We Think/卫士通邓子健：安全云打造之道——数据、身份与虚拟化 | 网安品牌周

We Think

卫士云：安全云打造之道

卫士通公司卫士云事业部 邓子健

“

随着云计算的迅猛发展，云环境中的安全威胁以及应对之道成为网络安全专家研究的热点话题。云计算是IT的发展方向，作为信息基础支撑技术，其资源虚拟化、数据集中化、平台服务化的特点，以及云平台为大数据提供计算、存储资源的定位，导致了除传统IT安全挑战，还需要应对云中数据全生命周期安全挑战，云应用环境下的物端、移动端、云端身份管理挑战，云平台虚拟化带来的安全挑战等。因此，如何保护云环境中的数据安全，避免数据泄露？如何保证身份信息在云环境中高效管理？虚拟化安全的难点和破解之道是什么？

卫士通公司卫士云事业部常务副总经理邓子健博士，长期从事基于密码的网络空间安全保障科研工作，作为总体负责人和课题负责人牵头了若干国家级重要领域信息安全保障战略规划、系统设计、示范建设和标准制定工作，在网络空间安全、云安全、物联网安全等领域拥有丰富经验。今天，邓子健从数据、身份、虚拟化安全三个角度，为我们浅析安全云的打造之道。

1

用户数据守护之道

云和大数据时代，数据安全已经超出了传统数据加解密存储、数据加密传输的范畴，是体系化、全过程的安全防护，数据安全已经引起各国高度重视，国内外已出台了相关涉及数据安全的政策法规，比如我国的网络安全法、欧盟的GDPR等。云和大数据环境中的数据安全涉及数据的采集、传输、存储、处理、交换、销毁等全生命周期安全，需在等级保护要求的基础上，充分发挥商用密码的核心支撑作用，采取不同的安全防护措施，保证数据的机密性、完整性、抗抵赖性、可用性等，实现科学、高效的“数据治理”。

（1）数据采集：在数据采集应用场景中，数据源可能是PC终端、移动端等传统的计算终端，也可能是机器人、工控设备、摄像头等物端的设备，有实时数据，也有对实时性要求不高的数据，有结构化的数据，也有非结构化的数据，需要确保对采集源的身份认证，对采集数据源的数据可信，采集过程中，如果涉及隐私数据，还需要对隐私数据进行脱敏，因此需要根据不同的数据采集应用场景，采用不同的、有针对性的安全保护措施。

（2）数据传输：数据在传输过程中，更多是机密性和完整性保护，可以根据实际安全需求，以及应用场景，在传输过程中，综合采用应用层加密、传输层加密和网络层加密，对有些物端计算能力弱、单一的物端数据安全性要求不高的场景，可以在部分数据汇聚后，再由计算能力较强的汇聚设备进行加密传输。

（3）数据存储：云端的数据存储涉及文件存储、对象存储、块存储等不同存储类型，在数据存储时，需要根据数据隔离的需要以及效率，考虑在不同层级进行加密存储，同时需要有灾备机制。对用户部署在公有云上的应用，除了公有云提供的保护机制外，建议用户对公有云上自己的数据也进行加密保护。

（4）数据处理：云上数据处理使用过程中的安全保护需要建立身份认证机制，结合网络空间实体的身份属性信息，对数据使用进行细粒度的授权管理、安全审计，还需要考虑数据处理时计算环境的隔离、数据的隔离等，对敏感、隐私数据需进行脱敏处理，随着密文检索、密文计算效率的不断提升，未来云环境中，数据处理安全上有很大的应用空间。

（5）数据交换：需确认双方的身份合法，对交换的数据采用基于密码的标识技术，能够确保数据的安全可控交换，采用数据水印等技术，可以实现防伪溯源，保护数字版权。

（6）数据销毁：云上数据销毁除了传统的对存储介质和数据内容进行有效销毁，防止恶意恢复泄露数据以外，云上的数据销毁还需要注意租用虚拟环境迁移时的敏感数据销毁，比如从一个虚拟机迁移到另一个虚拟机，原虚拟机中的用户密钥等数据在迁移后，需要保证原虚拟机中这些敏感数据的销毁。

