在私有云中将有高度数据安全要求的

服务器虚拟化我们的高度可信区(HTZ)架构和设计构成了我们虚拟化服务器环境的最可靠的实例.
概要为了应对把有需要高度数据安全的服务器虚拟化的挑战,英特尔IT部门创建了一种我们称为高度可信区(HTZ)的架构.
我们对风险进行识别和分类,开发控件以消除或显著缓解虚拟化这些服务器和将它们的机密信息和应用迁移至私有云的风险.
我们计划在2012年底完成把75%的办公和企业计算环境虚拟化的目标.
英特尔IT部门已经针对在互联网上的应用开发了一种包含广泛信息安全功能的虚拟化托管环境.
1下一步,我们需要找到一种把需要高度数据安全的服务器虚拟化方法,以便消除虚拟化风险和提供一定程度的信息安全(类似于物理环境隔离所提供的安全程度).
结果,我们开发出HTZ架构和设计,后者构成我们服务器环境的最可靠的实例.
为了减轻已知风险造成的影响,HTZ使用了24种管理控件.
我们分三个阶段来实施这些控件,其中两个阶段已经完成.
第一个阶段,我们使用控件将虚拟化管理基础设施从正在虚拟化的服务器中隔离出来和保护用于管理虚拟化的帐户.
第二个IT@Intel白皮书英特尔IT部门IT最佳实践云计算和信息安全2012年1月EstebanGutierrez英特尔信息风险与安全事业部高级信息安全技术专家TobyKohlenberg英特尔信息风险与安全事业部高级信息安全技术专家SridharMahankali英特尔IT部门高级网络工程师BillSunderland英特尔IT部门虚拟化解决方案架构师阶段,我们构建了一些控件以实现广泛的安全监控(我们在此采取了一种整体方案,其中包含开发深层记录功能),并开发了一些解决方案以监控管理代理.
第三个阶段也是最后一个阶段,我们添加了包含各种主机和网络入侵检测功能的复杂网络监控能力.
我们已经开始在多个数据中心部署我们的HTZ架构和虚拟化流程.
我们的HTZ解决方案具有以下优势:充分利用虚拟化和云计算,改善需要高度机密数据安全的应用的敏捷程度和效率提供能够在互联网环境运作的应用控件,进一步降低环境风险和提高其敏捷程度和运行效率让我们准备好在未来充分利用公共云服务,为内部和对外提供的应用1请参阅标题为《克服信息安全的挑战,将互联网上运作的应用虚拟化》的IT@Intel白皮书.
英特尔公司,2011年11月IT@Intel白皮书将私有云中有高度数据安全需求的服务器虚拟化2www.
intel.
com/cn/ITIT@INTELIT@Intel计划将全球各地的IT专业人员及我们机构中的IT同仁紧密联系在一起,共同分享经验教训、方法和战略.
我们的目标十分简单:分享英特尔IT部门最佳实践,获得业务价值并实现IT竞争优势.
如欲了解更多信息,请访问:www.
intel.
com/cn/IT或联系您当地的英特尔代表.
目录概要.
1业务挑战.
2英特尔IT部门的云计算战略.
2信息安全:微妙的平衡.
3创建可信区.
3解决方案.
3虚拟化安全风险评估和控制.
4HTZ架构实施.
4重要成果.
7总结经验.
8结论和下一步计划.
8缩略语.
8业务挑战英特尔IT部门运营着一个分布全球的计算环境,包括约90,000台服务器,为超过90,000名英特尔员工提供支持.
约20%的服务器用于为英特尔员工、客户和合作伙伴提供广泛的服务.
我们的办公与企业计算环境包括在线协作、电子邮件和日历服务等应用,以及企业资源规划软件等大型企业应用.
这些办公和企业服务器中约有10%被认为具备高数据安全,具有以下共同特征:主机数据的保密等级高于"英特尔机密".
英特尔机密数据需要签订保密协议才能查看运行直接影响英特尔在设计、装运、订购/预订、构建、支付、关闭、网络或通信等方面能力的第一层关键业务应用提供身份验证服务、加密服务或其它因虚拟化而会造成大幅度增加风险的功能尽管我们的当前计算环境能够满足英特尔目前的需求,但随着业务的快速发展,我们需要对不断变化的业务需求作出更敏捷的响应.
