運營商云資源池安全防護策略的探討

金鈺　朱華

摘要：介紹了當前電信運營商云資源池建設現(xiàn)狀，分析了云資源池在安全防護方面面臨的需求與挑戰(zhàn)，指出要解決云資源池安全問題所需部署的防護策略，說明了部署效果及下一步研究方向。

關(guān)鍵詞：云資源池；安全防護；虛擬化

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）20-0020-02

Discussion on Security Defense Strategy for Cloud Resource Pool of Operators

JIN Yu， ZHU Hua

（GCI Science & Technology Co.Ltd. ， Guangzhou 510310， China）

Abstract： This paper deals with the defense strategy to solve the security problems in cloud resource pool by analyzing the current status of telecom operators cloud resource pool where there are needs and challenges for security.

Key words： cloud resource pool； security defense； virtualization

傳統(tǒng)計算機技術(shù)用相對獨立的計算機承載不同應用，相互間計算、存儲資源很難共享，帶來資源利用率低、能源消耗多、電子垃圾污染大、維護復雜等問題。云計算技術(shù)的興起和應用提供了一種新型的信息資源管理和計算服務模式，解決了傳統(tǒng)計算機技術(shù)的弊端，依托通信網(wǎng)絡，將資源集中起來提供計算信息服務，從而降低成本、節(jié)能降耗。

云資源池將服務器物理資源抽象成邏輯資源，讓一臺服務器變成幾臺甚至上百臺相互隔離的虛擬服務器，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務器整合，讓IT對業(yè)務的變化更具適應力。

作為云服務提供商的電信運營商就是首先需要建設一個大容量的資源池來滿足在并發(fā)的業(yè)務高峰時刻用戶的服務要求[1] 。

1 現(xiàn)狀分析

電信運營商的業(yè)務云體系目前主要側(cè)重資源池整體布局、計算虛擬化技術(shù)的雙節(jié)點部署。隨著資源池規(guī)模不斷擴大和承載應用的不斷增多，云資源池在服務模式、動態(tài)虛擬化管理方式以及多租戶共享運營模式等方面的差異、因管理權(quán)和所有權(quán)的分離而引發(fā)的信任問題，使其安全性面臨比傳統(tǒng)IT系統(tǒng)更為嚴峻的挑戰(zhàn)，需要克服數(shù)據(jù)安全和運營安全雙重風險。

在安全組件部署方面，當前云資源池通過防火墻設備進行安全防護[2]，采用主備工作模式，通過心跳線連接，通過防火墻虛擬化技術(shù)，實現(xiàn)各系統(tǒng)之間的安全隔離，通過vLan方式實現(xiàn)不同集群間的網(wǎng)絡劃分，實現(xiàn)資源池東西方向的安全隔離，存儲層面通過ZONE和LUN映射實現(xiàn)虛擬機間存儲訪問隔離，嚴格隔離用戶數(shù)據(jù)。這種僅依靠防火墻與數(shù)據(jù)存儲訪問控制的安全策略進行資源池的安全隔離，遠遠無法滿足資源池安全建設的需要，主要問題如下：[3]。

1） 業(yè)務平臺虛擬機缺少防惡意代碼軟件安裝，在網(wǎng)絡邊界處無法監(jiān)視網(wǎng)絡入侵和攻擊行為，云資源池管理平臺不能主動識別端口掃描、暴力破解、木馬后門攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊、網(wǎng)絡蠕蟲攻擊。

2） 云資源池底層架構(gòu)主機采用服務器虛擬化軟件安裝，主機維護靠系統(tǒng)日志方式進行記錄，系統(tǒng)日志不獨立，無法防止被篡改，管理人員做了違規(guī)操作后可能會刪除日志，造成無法追查、無法定位。

3） 存在多種管理角色，如設備管理員、系統(tǒng)管理員、安全管理員和應用系統(tǒng)管理員等，同一角色存在多個管理員。管理員進行維護時，可能是使用業(yè)務系統(tǒng)同一賬號，一旦出現(xiàn)問題很難定位具體某個人的操作。對運維過程中存在的問題無法有定量或定性的分析數(shù)據(jù)，只能簡單從安全事件方面進行描述。

綜合以上問題，當前需要完善云資源池安全防護策略部署，加強運維過程的事前、事中、事后審計與控制，降低信息安全風險。

2 安全防護措施

2.1 軟件安全防護策略

由于云資源池平臺中的虛擬終端都通過虛擬主機的虛擬層來和其他及外部進行通信和交互，如果虛擬層存在漏洞或者是被入侵，將造成整個虛擬環(huán)境的安全風險，為此加強虛擬層的安全尤為重要。

