浙江電信云資源池安全防護(hù)體系研究

浙江電信云資源池安全防護(hù)體系研究

1云計(jì)算安全體系隨著浙江省工業(yè)云資源池的不斷開(kāi)發(fā)和對(duì)云安全的更高需求。我們不僅要解決傳統(tǒng)的安全問(wèn)題，還要解決云帶來(lái)的虛擬化問(wèn)題。云資源池在系統(tǒng)組成方面與傳統(tǒng)平臺(tái)建設(shè)最主要的區(qū)別就是將資源虛擬化形成統(tǒng)一的資源池,簡(jiǎn)化資源的配置與管理,提高硬件的利用率,從而實(shí)現(xiàn)云計(jì)算的靈活性與彈性。虛擬層的引入使以訪問(wèn)控制為核心的安全防護(hù)體系與傳統(tǒng)的業(yè)務(wù)平臺(tái)建設(shè)防護(hù)體系有很大不同,除了包括傳統(tǒng)的主機(jī)安全、網(wǎng)絡(luò)安全等外,還需要包含云計(jì)算中特殊的虛擬化安全。綜合云資源池系統(tǒng)結(jié)構(gòu)和業(yè)務(wù)模式進(jìn)行分析,當(dāng)前云資源池安全所面臨的核心問(wèn)題主要包括以下方面。南北流量安全:指云資源池內(nèi)外部流量安全,與傳統(tǒng)安全防護(hù)類似,主要防止外部人員對(duì)云資源池進(jìn)行攻擊和破壞。東西流量安全:指云資源池內(nèi)部流量之間的安全,在虛擬化環(huán)境中,虛擬機(jī)成為網(wǎng)元的最小單元,而對(duì)于傳統(tǒng)的硬件防火墻以及基于行為特征分析的IDS/IPS等網(wǎng)絡(luò)安全設(shè)備,根本無(wú)法感知到同一物理機(jī)上各VM之間通信流量,這成為安全防護(hù)中的盲點(diǎn)。運(yùn)維安全:指對(duì)內(nèi)部運(yùn)維人員行為的安全管理和審計(jì),在云資源池中,由于維護(hù)人員較多,在跳板機(jī)上需要配置大量的賬號(hào)區(qū)別維護(hù)人員,同時(shí),由于維護(hù)時(shí)的需要,無(wú)法將各賬號(hào)的權(quán)限進(jìn)行限制,運(yùn)維人員可以隨意在跳板機(jī)上存放臨時(shí)文件以及個(gè)人文件,引入安全漏洞,因此需要對(duì)內(nèi)部運(yùn)維人員進(jìn)行安全審計(jì)管理。高可用性和擴(kuò)展性:云資源池的安全防護(hù)系統(tǒng)不能成為性能瓶頸,必須保證高可用性,確保業(yè)務(wù)連續(xù)性、更高的可靠性、更短的停機(jī)時(shí)間、更簡(jiǎn)便的維護(hù)和升級(jí),同時(shí),云計(jì)算是彈性擴(kuò)容的,安全設(shè)備也應(yīng)該是靈活擴(kuò)展的。2安全體系架構(gòu)基于對(duì)云資源池安全需求分析,云資源池安全防護(hù)措施需涵蓋外部網(wǎng)絡(luò)接入層、虛擬化層、運(yùn)維管理等各層面,并充分考慮性能的高可用性和可擴(kuò)展性,構(gòu)建全方位縱深型的安全體系架構(gòu),從而保障云資源池的安全。云資源池安全體系架構(gòu)如圖1所示。資源池外部網(wǎng)絡(luò)接入層在核心交換機(jī)側(cè)旁掛DDoS流量清洗、IDS/IPS、防火墻等設(shè)備對(duì)南北流量進(jìn)行完備安全防護(hù)。虛擬化層面部署虛擬防火墻軟件、IDS/IPS深度包檢測(cè)軟件、防病毒軟件等對(duì)虛擬化層進(jìn)行安全防護(hù)。在運(yùn)維接入層面部署虛擬堡壘機(jī)設(shè)備對(duì)運(yùn)維操作進(jìn)行安全審計(jì)和管理。3南北流量安全配置方案3.1ddos攻擊DDoS攻擊分為帶寬消耗型攻擊(大流量攻擊)和主機(jī)資源消耗型攻擊。帶寬消耗型攻擊會(huì)對(duì)云主機(jī)資源池出口造成流量壓力,阻塞云主機(jī)資源池業(yè)務(wù)網(wǎng)絡(luò),影響云主機(jī)資源池業(yè)務(wù)運(yùn)行。主機(jī)資源消耗型攻擊使服務(wù)器處理大量并發(fā)攻擊請(qǐng)求,嚴(yán)重影響服務(wù)器內(nèi)存、數(shù)據(jù)庫(kù)、CPU的處理性能。在資源池出口核心交換機(jī)側(cè)部署DDoS設(shè)備,對(duì)大流量DDoS攻擊給予清洗。