn)行存儲的一個好處是，數(shù)據(jù)可以在區(qū)域和全球數(shù)據(jù)中心之間復(fù)制，這對于完整性和可用性都非常重要。但是，數(shù)據(jù)中心之間和原始主機(jī)之間的數(shù)據(jù)傳輸都發(fā)生在公共互聯(lián)網(wǎng)上。這使得數(shù)據(jù)在移動時容易受到機(jī)密性攻擊。

在云中存儲數(shù)據(jù)時，物理保護(hù)邊界不再位于組織內(nèi)，并且必須將一定程度的信任擴(kuò)展到 CSP，即具有保護(hù)數(shù)據(jù)的機(jī)制。對數(shù)據(jù)存儲設(shè)施的未經(jīng)授權(quán)的數(shù)字訪問和云提供商內(nèi)部的內(nèi)部威脅是靜態(tài)數(shù)據(jù)的主要問題。

由于云本質(zhì)上是虛擬的，因此無法保證物理媒體;此外，不可能依賴物理設(shè)備的保護(hù)。即使可以保證物理設(shè)備的存在，可信平臺模塊等功能也為給定的軟件堆棧提供了一點(diǎn)信任，但無法保護(hù)數(shù)據(jù)本身免受軟件漏洞的影響。因此，需要使用強(qiáng)加密的多種形式的加密。隨著數(shù)據(jù)和服務(wù)跨平臺和物理位置分布，加密機(jī)制必須比當(dāng)今組織內(nèi)常用的標(biāo)準(zhǔn)加密方法（如 VPN 和加密驅(qū)動器）更精細(xì)。加密信息流不僅可以提供數(shù)據(jù)分離，還可以在數(shù)據(jù)傳輸過程中強(qiáng)制實(shí)施機(jī)密性。通過對存儲中的數(shù)據(jù)進(jìn)行分層加密方案，可以保護(hù)信息免受滲透和外泄攻擊。通過將這些加密機(jī)制與組織內(nèi)受到物理保護(hù)的強(qiáng)大密鑰管理方案相結(jié)合，可以維護(hù)對數(shù)據(jù)機(jī)密性的必要保證。

數(shù)據(jù)監(jiān)控

監(jiān)視和審核等系統(tǒng)管理原則在組織的云擴(kuò)展中同樣重要。能夠監(jiān)控和快速響應(yīng)實(shí)時事件不僅對用戶很重要，對云提供商也很重要。

消費(fèi)者云的多租戶結(jié)構(gòu)意味著虛擬軟件實(shí)例必須共存，并且不能相互干擾，不僅與應(yīng)用程序資源，而且在虛擬基礎(chǔ)架構(gòu)中。確保軟件資源不會造成中斷的最佳方法是對交互進(jìn)行低級持續(xù)監(jiān)視，并在必要時提供數(shù)據(jù)衛(wèi)士（參見圖 2）。

圖2：對交互進(jìn)行低級持續(xù)監(jiān)控，并在必要時提供數(shù)據(jù)衛(wèi)士，可以確保虛擬軟件實(shí)例共存，并且不會中斷整個虛擬基礎(chǔ)架構(gòu)。

通過在低于被監(jiān)控節(jié)點(diǎn)的級別上監(jiān)控交互，可以實(shí)時采取適當(dāng)?shù)牟僮?。這些操作可能包括通過重新啟動意外關(guān)閉的資源或在災(zāi)難性事件（如檢測到軟件篡改）期間停止來確?？捎眯?。審計(jì)這些事件的能力也有利于取證分析和未來的預(yù)防。

通過將資源遷移到商業(yè)云，國防部可以從基礎(chǔ)設(shè)施、人員、電力和物理空間方面節(jié)省大量預(yù)算。隨著對更高影響級別的架構(gòu)進(jìn)行審查——無論是使用 milCloud（迪砂的私有云服務(wù)組合）進(jìn)行混合部署，還是全面部署到 CSP，該架構(gòu)必須確保嚴(yán)格的數(shù)據(jù)分離策略，利用強(qiáng)大而精細(xì)的加密方案，并提供實(shí)時和反應(yīng)性監(jiān)控和審計(jì)功能。LynxSecure是Lynx軟件技術(shù)公司的分離內(nèi)核管理程序，為確保嚴(yán)格執(zhí)行軟件策略（包括資源分區(qū)，調(diào)度和數(shù)據(jù)信息流）提供了堅(jiān)實(shí)的基礎(chǔ)。其內(nèi)置的持續(xù)監(jiān)控和審計(jì)功能可滿足安全環(huán)境所需的系統(tǒng)管理需求。

審核編輯：郭婷