云平臺(tái)安全監(jiān)管及體系設(shè)計(jì)方案

1、云平臺(tái)安全監(jiān)管及體系設(shè)計(jì)方案內(nèi)容目錄0引言云安全風(fēng)險(xiǎn)分析云基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)基礎(chǔ)設(shè)施服務(wù)層安全風(fēng)險(xiǎn)虛擬機(jī)安全威脅云數(shù)據(jù)存儲(chǔ)和傳輸安全風(fēng)險(xiǎn)虛擬化監(jiān)視器安全風(fēng)險(xiǎn)網(wǎng)絡(luò)虛擬化安全風(fēng)險(xiǎn)虛擬化管理方面安全風(fēng)險(xiǎn)平臺(tái)服務(wù)層安全風(fēng)險(xiǎn)軟件服務(wù)層安全風(fēng)險(xiǎn)云平臺(tái)軟件服務(wù)的安全風(fēng)險(xiǎn)云平臺(tái)軟件服務(wù)隔離的安全風(fēng)險(xiǎn)云軟件服務(wù)身份和訪問管理的安全風(fēng)險(xiǎn)云安全標(biāo)準(zhǔn)規(guī)范國(guó)外標(biāo)準(zhǔn)規(guī)范NISTCSA國(guó)內(nèi)云安全標(biāo)準(zhǔn)云計(jì)算服務(wù)安全指南2.2.22.0云平臺(tái)安全體系設(shè)計(jì)思路體系框架云安全監(jiān)管體系設(shè)計(jì)體系概述體系功能組成功能模塊設(shè)計(jì)云安全合規(guī)性檢測(cè)服務(wù)云安全數(shù)據(jù)分析服務(wù)用戶交互服務(wù)引言問題成為影響云計(jì)算技術(shù)進(jìn)一步推廣的最大障礙。由于云計(jì)算技術(shù)具有

2、體系架構(gòu)復(fù)雜、虛擬資源與物理資源相結(jié)云安全風(fēng)險(xiǎn)分析云基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)存在不同的安全風(fēng)險(xiǎn)。計(jì)算存儲(chǔ)設(shè)備安全風(fēng)險(xiǎn)在云計(jì)算環(huán)境中，計(jì)算存儲(chǔ)設(shè)備是云最基本的基礎(chǔ)設(shè)施，是進(jìn)面的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)物理傳輸安全風(fēng)險(xiǎn)云平臺(tái)的物理傳輸網(wǎng)絡(luò)存在外來網(wǎng)絡(luò)非法入侵、網(wǎng)絡(luò)竊取、數(shù)據(jù)密碼技術(shù)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，防止數(shù)據(jù)被監(jiān)聽泄密?；A(chǔ)設(shè)施服務(wù)層安全風(fēng)險(xiǎn)傳統(tǒng)系統(tǒng)中未有過的安全風(fēng)險(xiǎn)和威脅。基礎(chǔ)設(shè)施服務(wù)（Infrastructure as a Service，IaaS）層主要包括虛擬機(jī)、云數(shù)虛擬機(jī)安全威脅Web webshell云數(shù)據(jù)存儲(chǔ)和傳輸安全風(fēng)險(xiǎn)質(zhì)上，并通過網(wǎng)絡(luò)方式訪問，因此面臨著以下風(fēng)險(xiǎn)：數(shù)據(jù)在傳輸過程中受到破壞

3、而無法恢復(fù)；在虛擬環(huán)境傳輸?shù)奈募蛘邤?shù)據(jù)被監(jiān)聽；邏輯卷被多個(gè)虛擬機(jī)掛載導(dǎo)致邏輯卷上的敏感信息泄露；云用戶從虛擬機(jī)逃逸后獲取鏡像文件或其他用戶的隱私數(shù)據(jù)；虛擬機(jī)遷移、敏感數(shù)據(jù)存儲(chǔ)漂移導(dǎo)致的不可控；數(shù)據(jù)安全隔離不嚴(yán)格導(dǎo)致惡意用戶可以訪問其他用戶數(shù)據(jù)；虛擬機(jī)鏡像遭到惡意攻擊者篡改或非法讀取。虛擬化監(jiān)視器安全風(fēng)險(xiǎn)式對(duì)資源進(jìn)行邏輯切分，其中存在以下安全風(fēng)險(xiǎn)：HypervisorHypervisor 后進(jìn)入虛擬機(jī)；Hypervisor物理主機(jī)的控制權(quán)限；Hypervisor缺乏服務(wù)質(zhì)量（QualityofService，QoS）保證機(jī)制，虛擬機(jī)因異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機(jī)或宿主機(jī)下的其他虛擬機(jī)

