FusionSphere虛擬化套件安全技術(shù)白皮書

1、華為FusionSphere 6.0 安全技術(shù)白皮書（服務(wù)器虛擬化）OFFE00019186_PMD32ZH A內(nèi)部公開華為專有和保密信息 版權(quán)所有 華為技術(shù)有限公司 DOCPROPERTY DocumentVersion V1.0 DOCPROPERTY ReleaseDate 2019-03-15華為FusionSphere 6.1 安全技術(shù)白皮書（服務(wù)器虛擬化）OFFE00019186_PMD32ZH A內(nèi)部公開 DOCPROPERTY Product Project Name 華為FusionSphere 虛擬化套件 DOCPROPERTY DocumentName 安全技術(shù)白皮書 S

2、TYLEREF Contents 目 錄華為FusionSphere 6.0 安全技術(shù)白皮書（服務(wù)器虛擬化）OFFE00019186_PMD32ZH A內(nèi)部公開目 錄 TOC o 1-1 h z t 標題 2,2,標題 3,3,Appendix heading 2,2,Appendix heading 3,3 HYPERLINK l _Toc510167878 1 虛擬化平臺安全威脅分析 PAGEREF _Toc510167878 h 1 HYPERLINK l _Toc510167879 1.1 概述 PAGEREF _Toc510167879 h 1 HYPERLINK l _Toc510

3、167880 1.2 云安全威脅分析 PAGEREF _Toc510167880 h 1 HYPERLINK l _Toc510167881 1.2.1 傳統(tǒng)的安全威脅 PAGEREF _Toc510167881 h 1 HYPERLINK l _Toc510167882 1.2.2 云計算帶來的新的安全威脅 PAGEREF _Toc510167882 h 3 HYPERLINK l _Toc510167883 1.3 云計算的安全價值 PAGEREF _Toc510167883 h 4 HYPERLINK l _Toc510167884 2 FusionSphere安全方案 PAGEREF

4、_Toc510167884 h 6 HYPERLINK l _Toc510167885 2.1 FusionSphere總體安全框架 PAGEREF _Toc510167885 h 6 HYPERLINK l _Toc510167886 2.2 網(wǎng)絡(luò)安全 PAGEREF _Toc510167886 h 7 HYPERLINK l _Toc510167887 2.2.1 網(wǎng)絡(luò)平面隔離 PAGEREF _Toc510167887 h 7 HYPERLINK l _Toc510167888 2.2.2 VLAN隔離 PAGEREF _Toc510167888 h 8 HYPERLINK l _Toc

5、510167889 2.2.3 防IP及MAC仿冒 PAGEREF _Toc510167889 h 9 HYPERLINK l _Toc510167890 2.2.4 端口訪問限制 PAGEREF _Toc510167890 h 9 HYPERLINK l _Toc510167891 2.3 虛擬化安全 PAGEREF _Toc510167891 h 10 HYPERLINK l _Toc510167892 2.3.1 vCPU調(diào)度隔離安全 PAGEREF _Toc510167892 h 10 HYPERLINK l _Toc510167893 2.3.2 內(nèi)存隔離 PAGEREF _Toc5

6、10167893 h 11 HYPERLINK l _Toc510167894 2.3.3 內(nèi)部網(wǎng)絡(luò)隔離 PAGEREF _Toc510167894 h 11 HYPERLINK l _Toc510167895 2.3.4 磁盤I/O隔離 PAGEREF _Toc510167895 h 11 HYPERLINK l _Toc510167896 2.4 數(shù)據(jù)安全 PAGEREF _Toc510167896 h 11 HYPERLINK l _Toc510167897 2.4.1 數(shù)據(jù)加密 PAGEREF _Toc510167897 h 11 HYPERLINK l _Toc510167898 2

7、.4.2 用戶數(shù)據(jù)隔離 PAGEREF _Toc510167898 h 12 HYPERLINK l _Toc510167899 2.4.3 數(shù)據(jù)訪問控制 PAGEREF _Toc510167899 h 12 HYPERLINK l _Toc510167900 2.4.4 剩余信息保護 PAGEREF _Toc510167900 h 12 HYPERLINK l _Toc510167901 2.4.5 數(shù)據(jù)備份 PAGEREF _Toc510167901 h 13 HYPERLINK l _Toc510167902 2.4.6 軟件包完整性保護 PAGEREF _Toc510167902 h

