【正文】 2015 NSFOCUS Cloud Security Solution2015綠盟科技云安全解決方案目錄一 云計算典型體系結(jié)構(gòu) 1云計算系統(tǒng)分類 1云計算系統(tǒng)典型物理架構(gòu) 1云計算系統(tǒng)邏輯結(jié)構(gòu) 2二 云計算安全威脅和需求分析 3安全威脅分析 4安全需求和挑戰(zhàn) 5三 云安全防護(hù)總體架構(gòu)設(shè)計 5設(shè)計思路 5安全保障目標(biāo) 6安全保障體系框架 6安全保障體系總體技術(shù)實現(xiàn)架構(gòu)設(shè)計 7四 云平臺安全域劃分和防護(hù)設(shè)計 9安全域劃分 9安全防護(hù)設(shè)計 13五 云計算安全防護(hù)方案的演進(jìn) 24虛擬化環(huán)境中的安全防護(hù)措施部署 24軟件定義安全體系架構(gòu) 24安全運營 28六 云安全技術(shù)服務(wù) 28私有云安全評估和加固 28私有云平臺安全設(shè)計咨詢服務(wù) 29七 云安全解決方案 33作者和貢獻(xiàn)者 33關(guān)注云安全解決方案 34八 關(guān)于綠盟科技 34圖表圖 2圖 3圖 6圖 7圖 8圖 10圖 11圖 13圖 14圖 16圖 18圖 19圖 21圖 22圖 22圖 25圖 25圖 26圖 27圖 28圖 30圖 31圖 32關(guān)鍵信息本方案首先研究了云計算系統(tǒng)的典型結(jié)構(gòu)，分析了云計算系統(tǒng)面臨的安全威脅、安全需求和挑戰(zhàn)，進(jìn)而對云安全防護(hù)總體架構(gòu)，包括保障內(nèi)容和實現(xiàn)機(jī)制、部署方法進(jìn)行了設(shè)計和詳細(xì)闡述，并介紹了云安全相關(guān)的安全技術(shù)服務(wù)內(nèi)容和范圍，最后給出了典型的云安全防護(hù)場景。其中關(guān)于軟件定義安全體系架構(gòu)，在之前發(fā)布的《2015綠盟科技軟件定義安全SDS白皮書》中有詳述?！半S著云計算技術(shù)的不斷完善和發(fā)展，云計算已經(jīng)得到了廣泛的認(rèn)可和接收，許多組織已經(jīng)或即將進(jìn)行云計算系統(tǒng)建設(shè)。同時，以信息/服務(wù)為中心的模式深入人心，大量的應(yīng)用正如雨后春筍般出現(xiàn)，組織也開始將傳統(tǒng)的應(yīng)用向云中遷移。同時，云計算技術(shù)仍處于不斷發(fā)展和演進(jìn)，系統(tǒng)更加開放和易用，功能更加強(qiáng)大和豐富，接口更加規(guī)范和開放。例如軟件定義網(wǎng)絡(luò)（簡稱SDN）技術(shù)、NFV（網(wǎng)絡(luò)功能虛擬化）等新技術(shù)。這必將推動云計算技術(shù)的更加普及和完善。云計算技術(shù)給傳統(tǒng)的IT基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及IT運營管理都帶來了革命性改變，對于安全管理來說，既是挑戰(zhàn)，也是機(jī)遇。首先，作為新技術(shù)，云計算引入了新的威脅和風(fēng)險，進(jìn)而也影響和打破了傳統(tǒng)的信息安全保障體系設(shè)計、實現(xiàn)方法和運維管理體系，如網(wǎng)絡(luò)與信息系統(tǒng)的安全邊界的劃分和防護(hù)、安全控制措施選擇和部署、安全評估和審計、安全監(jiān)測和安全運維等方面；其次，云計算的資源彈性、按需調(diào)配、高可靠性及資源集中化等都間接增強(qiáng)或有利于安全防護(hù)，同時也給安全措施改進(jìn)和升級、安全應(yīng)用設(shè)計和實現(xiàn)、安全運維和管理等帶來了問題和挑戰(zhàn)，也推進(jìn)了安全服務(wù)內(nèi)容、實現(xiàn)機(jī)制和交付方式的創(chuàng)新和發(fā)展。根據(jù)調(diào)研數(shù)據(jù)，信息安全風(fēng)險是客戶采用云計算所考慮重大問題之一，且國家和行業(yè)安全監(jiān)管愈加嚴(yán)格，安全已經(jīng)成為組織規(guī)劃、設(shè)計、建設(shè)和使用云計算系統(tǒng)而急需解決的重大問題之一，尤其是不斷出現(xiàn)的與云計算系統(tǒng)相關(guān)事件讓組織更加擔(dān)心自身的云計算系統(tǒng)安全保障問題。