云计算
典型体系结构 云计算主要是通过网络,将 IT以抽象化的方式交付给客户,为基于 IT的服务交付模式带来了巨大变革。云计算的一些独特 优势,使其广为接受,包括:大规模资源池化、资源弹性、按需分配、自动化部署、高可靠性
、高运营效率及技术和 IT的高透明 度。 云计算平台的实现主要包括两个方式:虚拟化构成的云和应用程序/服务器
构成的云,其中后者的安全防护与传统方式基本相 同,不再赘言,这里主要对虚拟化构成的云进行讨论。目前,计算虚拟化已经成熟,并为组织所广泛采用,如 VMware vSphere、Citrix Xen等。另外,一些用户开始尝试采用 SDN、 NFV等新型技术,旨在通过软件控制方式解决现网中遇到的存储、网络不能自动部署和分权分域管理问题。
云计算系统分类
根据 NIST发布的相关规范,云计算系统按照部署方法可分为私有云、公有云、社区云、混合云。为了便于说明,以下内容将 主要以私有云为例进行说明。
云计算系统所采用虚拟化技术的不同,对安全防护设计和部署具有一定影响。根据有无才采用 SDN、NFV技术,可分为两类: 原生虚拟化系统和基于 SDN技术的虚拟化系统。如无特别说明,下述描述均指原生虚拟化系统。
云计算系统典型物理架构
下图给出了一个典型的云计算系统的典型架构。
1 云安全解决方案
云计算典型体系结构 « 云计算系统分类
图 一.1 云典型架构
云计算系统通常具有以下特征:
- 核心交换机一般采用高性能数据中心级交换机搭建,支持虚拟化技术,并提供 Internet、内部网络、外部专用网络的接 入。通过汇聚交换机(支持虚拟化)提供 x86服务器、小型机等服务器的接入。
- 与互联网相关,可以提供 VPN接入,外发访问,以及公众用户对云的访问。
- 与内部网络相同,可以提供内部用户对云的访问,以及和内部其他系统进行信息交互。
- 都有大量的刀片式服务器,并通过虚拟化软件,实现对计算资源的抽象和池化。
- 具有 SAN、NAS存储系统。具有独立的存储网络。
- 具有独立的综合管理平台,实现对云的运营管理。
- 具有带外网管系统,实现对整个云的运维管理。
云计算系统逻辑结构
云计算系统 一般都包括三个层次两个平台:基础设施即服务(IaaS)、平台即服务(PaaS)、云软件即服务(SaaS)、云管理 平台和运维管理平台。如下图所示:
2 云安全解决方案
云计算典型体系结构 « 云计算系统逻辑结构
图 一.2 云典型逻辑结构
简单说明如下:
- 基础设施即服务层(IaaS):包括了各种服务器、存储、网络设备、链路等各种物理资源,以及虚拟化管理程序和对外 提供服务的接口。可以基于此层对外提供虚拟主机服务;
- 平台即服务层(PaaS):包括了各种系统、平台、应用软件,可以提供应用软件的开发、测试、部署和运营环境;
- 软件即服务(SaaS):包括各一系列的应用软件,以及提供各客户/用户使用的交互展示程序。可以通过网络向用户交 付相应的应用服务;
- 云管理平台:负责云计算服务的运营,并对云计算资源池系统及其中的各类资源进行集中管理,主要功能包括云服务开 通、用户管理、计价管理等功能。通常云管理平台通过与资源池系统之间的资源管理接口下发资源管理指令,并通过网 管接口向云维管理平台(网管系统)提供资源池系统内各类设备的管理和监控信息;
- 运维管理平台:实现对虚拟设备、系统、网络的技术维护和管理工作,包括容量、配置和事件管理等功能。一般通过带 外网络与各种资源进行互联
二 云计算安全威胁和需求分析
云计算模式通过将数据统一存储在云计算服务器中,加强对核心数据的集中管控,比传统分布在大量终端上的数据行为更安 全。由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及 灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。
3 云安全解决方案
云计算安全威胁和需求分析
安全威胁分析
CSA在 2013年的报告中列出了九大安全威胁。依排序分别为 1.数据泄露 2.数据丢失 3.帐户劫持 4.不安全的接口( API) 5. 拒绝服务攻击(DDoS) 6.内部人员的恶意操作 7.云计算服务的滥用 8.云服务规划不合理 9.共享技术的漏洞问题。把云计算环 !境下的安全威胁细化,并按云计算环境下等级保护的基本要求进行对应,可得到如下的云计算环境下的具体安全威胁:
- 网络安全部分
- 业务高峰时段或遭遇 DDoS攻击时的大流量导致网络拥堵或网络瘫痪
- 重要网段暴露导致来自外部的非法访问和入侵
- 单台虚拟机被入侵后对整片虚拟机进行的渗透攻击,并导致病毒等恶意行为在网络内传播蔓延
- 虚拟机之间进行的 ARP攻击、嗅探
- 云内网络带宽的非法抢占
- 重要的网段、服务器被非法访问、端口扫描、入侵攻击
- 云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源
- 虚拟化网络环境中流量的审计和监控
- 内部用户或内部网络的非法外联行为的检查和阻断
- 内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为
- 主机安全部分:
- 服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问的行为
- 对服务器、宿主机、虚拟机等进行操作管理时被窃听
- 同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露
- 对服务器的 Web应用入侵、上传木马、上传 webshell等攻击行为
- 服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访
问和入侵
- 虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足
- 资源抽象安全部分
- 虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用
- 虚拟资源不足导致非重要业务正常运作但重要业务受损
- 缺乏身份鉴别导致的非法登录 hypervisor后进入虚拟机
- 通过虚拟机漏洞逃逸到 hypervisor,获得物理主机的控制权限
- 攻破虚拟系统后进行任易破坏行为、网络行为、对其它账户的猜解,和长期潜伏
- 通过 hypervisor漏洞访问其它虚拟机
- 虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取
- 虚拟机和备份信息在迁移或删除后被窃取
- hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵
- 虚拟机可能因运行环境异常或硬件设备异常等原因出错而影响其他虚拟机
- 无虚拟机快照导致系统出现问题后无法及时恢复
- 虚拟机镜像遭到恶意攻击者篡改或非法读取
- 数据安全及备份恢复
- 数据在传输过程中受到破坏而无法恢复
4 云安全解决方案
云计算安全威胁和需求分析 « 安全威胁分析
- 数据在传输过程中受到破坏而无法恢复
- 在虚拟环境传输的文件或者数据被监听
- 云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据
- 因各种原因或故障导致的数据不可用
- 敏感数据存储漂移导致的不可控
-
数据安全隔离不严格导致恶意用户可以访问其他用户数据
为了保障云平台的安全,必须有有效的抵御或消减这些威胁,或者采取补偿性的措施降低这些威胁造成的潜在损失。当然, 从安全保障的角度讲,还需要兼顾其他方面的安全需求。
