云計算是一種經濟高效、可擴展且靈活的機制，適用于公共和私營部門的企業 IT 服務交付。美國國防部 （DoD） 在加速 IT 交付和創新的云計算戰略方面取得了長足的進步。這項工作旨在節省在高效管理的商業云環境中托管敏感數據的成本。在研究此類平臺時，必須特別注意由大量極其復雜的軟件支持的虛擬化云環境中的安全性。

為了托管政府擁有的數據，云服務提供商 （CSP） 必須遵守聯邦風險和授權管理計劃 （FedRAMP） 下的一系列基準標準。CSP 還必須遵守國防部要求的一組更嚴格的安全控制措施，才能出現在國防信息系統局 （DISA） 的企業云服務代理 （ECSB） 目錄中。收錄授予影響級別 1 和 2 的臨時接受，對應于低風險的非機密公共和未分類私人信息。根據聯邦信息流程標準出版物 （FIPS） 199，迪砂指定的影響級別將數據描述為低、中或高風險。

風險較高的未分類數據和分類數據分別發生在影響級別 3-5 和 6，是商業云遷移的大部分成本節省。目前沒有授權影響等級 3-5 的 CSP，也沒有發布影響等級 6 的標準草案。

主要關注點圍繞著云本質上是虛擬的這一事實，這意味著它們使用軟件作為解決方案。這一事實是軟件即服務 （SaaS） 和基礎設施即服務 （IaaS） 提供商的關鍵賣點;基礎設施可以根據需要啟動和拆除。但是，通常的數據和軟件安全問題仍然適用。商業云基本上是多租戶的，必須非常小心地確保各種同居云客戶之間的數據和計算分離。數據必須在動態和靜止時受到保護，同時必須制定監控規定以確保高可用性并促進事件審計。

數據分離

將國防部基礎設施遷移到商業云的最大障礙是必要的保證，即不同的數據域保持分離。虛擬機管理程序通常是在云計算平臺上運行的第一層軟件，用于從物理硬件中抽象軟件服務依賴關系。這種硬件抽象通常稱為虛擬化。雖然虛擬化使CSP能夠無縫添加，刪除和轉移服務，而無需始終進行物理基礎架構更改，但它也增加了云計算平臺中運行的軟件復雜性總量，并引入了通常被忽視的威脅媒介。

隔離是虛擬機管理程序支持安全計算云的最重要功能。在傳統信息系統中，通過控制和監控計算節點之間的網絡流量來實現安全性。維持安全的虛擬計算環境還依賴于控制計算節點之間的通信。但是，在虛擬化平臺上，控制網絡流量是不夠的。來賓操作系統可以通過多種方式通過虛擬網絡接口以外的方式相互通信。這些其他通信方式稱為“側信道”，它們源于虛擬化平臺上共享資源（如處理器、內存、網絡、存儲設備和虛擬化子接口）的利用。

理想的安全虛擬機管理程序禁止來賓操作系統與虛擬機管理程序之間進行所有未經授權的通信形式，并顯式控制硬件平臺上的共享物理資源，以減少側信道攻擊。嚴格控制內存資源、CPU 時間和設備的隔離對于保證通道旁路的緩解是必要的。圖 1 描述了將共享資源上下文切換到同一平臺上的其他虛擬機時如何公開虛擬機中的剩余指令或數據。

圖1：將共享資源上下文切換到同一平臺上的其他虛擬機時，需要嚴格控制內存資源、CPU 時間和設備，以防止殘留指令或數據泄露。

數據保護

利用云進行存儲的一個好處是，數據可以在區域和全球數據中心之間復制，這對于完整性和可用性都非常重要。但是，數據中心之間和原始主機之間的數據傳輸都發生在公共互聯網上。這使得數據在移動時容易受到機密性攻擊。

在云中存儲數據時，物理保護邊界不再位于組織內，并且必須將一定程度的信任擴展到 CSP，即具有保護數據的機制。對數據存儲設施的未經授權的數字訪問和云提供商內部的內部威脅是靜態數據的主要問題。

由于云本質上是虛擬的，因此無法保證物理媒體;此外，不可能依賴物理設備的保護。即使可以保證物理設備的存在，可信平臺模塊等功能也為給定的軟件堆棧提供了一點信任，但無法保護數據本身免受軟件漏洞的影響。因此，需要使用強加密的多種形式的加密。隨著數據和服務跨平臺和物理位置分布，加密機制必須比當今組織內常用的標準加密方法（如 VPN 和加密驅動器）更精細。加密信息流不僅可以提供數據分離，還可以在數據傳輸過程中強制實施機密性。通過對存儲中的數據進行分層加密方案，可以保護信息免受滲透和外泄攻擊。通過將這些加密機制與組織內受到物理保護的強大密鑰管理方案相結合，可以維護對數據機密性的必要保證。

數據監控

監視和審核等系統管理原則在組織的云擴展中同樣重要。能夠監控和快速響應實時事件不僅對用戶很重要，對云提供商也很重要。

消費者云的多租戶結構意味著虛擬軟件實例必須共存，并且不能相互干擾，不僅與應用程序資源，而且在虛擬基礎架構中。確保軟件資源不會造成中斷的最佳方法是對交互進行低級持續監視，并在必要時提供數據衛士（參見圖 2）。

圖2：對交互進行低級持續監控，并在必要時提供數據衛士，可以確保虛擬軟件實例共存，并且不會中斷整個虛擬基礎架構。

通過在低于被監控節點的級別上監控交互，可以實時采取適當的操作。這些操作可能包括通過重新啟動意外關閉的資源或在災難性事件（如檢測到軟件篡改）期間停止來確保可用性。審計這些事件的能力也有利于取證分析和未來的預防。

通過將資源遷移到商業云，國防部可以從基礎設施、人員、電力和物理空間方面節省大量預算。隨著對更高影響級別的架構進行審查——無論是使用 milCloud（迪砂的私有云服務組合）進行混合部署，還是全面部署到 CSP，該架構必須確保嚴格的數據分離策略，利用強大而精細的加密方案，并提供實時和反應性監控和審計功能。LynxSecure是Lynx軟件技術公司的分離內核管理程序，為確保嚴格執行軟件策略（包括資源分區，調度和數據信息流）提供了堅實的基礎。其內置的持續監控和審計功能可滿足安全環境所需的系統管理需求。

審核編輯：郭婷