IaaS云计算安全框架设计

精选优质文档-倾情为你奉上IaaS云计算安全框架设计1 IaaS云计算功能架构 说明：接入层：指提供给用户访问云系统 或用于为其他服务提供调用接口的软硬件系统。如Portal。虚拟资源层：指虚拟机、虚拟存储设备、虚拟交换机、虚拟服务器等虚拟化的实体 。虚拟化平台层: 指服务器虚拟化软件（如vmwareESXi），存储虚拟化软件(?), 网络虚拟化软件（?）。硬件资源层：指各种服务器，存储设备及存储网络、网络设备及连接等资源。管理层: 指提供IaaS服务管理、系统运行管理及安全管理功能相关软硬件系统。2 IaaS云计算安全风险 2.1 接入层风险会话控制和劫持：指web应用中的通信会话被攻击者控制劫持导致通信信息泄露或拒绝服务等问题。尽管HTTP协议是无状态协议，但一些Web应用程序则依赖于会话状态，因此存在遭受会话控制和劫持风险。API访问控制失效：指当外部实体访问接口层时，不能验证调用者的身份信息或者验证机制被旁路带来的问题。弱密码攻击：指因为加密算法缺陷或新的密码分析技术的进步导致安全通信中所依赖的加密技术不再安全。2.2 虚拟资源层风险虚拟机隔离失效：一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机，可能带来虚拟机信息泄露，拒绝服务等问题。虚拟机逃逸：指攻击者获得Hypervisor的访问权限，从而对其他虚拟机进行攻击。若一个攻击者接入的主机运行多个虚拟机，它可以关闭Hypervisor，最终导致这些虚拟机关闭。虚拟机迁移安全失效：指当虚拟机进行动态迁移或通过文件复制等方式静态迁移时，如果迁移前后所在的主机平台的安全措施不一致，则可导致虚拟机陷入安全风险状态。共享存储数据删除不彻底：指多租户模式下，不同用户共享同一物理存储资源，当一个用户所分配的物理存储资源被回收后，如果其上的数据没有彻底删除，那么就可能被非法恢复的风险。虚拟机镜像文件非法访问和篡改：指虚拟机镜像文件在没有所有者授权下非法复制，修改等风险。2.3虚拟化平台层风险虚拟化平台完整性篡改：指虚拟化软件被攻击者注入恶意代码或进行篡改导致系统进入不安全状态。管理接口非法访问：指虚拟化软件面向管理员的访问接口没有设置访问控制措施或因为软件缺陷利用，攻击者访问管理接口将直接影响这个虚拟化平台的安全。如Xen用XenCenter管理其虚拟机，这些控制台可能会引起一些新的缺陷，例如跨站脚本攻击、SQL入侵等。资源分配拒绝服务：指在虚拟化环境下，CPU、内存等资源是虚拟机和宿主机共享的，如果虚拟机发起DoS攻击以获取宿主机上所有的资源，可能造成主机拒绝服务。2.4 硬件资源层风险主机及网络拒绝服务：指提供服务的物理主机和网络设备不能为其他访问者提供正常的服务。服务器非法访问：指服务器因为缺乏访问控制或认证机制被非法用户登录或使用其资源。存储硬件设备失效导致的数据丢失：指因为设备自身质量问题导致数据丢失。设备非法接入网络：指网络缺乏必要的设备监控机制，不能发现或阻止未经事先登记或注册的设备接入网络，给网络带来安全隐患。服务器病毒感染：指服务器因为病毒库未更新或防御不当导致感染病毒，影响服务器的正常运行。服务器节点失效：指服务器因为自身设备故障或软件系统漏洞导致不能正常服务。2.5 物理安全风险自然灾害：指地震、火灾等具有强破坏力的情况。数据中心非法进出：指人员可以随意进出带来的风险，如设备失窃。数据中心辅助设施失效：指提供数据中心动力的系统的失效带来的风险，如供电设备失效导致服务器宕机数据丢失等问题。2.6 其他风险服务商绑定：指因为服务商没有采用标准的技术导致当用户从一家服务商将业务迁移到另一家服务商时，存在迁移困难的风险。服务计费失效:指云服务计费测量系统因为被攻击导致服务计费工作失效。合规审计失效：指云环境下的合规审计工作变动困难。 如可能存在一家云服务商同时还租用其他云服务商的服务，这种业务下的合格审计工作显然更加复杂。动态系统的监控失效：指因为云系统的动态特点，传统的监控技术存在不足而导致的风险。如同一主机上的虚拟机间流量无法用传统的技术来监控。多用户身份及访问控制失效：指云环境下，用户的身份及访问管理问题变得更加困难，传统方法可能不在适用于云环境下。