8、13 HYPERLINK l _Toc510167903 2.5 運維管理安全 PAGEREF _Toc510167903 h 13 HYPERLINK l _Toc510167904 2.5.1 管理員分權(quán)管理 PAGEREF _Toc510167904 h 13 HYPERLINK l _Toc510167905 2.5.2 賬號密碼管理 PAGEREF _Toc510167905 h 14 HYPERLINK l _Toc510167906 2.5.3 日志管理 PAGEREF _Toc510167906 h 14 HYPERLINK l _Toc510167907 2.5.4 傳輸加密

9、 PAGEREF _Toc510167907 h 14 HYPERLINK l _Toc510167908 2.5.5 數(shù)據(jù)庫備份 PAGEREF _Toc510167908 h 14 HYPERLINK l _Toc510167909 2.6 基礎(chǔ)設(shè)施安全 PAGEREF _Toc510167909 h 15 HYPERLINK l _Toc510167910 2.6.1 操作系統(tǒng)加固 PAGEREF _Toc510167910 h 15 HYPERLINK l _Toc510167911 2.6.2 Web安全 PAGEREF _Toc510167911 h 15 HYPERLINK l

10、_Toc510167912 2.6.3 數(shù)據(jù)庫加固 PAGEREF _Toc510167912 h 16 HYPERLINK l _Toc510167913 2.6.4 Web容器加固 PAGEREF _Toc510167913 h 16 HYPERLINK l _Toc510167914 2.6.5 安全補丁 PAGEREF _Toc510167914 h 17 HYPERLINK l _Toc510167915 2.6.6 防病毒 PAGEREF _Toc510167915 h 17虛擬化平臺安全威脅分析概述云計算虛擬化平臺作為一種新的計算資源提供方式，用戶在享受它帶來的便利性、低成本等優(yōu)

11、越性的同時，也對其自身的安全性也存在疑慮。如何保障用戶數(shù)據(jù)和資源的機密性、完整性和可用性成為云計算系統(tǒng)急需解決的課題。本文在分析云計算帶來的安全風險和威脅基礎(chǔ)上，介紹了華為云計算虛擬化平臺針對這些風險和威脅所采取策略和措施，旨在為客戶提供安全可信的服務(wù)器虛擬化解決方案。云安全威脅分析傳統(tǒng)的安全威脅來自外部網(wǎng)絡(luò)的安全威脅的主要表現(xiàn)傳統(tǒng)的網(wǎng)絡(luò)IP攻擊如端口掃描、IP地址欺騙、Land攻擊、IP選項攻擊、IP路由攻擊、IP分片報文攻擊、淚滴攻擊等。操作系統(tǒng)與軟件的漏洞在計算機軟件（包括來自第三方的軟件，商業(yè)的和免費的軟件）中已經(jīng)發(fā)現(xiàn)了不計其數(shù)能夠削弱安全性的缺陷（bug）。黑客利用編程中的細微錯誤或

12、者上下文依賴關(guān)系，已經(jīng)能夠控制操作系統(tǒng)，讓它做任何他們想讓它做的事情。常見的操作系統(tǒng)與軟件的漏洞有：緩沖區(qū)溢出、濫用特權(quán)操作、下載未經(jīng)完整性檢查的代碼等。病毒、木馬、蠕蟲等。SQL注入攻擊攻擊者把SQL命令插入Web表單的輸入域或者頁面請求的查詢字符串中，欺騙服務(wù)器執(zhí)行惡意的SQL命令，在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動態(tài)SQL命令，或作為存儲過程的輸入?yún)?shù)，這類表單特別容易受到SQL注入攻擊。釣魚攻擊釣魚攻擊是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲取如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。這些通信都聲稱來自于著名的社交網(wǎng)站，拍賣網(wǎng)站，網(wǎng)絡(luò)銀

13、行，電子支付網(wǎng)站或網(wǎng)絡(luò)管理者，以此來誘騙受害者的輕信。網(wǎng)釣通常是通過email或者即時通訊進行。零日攻擊過去，安全漏洞被利用一般需要幾個月時間?，F(xiàn)在這個時間越來越短。如果一個漏洞被發(fā)現(xiàn)后，當天或更準確的定義是在24小時內(nèi)，立即被惡意利用，出現(xiàn)對該漏洞的攻擊方法或出現(xiàn)攻擊行為，那么該漏洞被稱為“零日漏洞”，該攻擊被稱為“零日攻擊”。系統(tǒng)被發(fā)現(xiàn)存在漏洞后，由于原廠商需要時間確認漏洞的存在，需要時間評估漏洞的風險，也需要時間來確定漏洞修正的方法，實現(xiàn)該方法后還要驗證、評估和質(zhì)檢，因此很難在當日就拿出補丁。由于廠商缺少補丁，而最終用戶又缺少防范意識，從而能夠造成巨大破壞?，F(xiàn)在針對新漏洞的攻擊產(chǎn)生速度比