同时,英特尔IT部门亦必须继续进一步降低成本.
传统的企业计算方法限制了我们提升业务敏捷和降低成本的能力.
例如,传统的企业计算将服务器专用于运行特定应用.
每台服务器均有一定的超度配置以支持应用增长和需求激增.
这造成物理服务器的利用率低下,并限制快速供应新服务器容量的能力.
此外,传统方案需要手动收集配置、购买历史和其它信息,因而增加了在IT计划中容量规划的复杂程度.
鉴于以上原因,英特尔正在迁移到一种全新的基于云计算的企业架构,帮助实现我们的敏捷程度和效率目标,帮助我们为各业务部门–我们的客户–提供更佳服务.
目前,英特尔IT部门已经实现了超过63%的办公和企业应用的虚拟化.
为了实现我们75%的环境虚拟化目标,我们制定了足够高度的安全级别,以便能更有信心地对那些在机密数据安全方面有最高度要求的系统实施虚拟化.
为了应对这项挑战,我们创建了一种称为高度可信区(HTZ)的架构来处理特定的预计风险.
这一架构的控件能够为系统的安全虚拟化缓解风险至可以接受的水平.
英特尔IT部门的云计算战略我们的战略是采取从内到外的方式发展云计算.
我们正在为办公和企业计算构建的私有云基于高度虚拟化、高度节能和高度灵活的环境.
这方法能够提供与公共云一样的许多优势,但是不会带来与在英特尔环境之外托管机密应用和数据相关的风险.
到目前为止,其敏捷程度和资源利用率的提高已经帮助我们净节省900万美元.
我们预计我们的私有云有助于为所有应用实现更高级别的信息安全和可靠程度,而且无需借助昂贵的专用硬件和软件.
这一将私有云中有高度数据安全需求的服务器虚拟化IT@Intel白皮书www.
intel.
com/cn/IT3切得益于众多高度可用的功能,例如自动化虚拟机(VM)重启和诸如机器校验架构恢复(MCA恢复)等关键业务特性.
MCA恢复功能能够提供自动检测,隔离多种类型的错误并从这些错误中恢复系统.
实施私有云将有助于我们充分利用由云技术提供的高效率.
随着标准的日益成熟,以及公用云的数据安全提高和成本下降,我们根据使用案例设想混合使用公共云和私有云.
目前,对于没有高机密要求的应用,我们则取公共云服务有限的优势.
例如,我们使用了多个来自云供应商的软件即服务(SaaS)应用,其中包括费用报销和时间卡工具、健康福利应用和社会媒体应用.
信息安全:微妙的平衡信息安全是业务需求和风险之间的一种平衡.
我们在开发和实施云战略时,英特尔数据和应用的安全始终是关注重点.
不论公司的知识产权和个人信息的数据位于何处以及如何被使用,我们仍必须维持其安全和完整该.
随着虚拟化的使用,私有云和公共云在资源隔离、数据安全事件管理和数据保护等领域引发了新的信息安全挑战.
在一个非虚拟化环境中,物理基础设施提供的隔离被认为对应用和数据保护进行了一定程度的保护.
然而,在利用虚拟化将多台服务器整合到单个主机时,我们放弃了两台服务器之间的物理隔离,从而加大了危害可能从一台虚拟机扩散到同一台物理主机上的其它虚拟机的风险.
此外,若虚拟软件的管理程序被攻击危害,可能会导致所有托管的虚拟机(VM)以及共享的物理资源(例如存储应用数据和代码的硬盘驱动器)都被波及.
我们能够构建控件来缓解许多这类风险,但是这需要确定每种所需安全等级的极限.
随着我们越来越多地使用基于虚拟化的共享多租户环境,我们预计各业务部门将需要基于数据分类和任务关键性的差异化安全策略.
此外,我们的客户将希望更多地了解云中的安全数据流以及特定业务安全策略的实施情况.
信息安全的重点领域包括数据加密和隔离、VM隔离、安全的VM迁移、虚拟化网络隔离、安全事件和访问监控,业务或作伙伴或客户能够访问的外部应用尤其需要关注,因为它们面临更大的威胁.
创建可信区我们针对云计算和虚拟化,在2010年始动了一个为期五年的计划,把我们的信息安全架构彻底重新设计.
2我们假设有可能无法避免受到某些攻击危害.