3 IaaS云计算安全框架 IaaS云计算安全框架 3.1接入层安全3.1.1 web安全云服务是一种基于Web的 服务模式，同时相关管理工作也通过Web方式来管理。因此，web安全包括Web 应用系统本身的安全和web内容安全。一是利用 Web 应用漏洞（如 SQL 注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞）获取用户信息、损害应用程序，以及得到 Web 服务器的控制权限等 ；二是内容安全，即利用漏洞篡改网页内容，植入恶意代码，传播不正当内容等一系列问题。主要安全风险：弱密码攻击、会话控制和劫持、权限提升、网页内容篡改等。主要安全措施：针对 Web 应用漏洞，应注重 Web 应用系统的全生命周期的安全管理，针对系统生命周期不同阶段的特点采用不同的方法提高应用系统的安全性。Web 应用可采取网页过滤、反间谍软件、邮件过滤、网页防篡改、Web 应用防火墙等防护措施，同时加强安全配置，如定期检查中间件版本及补丁安装情况，账户及口令策略设置，定期检查系统日志和异常安全事件等等。3.1.2 API安全API安全主要指IaaS作为云资源，除了可以直接为用户所使用外，也可以被PaaS云服务商所使用。因此，在进行服务调用对API的验证成为一个关注的问题。主要安全措施: 对API签名，确保只对合法的调用者使用。3.2 虚拟资源层安全虚拟资源层安全指资源被虚拟化为虚拟资源的安全风险。主要安全风险：虚拟机隔离失效，虚拟机逃逸、资源分配拒绝服务等。主要安全措施：虚拟机的安全隔离及访问控制、虚拟交换机、虚拟防火墙、虚拟镜像文件的加密存储、存储空间的负载均衡、冗余保护、虚拟机的备份恢复等。3.3 虚拟化平台层安全虚拟化平台层安全指虚拟化相关软件的安全风险，各种虚拟化软件引入了新的攻击界面，如服务器虚拟化软件的Hypervisor 和其它管理模块。主要安全风险: hypervisor层的软件篡改、管理接口非法访问、资源分配拒绝服务等。主要安全措施：基于可信计算技术实施对虚拟化平台层的完整性保护，引入访问控制机制确保管理接口的安全性，引入身份认证技术确保其他管理模块的安全。3.4 硬件资源层安全3.4.1 服务器安全服务器安全主要指云计算系统中的主机服务器、维护终端在内的所有计算机设备在操作系统和数据库的层面安全性。主要安全风险： （1）操作系统的安全问题主要体现在操作系统本身的缺陷带来的不安全因素，如访问控制、身份认证、系统漏洞、操作系统的安全配置问题、病毒对操作系统的威胁等方面，（2）数据库的安全性主要体现在安全补丁、账户口令、角色权限、日志和审计、参数设置等方面。（3）主机系统作为云计算平台海量信息存储、传输、应用处理的基础设施，数量众多，资产价值高，面临的安全风险极大，其自身安全性可能影响整个云计算系统的安全。（4）维护终端作为一种比较分散的资源，长期以来面临病毒、蠕虫、木马、恶意代码攻击，难以进行集中有效的安全管理。不安全的终端可能成为一个被动的攻击源，对整个系统构成威胁。主要防护措施:包括身份认证、访问控制、主机安全审计、HIDS、主机防病毒系统等，全面发现主机系统和数据库在安全配置、安全管理、安全防护措施等方面的漏洞和安全隐患。应定期查看维护终端的版本及安全补丁安装情况，检查账户及口令策略，防止出现使用系统默 认账户或弱口令等情况的发生，应注意及时升级防病毒、防木马软件的病毒、木马库。另外，需要定期查看日志，避免异常安全事件及违规操作的发生。3.4.2 存储安全存储安全主要指提供存储资源的物理设施及存储网络，确保存储资源的可用性，可靠性等目标。主要安全风险：存储硬件失效、共享存储网络拒绝服务等。主要安全措施：存储设备冗余设置、存储网络访问控制、存储网络监控等。3.4.3 网络安全网络安全主要指网络架构、网络设备、安全设备方面的安全性，主要体现网络拓扑安全、安全域的划分及边界防护、网络资源的访问控制、远程接入的安全，路由系统的安全、入侵检测的手段、网络设施防病毒等方面。主要安全风险：设备非法接入网络、网络拒绝服务、关键设备中毒等问题。主要安全措施：划分安全域、实施安全边界防护、部署防火墙、IPS/IDS，部署 Dos、DDoS 攻击防御系统、网络安全审计系统、防病毒网关、强身份认证等。