14、以前要快得多。不光有“零日攻擊”，還有“零時攻擊”。來自內(nèi)部網(wǎng)絡(luò)的安全威脅的主要表現(xiàn)攻擊方法日新月異，內(nèi)部安全難以防范主要問題表現(xiàn)在ARP欺騙問題與惡意插件泛濫問題等新的安全問題，被攻破的內(nèi)網(wǎng)主機中可能被植入木馬或者其它惡意的程序，成為攻擊者手中所控制的所謂“肉雞”，攻擊者可能以此作為跳板進一步攻擊內(nèi)網(wǎng)其它機器，竊取商業(yè)機密，或者將其作為DDOS工具向外發(fā)送大量的攻擊包，占用大量網(wǎng)絡(luò)帶寬。員工瀏覽嵌有木馬或病毒的網(wǎng)頁、收看帶有惡意代碼的郵件，都可能給攻擊者帶來可乘之機。補丁升級與病毒庫更新不及時、蠕蟲病毒利用漏洞傳播危害大由于網(wǎng)絡(luò)內(nèi)的各種平臺的主機和設(shè)備存在安全漏洞但沒有及時安裝最新的安全補丁

15、，或者主機和設(shè)備的軟件配置存在隱患，殺毒軟件的病毒特征庫更新滯后于新病毒的出現(xiàn)或者未及時得到更新，給惡意的入侵者提供了可乘之機，使病毒和蠕蟲的泛濫成為可能。大規(guī)模的蠕蟲爆發(fā)可能導(dǎo)致企業(yè)內(nèi)網(wǎng)全部陷于癱瘓，業(yè)務(wù)無法正常進行。非法外聯(lián)難以控制、內(nèi)部重要機密信息泄露頻繁發(fā)生員工通過電話線撥號、VPN撥號、GPRS無線撥號等方式繞過防火墻的監(jiān)控直接連接外網(wǎng)，向外部敞開了大門，使得企業(yè)內(nèi)網(wǎng)的IT資源暴露在外部攻擊者面前，攻擊者或病毒可以通過撥號線路進入企業(yè)內(nèi)網(wǎng)；另一方面，內(nèi)部員工可能通過這種不受監(jiān)控的網(wǎng)絡(luò)通道將企業(yè)的商業(yè)機密泄漏出去，給企業(yè)帶來經(jīng)濟損失但又不易取證。移動電腦設(shè)備隨意接入、網(wǎng)絡(luò)邊界安全形同虛

16、設(shè)員工或臨時的外來人員所使用的筆記本電腦、掌上電腦等移動設(shè)備由于經(jīng)常接入各種網(wǎng)絡(luò)環(huán)境使用，如果管理不善，很有可能攜帶有病毒或木馬，一旦未經(jīng)審查就接入企業(yè)內(nèi)網(wǎng)，可能對內(nèi)網(wǎng)安全構(gòu)成巨大的威脅。軟硬件設(shè)備濫用、資產(chǎn)安全無法保障內(nèi)網(wǎng)資產(chǎn)（CPU、內(nèi)存、硬盤等）被隨意更換，缺乏有效的技術(shù)跟蹤手段；員工可以隨時更改自己所使用的機器的IP地址等配置，不僅難于統(tǒng)一管理，而且一旦出現(xiàn)攻擊行為或者安全事故，責任定位非常困難。網(wǎng)絡(luò)應(yīng)用缺乏監(jiān)控，工作效率無法提高上網(wǎng)聊天、網(wǎng)絡(luò)游戲等行為嚴重影響工作效率，利用QQ，MSN，ICQ 這類即時通訊工具來傳播病毒，已經(jīng)成為新病毒的流行趨勢；使用BitTorrent、電驢等工具