我们的新模式大大提高了灵活度,并且注重快速检测攻击以及系统的耐受程度.
具体而言,它采用的可信区能够提供相较于传统企业安全模式更加灵活、动态和精细的控制.
在2011年,我们在实施该架构的过程中取得了重大进展,该架构基于四大基础:信任计算.
动态确定是否允许每个用户访问特定资源以及提供何种访问权限.
信任计算基于若干因素,包括用户的客户端设备和所处位置、要求的资源类型、可用的安全控制等用户和数据边界.
除了提供企业网络边界所需的保护之外,还将用户和数据视作需要保护的其它安全边界平衡的控制.
在检测和纠正控制之间取得平衡,提高灵活度,增强恢复能力,并同时对预防控件(例如防火墙)作增补安全区域.
根据数据和访问控制的机密要求将我们的环境划分为若干区域,对每个区域进行控制和监控,防止一个区域的危害扩散到其它区域解决方案针对我们的高数据安全、的机密系统,我们创建了HTZ虚拟环境,后者是我们的虚拟化服务器环境最高可信度的实例(请参见图1).
我们发现了有益于虚拟化的特定类型应用,将其置于该环境中.
从风险的角度看,只要存在特定的减轻和控制,就有可能将风险维持在可以接受的级别.
2有关英特尔的新安全架构请参考"重审信息安全使业务更敏捷灵活".
英特尔公司,2011年1月.
IT@Intel白皮书将私有云中有高度数据安全需求的服务器虚拟化4www.
intel.
com/cn/IT我们的数据高度机密的应用示例具有以下特点:包含高度机密的数据执行其余环境的管理或安全功能对业务至关重要受法规遵从控制我们以完全隔离的方式进行虚拟化和不计划虚拟化的一小部分应用不包括在内,因为残余风险仍然高得令人难以接受.
这些应用包括我们不能为之冒内存暴露或虚拟机被盗风险的应用.
隔离式虚拟化的一个例子是使用单个应用或应用的某个部分的专用虚拟化环境.
专用环境由于共享租户和管理,能够降低风险.
对区域(例如我们的HTZ)的访问由信任计算结果决定,由策略执行点(PEP)控制.
PEP控制区域之间的通信,可能包括一系列的控制选项,如防火墙、应用代理、入侵检测与防御系统、身份验证系统和日志系统.
区域间的通信受到严格的限制、监视和控制.
为了将这些区域分隔开来,我们将它们置于不同的物理局域网(LAN)或虚拟局域网,并针对不同的区域使用不同的管理系统.
虚拟化安全风险评估和控制英特尔数据中心工程设计部和英特尔安全部紧密合作,对于把数据机密型应用(包括一级应用、业务关键应用、限制级机密应用和绝密应用)虚拟化的特定有形风险进行评估.
我们发现了41种风险,并按照其影响对它们进行排名:低、中或高.
在概括了风险和相关的可能影响之后,我们发现了能够将这些风险降低到可接受的等级以允许虚拟化的控件.
借助内部风险分析流程和对行业机构(包括云安全联盟*(CSA)、国家标准与技术研究院(NIST)和供应商)的调查,我们总共发现了24种控件,它们可分为四大类别:九种管理控件,如专用的HTZ系统管理员帐户和多因素身份验证六种应用控件,其中包括应用就绪程度检查,后者用于检查从来自HTZ外部的访问重叠可能性到安全强化能力(安全开发生命周期实践、身份验证、授权和登录等等)等一切五种监控控件,其中包括连续监控HTZ虚拟基础设施、网络、虚拟机和应用上的异常事件或攻击四种网络控件,如冗余交换机和网络入侵检测系统(NIDS)传感器HTZ架构实施我们采取了分为三个阶段的方案来实施我们的HTZ架构和其所需的控件.
第一阶段:保护虚拟化管理基础设施我们采取的第一个步骤是通过以下途径保护虚拟化管理基础设施:将虚拟化基础设施从正在进行虚拟化的服务器中隔离开来,保护用于控制虚拟化的帐户,保护将要迁移到HTZ架构的应用和强化用于管理虚拟化的操作系统(OS)和平台.
图1.
英特尔IT部门的高度可信区(HTZ)架构为运行虚拟化服务器(将支持我们的高度数据安全、机密的系统)的主机创建了单独的登录区.