本方案基于綠盟科技長期對云計算安全的探索和研究，借鑒行業(yè)最佳實踐，結(jié)合綠盟科技近期云計算安全建設(shè)經(jīng)驗，提出了云計算安全保障框架和方法。一 云計算典型體系結(jié)構(gòu)云計算主要是通過網(wǎng)絡(luò)，將IT以抽象化的方式交付給客戶，為基于IT的服務(wù)交付模式帶來了巨大變革。云計算的一些獨特優(yōu)勢，使其廣為接受，包括：大規(guī)模資源池化、資源彈性、按需分配、自動化部署、高可靠性、高運營效率及技術(shù)和IT的高透明度。云計算平臺的實現(xiàn)主要包括兩個方式：虛擬化構(gòu)成的云和應(yīng)用程序/服務(wù)器構(gòu)成的云，其中后者的安全防護(hù)與傳統(tǒng)方式基本相同，不再贅言，這里主要對虛擬化構(gòu)成的云進(jìn)行討論。目前，計算虛擬化已經(jīng)成熟，并為組織所廣泛采用，如VMware vSphere、Citrix Xen等。另外，一些用戶開始嘗試采用SDN、NFV等新型技術(shù)，旨在通過軟件控制方式解決現(xiàn)網(wǎng)中遇到的存儲、網(wǎng)絡(luò)不能自動部署和分權(quán)分域管理問題。云計算系統(tǒng)分類根據(jù)NIST發(fā)布的相關(guān)規(guī)范，云計算系統(tǒng)按照部署方法可分為私有云、公有云、社區(qū)云、混合云。為了便于說明，以下內(nèi)容將主要以私有云為例進(jìn)行說明。云計算系統(tǒng)所采用虛擬化技術(shù)的不同，對安全防護(hù)設(shè)計和部署具有一定影響。根據(jù)有無才采用SDN、NFV技術(shù)，可分為兩類：原生虛擬化系統(tǒng)和基于SDN技術(shù)的虛擬化系統(tǒng)。如無特別說明，下述描述均指原生虛擬化系統(tǒng)。云計算系統(tǒng)典型物理架構(gòu)下圖給出了一個典型的云計算系統(tǒng)的典型架構(gòu)。圖 云計算系統(tǒng)通常具有以下特征：? 核心交換機(jī)一般采用高性能數(shù)據(jù)中心級交換機(jī)搭建，支持虛擬化技術(shù)，并提供Internet、內(nèi)部網(wǎng)絡(luò)、外部專用網(wǎng)絡(luò)的接入。通過匯聚交換機(jī)（支持虛擬化）提供x86服務(wù)器、小型機(jī)等服務(wù)器的接入。? 與互聯(lián)網(wǎng)相關(guān)，可以提供VPN接入，外發(fā)訪問，以及公眾用戶對云的訪問。? 與內(nèi)部網(wǎng)絡(luò)相同，可以提供內(nèi)部用戶對云的訪問，以及和內(nèi)部其他系統(tǒng)進(jìn)行信息交互。? 都有大量的刀片式服務(wù)器，并通過虛擬化軟件，實現(xiàn)對計算資源的抽象和池化。? 具有SAN、NAS存儲系統(tǒng)。具有獨立的存儲網(wǎng)絡(luò)。? 具有獨立的綜合管理平臺，實現(xiàn)對云的運營管理。? 具有帶外網(wǎng)管系統(tǒng)，實現(xiàn)對整個云的運維管理。云計算系統(tǒng)邏輯結(jié)構(gòu)云計算系統(tǒng) 一般都包括三個層次兩個平臺：基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺即服務(wù)（PaaS）、云軟件即服務(wù)（SaaS）、云管理平臺和運維管理平臺。如下圖所示：圖 簡單說明如下：? 基礎(chǔ)設(shè)施即服務(wù)層（IaaS）：包括了各種服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、鏈路等各種物理資源，以及虛擬化管理程序和對外提供服務(wù)的接口。可以基于此層對外提供虛擬主機(jī)服務(wù)；? 平臺即服務(wù)層（PaaS）：包括了各種系統(tǒng)、平臺、應(yīng)用軟件，可以提供應(yīng)用軟件的開發(fā)、測試、部署和運營環(huán)境；? 軟件即服務(wù)（SaaS）：包括各一系列的應(yīng)用軟件，以及提供各客戶/用戶使用的交互展示程序?？