17、大量下載電影、游戲、軟件等大型文件，關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)帶寬無法保證。缺乏外設(shè)管理手段，數(shù)據(jù)泄密、病毒傳播無法控制外設(shè)是數(shù)據(jù)交換的一個最要途徑，包括U盤、光驅(qū)、打印、紅外、串口、并口等；由于使用的方便性，近幾年成為數(shù)據(jù)泄密、病毒感染的出入口。通過封貼端口、制度要求等方式無法靈活對外設(shè)進行管理，特別是對USB接口的管理，所以必須通過其它技術(shù)手段解決存在的問題。管理制度缺乏技術(shù)依據(jù)，安全策略無法有效落實盡管安全管理制度早已制定，但只能依靠工作人員的工作責任心，無法有效地杜絕問題；通過原始方式：貼封條、定期檢查等相對松散的管理機制，沒有有效靈活實時的手段保障，無法使管理政策落實。云計算帶來的新的安全威脅

18、云計算系統(tǒng)的計算資源使用方式和管理方式的變化，帶來了新的安全風險和威脅。對管理員而言主要存在以下風險和威脅：虛擬管理層成為新的高危區(qū)域云計算系統(tǒng)通過虛擬化技術(shù)為大量用戶提供計算資源，虛擬管理層成為新增的高危區(qū)域。惡意用戶難以被追蹤和隔離資源按需自助分配使得惡意用戶更易于在云計算系統(tǒng)中發(fā)起惡意攻擊，并且難以對惡意用戶進行追蹤和隔離。云計算的開放性使云計算系統(tǒng)更容易受到外部攻擊用戶通過網(wǎng)絡(luò)接入云計算系統(tǒng)，開放的接口使得云計算系統(tǒng)更易于受到來自外部網(wǎng)絡(luò)的攻擊。而對最終用戶而言，使用云計算服務(wù)帶來的主要風險和威脅如下： 數(shù)據(jù)存放在云端無法控制的風險計算資源和數(shù)據(jù)完全由云計算服務(wù)提供商控制和管理帶來的風

19、險，包括提供商管理員非法侵入用戶系統(tǒng)的風險；釋放計算資源或存儲空間后，數(shù)據(jù)能否完全銷毀的風險；數(shù)據(jù)處理存在法律、法規(guī)遵從風險。資源多租戶共享帶來的數(shù)據(jù)泄漏與攻擊風險多租戶共享計算資源帶來的風險，包括由于隔離措施不當造成的用戶數(shù)據(jù)泄漏風險；遭受處在相同物理環(huán)境下的惡意用戶攻擊的風險。網(wǎng)絡(luò)接口開放性的安全風險網(wǎng)絡(luò)接入帶來的風險：云計算環(huán)境下，用戶通過網(wǎng)絡(luò)操作和管理計算資源，鑒于網(wǎng)絡(luò)接口的開放性，帶來的風險也隨之升高。云計算的安全價值統(tǒng)一、全面的安全策略計算資源集中管理使得邊界防護更易于部署?？梢葬槍τ嬎阗Y源提供全面的安全策略、統(tǒng)一數(shù)據(jù)管理、安全補丁管理、以及突發(fā)事件管理等安全管理措施。對用戶而言，

20、也意味著能夠有專業(yè)的安全專家團隊對其資源和數(shù)據(jù)進行安全保護。低安全措施成本多個用戶共享云計算系統(tǒng)的計算資源，在集中的資源上統(tǒng)一應(yīng)用安全措施，可以降低各用戶的安全措施平均成本，即更低的投資會給用戶帶來同樣安全的保護措施。按需提供安全防護利用快速、彈性分配資源的優(yōu)勢，云計算系統(tǒng)可以為過濾、流量整形、加密、認證等提供安全防護措施，動態(tài)調(diào)配計算資源，提高安全措施處理效率。 STYLEREF 7 n * MERGEFORMAT Error! No text of specified style in document. STYLEREF 7 Error! No text of specified sty

21、le in document.華為FusionSphere 6.0 安全技術(shù)白皮書（服務(wù)器虛擬化）OFFE00019186_PMD32ZH A內(nèi)部公開FusionSphere安全方案FusionSphere總體安全框架根據(jù)云計算面臨的威脅與挑戰(zhàn)，華為提供虛擬化平臺安全解決方案，如 HYPERLINK l it_52_06_000003_mMcCpPsS_fig_01 o 圖2-1所示。安全解決方案框架分層簡要介紹如下：云平臺安全數(shù)據(jù)存儲安全從隔離用戶數(shù)據(jù)、控制數(shù)據(jù)訪問、備份數(shù)據(jù)等方面保證用戶數(shù)據(jù)的安全和完整性。虛擬機隔離實現(xiàn)同一物理機上不同虛擬機之間的資源隔離，避免虛擬機之間的數(shù)據(jù)竊取或惡意攻