云資源池管理服務器作為虛擬化平臺基礎架構(gòu)關(guān)鍵服務器，負責整個虛擬化下的虛擬主機、虛擬網(wǎng)絡、虛擬平臺存儲系統(tǒng)、備份系統(tǒng)、容災系統(tǒng)的統(tǒng)一控制和管理。因此，針對這類虛擬化自身服務器的入侵檢測、入侵防御的安全監(jiān)控和防護功能是所有虛擬化基礎架構(gòu)安全加固的基礎。

安全防護軟件應專門針對資源池管理服務器提供虛擬的 IDS 入侵檢測策略、IPS 入侵防護策略功能：

1） 虛擬環(huán)境的管理服務器的 IDS 入侵檢測應包含以下策略：

監(jiān)控關(guān)鍵的虛擬化文件訪問；

監(jiān)控虛擬化軟件的關(guān)鍵命令和工具執(zhí)行；

監(jiān)控虛擬化軟件的關(guān)鍵配置變化；

監(jiān)控虛擬機標準網(wǎng)絡接口或者其他關(guān)鍵應用；

提供一種簡單的機制監(jiān)控虛擬化軟件重要動作日志；

監(jiān)視虛擬化管理服務器上訪問成功，失敗，以及執(zhí)行命令；

監(jiān)視虛擬管理服務器上的關(guān)鍵事件和通用的審計；

監(jiān)視虛擬管理服務器上主機完整性；

監(jiān)視虛擬管理服務器上虛擬化主機的配置變化[4]。

2） 虛擬環(huán)境的管理服務器的 IPS 入侵防護應包含以下策略：

增強 Windows 安全防護策略，保護管理服務器的應用組件、基礎架構(gòu)組件、應用程序文件和包含敏感數(shù)據(jù)的目錄（證書文件/日志文件）；

限制管理服務器的網(wǎng)絡訪問的范圍、端口、可信的應用程序；

保護需要訪問管理服務器的第三方訪問工具；

針對預先調(diào)整的 Windows 基線策略，監(jiān)測用戶/用戶組的改變，登錄失敗，防止對關(guān)鍵配置文件/SSL證書/應用程序的篡改；

針對管理平臺預先調(diào)整的文件完整性檢查策略，實時監(jiān)視平臺的二進制文件/配置文件/的變更；

對管理平臺日志進行監(jiān)視（主要是 Web 交互日志）。

3） 虛擬化服務器病毒防護策略

針對虛擬化服務器病毒的防護，安全防護平臺應能針對每個虛擬機進行病毒防護，且應解決傳統(tǒng)防病毒方式無法適應虛擬化架構(gòu)的問題，特別是虛擬化防病毒帶來的掃描風暴和病毒定義升級風暴問題。

2.2 核心業(yè)務主機安全防護策略

無論是物理服務器還是虛擬化后的服務器，都面臨相同的安全防護考慮，包括：網(wǎng)絡入侵、病毒攻擊、針對性未知病毒、惡意配置修改、漏洞利用、數(shù)據(jù)盜取和傳輸、遠程內(nèi)存shellcode 注入、進程注入等等。資源池安全管理平臺應提供針對物理機、虛擬化服務器的全方位 的系統(tǒng)加固和系統(tǒng)入侵防御，最大限度的保護無論是物理還是虛擬的服務器的系統(tǒng)安全、業(yè)務應用安全和數(shù)據(jù)安全。因此在安全防護策略設置時應考慮以下功能：

1） 防護零日攻擊：通過沙盒技術(shù)、白名單技術(shù)阻止惡意程序利用零日漏洞對關(guān)鍵業(yè)務服務器進行攻擊，阻止惡意程序通過零日漏洞進行傳播。

2） 細粒度的系統(tǒng)加固和訪問控制：能夠鎖定操作系統(tǒng)、應用程序、數(shù)據(jù)庫、 阻止未授權(quán)的程序運行，針對每個操作系統(tǒng)和應用程序進程都創(chuàng)建基于行為的“虛擬”Shell，監(jiān)控對內(nèi)核的系統(tǒng)調(diào)用并根據(jù)用戶定義的策略允許或拒絕對系統(tǒng)資源的訪問；設定訪問控制列表（ACL），實時監(jiān)控訪問程序，可對照用戶的身份和權(quán)限進行控制，針對各個進程設定 ACL，限定允許訪問的網(wǎng)絡地址，開放訪問的時間以及訪問權(quán)限。

3） 文件/注冊表/屬性的完整性監(jiān)控：監(jiān)控物理或虛擬主機上的關(guān)鍵系統(tǒng)配 置或關(guān)鍵應用的配置文件、注冊表、屬性變動情況、以及變動的內(nèi)容、實施變動的用戶等。