梢酝ㄟ^網(wǎng)絡(luò)向用戶交付相應(yīng)的應(yīng)用服務(wù)；? 云管理平臺：負(fù)責(zé)云計算服務(wù)的運營，并對云計算資源池系統(tǒng)及其中的各類資源進(jìn)行集中管理，主要功能包括云服務(wù)開通、用戶管理、計價管理等功能。通常云管理平臺通過與資源池系統(tǒng)之間的資源管理接口下發(fā)資源管理指令，并通過網(wǎng)管接口向云維管理平臺（網(wǎng)管系統(tǒng)）提供資源池系統(tǒng)內(nèi)各類設(shè)備的管理和監(jiān)控信息；? 運維管理平臺：實現(xiàn)對虛擬設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的技術(shù)維護(hù)和管理工作，包括容量、配置和事件管理等功能。一般通過帶外網(wǎng)絡(luò)與各種資源進(jìn)行互聯(lián)二 云計算安全威脅和需求分析云計算模式通過將數(shù)據(jù)統(tǒng)一存儲在云計算服務(wù)器中，加強(qiáng)對核心數(shù)據(jù)的集中管控，比傳統(tǒng)分布在大量終端上的數(shù)據(jù)行為更安全。由于數(shù)據(jù)的集中，使得安全審計、安全評估、安全運維等行為更加簡單易行，同時更容易實現(xiàn)系統(tǒng)容錯、高可用性和冗余及災(zāi)備恢復(fù)。但云計算在帶來方便快捷的同時也帶來新的挑戰(zhàn)。安全威脅分析CSA在2013年的報告中列出了九大安全威脅。 （API） （DDoS） 。把云計算環(huán)境下的安全威脅細(xì)化，并按云計算環(huán)境下等級保護(hù)的基本要求進(jìn)行對應(yīng)，可得到如下的云計算環(huán)境下的具體安全威脅：? 網(wǎng)絡(luò)安全部分? 業(yè)務(wù)高峰時段或遭遇DDoS攻擊時的大流量導(dǎo)致網(wǎng)絡(luò)擁堵或網(wǎng)絡(luò)癱瘓? 重要網(wǎng)段暴露導(dǎo)致來自外部的非法訪問和入侵? 單臺虛擬機(jī)被入侵后對整片虛擬機(jī)進(jìn)行的滲透攻擊，并導(dǎo)致病毒等惡意行為在網(wǎng)絡(luò)內(nèi)傳播蔓延? 虛擬機(jī)之間進(jìn)行的ARP攻擊、嗅探? 云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占? 重要的網(wǎng)段、服務(wù)器被非法訪問、端口掃描、入侵攻擊? 云平臺管理員因賬號被盜等原因?qū)е碌膹幕ヂ?lián)網(wǎng)直接非法訪問云資源? 虛擬化網(wǎng)絡(luò)環(huán)境中流量的審計和監(jiān)控? 內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為的檢查和阻斷? 內(nèi)部用戶之間或者虛擬機(jī)之間的端口掃描、暴力破解、入侵攻擊等行為? 主機(jī)安全部分：? 服務(wù)器、宿主機(jī)、虛擬機(jī)的操作系統(tǒng)和數(shù)據(jù)庫被暴力破解、非法訪問的行為? 對服務(wù)器、宿主機(jī)、虛擬機(jī)等進(jìn)行操作管理時被竊聽? 同一個邏輯卷被多個虛擬機(jī)掛載導(dǎo)致邏輯卷上的敏感信息泄露? 對服務(wù)器的Web應(yīng)用入侵、上傳木馬、上傳webshell等攻擊行為? 服務(wù)器、宿主機(jī)、虛擬機(jī)的補(bǔ)丁更新不及時導(dǎo)致的漏洞利用以及不安全的配置和非必要端口的開放導(dǎo)致的非法訪問和入侵? 虛擬機(jī)因異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機(jī)或宿主機(jī)下的其它虛擬機(jī)的資源不足? 資源抽象安全部分? 虛擬機(jī)之間的資源爭搶或資源不足導(dǎo)致的正常業(yè)務(wù)異常或不可用? 虛擬資源不足導(dǎo)致非重要業(yè)務(wù)正常運作但重要業(yè)務(wù)受損? 缺乏身份鑒別導(dǎo)致的非法登錄hypervisor后進(jìn)入虛擬機(jī)? 通過虛擬機(jī)漏洞逃逸到hypervisor，獲得物理主機(jī)的控制權(quán)限? 攻破虛擬系統(tǒng)后進(jìn)行任易破壞行為、網(wǎng)絡(luò)行為、對其它賬戶的猜解，和長期潛伏? 