IaaS云計算安全框架設(shè)計說明書

.../IaaS云計算安全框架設(shè)計1IaaS云計算功能架構(gòu)

說明：

接入層：指提供給用戶訪問云系統(tǒng)或用于為其他服務(wù)提供調(diào)用接口的軟硬件系統(tǒng)。如Portal。

虛擬資源層：指虛擬機(jī)、虛擬存儲設(shè)備、虛擬交換機(jī)、虛擬服務(wù)器等虛擬化的實體。

虛擬化平臺層:指服務(wù)器虛擬化軟件〔如vmwareESXi,存儲虛擬化軟件<??>,

網(wǎng)絡(luò)虛擬化軟件〔?。

硬件資源層：指各種服務(wù)器,存儲設(shè)備及存儲網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備及連接等資源。

管理層:指提供IaaS服務(wù)管理、系統(tǒng)運行管理及安全管理功能相關(guān)軟硬件系統(tǒng)。

2IaaS云計算安全風(fēng)險

2.1接入層風(fēng)險

會話控制和劫持：指web應(yīng)用中的通信會話被攻擊者控制劫持導(dǎo)致通信信息泄露或拒絕服務(wù)等問題。盡管HTTP協(xié)議是無狀態(tài)協(xié)議,但一些Web應(yīng)用程序則依賴于會話狀態(tài),因此存在遭受會話控制和劫持風(fēng)險。

API訪問控制失效：指當(dāng)外部實體訪問接口層時,不能驗證調(diào)用者的身份信息或者驗證機(jī)制被旁路帶來的問題。

弱密碼攻擊：指因為加密算法缺陷或新的密碼分析技術(shù)的進(jìn)步導(dǎo)致安全通信中所依賴的加密技術(shù)不再安全。

2.2虛擬資源層風(fēng)險

虛擬機(jī)隔離失效：一臺虛擬機(jī)可能監(jiān)控另一臺虛擬機(jī)甚至?xí)尤氲剿拗鳈C(jī),可能帶來虛擬機(jī)信息泄露,拒絕服務(wù)等問題。

虛擬機(jī)逃逸：指攻擊者獲得Hypervisor的訪問權(quán)限,從而對其他虛擬機(jī)進(jìn)行攻擊。若一個攻擊者接入的主機(jī)運行多個虛擬機(jī),它可以關(guān)閉Hypervisor,最終導(dǎo)致這些虛擬機(jī)關(guān)閉。

虛擬機(jī)遷移安全失效：指當(dāng)虛擬機(jī)進(jìn)行動態(tài)遷移或通過文件復(fù)制等方式靜態(tài)遷移時,如果遷移前后所在的主機(jī)平臺的安全措施不一致,則可導(dǎo)致虛擬機(jī)陷入安全風(fēng)險狀態(tài)。

共享存儲數(shù)據(jù)刪除不徹底：指多租戶模式下,不同用戶共享同一物理存儲資源,當(dāng)一個用戶所分配的物理存儲資源被回收后,如果其上的數(shù)據(jù)沒有徹底刪除,那么就可能被非法恢復(fù)的風(fēng)險。

虛擬機(jī)鏡像文件非法訪問和篡改：指虛擬機(jī)鏡像文件在沒有所有者授權(quán)下非法復(fù)制,修改等風(fēng)險。

2.3虛擬化平臺層風(fēng)險

虛擬化平臺完整性篡改：指虛擬化軟件被攻擊者注入惡意代碼或進(jìn)行篡改導(dǎo)致系統(tǒng)進(jìn)入不安全狀態(tài)。

管理接口非法訪問：指虛擬化軟件面向管理員的訪問接口沒有設(shè)置訪問控制措施或因為軟件缺陷利用,攻擊者訪問管理接口將直接影響這個虛擬化平臺的安全。如Xen用XenCenter管理其虛擬機(jī),這些控制臺可能會引起一些新的缺陷,例如跨站腳本攻擊、SQL入侵等。

資源分配拒絕服務(wù)：指在虛擬化環(huán)境下,CPU、內(nèi)存等資源是虛擬機(jī)和宿主機(jī)共享的,如果虛擬機(jī)發(fā)起DoS攻擊以獲取宿主機(jī)上所有的資源,可能造成主機(jī)拒絕服務(wù)。