4、的資源不足，導(dǎo)致正常業(yè)務(wù)異?；虿豢捎?；缺乏針對(duì)虛擬機(jī)的“監(jiān)、控、防”機(jī)制，不能及時(shí)發(fā)現(xiàn)攻擊行可以猜解其他賬戶，并能長(zhǎng)期潛伏；虛擬機(jī)可能因運(yùn)行環(huán)境異?；蛴布O(shè)備異常等原因出錯(cuò)而影響其他虛擬機(jī)；無法快速地恢復(fù)。網(wǎng)絡(luò)虛擬化安全風(fēng)險(xiǎn)傳統(tǒng)的防火墻、入侵檢測(cè)系統(tǒng)（IntrusionDetection （IntrusionPrevention地對(duì)云環(huán)境流量進(jìn)行審計(jì)、監(jiān)控和管控；黑客通過虛擬機(jī)向整個(gè)虛擬網(wǎng)絡(luò)進(jìn)行滲透攻擊，并在虛擬的安全運(yùn)行；機(jī)之間進(jìn)行的地址解析協(xié)議（AddressResolution Protocol，ARP）攻擊、嗅探；虛擬系統(tǒng)在熱遷移過程中數(shù)據(jù)被非法嗅探和讀??；云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占；重要

5、的網(wǎng)段、服務(wù)器被非法訪問、端口掃描、入侵攻擊；內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為無法檢測(cè)和阻斷；侵攻擊等。虛擬化管理方面安全風(fēng)險(xiǎn)統(tǒng)漏洞導(dǎo)致的攻擊入侵。平臺(tái)服務(wù)層安全風(fēng)險(xiǎn)平臺(tái)服務(wù)a 層向應(yīng)用提供開發(fā)、Web云平臺(tái)服務(wù)安全風(fēng)險(xiǎn)Web（eXtensible Markup Language，XML）外部實(shí)體漏洞、失效的身份認(rèn)證、失效的訪問控制、安全配置錯(cuò)誤、使用含有已知漏洞的組件、不充分的日志和監(jiān)控等安全風(fēng)險(xiǎn)。云平臺(tái)接口安全風(fēng)險(xiǎn)受到分布式拒絕服務(wù)攻擊（DistributedDenialOfServiceattack， DDOS）攻擊，接口可用性遭到破壞；傳輸協(xié)議未加密或加密不充分， 云平臺(tái)數(shù)據(jù)安全風(fēng)險(xiǎn)（

6、ApplicationProgramming件、惡意軟件破壞、硬件設(shè)備故障、非法入侵等。軟件服務(wù)層安全風(fēng)險(xiǎn)云平臺(tái)的軟件服務(wù)（Software as a Service，SaaS）層向應(yīng)用提供軟件服務(wù)，這些軟件服務(wù)的安全性直接影響云平臺(tái)的安全。云平臺(tái)軟件服務(wù)的安全風(fēng)險(xiǎn)云平臺(tái)軟件服務(wù)安全面臨以下風(fēng)險(xiǎn)：軟件服務(wù)本身存在安全漏洞，導(dǎo)致受到惡意攻擊，如結(jié)構(gòu)化查詢語言（Structured Query Web 云平臺(tái)軟件服務(wù)隔離的安全風(fēng)險(xiǎn)云平臺(tái)軟件服務(wù)在多租戶應(yīng)用模式下，不同用戶共享統(tǒng)一的計(jì) 資源未隔離、網(wǎng)絡(luò)資源未隔離、存儲(chǔ)資源未隔離。云軟件服務(wù)身份和訪問管理的安全風(fēng)險(xiǎn)內(nèi)部威脅是指內(nèi)部具有訪問權(quán)限的內(nèi)部人

7、員也有可能因安全意識(shí)缺失、錯(cuò)誤的軟件/服務(wù)配置或者不規(guī)范的軟件使用等原因造成的內(nèi)部安全威脅。云安全標(biāo)準(zhǔn)規(guī)范國(guó)外標(biāo)準(zhǔn)規(guī)范NIST針對(duì)云計(jì)算標(biāo)準(zhǔn)，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（National efsdy云計(jì)算標(biāo)準(zhǔn)路線圖和SP 500-292云計(jì)算定義模型，如圖 1 所示。圖1云計(jì)算定義模型3（PaaS、SaaS4（5速伸縮、服務(wù)可度量）。20135NISTSP 500-299 NIST（NCC-SRA）22圖2NIST云計(jì)算安全參考架構(gòu)CSA云安全聯(lián)盟（Cloud Security Aliance，CSA）發(fā)布的云安全CSA聯(lián)盟的云控制矩陣身份管理和訪問控制指南等3。其中，v4.014113中，要求對(duì)