3.5 物理安全物理安全是整个云计算系统安全的前提，主要包括物理设备的安全、网络环境的安全等，以保护云计算系统免受各种自然及人为的破坏。主要安全风险：自然灾害风险等引起云计算系统设备和线路不可用、数据中心管理不严引起的设备失窃风险等。主要安全措施：引入安防措施，如视频监控系统, 辅助设施采用冗余设置，增加安保人员队伍。3.6 支撑性安全基础3.6.1数据安全数据安全指数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。数据安全风险贯穿于数据的创建、存储、使用、共享、归档、销毁等阶段。数据安全措施：（1）通过虚拟化层实现虚拟机间存储访问隔离；（2）通过设置虚拟环境下的逻辑边界安全访问控制策略，实现虚拟机、虚拟机组间的数据访问控制 ；（3）通过对重要的数据信息在上传、存储前进行加密处理来保障数据存储的安全 ；（4）通过采用采用数据加密、VPN 等技术保障用户数据及维护管理信息的网络传输安全 ；（5）通过存储资源重分配之前进行完整的数据擦除实现剩余信息的安全；（6）通过支持文件级完整和增量备份, 映像级恢复和单个文件的恢复等方式保障数据的有效备份与迅速恢复。3.6.2 身份认证及访问管理IAM管理涉及自动化管理账号、用户自助式服务、认证、访问控制、单点登录、权职分离、数据保护、特权用户管理、数据防丢失保护措施与合规报告等方面。云环境下的身份认证及访问管理面临如下挑战：（1）企业拥有多套应用系统，分别属于不同的部门或业务系统。这些系统有各自独立的IAM系统，管理起来更加复杂。（2）各独立IAM系统分别管理其所属的系统资源，为系统的用户分配权限。由于缺乏统一的资源授权管理平台，无法严格按照最小权限原则分配权限。（3）日常使用中，用户往往需要同时使用几个不同应用系统的服务，需要在不同的系统间进行切换，用户需要输入多个用户名及口令进行登录，影响工作效率。（4）因为各个IAM系统的独立性，导致对个系统的审计也是独立的，缺乏集中统一的访问审计。安全人员难以对所有的应用系统进行综合分析，无法及时发现可能的入侵行为。应对措施：采用统一的身份认证及访问控制机制，如建立统一AAA系统。3.6.3 密钥管理 密钥管理指密钥的创建、分发、使用、存储、销毁、备份等环节的工作。密钥管理方面存在问题及挑战：密钥存储非法访问、密钥丢失、密钥管理不兼容等。主要措施：（1）对密钥存储访问控制机制，必须限制只有特定需要单独密钥的实体可以访问密钥存储。还需要相关策略来管理密钥存储，使用角色分离来帮助进行访问控制，给定密钥的使用实体不能是存储该密钥的实体。（2）引入密钥管理标准，确保系统的可移植性和可操作性，如OASIS密钥管理协同协议（KMIP）就是云中协同密钥管理的新标准。IEEE1619.3标准涵盖了存储加密和密钥管理，尤其适用于存储IaaS。（3）密钥备份和恢复。意外丢失保护关键任务数据的密钥会毁灭一个业务，所以必须执行安全备份和恢复解决方案。3.6.4 灾难备份与恢复灾难备份与恢复主要针对一些不可抗拒的灾难时，如火灾、长时间停电及网络故障，确保服务不中断。云计算环境下，系统更加复杂化，对灾难备份与恢复带来了挑战,，如云计算数据中心进行了虚拟化改造，整个服务器，包括操作系统、应用程序、补丁程序、配置文件和用户数据都被封装到一个单一虚拟服务器，传统的灾难备份与恢复机制不在适应。主要应对措施：（1）支持文件级和系统级的恢复备份灾难备份与恢复，可以更加精细地调整灾难备份与恢复系统的性能。（2）灾难备份与恢复机制结合虚拟化环境的。（3）采用基于SAN 备份技术，提供多站点的可用性，可快熟将故障转移到灾难恢复站点。3.6.5 安全事件监控与审计安全事件监控主要用于实现安全事件进行集中管理，从而更好地检测、发现、评估安全事件，及时有效地对安全事件作出响应，预防类似的安全事件再次发生。审计的目的是确保信息系统及业务满足相关的安全策略和法律法规。云环境下，云服务商之间相互关联，云计算系统更加复杂，云计算相关的法律法规还不健全，一些审计者和评估者可能对云计算也不熟悉，这些都对云计算环境下的安全事件监控工作和审计工作带来了挑战。针对这些挑战，主要工作围绕着云环境的法规法规的制定及云环境的安全监控技术研究。4 IaaS云计算安全技术架构 专心-专注-专业