美国家标准和技术研究所提出可信云架构概念

云负载是对经虚拟化或封装的功能性程序实例进行抽象，其中包括计算、存储和网络资源。各机构需要根据各自的业务需求，以一种持续、可重复的自动化方式监视、跟踪和应用各自的云负载，并对其实施安全和隐私策略。近日，美国家标准和技术研究所（NIST）的下属机构——国家赛博安全卓越中心（NCCoE）发布了《可信云—VMware混合云基础设施即服务环境安全实践指南》。该文件提出了一种可信云架构，寻求利用商用现货技术增强混合云平台上云负载的安全性和隐私性。该文件只是一个草案，美国家赛博安全卓越中心希望业界对该文件提出进一步的修改建议。

国家赛博安全卓越中心寻求通过一种自动化的内置可信硬件机制，限定云服务器的地理位置并不断进行监视，从而增强云计算安全性，并加快对云计算技术的利用。内置可信硬件机制是一种可维持地理定位信息与平台完整性的内置的可信硬件与固件组合。如果云平台经验证可信并且符合规定的地理定位策略，则可以使用软件程序来支持云平台的其他安全能力，如限制一个在可信地点、可信硬件上运行的负载，限制负载间的通信，确保处于空闲状态的负载数据受保护，对负载应用安全策略，以及跨混合云利用这些能力等。

可信云架构

可信云架构包括三个主要部分：（1）位于国家赛博安全卓越中心的私有云（主机）；（2）IBM云安全虚拟化（ICSV）实例；（3）连接这两个云的IPsec VPN。这三个部分共同组成了一个混合云架构，如下图所示。

位于国家赛博安全卓越中心的私有云包括以下部分：

• 存储密钥的Gemalto 硬件安全模块（HSM）

• 戴尔服务器、存储和联网硬件

• 戴尔服务器上的因特尔处理器

• VMware组件提供的计算、存储和网络虚拟化能力

• HyTrust组件的资产标记和策略加强、负载和存储加密、数据扫描系统

• RSA组件的多重认证、网络流量监控、控制面板和报告系统

IBM云安全虚拟化（ICSV）实例包括以下部分：

• 配有因特尔处理器的IBM服务器

• VMware组件的计算、存储和网络虚拟化

• HyTrust组件的资产标记、策略加强、负载和存储加密

IPSec VPN可使以上两个云平台加入到同一个管理域中，从而形成混合云，并且使用户能够以相同的方式对每个云平台进行管理和利用。两个云平台上的负载可实时迁移。

可信云架构的组成

（1）硬件安全模块组件

该组件可利用多个硬件安全模块来存储混合云环境中的敏感密钥。其中一组硬件安全模块用于域的根部，可发布传输层安全（TLS）认证授权（CAs）；另一组硬件安全模块可用于保护对负载进行加密的密钥。硬件安全模块组件安装在国家赛博安全卓越中心的私有云平台上，与该部件的通信受到严格限制。

（2）管理组件

国家赛博安全卓越中心的私有云和IBM云安全虚拟化（ICSV）公共云实例的管理组件完全相同，都使用单独的管理平台来运行虚拟基础设施。每个管理组件至少包括使用因特尔处理器的硬件、运行虚拟化栈的VMware组件、提供资产标记和策略加强功能的HyTrust组件，以及提供网络可视化、控制面板和报告能力的RSA组件。每个云的管理组件通过IPsecVPN连接，从而形成一个逻辑管理单元。

（3）计算组件

国家赛博安全卓越中心的私有云和IBM云安全虚拟化（ICSV）公共云实例的计算组件类似。计算组件是运行负载虚拟机的主机。计算服务器提供资产标记功能，可分配和强化策略，以确保服务器上寄存的负载满足特定的要求。一个基本的计算组件包含使用因特尔处理器的硬件、运行虚拟栈的VMware组件。两个云平台的计算组件通过IPsec VPN连接，可实现云平台间负载的迁移。

（4）负载组件

混合云的两个平台上的负载组件类似。这些负载组件包括虚拟机、数据存储，以及租借者与数据拥有方运维的网络。用于负载的策略可确保这些负载只能在满足特定要求（如资产标签策略）的服务器上运行。

介冲译自互联网

李皓昱审定

2018年11月27日

声明：本文来自防务快讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。