私有云架构设计与实践：服务器安全性增强实例

对于用户来说，将数据保存在一个放心的环境里能很大程度上减少他们的担心。对于管理员来说，一旦被入侵，那么损失的不只是用户数据了，更有可能丧失用户对整个平台的信任。接下来我们从三个方面来增加我们服务器安全性。

网络安全

网络安全是我们第一个要考虑的事情。从功能上我们将网络划分为用户接入端网络、传输网络、后端网络。我们很难保证用户接入端网络的安全性，所以普遍做法是在传输网络与后端网络上实施安全防护措施，包括加密传输、防DDoS/CC攻击、流量限制等。在私有云环境中，不仅要对外网入口进行防护，更要对局域网进行监控和防护，我们要采取一定措施进行区分。

□加密传输

在私有云平台中，所有服务的TCP/IP连接都可以选择性地使用SSL/TSL进行加密。而在进行SSL/TSL加密传输时，有两点需要注意：确保至少有一个可信的根证书颁发机构颁发的根证书，对于小规模私有云来说，可以使用二级可信证书或者自建可信域；谨慎管理私钥及其备份，防止外泄。

□防DDoS/CC/SQL注入

整个平台给用户提供的接入方式很可能是一个Web界面，或者REST API的接口，那么就会与传统Web服务器一样面临着被攻击的威胁。和传统服务一样，我们可以使用专门的硬件/软件防火墙以及负载均衡来处理对访问入口的大量并发请求。SQL注入是目前互联网企业最为关注的攻击手段，技术细节可以参考市面相关书籍与文章，笔者在此不再赘述。

□流量控制

私有云的流量限制条件比公有云宽松一些，但是仍要予以高度重视，否则同样会带来体验乃至安全上的严重后果或者事故。平台入口以外的流量我们可以通过外部防火墙进行处理，虚拟机内部的流量往往通过虚拟化平台的流量控制功能进行限制，有些时候也会引入内部防火墙。平台也要对架构中的异常流量有所感知，以通知相关人员进行维护或者防护。

网络安全方面有很多成熟的方案或者产品，我们应根据它们的效能、管理复杂度、平台兼容性等进行综合选择，尽量减少引入私有云时带来的复杂度和成本。

存储介质加密

在此以常见的智能手机为例，用户保存在手机里的数据包括联系人、音视频、照片等，给手机屏幕解锁后，用户可以访问它们。当手机损坏或丢失后，可能会被人使用特殊设备复制出手机的闪存内容进行解读。为预防这种比较极端的情况发生，现在的智能手机操作系统中都会有“加密存储”“远程抹除”等安全选项，当用户选择进行存储加密时，对存储介质的非法直接访问也将变得异常困难（现在的加密密钥一般存储在手机CPU中）。

一般在私有云中，用户数据的加密主体包括服务器OS、虚拟硬盘、虚拟机OS等，如图2-15所示。

图2-15　用户数据加密主体

服务器操作系统中存储有虚拟硬盘，在这一层进行加密就意味着即使这台服务器硬盘被取出，也很难读取其中数据；KVM下的虚拟硬盘本身在创建时也支持AES加密，但由于其稳定性欠佳已经被社区渐渐抛弃，截至成文时没有任何改进的措施出现；至于虚拟机OS内，它可以加密虚拟硬盘、数据、目录等等，但是需要用户自己进行选择加密的内容。(www.xing528.com)

数据加密解密的同时一定会带来性能上的些许影响，全部使用服务器OS加密硬盘一定不会适用于所有场景，同样强制用户虚拟机OS加密也不会太妥。当面向安全等级特别高的场景时，使用服务器OS加密一定是有益的，一般场景下我们提供虚拟机OS加密的建议即可。

服务器设备

我们现在也有很多措施可以专门用来加强服务器本身的安全性，不妨尝试从以下两方面入手：

□可信平台模块

可信平台模块（TPM，Trusted Platform Module）由计算机工业的可信计算组（TCG，Trusted Computing Group）制定，旨在提供计算机安全加密设备与技术，用来防止密码、敏感数据被窃取的标准设备。下图为某厂商的TPM模块，附加于专用的主板I/O接口。

它是一个硬件模块，本身提供了各种加解密算法的快速计算，同时可以进行远程认证、数据加密/解密认证，主要应用场景如下：

平台认证：它可以从硬件设备、设备固件、BIOS到操作系统、软件都进行哈希校验，保证系统中没有未经许可的硬件或软件接入。如接入一个未曾记录过的USB键盘时，它就会记录并按照预配置操作进行处理。

硬盘加密：服务器操作系统可以在其内部使用TPM协助进行硬盘加密，一般需要特定软件实现，如dm-crypt、BitLocker等。

密码保护：用户的密码、密钥、数据、操作系统等都可以使用它来进行保护。传统软件实现的认证机制往往不能经受字典攻击，而TPM内置了防字典攻击机制，使得所有绕过软件限制的大量尝试登录操作被TPM终结。

目前在私有云中，主流虚拟化平台都提供了对TPM的支持。QEMU中除了TPM透传外，也可以使用QEMU模拟出TPM设备进行加解密。

□地理位置标签

使用地理位置标签（Geo-Tag）可以帮助管理人员了解服务器的具体位置，以方便管理维护。它可以配合RFID设备进行短距离细分标识，并且在统一管理平台的帮助下，实现所有设备状态、位置的实时监控。当然它也可以配合TPM组建基于地理位置的可信资源池。

图2-16　某厂家的TPM模块