電信云虛擬基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)分析與安全策略研究

摘要：電信云作為資源池，可分配不同的資源給用戶使用。目前，提供防止外部攻擊的技術(shù)措施保護(hù)資源和數(shù)據(jù)的安全，提供合適的數(shù)據(jù)保護(hù)策略防止用戶數(shù)據(jù)泄露，這些都是電信云平臺(tái)需要解決的網(wǎng)絡(luò)信息安全挑戰(zhàn)。本文分析了電信云虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面及管理面信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，并從虛擬化網(wǎng)絡(luò)、虛擬化存儲(chǔ)、虛擬化計(jì)算、GuestOS、HostOS等維度全方位提出了電信云基礎(chǔ)設(shè)施系統(tǒng)化信息安全的解決方案，從而為構(gòu)建動(dòng)態(tài)、主動(dòng)、全網(wǎng)協(xié)同與智能運(yùn)維的電信云平臺(tái)縱深安全防護(hù)體系提供了技術(shù)支撐。電信云是基于NFV和SDN技術(shù)構(gòu)建的云化網(wǎng)絡(luò)基礎(chǔ)設(shè)施，其通過(guò)網(wǎng)絡(luò)資源虛擬化打造彈性、高效、按需分配的業(yè)務(wù)網(wǎng)絡(luò)。電信云在傳統(tǒng)網(wǎng)絡(luò)安全的基礎(chǔ)上增加了水平方向的分層，多廠商對(duì)接的解耦架構(gòu)導(dǎo)致電信云安全邊界模糊化、分層化，多層間安全策略不能協(xié)同，安全問(wèn)題難以快速定位和溯源，靜態(tài)配置安全策略無(wú)法滿足靈活、彈性與擴(kuò)縮容的需求。網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家戰(zhàn)略，國(guó)家相繼頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等一系列法律法規(guī)。因此，亟須研究新的電信云虛擬基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全策略，以構(gòu)建電信云主動(dòng)、動(dòng)態(tài)、全網(wǎng)協(xié)同、智能運(yùn)維的縱深安全防護(hù)體系。1電信云虛擬基礎(chǔ)設(shè)施安全威脅分析隨著NFV日益成熟，越來(lái)越多的設(shè)備廠家提供基于NFV的商品和服務(wù)，而越來(lái)越多的運(yùn)營(yíng)商在通信網(wǎng)絡(luò)中逐步引入NFV設(shè)備進(jìn)行網(wǎng)絡(luò)云化改造。從傳統(tǒng)IT架構(gòu)到云化部署使得傳統(tǒng)邊界定義失效。云化數(shù)據(jù)中心在傳統(tǒng)數(shù)據(jù)中心面向出口除進(jìn)行分布式拒絕服務(wù)（DistributedDenialofService，DDoS）、防護(hù)等物理基礎(chǔ)設(shè)施安全外，還需關(guān)注虛擬機(jī)層面的安全性問(wèn)題。電信云虛擬基礎(chǔ)設(shè)施安全威脅包括虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面安全威脅和虛擬基礎(chǔ)設(shè)施管理面安全威脅。1.1虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面安全威脅電信云虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面是由虛擬服務(wù)層與下層物理資源之間的數(shù)據(jù)處理與交互通道、虛擬服務(wù)層與上層的虛擬機(jī)及虛擬機(jī)中的App之間的交互通道以及數(shù)據(jù)和處理模塊所構(gòu)成的平面。虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面安全威脅為App、GuestOS、CloudOS、HostOS之間的業(yè)務(wù)運(yùn)行能力和資源可能面臨的安全威脅，其安全威脅與攻擊場(chǎng)景如圖1所示。圖1虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面安全威脅與攻擊場(chǎng)景攻擊者可能對(duì)虛擬機(jī)鏡像文件進(jìn)行非法篡改或安裝惡意軟件，并利用設(shè)備驅(qū)動(dòng)接口漏洞在系統(tǒng)加載虛擬機(jī)過(guò)程中對(duì)Hypervisor進(jìn)行攻擊造成虛擬機(jī)逃逸，威脅HostOS安全。攻擊者在虛擬機(jī)中通過(guò)構(gòu)造特殊的虛擬磁盤驅(qū)動(dòng)接口，可能繞過(guò)虛擬磁盤系統(tǒng)的隔離非法訪問(wèn)其他用戶的磁盤空間。虛擬機(jī)根據(jù)業(yè)務(wù)需要可能被分配權(quán)限訪問(wèn)CloudOS提供的虛擬傳輸設(shè)備，這些虛擬傳輸設(shè)備業(yè)務(wù)面的通信協(xié)議可能會(huì)遭受攻擊導(dǎo)致虛擬化傳輸出現(xiàn)故障。從一個(gè)虛擬機(jī)中試圖連接和登錄另一個(gè)虛擬機(jī)的GuestOS，而這兩個(gè)虛擬機(jī)之間沒(méi)有正常業(yè)務(wù)通信需求。如果虛擬化網(wǎng)絡(luò)提供了二者間連接的通路，則攻擊者可利用GuestOS系統(tǒng)漏洞或弱認(rèn)證導(dǎo)致該虛擬機(jī)被非法入侵。攻擊者從一個(gè)虛擬機(jī)中嘗試連接另一個(gè)虛擬機(jī)中的App可能導(dǎo)致App被非法連接和訪問(wèn)。攻擊者通過(guò)在合法運(yùn)行的GuestOS中加載惡意軟件或非法軟件病毒，威脅GuestOS的正常運(yùn)行，并可偽造/篡改系統(tǒng)軟件、讀取/恢復(fù)新分配的存儲(chǔ)資源和內(nèi)存資源原始內(nèi)容。CloudOS給新虛擬機(jī)分配存儲(chǔ)資源和內(nèi)存資源時(shí)，這些存儲(chǔ)資源中可能殘存有上一位使用者的信息，新的虛擬機(jī)用戶可能會(huì)讀取或恢復(fù)原始存儲(chǔ)數(shù)據(jù)導(dǎo)致用戶信息泄露。CloudOS對(duì)外連接需求會(huì)對(duì)外暴露虛擬路由器IP地址，可能從DC外部攻擊虛擬路由器外部IP地址導(dǎo)致路由協(xié)議被攻擊或轉(zhuǎn)發(fā)能力受到DDOS攻擊。1.2虛擬基礎(chǔ)設(shè)施管理面安全威脅虛擬基礎(chǔ)設(shè)施管理面是由為維護(hù)虛擬基礎(chǔ)設(shè)施由維護(hù)人員通過(guò)外部管理終端與虛擬基礎(chǔ)設(shè)施的管理接口之間建立的連接通道、通道內(nèi)傳輸?shù)臄?shù)據(jù)以及負(fù)責(zé)對(duì)傳輸數(shù)據(jù)進(jìn)行處理的功能模塊所構(gòu)成的平面。虛擬基礎(chǔ)設(shè)施管理面的安全威脅與攻擊場(chǎng)景如圖2所示。圖2虛擬基礎(chǔ)設(shè)施業(yè)務(wù)面安全威脅與攻擊場(chǎng)景攻擊者在DC外部連接到MANO（或LocalOM）或通過(guò)用戶虛擬機(jī)連接管理虛擬機(jī)，使用非法獲取的MANO或LocalOM的管理員賬號(hào)登錄，對(duì)OpenStackController進(jìn)行非法管理操作。攻擊者在管理網(wǎng)絡(luò)中遠(yuǎn)程攻擊HostOS，提供被解登錄賬號(hào)或利用系統(tǒng)漏洞非法入侵HostOS。攻擊者獲取HostOS管理員登錄憑證在主機(jī)近端登錄HostOS，對(duì)HostOS進(jìn)行非法操作并獲取用戶數(shù)據(jù)，造成用戶數(shù)據(jù)泄露。攻擊者在用戶虛擬機(jī)中或管理網(wǎng)絡(luò)中連接虛擬路由器管理接口非法登錄管理接口對(duì)虛擬路由器進(jìn)行非法操作。