2.4硬件資源層風(fēng)險

主機(jī)及網(wǎng)絡(luò)拒絕服務(wù)：指提供服務(wù)的物理主機(jī)和網(wǎng)絡(luò)設(shè)備不能為其他訪問者提供正常的服務(wù)。

服務(wù)器非法訪問：指服務(wù)器因為缺乏訪問控制或認(rèn)證機(jī)制被非法用戶登錄或使用其資源。

存儲硬件設(shè)備失效導(dǎo)致的數(shù)據(jù)丟失：指因為設(shè)備自身質(zhì)量問題導(dǎo)致數(shù)據(jù)丟失。

設(shè)備非法接入網(wǎng)絡(luò)：指網(wǎng)絡(luò)缺乏必要的設(shè)備監(jiān)控機(jī)制,不能發(fā)現(xiàn)或阻止未經(jīng)事先登記或注冊的設(shè)備接入網(wǎng)絡(luò),給網(wǎng)絡(luò)帶來安全隱患。

服務(wù)器病毒感染：指服務(wù)器因為病毒庫未更新或防御不當(dāng)導(dǎo)致感染病毒,影響服務(wù)器的正常運行。

服務(wù)器節(jié)點失效：指服務(wù)器因為自身設(shè)備故障或軟件系統(tǒng)漏洞導(dǎo)致不能正常服務(wù)。

2.5物理安全風(fēng)險

自然災(zāi)害：指地震、火災(zāi)等具有強破壞力的情況。

數(shù)據(jù)中心非法進(jìn)出：指人員可以隨意進(jìn)出帶來的風(fēng)險,如設(shè)備失竊。

數(shù)據(jù)中心輔助設(shè)施失效：指提供數(shù)據(jù)中心動力的系統(tǒng)的失效帶來的風(fēng)險,如供電設(shè)備失效導(dǎo)致服務(wù)器宕機(jī)數(shù)據(jù)丟失等問題。

2.6其他風(fēng)險

服務(wù)商綁定：指因為服務(wù)商沒有采用標(biāo)準(zhǔn)的技術(shù)導(dǎo)致當(dāng)用戶從一家服務(wù)商將業(yè)務(wù)遷移到另一家服務(wù)商時,存在遷移困難的風(fēng)險。

服務(wù)計費失效:指云服務(wù)計費測量系統(tǒng)因為被攻擊導(dǎo)致服務(wù)計費工作失效。

合規(guī)審計失效：指云環(huán)境下的合規(guī)審計工作變動困難。如可能存在一家云服務(wù)商同時還租用其他云服務(wù)商的服務(wù),這種業(yè)務(wù)下的合格審計工作顯然更加復(fù)雜。

動態(tài)系統(tǒng)的監(jiān)控失效：指因為云系統(tǒng)的動態(tài)特點,傳統(tǒng)的監(jiān)控技術(shù)存在不足而導(dǎo)致的風(fēng)險。如同一主機(jī)上的虛擬機(jī)間流量無法用傳統(tǒng)的技術(shù)來監(jiān)控。

多用戶身份及訪問控制失效：指云環(huán)境下,用戶的身份及訪問管理問題變得更加困難,傳統(tǒng)方法可能不在適用于云環(huán)境下。

3IaaS云計算安全框架

IaaS云計算安全框架

3.1接入層安全

3.1.1web安全

云服務(wù)是一種基于Web的服務(wù)模式,同時相關(guān)管理工作也通過Web方式來管理。因此,web安全包括Web應(yīng)用系統(tǒng)本身的安全和web內(nèi)容安全。一是利用Web應(yīng)用漏洞〔如SQL注入、跨站腳本漏洞、目錄遍歷漏洞、敏感信息泄露等漏洞獲取用戶信息、損害應(yīng)用程序,以及得到Web服務(wù)器的控制權(quán)限等；二是內(nèi)容安全,即利用漏洞篡改網(wǎng)頁內(nèi)容,植入惡意代碼,傳播不正當(dāng)內(nèi)容等一系列問題。