2

身份安全服务之道

在互联网环境下，尤其是在云计算技术的迅猛发展的趋势之下，网络与信息安全的边界正在逐渐模糊，这对网络安全的防护目标带来了一定的影响，网络安全的防护核心逐渐从物理与网络边界的防护转变为专注于用户的数据安全防护和应用服务稳定，一般可通过以下三个方面进行防护，一是保护对用户数据和业务应用的安全访问，二是保护服务避免因受攻击而造成的停机或服务停用，三是保护数据不会被通过物理方式获取。其中后两点可以通过安全服务以及云平台本身物理安全防护设施加以保障，而第一点，也就是用户数据和业务应用的安全访问是保障用户数据和业务安全的最直接手段，也是识别和阻断攻击行为的关键一环，可通过提供完善的身份认证与管理（IAM）机制，对用户的身份和访问行为进行有效的鉴别与管理，从而有力的避免非授权用户访问用户数据，保障用户的数据和业务安全。

身份认证与管理系统作为用户访问数据的“门卫”，是用户访问的统一入口，需要对用户的真实性和可信性进行保护，其中真实性是指用户的身份真实，保障真实的账户持有人在使用该账户登录数据，而可信性是指用户的登录行为可信，用户通过安全的通道提供了可信的身份凭证信息完成身份鉴别。用户的访问应用基本流程是通过终端设备（PC端或移动端）登录网站或应用，基于此流程可以将用户的访问行为分为两步，第一步是用户与终端之间的鉴别，在移动端应用场景下，通过移动终端设备的生物特征或安全模块以鉴别用户身份的真实性，在Web端应用场景下，账户持有人可以通过PC端设备提交个人身份信息完成真实性鉴别，从而确保是真实的账户（终端）持有人在使用该终端访问应用；第二步是终端与服务器之间的鉴别，主要鉴别用户身份的可信性，用户通过终端提交的登录凭证信息安全的传输至服务器，并确保服务器对用户所提供的凭证信息进行可信的鉴别。通过两步安全鉴别能够有效的识别非授权用户的非法访问，保证授权用户使用合法账户访问数据和应用。

3

Docker难题解决之道

虚拟化安全是云安全的核心问题之一，一般认为，Docker的四大核心难题在于：安全认证（secure access）、安全环境（secure environment）、安全平台（secure platform）和可信服务（secure service）。

| Docker |

在云计算虚拟化中，安全认证需要确保容器访问宿主设备的权限，可通过身份认证和权限管理，对容器访问宿主设备等权限进行控制，保证用户设备不会被非授权访问，实现安全认证。

云计算安全环境是指将分布在互联网上的计算机、物联网设备等终端设备相互整合,实现软硬件资源共享和协同调度的系统整体环境安全，而基于以设备数字签名为支撑的信任库，建立可信计算环境，可强化云环境的安全。

安全平台是指通过建立安全保障体系，使用多种安全手段和密码技术手段，并借助大数据分析技术建设的安全的云平台，保障数据全生命周期安全，通过从云操作系统底层设计开始，将云计算中计算、存储、网络等资源与安全资源、密码资源深度结合、动态调度，可以有效保障云平台的安全。

可信服务是指通过虚拟化技术，在云上实现租户、用户、虚拟机之间相互隔离，为用户提供的差异化的安全服务。通过基于密码的隔离技术，来实现多租户、多虚拟机之间的强隔离，进而实现服务安全。

此外，云平台安全还需要通过对日志审计对整个云平台进行安全管理，同时保证安全和合规。

| 卫士云，护航数字中国 |

看见·网安品牌

策划 | 党群工作部、卫士通公司

编审 | 廖婷婷 编辑 | 孙有权、冯韵（卫士通公司）