DDoS系統(tǒng)由流量檢測(cè)系統(tǒng)和流量清洗系統(tǒng)兩部分組成,通過(guò)在云主機(jī)資源池入口鏈路部署流量檢測(cè)系統(tǒng),檢測(cè)系統(tǒng)檢測(cè)到異常流量攻擊后,上報(bào)流量清洗系統(tǒng)并把受攻擊的主機(jī)流量引入清洗系統(tǒng)進(jìn)行異常流量清洗,將清洗后的正常業(yè)務(wù)流量重新注入網(wǎng)絡(luò)中。3.2惡意攻擊檢測(cè)入侵檢測(cè)防御系統(tǒng)對(duì)應(yīng)用層進(jìn)行防御,能夠阻止蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VoIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。通過(guò)深達(dá)第七層的流量偵測(cè),在發(fā)生損失之前阻斷惡意流量。在資源池入口核心交換機(jī)側(cè)部署IPS進(jìn)行應(yīng)用層防御,保證業(yè)務(wù)平臺(tái)資源池服務(wù)器免受外部應(yīng)用層攻擊。3.3加內(nèi)部網(wǎng)絡(luò)安全邊界防火墻工作在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間,將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有效地隔離起來(lái),達(dá)到增加內(nèi)部網(wǎng)絡(luò)安全的目的。一般情況下,通過(guò)防火墻提供4個(gè)安全區(qū)域:授信安全區(qū)域Trust、非授信安全區(qū)域Untrust、非軍事化區(qū)域DMZ和本地邏輯安全區(qū)域Local。在資源池入口核心交換機(jī)側(cè)部署防火墻設(shè)備進(jìn)行網(wǎng)絡(luò)層防御,保證業(yè)務(wù)平臺(tái)資源池免受外部網(wǎng)絡(luò)攻擊。4東西流量安全配置方案東西流量安全指云資源池內(nèi)部虛機(jī)與虛機(jī)之間的流量安全。目前對(duì)于東西流量安全防護(hù)主要有流量外部化技術(shù)和虛擬防火墻技術(shù)。4.1vepa技術(shù)在網(wǎng)絡(luò)監(jiān)控中的應(yīng)用流量外部化是指對(duì)資源池內(nèi)部虛機(jī)之間的流量通過(guò)相應(yīng)技術(shù)引出,對(duì)引出的流量進(jìn)行安全控制,主要在接入交換機(jī)側(cè)部署硬件防火墻等安全模塊,通過(guò)VEPA技術(shù)將內(nèi)部流量引出到外部安全模塊,對(duì)流量安全控制。這種方法實(shí)現(xiàn)較簡(jiǎn)單,但是將內(nèi)部流量引出會(huì)增加額外流量,同時(shí)犧牲端口資源,如圖2(a)所示。4.2資源池虛擬外墻虛擬防火墻技術(shù)是指軟件定義的防火墻,在每臺(tái)裝有虛擬化軟件的服務(wù)器上新啟一臺(tái)虛機(jī),在虛機(jī)上安裝虛擬化防火墻軟件,對(duì)虛機(jī)之間的流量進(jìn)行安全訪問(wèn)與控制。這種實(shí)現(xiàn)方法虛機(jī)之間流量管控及安全控制在內(nèi)部完成,無(wú)需增加額外流量,而且消耗系統(tǒng)資源少,如圖2(b)所示。在后續(xù)技術(shù)發(fā)展中,虛擬防火墻將在內(nèi)核中實(shí)現(xiàn),無(wú)需新啟虛機(jī)消耗虛機(jī)資源。資源池對(duì)于東西流量安全引入虛擬化防火墻技術(shù),部署VMwareVshiledAPP實(shí)現(xiàn)虛機(jī)之間的隔離和訪問(wèn)控制。對(duì)于虛擬機(jī)內(nèi)部安全部署Vshieldend,通過(guò)此安全模塊接口可集成第三方安全軟件實(shí)現(xiàn)終端保護(hù)。VshieldAPP是VMware安全套件中的虛機(jī)/應(yīng)用安全模塊,也就是上文提到的虛擬防火墻,它借助直接應(yīng)用到虛擬機(jī)環(huán)境的安全服務(wù)保護(hù)和隔離關(guān)鍵應(yīng)用,保護(hù)云資源池內(nèi)部的應(yīng)用程序免遭基于網(wǎng)絡(luò)的攻擊,控制虛擬機(jī)之間的網(wǎng)絡(luò)通信。目前需要安裝在集群內(nèi)的每臺(tái)ESXI主機(jī)上,需要占用一個(gè)虛機(jī)的資源,后續(xù)版本將在內(nèi)核中嵌入。