主要安全風(fēng)險：弱密碼攻擊、會話控制和劫持、權(quán)限提升、網(wǎng)頁內(nèi)容篡改等。

主要安全措施：

針對Web應(yīng)用漏洞,應(yīng)注重Web應(yīng)用系統(tǒng)的全生命周期的安全管理,針對系統(tǒng)生命周期不同階段的特點采用不同的方法提高應(yīng)用系統(tǒng)的安全性。

Web應(yīng)用可采取網(wǎng)頁過濾、反間諜軟件、郵件過濾、網(wǎng)頁防篡改、Web應(yīng)用防火墻等防護(hù)措施,同時加強安全配置,如定期檢查中間件版本及補丁安裝情況,賬戶及口令策略設(shè)置,定期檢查系統(tǒng)日志和異常安全事件等等。

3.1.2API安全

API安全主要指IaaS作為云資源,除了可以直接為用戶所使用外,也可以被PaaS云服務(wù)商所使用。因此,在進(jìn)行服務(wù)調(diào)用對API的驗證成為一個關(guān)注的問題。

主要安全措施:對API簽名,確保只對合法的調(diào)用者使用。

3.2虛擬資源層安全

虛擬資源層安全指資源被虛擬化為虛擬資源的安全風(fēng)險。

主要安全風(fēng)險：虛擬機(jī)隔離失效,虛擬機(jī)逃逸、資源分配拒絕服務(wù)等。

主要安全措施：虛擬機(jī)的安全隔離及訪問控制、虛擬交換機(jī)、虛擬防火墻、虛擬鏡像文件的加密存儲、存儲空間的負(fù)載均衡、冗余保護(hù)、虛擬機(jī)的備份恢復(fù)等。

3.3虛擬化平臺層安全

虛擬化平臺層安全指虛擬化相關(guān)軟件的安全風(fēng)險,各種虛擬化軟件引入了新的攻擊界面,如服務(wù)器虛擬化軟件的Hypervisor和其它管理模塊。

主要安全風(fēng)險:hypervisor層的軟件篡改、管理接口非法訪問、資源分配拒絕服務(wù)等。

主要安全措施：基于可信計算技術(shù)實施對虛擬化平臺層的完整性保護(hù),引入訪問控制機(jī)制確保管理接口的安全性,引入身份認(rèn)證技術(shù)確保其他管理模塊的安全。

3.4硬件資源層安全

3.4.1服務(wù)器安全

服務(wù)器安全主要指云計算系統(tǒng)中的主機(jī)服務(wù)器、維護(hù)終端在內(nèi)的所有計算機(jī)設(shè)備在操作系統(tǒng)和數(shù)據(jù)庫的層面安全性。

主要安全風(fēng)險：

〔1操作系統(tǒng)的安全問題主要體現(xiàn)在操作系統(tǒng)本身的缺陷帶來的不安全因素,如訪問控制、身份認(rèn)證、系統(tǒng)漏洞、操作系統(tǒng)的安全配置問題、病毒對操作系統(tǒng)的威脅等方面,

〔2數(shù)據(jù)庫的安全性主要體現(xiàn)在安全補丁、賬戶口令、角色權(quán)限、日志和審計、參數(shù)設(shè)置等方面。

〔3主機(jī)系統(tǒng)作為云計算平臺海量信息存儲、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施,數(shù)量眾多,資產(chǎn)價值高,面臨的安全風(fēng)險極大,其自身安全性可能影響整個云計算系統(tǒng)的安全。

〔4維護(hù)終端作為一種比較分散的資源,長期以來面臨病毒、蠕蟲、木馬、惡意代碼攻擊,難以進(jìn)行集中有效的安全管理。不安全的終端可能成為一個被動的攻擊源,對整個系統(tǒng)構(gòu)成威脅。

主要防護(hù)措施:

包括身份認(rèn)證、訪問控制、主機(jī)安全審計、HIDS、主機(jī)防病毒系統(tǒng)等,全面發(fā)現(xiàn)主機(jī)系統(tǒng)和數(shù)據(jù)庫在安全配置、安全管理、安全防護(hù)措施等方面的漏洞和安全隱患。