22、擊，保證虛擬機的資源使用不受周邊虛擬機的影響。終端用戶使用虛擬機時，僅能訪問屬于自己的虛擬機的資源（如硬件、軟件和數(shù)據(jù)），不能訪問其他虛擬機的資源，保證虛擬機隔離安全。網(wǎng)絡(luò)傳輸安全通過網(wǎng)絡(luò)平面隔離、引入防火墻、傳輸加密等手段，保證業(yè)務(wù)運行和維護安全。運維管理安全從帳號密碼、用戶權(quán)限、日志、傳輸安全等方面增強日常運維管理方面的安全措施。除上述安全方案外，還通過修復(fù)Web應(yīng)用漏洞、對操作系統(tǒng)和數(shù)據(jù)庫進行加固、安裝安全補丁和防病毒軟件等手段保證各物理主機的安全。網(wǎng)絡(luò)安全網(wǎng)絡(luò)平面隔離將FusionSphere的網(wǎng)絡(luò)通信平面劃分為業(yè)務(wù)平面、存儲平面和管理平面，且三個平面之間是隔離的。存儲平面與業(yè)務(wù)平面、

23、管理平面間物理隔離；管理平面與業(yè)務(wù)平面間是邏輯隔離。通過網(wǎng)絡(luò)平面隔離保證管理平臺操作不影響業(yè)務(wù)運行，最終用戶不能破壞基礎(chǔ)平臺管理。FusionSphere的網(wǎng)絡(luò)平面隔離如 HYPERLINK l it_52_06_000015_mMcCpPsS_fig_01 o 圖2-2所示。網(wǎng)絡(luò)平面隔離示意圖業(yè)務(wù)平面為用戶提供業(yè)務(wù)通道，為虛擬機虛擬網(wǎng)卡的通信平面，對外提供業(yè)務(wù)應(yīng)用。存儲平面為iSCSI存儲設(shè)備提供通信平面，并為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化平臺轉(zhuǎn)化。管理平面負責整個云計算系統(tǒng)的管理、業(yè)務(wù)部署、系統(tǒng)加載等流量的通信。VLAN隔離通過虛擬網(wǎng)橋?qū)崿F(xiàn)虛擬交換功能，虛擬網(wǎng)橋支持

24、VLAN tagging功能，實現(xiàn)VLAN隔離，確保虛擬機之間的安全隔離。虛擬網(wǎng)橋的作用是橋接一個物理機上的虛擬機實例。虛擬機的網(wǎng)卡eth0，eth1，稱為前端接口（front-end）。后端（back-end）接口為vif，連接到Bridge。這樣，虛擬機的上下行流量將直接經(jīng)過Bridge轉(zhuǎn)發(fā)。Bridge根據(jù)mac地址與vif接口的映射關(guān)系作數(shù)據(jù)包轉(zhuǎn)發(fā)。Bridge支持VLAN tagging功能，這樣，分布在多個物理機上的同一個虛擬機安全組的虛擬機實例，可以通過VLAN tagging對數(shù)據(jù)幀進行標識，網(wǎng)絡(luò)中的交換機和路由器可以根據(jù)VLAN標識決定對數(shù)據(jù)幀路由和轉(zhuǎn)發(fā)，提供虛擬網(wǎng)絡(luò)的隔離功

25、能。VLAN組網(wǎng)圖如圖所示，處于不同物理服務(wù)器上的虛擬機通過VLAN技術(shù)可以劃分在同一個局域網(wǎng)內(nèi)，同一個服務(wù)器上的同一個VLAN內(nèi)的虛擬機之間通過虛擬交換機進行通信，而不同服務(wù)器上的同一VLAN內(nèi)的虛擬機之間通過交換機進行通信，確保不同局域網(wǎng)的虛擬機之間的網(wǎng)絡(luò)是隔離的，不能進行數(shù)據(jù)交換。防IP及MAC仿冒通過IP和MAC綁定方式實現(xiàn)：防止虛擬機用戶通過修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊，增強用戶虛擬機的網(wǎng)絡(luò)安全。具體通過生成IP-MAC的綁定關(guān)系，使用IP源側(cè)防護(IP Source Guard)與動態(tài)ARP檢測（DAI）對非綁定關(guān)系的報文進行過濾。端口訪問限制為了減少外部

