云計(jì)算將大量計(jì)算資源、存儲(chǔ)資源與網(wǎng)絡(luò)資源聚集在一起，形成規(guī)模巨大的共享虛擬IT 資源池，在提高可用性的同時(shí)，也把安全問(wèn)題推上了風(fēng)口浪尖。如何保證云平臺(tái)的安全是所有云建設(shè)者都需要面對(duì)的問(wèn)題。日前，合肥在工業(yè)云平臺(tái)安全建設(shè)的過(guò)程中，選擇浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)（簡(jiǎn)稱“浪潮SSR”）對(duì)平臺(tái)加固，有效提升了云平臺(tái)的安全性。

　　工業(yè)云平臺(tái)對(duì)安全提出了高需求

　　云計(jì)算正在深入改變各行業(yè)IT架構(gòu)的模式，工業(yè)企業(yè)也不例外。大型企業(yè)希望借助云計(jì)算應(yīng)對(duì)規(guī)模效應(yīng)遞減的客觀規(guī)律，最大限度優(yōu)化資源配置，發(fā)揮資源整體優(yōu)勢(shì)；中小企業(yè)希望加快創(chuàng)新速度，運(yùn)用較低成本的信息化手段增強(qiáng)各部門(mén)協(xié)同和反應(yīng)速度。“工業(yè)云”正是在這樣的背景下誕生的。去年，工業(yè)和信息化部提出了“工業(yè)云”創(chuàng)新服務(wù)，并將其列入工信部《信息化和工業(yè)化深度融合專項(xiàng)行動(dòng)計(jì)劃（2013-2018年）》中。合肥市是工信部“工業(yè)云”創(chuàng)新服務(wù)的試點(diǎn)省市，將通過(guò)工業(yè)云服務(wù)平臺(tái)建設(shè)，提供云辦公系統(tǒng)、工業(yè)設(shè)計(jì)、外勤通等功能的服務(wù)能力。

　　合肥工業(yè)云平臺(tái)帶來(lái)了更高的IT管理性與可用性，給工業(yè)企業(yè)帶來(lái)了更強(qiáng)大的信息化能力支撐和商業(yè)模式轉(zhuǎn)型的驅(qū)動(dòng)力。但是，因?yàn)樵朴?jì)算以及虛擬化本身的特點(diǎn)，安全的問(wèn)題更為突出。

　　與傳統(tǒng)數(shù)據(jù)中心聚集著大量物理服務(wù)器類似，云計(jì)算環(huán)境中聚集著大量的虛擬服務(wù)器。運(yùn)行在同一物理服務(wù)器上的虛擬機(jī)之間很容易造成相互攻擊，基于物理隔離和基于硬件的安全防護(hù)手段無(wú)法防止這種情況的發(fā)生，傳統(tǒng)針對(duì)物理機(jī)的入侵檢測(cè)等安全手段也都需要擴(kuò)展到虛擬機(jī)級(jí)別。本地服務(wù)器和云端虛擬機(jī)使用相同的操作系統(tǒng)和應(yīng)用程序，進(jìn)一步增加了攻擊者利用這些系統(tǒng)和程序中的漏洞進(jìn)行遠(yuǎn)程威脅的可能。當(dāng)程序在本地和云平臺(tái)之間移動(dòng)時(shí)，虛擬機(jī)更容易受到攻擊。

　　在云計(jì)算環(huán)境中，虛擬機(jī)的動(dòng)態(tài)遷移是系統(tǒng)的常見(jiàn)狀態(tài)，但是這種常見(jiàn)狀態(tài)給安全策略下發(fā)帶來(lái)了難題，在物理服務(wù)器之間克隆和發(fā)布虛擬機(jī)，安全策略可能無(wú)法保持一致，并且可能因此導(dǎo)致配置錯(cuò)誤和其他安全漏洞的迅速傳播。

　　此外，傳統(tǒng)系統(tǒng)中的補(bǔ)丁問(wèn)題在云計(jì)算環(huán)境中更為突出。工業(yè)云平臺(tái)上，企業(yè)用戶使用云計(jì)算資源，需要在自己的業(yè)務(wù)范圍之內(nèi)對(duì)系統(tǒng)打補(bǔ)丁。所以，對(duì)于補(bǔ)丁的維護(hù)更為分散，也就帶來(lái)了更大的安全隱患。