4） 物理或虛擬化服務器上的應用收集及策略制定：收集物理或虛擬化服務器上的應用程序收集，并直接在控制臺上呈現(xiàn)，根據(jù)收集的應用程序直接指定基于策略的控制和白名單策略。

5） 系統(tǒng)和用戶監(jiān)控審計：能夠監(jiān)控用戶登錄的核心進程 login，通過此進程攔截各種方式的用戶登錄過程，實現(xiàn)主機用戶行為審計、操作系統(tǒng)日志審計、應用審計等。

6） 高性能防火墻：能夠提供高性能防火墻功能，對進出TCP/UDP流量進行管控。

7） 實現(xiàn)緩沖區(qū)溢出和內(nèi)存防護，支持進程間訪問控制，支持進程和子進程的啟動保護。

8） 對物理及虛擬化的服務器系統(tǒng)及關(guān)鍵應用的實時監(jiān)控和審計。

9） 提供物理及虛擬化服務器的入侵防護和檢測。

2.3 運維管理安全防護策略

由于云資源池管理本身特性、管理員權(quán)限過大、維護人員變動，將給業(yè)務應用帶來巨大風險。用戶口令共享導致的用戶身份的真實性和合法性無法得到保證，管理用戶出現(xiàn)操作失誤或惡意操作，可采用對用戶操作行為進行審計方式降低風險。為此部署運維安全管理軟件，實現(xiàn)用戶認證、安全審計功能，構(gòu)建云資源池堡壘機。該軟件應能夠?qū)Y源池運維操作進行認證并保存相關(guān)操作記錄以便追溯，將把所有對虛擬化軟件的訪問路徑進行統(tǒng)一，能確保資源池的訪問必須通過運維安全管理軟件進行，從而完成對虛擬化資源池的堡壘控制，包括授權(quán)管理、權(quán)限控制、審計操作、二次高危操作授權(quán)流程處理等，功能如下：

1） 對云資源池提供細粒度的訪問控制功能，讓虛擬化平臺環(huán)境減少不必要的訪問特權(quán)賬戶，管理控制用戶訪問虛擬資產(chǎn)；

2） 能夠自動定期為虛擬基礎設施進行系統(tǒng)配置和安全設置評估，詳細記錄成功和失敗的操作和配置變更，提供深入的數(shù)據(jù)審計，并解決法規(guī)對虛擬化系統(tǒng)的安全要求；

3） 提供針對命令級別的訪問控制，將管理員權(quán)限進行進一步區(qū)分，同時對虛擬機訪問的對象，例如存儲設備的訪問權(quán)限可以進行控制。

4） 實現(xiàn)賬號的集成管理：通過對現(xiàn)有資源池管理員的管理權(quán)限進行回收， 所有用戶必須通過運維管理軟件上的用戶認證后，才能管理虛擬化平臺。

5） 提供對不同虛擬機進行分組權(quán)限授權(quán)。支持多種雙因素認證方式：包括 RSA Secure ID， VeriSign VIP 等多種雙因素認證方式，并且可以和AD 集成使用從而可以保證虛擬終端用戶和虛擬平臺管理員用戶身份的真實性和合法性[5]。

6） 提供關(guān)鍵操作的，高危操作的二次審批，針對特別敏感的命令，例如虛擬機重啟，可以設置命令審批機制，既管理員A下達虛擬機重啟命令時候，需要管理員B進行審批，杜絕誤操作可能性。

3 結(jié)束語

隨著云資源池在電信運營商的大規(guī)模建設，其面臨的安全挑戰(zhàn)也是前所未有，為了實現(xiàn)云計算的安全目標，還需要在當前云資源池平臺基礎上，深入研究云計算與互聯(lián)網(wǎng)金融結(jié)合的安全防護技術(shù)，提供更多云計算安全解決方案。

參考文獻：

[1] 安全云服務的資源池化與虛擬化[EB/OL].[2012-02-24].http：//book.51cto.com/art/201202/319793.htm.

[2] 幾種分布式攻擊（ICMP、SYNFlood、Smurf）的防范[EB/OL].[2013-12-05].http：//www.educity.cn/labs/564686.html.

[3] 燕杰，樊勇兵，金華敏，等. 電信運營商的云計算資源池部署方法概述[J]. 電信科學， 2011（10）：15-18.

[4] 侯繼江，張鑒，陳軍. 電信運營商云計算數(shù)據(jù)中心安全防護體系研究[J]. 電信網(wǎng)技術(shù)， 2012（3）：26-27.

[5] 丘惠軍. 虛擬化安全服務器研究與設計[J]. 現(xiàn)代計算機， 2014（2）：77-78.