通過hypervisor漏洞訪問其它虛擬機(jī)? 虛擬機(jī)的內(nèi)存和存儲空間被釋放或再分配后被惡意攻擊者竊取? 虛擬機(jī)和備份信息在遷移或刪除后被竊取? hypervisor、虛擬系統(tǒng)、云平臺不及時更新或系統(tǒng)漏洞導(dǎo)致的攻擊入侵? 虛擬機(jī)可能因運行環(huán)境異?；蛴布O(shè)備異常等原因出錯而影響其他虛擬機(jī)? 無虛擬機(jī)快照導(dǎo)致系統(tǒng)出現(xiàn)問題后無法及時恢復(fù)? 虛擬機(jī)鏡像遭到惡意攻擊者篡改或非法讀取? 數(shù)據(jù)安全及備份恢復(fù)? 數(shù)據(jù)在傳輸過程中受到破壞而無法恢復(fù)? 在虛擬環(huán)境傳輸?shù)奈募蛘邤?shù)據(jù)被監(jiān)聽? 云用戶從虛擬機(jī)逃逸后獲取鏡像文件或其他用戶的隱私數(shù)據(jù)? 因各種原因或故障導(dǎo)致的數(shù)據(jù)不可用? 敏感數(shù)據(jù)存儲漂移導(dǎo)致的不可控? 數(shù)據(jù)安全隔離不嚴(yán)格導(dǎo)致惡意用戶可以訪問其他用戶數(shù)據(jù)為了保障云平臺的安全，必須有有效的抵御或消減這些威脅，或者采取補(bǔ)償性的措施降低這些威脅造成的潛在損失。當(dāng)然，從安全保障的角度講，還需要兼顧其他方面的安全需求。安全需求和挑戰(zhàn) 從風(fēng)險管理的角度講，主要就是管理資產(chǎn)、威脅、脆弱性和防護(hù)措施及其相關(guān)關(guān)系，最終保障云計算平臺的持續(xù)安全，以及其所支撐的業(yè)務(wù)的安全。云計算平臺是在傳統(tǒng)IT技術(shù)的基礎(chǔ)上，增加了一個虛擬化層，并且具有了資源池化、按需分配，彈性調(diào)配，高可靠等特點。因此，傳統(tǒng)的安全威脅種類依然存在，傳統(tǒng)的安全防護(hù)方案依然可以發(fā)揮一定的作用。綜合考慮云計算所帶來的變化、風(fēng)險，從保障系統(tǒng)整體安全出發(fā)，其面臨的主要挑戰(zhàn)和需求如下：? 法律和合規(guī)? 動態(tài)、虛擬化網(wǎng)絡(luò)邊界安全? 虛擬化安全? 流量可視化? 數(shù)據(jù)保密和防泄露? 安全運維和管理針對云計算所面臨的安全威脅及來自各方面的安全需求，需要對科學(xué)設(shè)計云計算平臺的安全防護(hù)架構(gòu)，選擇安全措施，并進(jìn)行持續(xù)管理，滿足云計算平臺的全生命周期的安全。三 云安全防護(hù)總體架構(gòu)設(shè)計云安全防護(hù)設(shè)計應(yīng)充分考慮云計算的特點和要求，基于對安全威脅的分析，明確來各方面的安全需求，充分利用現(xiàn)有的、成熟的安全控制措施，結(jié)合云計算的特點和最新技術(shù)進(jìn)行綜合考慮和設(shè)計，以滿足風(fēng)險管理要求、合規(guī)性的要求，保障和促進(jìn)云計算業(yè)務(wù)的發(fā)展和運行。設(shè)計思路在進(jìn)行方案設(shè)計時，將遵循以下思路：? 保障云平臺及其配套設(shè)施? 云計算除了提供IaaS、PaaS、SaaS服務(wù)的基礎(chǔ)平臺外，還有配套的云管理平臺、運維管理平臺等。要保障云的安全，必須從整體出發(fā)，保障云承載的各種業(yè)務(wù)、服務(wù)的安全。? 基于安全域的縱深防護(hù)體系設(shè)計? 對于云計算系統(tǒng)，仍可以根據(jù)威脅、安全需求和策略的不同，劃分為不同的安全域，并基于安全域設(shè)計相應(yīng)的邊界防護(hù)策略、內(nèi)部防護(hù)策略，部署相應(yīng)的防護(hù)措施，從而構(gòu)造起縱深的防護(hù)體系。當(dāng)然，在云平臺中，安全域的邊界可能是動態(tài)變化的，但通過相應(yīng)的技術(shù)手段，可以做到動態(tài)邊界的安全策略跟隨，持續(xù)有效的保證系統(tǒng)的安全。? 以安全服務(wù)為導(dǎo)向，并符合云計算的特點? 云計算的特點是按需分配、資源彈性、自動化、重復(fù)模式，并以服務(wù)為中心的。因此，對于安全控制措施選擇、部署、使用來講必須滿足上述