　　面對(duì)云計(jì)算的復(fù)雜環(huán)境，如何把安全風(fēng)險(xiǎn)降到最低呢？在工業(yè)云的建設(shè)中，合肥市采用了非政府的專業(yè)評(píng)估機(jī)構(gòu)參與評(píng)估和調(diào)查，安全專家認(rèn)為操作系統(tǒng)是虛擬化環(huán)境的核心部分，只要保證了虛擬機(jī)操作系統(tǒng)的安全，就可以從源頭上解決云計(jì)算環(huán)境中的這些安全隱患。

　　固本清源 浪潮SSR重塑工業(yè)云平臺(tái)安全

　　“針對(duì)工業(yè)云平臺(tái)的構(gòu)建情況，浪潮SSR能夠針對(duì)物理機(jī)和虛擬機(jī)進(jìn)行加固，有效保證云平臺(tái)操作系統(tǒng)的安全。”安全專家表示。目前，合肥工業(yè)云平臺(tái)上，部署了一整套的浪潮SSR，包括物理機(jī)和虛擬機(jī)版本，保證了云平臺(tái)操作系統(tǒng)的安全。

　　在云計(jì)算環(huán)境中，安全的焦點(diǎn)在保證虛擬機(jī)操作系統(tǒng)的安全，只要保證了每個(gè)操作系統(tǒng)的安全，就可以從源頭上避免虛擬機(jī)之間的攻擊以及遠(yuǎn)程威脅。浪潮SSR攔截了所有的內(nèi)核訪問(wèn)路徑，所有符合云平臺(tái)規(guī)則的文件、進(jìn)程、服務(wù)、權(quán)限都予以“放行”，不符合規(guī)則的就進(jìn)行屏蔽。這樣做的效果與重構(gòu)操作系統(tǒng)原代碼技術(shù)類似，而好處是不會(huì)影響用戶的業(yè)務(wù)連續(xù)性。采用這種方式，云平臺(tái)的操作系統(tǒng)中徹底清除了黑客攻擊、儒蟲(chóng)和病毒感染的“生存環(huán)境”，也就從根本上解決了虛擬機(jī)之間攻擊的問(wèn)題。

　　浪潮SSR打造安全操作系統(tǒng)環(huán)境

　　針對(duì)虛擬機(jī)遷移帶來(lái)的安全策略不一致問(wèn)題，SSR通過(guò)在云計(jì)算環(huán)境里實(shí)施安全區(qū)域隔離，保證不同區(qū)域采用不同的安全策略，有效化解了安全策略不一致的問(wèn)題。

　　給操作系統(tǒng)打補(bǔ)丁的問(wèn)題在部署浪潮SSR之后也不再是問(wèn)題，因?yàn)槔顺盨SR不需要依賴病毒行為特征庫(kù)來(lái)識(shí)別攻擊，而是采用白名單防護(hù)技術(shù)。只要配置好SSR安全策略，管理員不再需要針對(duì)操作系統(tǒng)開(kāi)展升級(jí)、打補(bǔ)丁等工作內(nèi)容。從發(fā)現(xiàn)漏洞到修補(bǔ)漏洞的‘真空期’也不存在了，系統(tǒng)具有了相當(dāng)能力的‘免疫’能力。

　　“浪潮SSR幫助工業(yè)云平臺(tái)實(shí)現(xiàn)了安全能力的重要提升，保護(hù)了云計(jì)算系統(tǒng)中重要數(shù)據(jù)和應(yīng)用的安全，從根本上免疫了目前各種針對(duì)云計(jì)算操作系統(tǒng)的攻擊行為，防止了病毒、蠕蟲(chóng)、黑客攻擊等對(duì)云計(jì)算操作系統(tǒng)和數(shù)據(jù)庫(kù)的破壞。”安全專家表示。

　　目前，云計(jì)算的應(yīng)用范圍已經(jīng)逐步擴(kuò)大，云環(huán)境的安全問(wèn)題更為突出。浪潮SSR通過(guò)主動(dòng)防御機(jī)制有效地保護(hù)了云平臺(tái)，為化解云計(jì)算應(yīng)用中的安全威脅提供了一種重要選擇。