26、服務(wù)攻擊面，服務(wù)端口使用系統(tǒng)iptables機制限制端口只在固定平面監(jiān)聽業(yè)務(wù)消息， 并且服務(wù)進程建立socket時進行端口綁定固定IP（不綁定到），通過雙重手段保證端口訪問安全。虛擬化安全Hypervisor能實現(xiàn)同一物理機上不同虛擬機之間的資源隔離，避免虛擬機之間的數(shù)據(jù)竊取或惡意攻擊，保證虛擬機的資源使用不受周邊虛擬機的影響。終端用戶使用虛擬機時，僅能訪問屬于自己的虛擬機的資源（如硬件、軟件和數(shù)據(jù)），不能訪問其他虛擬機的資源，保證虛擬機隔離安全。虛擬機隔離如圖所示。虛擬機相關(guān)資源隔離vCPU調(diào)度隔離安全 X86架構(gòu)為了保護指令的運行，提供了指令的4個不同Privilege特權(quán)級別，術(shù)語稱為R

27、ing，優(yōu)先級從高到低依次為Ring 0（被用于運行操作系統(tǒng)內(nèi)核）、Ring 1（用于操作系統(tǒng)服務(wù)）、Ring 2（用于操作系統(tǒng)服務(wù)）、Ring 3（用于應(yīng)用程序），各個級別對可以運行的指令進行限制。vCPU的上下文切換，由Hypervisor負責調(diào)度。Hypervisor使虛擬機操作系統(tǒng)運行在Ring 1上，有效地防止了虛擬機Guest OS直接執(zhí)行所有特權(quán)指令；應(yīng)用程序運行在Ring 3上，保證了操作系統(tǒng)與應(yīng)用程序之間的隔離。內(nèi)存隔離 虛擬機通過內(nèi)存虛擬化來實現(xiàn)不同虛擬機之間的內(nèi)存隔離。內(nèi)存虛擬化技術(shù)在客戶機已有地址映射（虛擬地址和機器地址）的基礎(chǔ)上，引入一層新的地址“物理地址”。在虛擬化

28、場景下，客戶機OS將“虛擬地址”映射為“物理地址”；Hypervisor負責將客戶機的“物理地址”映射成“機器地址”，實際物理地址后，再交由物理處理器來執(zhí)行。內(nèi)部網(wǎng)絡(luò)隔離 Hypervisor提供虛擬防火墻路由器（VFR，Virtual Firewall - Router）的抽象，每個客戶虛擬機都有一個或者多個在邏輯上附屬于VFR的網(wǎng)絡(luò)接口VIF（Virtual Interface）。從一個虛擬機上發(fā)出的數(shù)據(jù)包，先到達Hypervisor，由Hypervisor來實現(xiàn)數(shù)據(jù)過濾和完整性檢查，并插入和刪除規(guī)則；經(jīng)過認證后攜帶許可證，由Hypervisor轉(zhuǎn)發(fā)給目的虛擬機；目的虛擬機檢查許可證，以決

29、定是否接收數(shù)據(jù)包。磁盤I/O隔離 華為Hypervisor采用分離設(shè)備驅(qū)動模型實現(xiàn)I/O的虛擬化。該模型將設(shè)備驅(qū)動劃分為前端驅(qū)動程序、后端驅(qū)動程序和原生驅(qū)動三個部分，其中前端驅(qū)動在虛擬機中運行，而后端驅(qū)動和原生驅(qū)動則在Hypervisor中運行。前端驅(qū)動負責將虛擬機的I/O請求傳遞到Hypervisor中的后端驅(qū)動，后端驅(qū)動解析I/O請求并映射到物理設(shè)備，提交給相應(yīng)的設(shè)備驅(qū)動程序控制硬件完成I/O操作。換言之，虛擬機所有的I/O操作都會由Hypervisor截獲處理；Hypervisor保證虛擬機只能訪問分配給它的物理磁盤空間，從而實現(xiàn)不同虛擬機存儲空間的安全隔離。數(shù)據(jù)安全數(shù)據(jù)加密對于存儲在本