攻擊者在用戶虛擬機(jī)中或管理網(wǎng)絡(luò)中非法連接VNCProxy對(duì)VM進(jìn)行非法控制。攻擊者在用戶虛擬機(jī)中或管理網(wǎng)絡(luò)中連接并攻擊OpenStackController非法進(jìn)行虛擬資源的申請(qǐng)與管理。攻擊者在用戶虛擬機(jī)中或管理網(wǎng)絡(luò)中非法登錄VNCServer，通過(guò)VNCServer非法控制VM。攻擊者在用戶虛擬機(jī)中或管理網(wǎng)絡(luò)中偽造OpenStackController，向OpenStackAgent發(fā)送偽造消息從而非法控制虛擬化資源。

2虛擬基礎(chǔ)設(shè)施安全策略虛擬基礎(chǔ)設(shè)施是指運(yùn)行在物理基礎(chǔ)設(shè)施上的虛擬化平臺(tái)，其為虛擬化網(wǎng)元的運(yùn)行提供所需要的計(jì)算資源存儲(chǔ)資源和網(wǎng)絡(luò)資源，包括HostOS、CloudOS、GuestOS（VM）。本文針對(duì)虛擬基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)提出了相應(yīng)的安全策略，并在貫穿于網(wǎng)絡(luò)中的關(guān)鍵交互點(diǎn)、上下層級(jí)之間構(gòu)建了立體結(jié)構(gòu)的安全架構(gòu)，確保了電信云網(wǎng)絡(luò)基礎(chǔ)設(shè)施及通信網(wǎng)元的安全運(yùn)營(yíng)，滿足了用戶面、平臺(tái)、網(wǎng)絡(luò)、系統(tǒng)、虛擬化等維度的安全需求。2.1虛擬化網(wǎng)絡(luò)安全兩個(gè)虛擬機(jī)之間可能存在某些通信需求，可以在兩個(gè)虛擬機(jī)之間的訪問(wèn)通路上進(jìn)行數(shù)據(jù)包端口隔離，如在虛擬路由上采用ACL進(jìn)行端口白名單過(guò)濾，但僅限這些通信端口可被訪問(wèn)，除此之外的端口訪問(wèn)則在兩個(gè)虛擬機(jī)之間隔離。同時(shí)，HostOS在VM內(nèi)的端口上實(shí)現(xiàn)了ACL規(guī)則的自動(dòng)生成與自動(dòng)部署，降低了網(wǎng)絡(luò)被入侵的風(fēng)險(xiǎn)。虛擬傳輸設(shè)備業(yè)務(wù)面支持一些必要的路由協(xié)議和ARP，這些協(xié)議需要支持防攻擊能力。防攻擊能力包含3個(gè)方面：防畸形報(bào)文攻擊、防拒絕服務(wù)攻擊、防偽造對(duì)端。虛擬網(wǎng)絡(luò)中的虛擬傳輸設(shè)備具有管理接口，需要支持用戶管理、登錄認(rèn)證、操作鑒權(quán)、日志記錄等操作。需要對(duì)可訪問(wèn)虛擬傳輸設(shè)備的通道進(jìn)行限制，僅允許合法的主機(jī)進(jìn)入這個(gè)通道。管理端口需要具有防協(xié)議攻擊能力，包括防畸形報(bào)文攻擊，防拒絕服務(wù)攻擊。虛擬網(wǎng)絡(luò)中有多種管理面需要從維護(hù)網(wǎng)絡(luò)中連接訪問(wèn)，如管理虛擬機(jī)、虛擬傳輸設(shè)備管理端口、NFV管理端口，為避免這些管理端口直接暴露在DC外部，優(yōu)先部署堡壘機(jī)。管理人員需要先登錄到堡壘，通過(guò)堡壘機(jī)上跳轉(zhuǎn)到需要訪問(wèn)的管理端口。2.2虛擬化存儲(chǔ)安全分配給虛擬機(jī)使用的虛擬化存儲(chǔ)資源需要進(jìn)行訪問(wèn)控制和隔離，確保只有存儲(chǔ)資源歸屬的虛擬機(jī)才可以訪問(wèn)該虛擬化存儲(chǔ)資源。存儲(chǔ)在虛擬化存儲(chǔ)資源中的數(shù)據(jù)只能專屬于歸屬虛擬機(jī)，其他人員不能將數(shù)據(jù)導(dǎo)出到虛擬網(wǎng)絡(luò)外，系統(tǒng)需要提供檢測(cè)機(jī)制，禁止在Host空間中將虛擬磁盤中的數(shù)據(jù)復(fù)制、導(dǎo)出到系統(tǒng)外。