Vshieldend是VMware安全套件中的虛擬機(jī)內(nèi)部安全模塊,通過(guò)此安全模塊接口可集成第三方安全軟件,部署第三方防病毒、IDS/IPS軟件,對(duì)安裝Windows操作系統(tǒng)的虛機(jī)進(jìn)行漏洞掃描和病毒查殺,實(shí)現(xiàn)虛機(jī)終端安全。5運(yùn)營(yíng)維護(hù)安全配置方案云資源池目前通過(guò)在云資源池中部署虛擬堡壘機(jī)實(shí)現(xiàn)運(yùn)維安全。5.1傳統(tǒng)分布式正演部署模式電信業(yè)務(wù)平臺(tái)資源池中一般部署跳板機(jī),并在上面安裝各類維護(hù)工具,維護(hù)人員先通過(guò)遠(yuǎn)程桌面連接到該服務(wù)器,然后使用客戶端工具對(duì)目標(biāo)服務(wù)器進(jìn)行維護(hù)訪問(wèn)。堡壘機(jī)為運(yùn)維安全管理部署的一種必要手段,即在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下,為保障網(wǎng)絡(luò)和數(shù)據(jù)不受運(yùn)維客戶端的入侵和破壞,而運(yùn)用各種技術(shù)手段實(shí)時(shí)收集和監(jiān)控運(yùn)維人員運(yùn)維過(guò)程中每一個(gè)操作、安全事件、網(wǎng)絡(luò)活動(dòng),以便集中報(bào)警、記錄、分析、處理的一種技術(shù)手段。在傳統(tǒng)建設(shè)中,每個(gè)平臺(tái)獨(dú)自建設(shè),堡壘機(jī)也相對(duì)應(yīng)每個(gè)平臺(tái)部署,一般只要管理一個(gè)平臺(tái),配置2~4個(gè)堡壘主機(jī)網(wǎng)卡可以滿足需求。但在云計(jì)算資源池環(huán)境中,眾多業(yè)務(wù)平臺(tái)都承載在云資源池中,堡壘機(jī)需要對(duì)資源池內(nèi)所有的業(yè)務(wù)平臺(tái)操作進(jìn)行安全管理。在傳統(tǒng)堡壘機(jī)部署模式下,由于堡壘機(jī)單臺(tái)網(wǎng)卡有限,需要通過(guò)增加部署堡壘主機(jī)數(shù)量增加網(wǎng)卡來(lái)滿足管理整個(gè)資源池的需求。圖3為傳統(tǒng)堡壘機(jī)部署模式。這種傳統(tǒng)部署方式,部署復(fù)雜,建設(shè)周期長(zhǎng),擴(kuò)容不靈活,嚴(yán)重違背資源池集約、靈活、彈性等原則。為適應(yīng)云計(jì)算資源池環(huán)境,在運(yùn)行維護(hù)過(guò)程中,提出虛擬堡壘機(jī)方案,定制結(jié)合虛擬化特點(diǎn)的堡壘機(jī)系統(tǒng),并采用虛擬機(jī)承載,通過(guò)虛擬化技術(shù),靈活配置網(wǎng)卡,實(shí)現(xiàn)資源池的集約、靈活和彈性。5.2虛機(jī)方案及其設(shè)計(jì)虛擬堡壘機(jī)承載在虛擬化平臺(tái)的虛機(jī)上,提供對(duì)運(yùn)維操作人員的認(rèn)證、授權(quán)、審計(jì)、監(jiān)控等功能,虛擬堡壘機(jī)系統(tǒng)結(jié)合虛擬化技術(shù)和堡壘機(jī)技術(shù),針對(duì)云計(jì)算資源池虛擬化環(huán)境,避免后門漏洞,實(shí)現(xiàn)資源池運(yùn)維體系的安全。其部署方案如圖4所示。通過(guò)與虛擬化平臺(tái)的無(wú)縫銜接,將堡壘機(jī)系統(tǒng)承載在虛機(jī)上,利用虛機(jī)網(wǎng)卡靈活可擴(kuò)展性,實(shí)現(xiàn)新增平臺(tái)時(shí),無(wú)需新增主機(jī),只需新增網(wǎng)卡實(shí)現(xiàn)。通過(guò)B/S方式(HTTP)進(jìn)行管理,其主要功能為實(shí)現(xiàn)對(duì)運(yùn)維人員操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)過(guò)程的全程監(jiān)控與審計(jì)以及對(duì)違規(guī)操作行為的實(shí)時(shí)阻斷。采用先進(jìn)的設(shè)計(jì)理念,支持多種遠(yuǎn)程維護(hù)方式,如字符終端方式(SSH、Telnet、Rlogin)、圖形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件傳輸(FTP、SF