圖1 阿里云安全模型

云時代下的虛擬化安全主要包括虛擬服務器的加固、虛擬服務器的隔離、虛擬服務器的銷毀，雖然因虛擬化服務器的服務類型的原因，以上需求已無法通過購買安全設備實現(xiàn)隔離，但針對用戶和云服務商自身的安全需求仍可通過一系列的軟件手段實現(xiàn)安全隔離和訪問控制。

虛擬服務器的加固

在安全流程方面，阿里云通過建立安全加固流程來保證每個交付給客戶的虛擬服務器鏡像在生產環(huán)節(jié)已通過安全團隊的嚴格檢測，去除了不安全的服務、協(xié)議、端口等可能導致入侵的因素。

在安全技術方面，阿里云已陸續(xù)發(fā)布了CentOS 6.2 64位安全加固版、Red Hat Enterprise Linux Server 5.4 64位安全加固版Windows Server 2003標準中文版 SP2 32位已加固激活三個經過安全加固的操作系統(tǒng);阿里云的云安全產品——云盾更通過提供主機入侵檢測和補丁自動更新服務等手段來保證用戶虛擬服務器的安全，并針對用戶需求有針對性的對虛擬機鏡像提供加密服務。

虛擬服務器的隔離

用戶租用云服務器就好比將用戶網站搬進了一個個虛擬房間，最擔心的就是破門而入的不速之客，這種安全顧慮就是由虛擬服務器而引發(fā)的網絡邊界模糊威脅，而解決之道不再是傳統(tǒng)信息安全環(huán)境下的防火墻之類設備的堆砌，取而代之的是阿里云自主開發(fā)的一系列虛擬環(huán)境下的網絡隔離手段。

阿里云針對不同用戶購買的云服務器之間的隔離需求，在其生產環(huán)節(jié)由云服務器的生產系統(tǒng)依據(jù)訂單自動給每個用戶的云服務器打上標簽，不同的用戶間通過安全組進行隔離;針對本文開篇提及的惡意虛擬服務器用戶通過制造大量的ARP通行量來導致網絡面臨阻塞或中斷的風險，阿里云采用上述云服務器標簽和 arptables相結合予以防范;最后為防范云服務器被入侵后成對對外攻擊源，阿里云采用以太網防火墻(ebtables)隔離云服務器對外部公共網絡的異常協(xié)議訪問。

圖2 云平臺安全開發(fā)流程

虛擬服務器的銷毀

針對用戶云服務器在期滿后的數(shù)據(jù)銷毀問題，阿里云的云服務器生產系統(tǒng)會定期自動虛消除原有物理服務器上磁盤和內存數(shù)據(jù)，使得虛擬服務器無法恢復。同時，采用虛擬化在線管理系統(tǒng)對虛擬服務器進行管理，對物理服務器及Hypervisor的運維操作，遵循運維相關流程并采用實時審計技術予以監(jiān)控。

云時代下云平臺是一切云服務的最終載體，其自身的安全態(tài)勢直接決定各項云服務的正常開展，從以上虛擬化安全的控制手段已然可以發(fā)現(xiàn)通過軟件實現(xiàn)安全控制將是云安全的主要技術實現(xiàn)途徑。而云平臺自身也是軟件開發(fā)的產物，由此，構建云平臺安全就應從云平臺的初始開發(fā)以及云服務帶給云平臺的安全沖擊等角度予以考慮。

云平臺的開發(fā)推薦參照軟件安全開發(fā)周期(Security Development Lifecycle)建立安全開發(fā)流程如圖2所示。

安全需求分析環(huán)節(jié)：應根據(jù)功能需求文檔進行安全需求分析，針對業(yè)務內容、業(yè)務流程、技術框架進行溝通，形成《安全需求分析建議》。

安全設計環(huán)節(jié)：應根據(jù)項目特征，與測試人員溝通安全測試關鍵點，形成《安全測試建議》。

安全編碼環(huán)節(jié)：應參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發(fā)規(guī)范》，避免開發(fā)人員寫出不安全的代碼。

代碼審計環(huán)節(jié)：應盡可能使用代碼掃描工具并結合人工代碼審核，對產品代碼進行白盒、黑盒掃描。

應用滲透測試：應在上線前參照諸如OWASP之類的標準進行額外的滲透測試 。

系統(tǒng)發(fā)布：依據(jù)上述環(huán)節(jié)評價結果決定代碼是否發(fā)布。

針對云服務對云平臺的安全沖擊，例如前文提到的ODPS存在通過用戶程序包含的惡意代碼在云服務商物理機上植入后門，實現(xiàn)非法外聯(lián)、提權等一系列非法操作的風險，阿里云采用了研發(fā)虛擬化的沙箱或者解釋器級別的沙箱來予以包裝，并通過鑒權、授權等一整套安全措施來保證用戶程序中可能包含的惡意程序無法在ODPS集群上直接執(zhí)行。

回顧上述云安全帶來的挑戰(zhàn)，我們可以得出以下結論：

傳統(tǒng)網絡安全手段在云時代安全體系中的重要性下降了;

依靠應用軟件實現(xiàn)的安全手段，以及應用軟件開發(fā)本身的安全在云時代安全體系中的重要性將大大增強;

用戶數(shù)據(jù)的集中化管理使安全管理和運營的重要性日益突出。

雖然云計算的背景下，云計算安全與傳統(tǒng)信息安全的目標仍是相同的：“保護信息資產的保密性、完整性、可用性”，但云計算安全的保護核心正逐步從基礎的信息安全風險管理轉向數(shù)據(jù)安全管理，而阿里云在國內率先選擇以數(shù)據(jù)為核心的云服務而不僅僅是傳統(tǒng)的IDC，其基礎設施通過ISO27001國際認證正是對此的有力回應。

wangxueyang