應(yīng)定期查看維護(hù)終端的版本及安全補丁安裝情況,檢查賬戶及口令策略,防止出現(xiàn)使用系統(tǒng)默認(rèn)賬戶或弱口令等情況的發(fā)生,應(yīng)注意及時升級防病毒、防木馬軟件的病毒、木馬庫。另外,需要定期查看日志,避免異常安全事件及違規(guī)操作的發(fā)生。

3.4.2存儲安全

存儲安全主要指提供存儲資源的物理設(shè)施及存儲網(wǎng)絡(luò),確保存儲資源的可用性,可靠性等目標(biāo)。

主要安全風(fēng)險：存儲硬件失效、共享存儲網(wǎng)絡(luò)拒絕服務(wù)等。

主要安全措施：存儲設(shè)備冗余設(shè)置、存儲網(wǎng)絡(luò)訪問控制、存儲網(wǎng)絡(luò)監(jiān)控等。

3.4.3網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要指網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備方面的安全性,主要體現(xiàn)網(wǎng)絡(luò)拓?fù)浒踩?、安全域的劃分及邊界防護(hù)、網(wǎng)絡(luò)資源的訪問控制、遠(yuǎn)程接入的安全,路由系統(tǒng)的安全、入侵檢測的手段、網(wǎng)絡(luò)設(shè)施防病毒等方面。

主要安全風(fēng)險：設(shè)備非法接入網(wǎng)絡(luò)、網(wǎng)絡(luò)拒絕服務(wù)、關(guān)鍵設(shè)備中毒等問題。

主要安全措施：劃分安全域、實施安全邊界防護(hù)、部署防火墻、IPS/IDS,部署Dos、DDoS攻擊防御系統(tǒng)、網(wǎng)絡(luò)安全審計系統(tǒng)、防病毒網(wǎng)關(guān)、強身份認(rèn)證等。

3.5物理安全

物理安全是整個云計算系統(tǒng)安全的前提,主要包括物理設(shè)備的安全、網(wǎng)絡(luò)環(huán)境的安全等,以保護(hù)云計算系統(tǒng)免受各種自然及人為的破壞。

主要安全風(fēng)險：自然災(zāi)害風(fēng)險等引起云計算系統(tǒng)設(shè)備和線路不可用、數(shù)據(jù)中心管理不嚴(yán)引起的設(shè)備失竊風(fēng)險等。

主要安全措施：引入安防措施,如視頻監(jiān)控系統(tǒng),輔助設(shè)施采用冗余設(shè)置,增加安保人員隊伍。

3.6支撐性安全基礎(chǔ)

3.6.1數(shù)據(jù)安全

數(shù)據(jù)安全指數(shù)據(jù)的保密性、完整性、可用性、真實性、授權(quán)、認(rèn)證和不可抵賴性。

數(shù)據(jù)安全風(fēng)險貫穿于數(shù)據(jù)的創(chuàng)建、存儲、使用、共享、歸檔、銷毀等階段。

數(shù)據(jù)安全措施：

〔1通過虛擬化層實現(xiàn)虛擬機(jī)間存儲訪問隔離；

〔2通過設(shè)置虛擬環(huán)境下的邏輯邊界安全訪問控制策略,實現(xiàn)虛擬機(jī)、虛擬機(jī)組間的數(shù)據(jù)訪問控制；

〔3通過對重要的數(shù)據(jù)信息在上傳、存儲前進(jìn)行加密處理來保障數(shù)據(jù)存儲的安全；

〔4通過采用采用數(shù)據(jù)加密、VPN等技術(shù)保障用戶數(shù)據(jù)及維護(hù)管理信息的網(wǎng)絡(luò)傳輸安全；

〔5通過存儲資源重分配之前進(jìn)行完整的數(shù)據(jù)擦除實現(xiàn)剩余信息的安全；

〔6通過支持文件級完整和增量備份,映像級恢復(fù)和單個文件的恢復(fù)等方式保障數(shù)據(jù)的有效備份與迅速恢復(fù)。

3.6.2身份認(rèn)證及訪問管理

IAM管理涉及自動化管理賬號、用戶自助式服務(wù)、認(rèn)證、訪問控制、單點登錄、權(quán)職分離、數(shù)據(jù)保護(hù)、特權(quán)用戶管理、數(shù)據(jù)防丟失保護(hù)措施與合規(guī)報告等方面。