30、地的敏感數(shù)據(jù)使用安全加密算法（PBKDF2， AES_128_CBC）加密保存。對于傳輸?shù)拿舾袛?shù)據(jù)使用TLS傳輸通道，保證數(shù)據(jù)的機密性、完整性。用戶數(shù)據(jù)隔離華為Hypervisor采用分離設(shè)備驅(qū)動模型實現(xiàn)I/O的虛擬化。該模型將設(shè)備驅(qū)動劃分為前端驅(qū)動程序、后端驅(qū)動程序和原生驅(qū)動三個部分，其中前端驅(qū)動在虛擬機中運行，而后端驅(qū)動和原生驅(qū)動則在主機中運行。前端驅(qū)動負責將虛擬機的I/O請求傳遞到主機中的后端驅(qū)動，后端驅(qū)動解析I/O請求并映射到物理設(shè)備，提交給相應(yīng)的設(shè)備驅(qū)動程序控制硬件完成I/O操作。換言之，虛擬機所有的I/O操作都會由VMM截獲處理；VMM保證虛擬機只能訪問分配給它的物理磁盤空間，從而

31、實現(xiàn)不同虛擬機硬盤空間的安全隔離。數(shù)據(jù)訪問控制系統(tǒng)對每個卷定義不同的訪問策略，沒有訪問該卷權(quán)限的用戶不能訪問該卷，只有卷的真正使用者（或者有該卷訪問權(quán)限的用戶）才可以訪問該卷，每個卷之間是互相隔離的。剩余信息保護存儲采用RAID創(chuàng)新技術(shù)，系統(tǒng)會將存儲池空間劃分成多個小粒度的數(shù)據(jù)塊，基于數(shù)據(jù)塊來構(gòu)建RAID組，使得數(shù)據(jù)均勻地分布到存儲池的所有硬盤上，然后以數(shù)據(jù)塊為單元來進行資源管理，大小范圍是256KB64MB（可調(diào)），默認4MB。PhysicalDiskTier0Tier1Tier2DGDGCKCKGExtentVolumeLUN虛擬機刪除或數(shù)據(jù)卷刪時，系統(tǒng)進行卷（Volume）資源回收時，小

32、數(shù)據(jù)塊鏈表將被釋放，進入資源池。存儲資源重新利用時，再重新組織小數(shù)據(jù)塊，這樣從新分配的虛擬磁盤恢復(fù)原來數(shù)據(jù)的可能性很小。數(shù)據(jù)中心的物理硬盤更換后，需要數(shù)據(jù)中心的系統(tǒng)管理員采用消磁或物理粉碎等措施保證數(shù)據(jù)徹底清除。數(shù)據(jù)備份FusionSphere的數(shù)據(jù)存儲采用多重備份機制，每一份數(shù)據(jù)都可以有一個或者多個備份，即使存儲載體（如硬盤）出現(xiàn)了故障，也不會引起數(shù)據(jù)的丟失，同時也不會影響系統(tǒng)的正常使用。系統(tǒng)對存儲數(shù)據(jù)按位或字節(jié)的方式進行數(shù)據(jù)校驗，并把數(shù)據(jù)校驗信息均勻的分散到陣列的各個磁盤上；陣列的磁盤上既有數(shù)據(jù)，也有數(shù)據(jù)校驗信息，但數(shù)據(jù)塊和對應(yīng)的校驗信息存儲于不同的磁盤上，當某個數(shù)據(jù)盤被損壞后，系統(tǒng)可以根

33、據(jù)同一帶區(qū)的其他數(shù)據(jù)塊和對應(yīng)的校驗信息來重構(gòu)損壞的數(shù)據(jù)。軟件包完整性保護軟件包完整性保護方面包括：系統(tǒng)安裝包在華為Support發(fā)布時攜帶軟件包的數(shù)字簽名文件，用戶在安裝前可根據(jù)產(chǎn)品資料驗證軟件包的完整性。系統(tǒng)的升級包也有數(shù)字簽名完整性保護機制，升級包上傳過程會自動校驗完整性。運維管理安全在運維管理方面，主要的安全威脅包括：管理員權(quán)限不支持精細化控制；采用弱密碼，且長期不進行修改，導(dǎo)致密碼泄露；管理員惡意行為無法監(jiān)控、回溯；管理員分權(quán)管理管理員通過Portal登錄管理云系統(tǒng)，包括查看資源、發(fā)放虛擬機等。系統(tǒng)支持對Portal用戶進行訪問控制，支持分權(quán)管理，便于維護團隊內(nèi)分職責共同有序地維護系統(tǒng)