將虛擬化存儲(chǔ)資源與虛擬機(jī)特征綁定并加密，確保即使通過(guò)其他手段獲取到其他虛擬機(jī)的存儲(chǔ)資源也無(wú)法正確讀取該存儲(chǔ)資源中的數(shù)據(jù)。通過(guò)分域管理，能夠精準(zhǔn)、快捷地對(duì)電信云中的每個(gè)區(qū)域模塊進(jìn)行有效部署和控制。2.3虛擬化計(jì)算安全云計(jì)算有SaaS、PaaS、IaaS三大服務(wù)模式，它們的應(yīng)用都將面臨一個(gè)特別的挑戰(zhàn)。為提供高效率的AES、RSA等密碼算法計(jì)算，需要在虛擬化環(huán)境中提供密碼算法協(xié)處理器實(shí)現(xiàn)快速的密碼運(yùn)算。為提供可信的信任根存儲(chǔ)環(huán)境，在虛擬化環(huán)境中需要對(duì)底層的可信環(huán)境芯片的處理能力進(jìn)行虛擬化，使虛擬化平臺(tái)可以使用底層的可信環(huán)境，實(shí)現(xiàn)安全啟動(dòng)、安全存儲(chǔ)。對(duì)CloudOS發(fā)起的任何虛擬化資源請(qǐng)求都需要進(jìn)行身份認(rèn)證、訪問(wèn)控制。在虛擬化環(huán)境中需要對(duì)底層硬件提供的密碼協(xié)處理器芯片或密碼板卡的處理能力進(jìn)行虛擬化并提供給上層應(yīng)用使用。系續(xù)提供常用密碼算法的共用基礎(chǔ)模塊（CommonBuildingBlock，CBB），CBB調(diào)用虛擬層提供的由擬化密碼算法協(xié)處理器接口，實(shí)現(xiàn)高效密碼運(yùn)算。2.4GuestOS安全GuestOS作為虛擬化平臺(tái)上的基礎(chǔ)部件，需要進(jìn)行系統(tǒng)最小化裁剪和系統(tǒng)部件安全加固，以確保操作系統(tǒng)中只保留業(yè)務(wù)運(yùn)行需要的系統(tǒng)組件，并且需要對(duì)保留的系統(tǒng)部件的運(yùn)行參數(shù)進(jìn)行安全配置。GuestOS的運(yùn)行環(huán)境趨于開放，其運(yùn)行的應(yīng)用軟件來(lái)源多，存在引入病毒的風(fēng)險(xiǎn)。系統(tǒng)提供安全啟動(dòng)機(jī)制，每次虛擬機(jī)需要重啟時(shí)，虛擬機(jī)對(duì)系統(tǒng)加載的軟件逐級(jí)進(jìn)行程序完整性校驗(yàn)啟動(dòng)加載過(guò)程是從BOIS到操作系統(tǒng)，再到應(yīng)用軟件。系統(tǒng)提供進(jìn)程白名單機(jī)制，制定NFV網(wǎng)元中的合法進(jìn)程列表，系統(tǒng)定期對(duì)運(yùn)行的進(jìn)程進(jìn)行快照，通過(guò)對(duì)比快照和合法進(jìn)程列表，檢測(cè)系統(tǒng)中是否存在非法進(jìn)程，如果發(fā)現(xiàn)異常進(jìn)程，則通過(guò)告警通知管理員。要在GuestOS中安裝運(yùn)行防病毒軟件，對(duì)系統(tǒng)中的進(jìn)程活動(dòng)、文件傳輸進(jìn)行病毒掃描和查殺。在GuestOS中加載的任何軟件都應(yīng)該通過(guò)合法性校驗(yàn)，可采用數(shù)字簽名方式來(lái)校驗(yàn)虛擬機(jī)中應(yīng)用軟件的合法性。

2.5HostOS安全HostOS通過(guò)近端登錄進(jìn)行維護(hù)并擁有各種服務(wù)與應(yīng)用系統(tǒng)。系統(tǒng)需要提供統(tǒng)一的賬號(hào)管理，通過(guò)創(chuàng)建賬號(hào)、分配恰當(dāng)?shù)臋?quán)限完成用戶賬號(hào)管理。系統(tǒng)中的賬號(hào)應(yīng)盡量采用統(tǒng)一的管理入口，避免多套賬號(hào)同時(shí)存在的情況，如FTP賬號(hào)和系統(tǒng)管理員賬號(hào)應(yīng)當(dāng)統(tǒng)一。通過(guò)物理主機(jī)的物理接口進(jìn)入HostOS管理入口。