美國家標準和技術研究所提出可信雲架構概念
雲負載是對經虛擬化或封裝的功能性程式例項進行抽象,其中包括計算、儲存和網路資源。各機構需要根據各自的業務需求,以一種持續、可重複的自動化方式監視、跟蹤和應用各自的雲負載,並對其實施安全和隱私策略。近日,美國家標準和技術研究所(NIST)的下屬機構——國家賽博安全卓越中心(NCCoE)釋出了《可信雲—VMware混合雲基礎設施即服務環境安全實踐指南》。該檔案提出了一種可信雲架構,尋求利用商用現貨技術增強混合雲平臺上雲負載的安全性和隱私性。該檔案只是一個草案,美國家賽博安全卓越中心希望業界對該檔案提出進一步的修改建議。
國家賽博安全卓越中心尋求通過一種自動化的內建可信硬體機制,限定雲伺服器的地理位置並不斷進行監視,從而增強雲端計算安全性,並加快對雲端計算技術的利用。內建可信硬體機制是一種可維持地理定位資訊與平臺完整性的內建的可信硬體與韌體組合。如果雲平臺經驗證可信並且符合規定的地理定位策略,則可以使用軟體程式來支援雲平臺的其他安全能力,如限制一個在可信地點、可信硬體上執行的負載,限制負載間的通訊,確保處於空閒狀態的負載資料受保護,對負載應用安全策略,以及跨混合雲利用這些能力等。
可信雲架構
可信雲架構包括三個主要部分:(1)位於國家賽博安全卓越中心的私有云(主機);(2)IBM雲安全虛擬化(ICSV)例項;(3)連線這兩個雲的IPsec VPN。這三個部分共同組成了一個混合雲架構,如下圖所示。
位於國家賽博安全卓越中心的私有云包括以下部分:
-
儲存金鑰的Gemalto 硬體安全模組(HSM)
-
戴爾伺服器、儲存和聯網硬體
-
戴爾伺服器上的因特爾處理器
-
VMware元件提供的計算、儲存和網路虛擬化能力
-
HyTrust元件的資產標記和策略加強、負載和儲存加密、資料掃描系統
-
RSA元件的多重認證、網路流量監控、控制面板和報告系統
IBM雲安全虛擬化(ICSV)例項包括以下部分:
-
配有因特爾處理器的IBM伺服器
-
VMware元件的計算、儲存和網路虛擬化
-
HyTrust元件的資產標記、策略加強、負載和儲存加密
IPSec VPN可使以上兩個雲平臺加入到同一個管理域中,從而形成混合雲,並且使使用者能夠以相同的方式對每個雲平臺進行管理和利用。兩個雲平臺上的負載可實時遷移。
可信雲架構的組成
(1)硬體安全模組元件
該元件可利用多個硬體安全模組來儲存混合雲環境中的敏感金鑰。其中一組硬體安全模組用於域的根部,可釋出傳輸層安全(TLS)認證授權(CAs);另一組硬體安全模組可用於保護對負載進行加密的金鑰。硬體安全模組元件安裝在國家賽博安全卓越中心的私有云平臺上,與該部件的通訊受到嚴格限制。
(2)管理元件
國家賽博安全卓越中心的私有云和IBM雲安全虛擬化(ICSV)公共雲實例的管理元件完全相同,都使用單獨的管理平臺來執行虛擬基礎設施。每個管理元件至少包括使用因特爾處理器的硬體、執行虛擬化棧的VMware元件、提供資產標記和策略加強功能的HyTrust元件,以及提供網路視覺化、控制面板和報告能力的RSA元件。每個雲的管理元件通過IPsecVPN連線,從而形成一個邏輯管理單元。
(3)計算元件
國家賽博安全卓越中心的私有云和IBM雲安全虛擬化(ICSV)公共雲實例的計算元件類似。計算元件是執行負載虛擬機器的主機。計算伺服器提供資產標記功能,可分配和強化策略,以確保伺服器上寄存的負載滿足特定的要求。一個基本的計算元件包含使用因特爾處理器的硬體、執行虛擬棧的VMware元件。兩個雲平臺的計算元件通過IPsec VPN連線,可實現雲平臺間負載的遷移。
(4)負載元件
混合雲的兩個平臺上的負載元件類似。這些負載元件包括虛擬機器、資料儲存,以及租借者與資料擁有方運維的網路。用於負載的策略可確保這些負載只能在滿足特定要求(如資產標籤策略)的伺服器上執行。
介衝譯自網際網路
李皓昱審定
2018年11月27日
宣告:本文來自防務快訊,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。