34、。賬號密碼管理管理員支持設(shè)置密碼策略，確保密碼的保密性。例如：可以設(shè)置密碼最小長度、密碼是否含特殊字符、密碼有效時長等。密碼在系統(tǒng)中不會明文存儲。所有賬戶的密碼均支持修改。日志管理FusionSphere支持以下三類日志：操作日志操作日志記錄操作維護人員的管理維護操作，日志內(nèi)容詳實，包括用戶、操作類型、客戶端IP、操作時間、操作結(jié)果等內(nèi)容，以支撐審計管理員的行為，能及時發(fā)現(xiàn)不當或惡意的操作。操作日志也可作為抗抵賴的證據(jù)。運行日志運行日志記錄各節(jié)點的運行情況，可由日志級別來控制日志的輸出。各節(jié)點的運行日志包括級別、線程名稱、運行信息等內(nèi)容，維護人員可通過查看運行日志，了解和分析系統(tǒng)的運行狀況，及

35、時發(fā)現(xiàn)和處理異常情況。黑匣子日志黑匣子日志記錄系統(tǒng)嚴重故障時的定位信息，主要用于故障定位和故障處理，便于快速恢復(fù)業(yè)務(wù)。其中計算節(jié)點產(chǎn)生的黑匣子日志匯總到日志服務(wù)器統(tǒng)一存放，而管理節(jié)點、存儲節(jié)點產(chǎn)生的黑匣子日志本地存放。傳輸加密管理員訪問管理系統(tǒng)，均采用HTTPS方式，傳輸通道采用TLS加密。數(shù)據(jù)庫備份為保證數(shù)據(jù)安全，必須對數(shù)據(jù)庫進行定期的備份，防止重要數(shù)據(jù)丟失。FusionSphere采用華為自研高斯數(shù)據(jù)庫，支持本地在線備份方式和異地備份方式：本地備份：數(shù)據(jù)庫每天定時執(zhí)行備份腳本完成備份。異地備份：數(shù)據(jù)異地備份到第三方備份服務(wù)器?；A(chǔ)設(shè)施安全基礎(chǔ)設(shè)施安全是指FusionSphere中各設(shè)備、節(jié)

36、點以及組件的操作系統(tǒng)、數(shù)據(jù)庫等安全性。例如，云計算系統(tǒng)中大量使用的OS、DB等通用軟件，其軟件自身的漏洞、不安全的賬號和口令、不當?shù)呐渲煤筒僮?、開啟不安全的服務(wù)等等為病毒、黑客、蠕蟲、木馬等的入侵提供了方便之門，使得系統(tǒng)容易遭受病毒入侵、漏洞攻擊、拒絕服務(wù)等等安全威脅，從而影響系統(tǒng)的運營。保障基礎(chǔ)設(shè)施的安全性，是維持系統(tǒng)正常運行、構(gòu)建網(wǎng)絡(luò)安全和應(yīng)用安全的基礎(chǔ)。 操作系統(tǒng)加固FusionSphere中計算節(jié)點、管理節(jié)點均使用華為自研歐拉Linux操作系統(tǒng)，為保證此類設(shè)備的安全，必須對歐拉 Linux操作系統(tǒng)進行基礎(chǔ)的安全配置，基礎(chǔ)安全配置的主要內(nèi)容如下：最小化服務(wù)： 禁用多余或危險的系統(tǒng)后臺進程

37、和服務(wù)，如郵件代理、圖形桌面、telnet、編譯工具等 服務(wù)加固：對SSH等常用服務(wù)進行安全加固 內(nèi)核參數(shù)調(diào)整：修改內(nèi)核參數(shù)，增強操作系統(tǒng)安全性，如禁用IP轉(zhuǎn)發(fā)、禁止響應(yīng)廣播請求、禁止接受/轉(zhuǎn)發(fā)ICMP重定向消息 文件目錄權(quán)限設(shè)置：結(jié)合業(yè)界加固規(guī)范及應(yīng)用要求，保證文件權(quán)限最小化。帳號口令安全 ：啟動口令復(fù)雜度檢查、密碼有效期、登錄失敗重試次數(shù)等。系統(tǒng)認證和授權(quán)：禁止root遠程登錄、盡量不用root賬號安裝運行進程。日志和審計：記錄服務(wù)、內(nèi)核進程運行日志，可以與日志服務(wù)器對接Web安全FusionSphere各Web服務(wù)具有的安全功能如下：自動將客戶請求轉(zhuǎn)換成HTTPSWeb服務(wù)平臺能夠自動把客戶的請求轉(zhuǎn)向到HTTPS連接。當用戶使用HTTP訪問Web服務(wù)平臺時，Web服務(wù)平臺能自動將用戶的訪問方式轉(zhuǎn)向為HTTPS，以增強Web