對(duì)這些管理入口的訪問(wèn)需要進(jìn)行身份認(rèn)證，只有擁有合法身份的訪問(wèn)才允許進(jìn)行下一步的操作。管理人員登錄系統(tǒng)后對(duì)系統(tǒng)中任何資源的訪問(wèn)都需要進(jìn)行鑒權(quán)，只有被授權(quán)的資源才被允許訪問(wèn)。重要的系統(tǒng)執(zhí)行文件需要進(jìn)行合法性校驗(yàn)，防止被非法篡改。校驗(yàn)應(yīng)當(dāng)在系統(tǒng)啟動(dòng)過(guò)程中或啟動(dòng)后進(jìn)行，在系統(tǒng)啟動(dòng)后需要定期校驗(yàn)，如果發(fā)現(xiàn)文件被篡改，則應(yīng)及時(shí)給管理員發(fā)送告警。HostOS需要進(jìn)行最小化裁剪，僅保留業(yè)務(wù)需要的系統(tǒng)部件，被保留的系統(tǒng)部件要進(jìn)行安全參數(shù)配置確保系統(tǒng)運(yùn)行在合適的安全狀態(tài)下。HostOS中提供了登錄到操作系統(tǒng)的入口和賬號(hào)，通過(guò)這些賬號(hào)登錄到系統(tǒng)的任何管理操作都需要記錄日志，用于事后審計(jì)，這些日志要在系統(tǒng)中保留足夠時(shí)間。系統(tǒng)中存在各種用途的虛擬機(jī)，根據(jù)虛擬機(jī)的不同用途在系統(tǒng)中應(yīng)當(dāng)分配不同的進(jìn)程權(quán)限，并實(shí)現(xiàn)權(quán)限最小化，避免用戶虛擬機(jī)被攻擊后進(jìn)而獲得較高的系統(tǒng)控制權(quán)限。

3結(jié)束語(yǔ)

據(jù)IDC報(bào)告，超過(guò)74%的用戶認(rèn)為安全問(wèn)題是限制云計(jì)算發(fā)展的主要問(wèn)題。隨著5G、大數(shù)據(jù)、人工智能、國(guó)密算法的快速發(fā)展及應(yīng)用，國(guó)家對(duì)電信云基礎(chǔ)設(shè)施的安全技術(shù)措施也會(huì)持續(xù)演進(jìn)。網(wǎng)絡(luò)是云計(jì)算基礎(chǔ)設(shè)施、云管理策略、云數(shù)據(jù)業(yè)務(wù)、讀者云閱讀服務(wù)的承載平臺(tái)。對(duì)于運(yùn)營(yíng)商電信云網(wǎng)絡(luò)平臺(tái)，通常根據(jù)業(yè)務(wù)內(nèi)容將DC劃分為多個(gè)安全等級(jí)區(qū)域，每個(gè)區(qū)域都通過(guò)防火墻隔離開，業(yè)務(wù)用戶不能直接訪問(wèn)高安全等級(jí)區(qū)，必須通過(guò)不同區(qū)域內(nèi)的特定服務(wù)器實(shí)現(xiàn)跳轉(zhuǎn)訪問(wèn)。在安全區(qū)域中還可以再次按照業(yè)務(wù)對(duì)當(dāng)前域進(jìn)一步劃分與隔離。運(yùn)營(yíng)商的網(wǎng)絡(luò)業(yè)務(wù)分為運(yùn)維域、網(wǎng)關(guān)域、控制域、數(shù)據(jù)域，由不同業(yè)務(wù)類型匯聚為不同的域，每個(gè)域之間以防火墻隔離，確保相互之間只能進(jìn)行授權(quán)訪問(wèn)。在多廠家共同部署的環(huán)境中，對(duì)于單個(gè)域，還需要考慮主機(jī)隔離。目前云計(jì)算服務(wù)平臺(tái)常用認(rèn)證協(xié)議為安全套接字層認(rèn)證協(xié)議SAP。在同一個(gè)主機(jī)內(nèi)，如果需要進(jìn)一步隔離，可考慮VM、Hypervisor，甚至CPU、存儲(chǔ)、網(wǎng)絡(luò)等的安全隔離方案。為提升系統(tǒng)防攻擊的能力，應(yīng)對(duì)操作系統(tǒng)、容器、數(shù)據(jù)庫(kù)等進(jìn)行安全加固，對(duì)管理、信令和數(shù)據(jù)平面做好安全隔離，以及安全監(jiān)控和審計(jì)等一系列安全加固措施，提升防攻擊檢測(cè)和響應(yīng)能力。苗春雨等人提出采