8、云平臺(tái)進(jìn)行合規(guī)化和審計(jì)管理。國(guó)內(nèi)云安全標(biāo)準(zhǔn)222392019GB/T 311672014311682014云計(jì)算服務(wù)安全指南4 年9311682014信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求和 GB/T311672014信息安全技術(shù) 云計(jì)算服務(wù)安全指南，是審查云計(jì)算服務(wù)網(wǎng)絡(luò)安全能力的重要標(biāo)準(zhǔn)。算計(jì)算平臺(tái)進(jìn)行持續(xù)監(jiān)管。運(yùn)行時(shí)也要對(duì)云服務(wù)和云形態(tài)實(shí)施安全監(jiān)管。2.2.2 等保 2.0為了適應(yīng)新技術(shù)、新應(yīng)用情況下信息安全等級(jí)保護(hù)工作的開 GB/T222392019信息2.0。新應(yīng)用領(lǐng)域提出等保擴(kuò)展安全要求。2.042.0云平臺(tái)安全體系設(shè)計(jì)思路前面從云的分層架構(gòu)角度對(duì)云上各層面臨的安全風(fēng)險(xiǎn)進(jìn)安全能力提出了

9、具體的要求。本節(jié)將針對(duì)風(fēng)險(xiǎn)和安全能力需IaaSPaaSSaaS體系框架IaaSPaaSSaaS63圖 3 云平臺(tái)安全技術(shù)框架設(shè)備的傳統(tǒng)安全防護(hù)以外，還包括針對(duì)虛擬化監(jiān)視器的安全保護(hù)技（VirtualMachine Monitor，VMM）元數(shù)據(jù)保護(hù)等等 IaaS 層安全方面，主要包括虛擬機(jī)安全、虛擬網(wǎng)絡(luò)安全以及虛擬存儲(chǔ)安全 3 方面。掃描以及入侵檢測(cè)等。虛擬網(wǎng)絡(luò)安全包括云平臺(tái)上東西向的網(wǎng)絡(luò)防ARP密、完整性保護(hù)、遷移加密和訪問控制。PaaSPaaS3Web 接口通信加密、傳輸數(shù)據(jù)完整性、DDosSaaSWeb包括統(tǒng)一的云安全態(tài)勢(shì)、云安全操作、日志審計(jì)。Gartner通過自定義合規(guī)策略實(shí)現(xiàn)安全基

10、線檢查。云安全監(jiān)管體系設(shè)計(jì)體系概述3IaaSPaaSSaaS 6下面針對(duì)云安全監(jiān)管系統(tǒng)的設(shè)計(jì)具體如下文所述。定位分析問題。全監(jiān)管模型對(duì)不同云平臺(tái)進(jìn)行綜合監(jiān)管和智能評(píng)估。策略合理性、隔離有效性。組和泛終端主機(jī)安全防護(hù)策略的設(shè)置是否生效。理員提供合理、有效的安全加固方案和措施。體系功能組成4圖 4 云安全監(jiān)管系統(tǒng)功能組成管理端管理端實(shí)現(xiàn)虛擬資產(chǎn)發(fā)現(xiàn)、虛擬網(wǎng)絡(luò)拓?fù)湔故?、網(wǎng)絡(luò)通信可見、撲圖。CPU、內(nèi)存、存儲(chǔ)配置、MACCPUIO端口之間的連通性，且能夠?qū)С霰O(jiān)測(cè)結(jié)果。外部的通信關(guān)系。抓包工具：提供在線抓包工具，便于快速定位和分析問題。合規(guī)性檢測(cè)：根據(jù)預(yù)先制定的安全規(guī)則或用戶自定義的安全規(guī)報(bào)告，提供修改

11、建議和意見。被非法修改或篡改。身份可信鑒別：檢驗(yàn)云用戶、云租戶、云計(jì)算節(jié)點(diǎn)、云服務(wù)組是否采用生物特征、密碼標(biāo)識(shí)、用戶口令等多因子驗(yàn)證方法。檢測(cè)報(bào)告并給出安全建議。代理端等能力。功能模塊設(shè)計(jì)CPU、內(nèi)存、存儲(chǔ)等虛擬機(jī)資源運(yùn)行狀態(tài)以及臺(tái)網(wǎng)絡(luò)風(fēng)險(xiǎn)。5圖 5 云安全監(jiān)管系統(tǒng)技術(shù)結(jié)構(gòu)云安全合規(guī)性檢測(cè)服務(wù)2.0GJB5612控制點(diǎn)檢測(cè)并形成檢測(cè)結(jié)論和檢測(cè)意見。云安全數(shù)據(jù)分析服務(wù)云安全數(shù)據(jù)分析服務(wù)對(duì)采集層獲取的動(dòng)靜態(tài)數(shù)據(jù)進(jìn)行處理、統(tǒng) 為云平臺(tái)的安全分析、評(píng)估和評(píng)分提供支撐。數(shù)據(jù)處理服務(wù)入時(shí)序數(shù)據(jù)庫(kù)。數(shù)據(jù)采集服務(wù)數(shù)據(jù)采集中心通過雙路模式采集云環(huán)境中數(shù)據(jù)；通過調(diào)用云軟件開發(fā)工具包（Software Development Kit，SDK）提供的遠(yuǎn)程接口， 收集