云環(huán)境下的身份認(rèn)證及訪問管理面臨如下挑戰(zhàn)：

〔1企業(yè)擁有多套應(yīng)用系統(tǒng),分別屬于不同的部門或業(yè)務(wù)系統(tǒng)。這些系統(tǒng)有各自獨立的IAM系統(tǒng),管理起來更加復(fù)雜。

〔2各獨立IAM系統(tǒng)分別管理其所屬的系統(tǒng)資源,為系統(tǒng)的用戶分配權(quán)限。由于缺乏統(tǒng)一的資源授權(quán)管理平臺,無法嚴(yán)格按照最小權(quán)限原則分配權(quán)限。

〔3日常使用中,用戶往往需要同時使用幾個不同應(yīng)用系統(tǒng)的服務(wù),需要在不同的系統(tǒng)間進(jìn)行切換,用戶需要輸入多個用戶名及口令進(jìn)行登錄,影響工作效率。

〔4因為各個IAM系統(tǒng)的獨立性,導(dǎo)致對個系統(tǒng)的審計也是獨立的,缺乏集中統(tǒng)一的訪問審計。安全人員難以對所有的應(yīng)用系統(tǒng)進(jìn)行綜合分析,無法及時發(fā)現(xiàn)可能的入侵行為。

應(yīng)對措施：采用統(tǒng)一的身份認(rèn)證及訪問控制機(jī)制,如建立統(tǒng)一AAA系統(tǒng)。

3.6.3密鑰管理

密鑰管理指密鑰的創(chuàng)建、分發(fā)、使用、存儲、銷毀、備份等環(huán)節(jié)的工作。密鑰管理方面存

在問題及挑戰(zhàn)：密鑰存儲非法訪問、密鑰丟失、密鑰管理不兼容等。

主要措施：

〔1對密鑰存儲訪問控制機(jī)制,必須限制只有特定需要單獨密鑰的實體可以訪問密鑰存儲。還需要相關(guān)策略來管理密鑰存儲,使用角色分離來幫助進(jìn)行訪問控制,給定密鑰的使用實體不能是存儲該密鑰的實體。

〔2引入密鑰管理標(biāo)準(zhǔn),確保系統(tǒng)的可移植性和可操作性,如OASIS密鑰管理協(xié)同協(xié)議〔KMIP就是云中協(xié)同密鑰管理的新標(biāo)準(zhǔn)。IEEE1619.3標(biāo)準(zhǔn)涵蓋了存儲加密和密鑰管理,尤其適用于存儲IaaS。

〔3密鑰備份和恢復(fù)。意外丟失保護(hù)關(guān)鍵任務(wù)數(shù)據(jù)的密鑰會毀滅一個業(yè)務(wù),所以必須執(zhí)行安全備份和恢復(fù)解決方案。

3.6.4災(zāi)難備份與恢復(fù)

災(zāi)難備份與恢復(fù)主要針對一些不可抗拒的災(zāi)難時,如火災(zāi)、長時間停電及網(wǎng)絡(luò)故障,確保服務(wù)不中斷。

云計算環(huán)境下,系統(tǒng)更加復(fù)雜化,對災(zāi)難備份與恢復(fù)帶來了挑戰(zhàn),,如云計算數(shù)據(jù)中心進(jìn)行了虛擬化改造,整個服務(wù)器,包括操作系統(tǒng)、應(yīng)用程序、補丁程序、配置文件和用戶數(shù)據(jù)都被封裝到一個單一虛擬服務(wù)器,傳統(tǒng)的災(zāi)難備份與恢復(fù)機(jī)制不在適應(yīng)。

主要應(yīng)對措施：

〔1支持文件級和系統(tǒng)級的恢復(fù)備份災(zāi)難備份與恢復(fù),可以更加精細(xì)地調(diào)整災(zāi)難備份與恢復(fù)系統(tǒng)的性能。

〔2災(zāi)難備份與恢復(fù)機(jī)制結(jié)合虛擬化環(huán)境的。

〔3采用基于SAN備份技術(shù),提供多站點的可用性,可快熟將故障轉(zhuǎn)移到災(zāi)難恢復(fù)站點。