金鈺　朱華

摘要：介紹了當(dāng)前電信運營商云資源池建設(shè)現(xiàn)狀，分析了云資源池在安全防護方面面臨的需求與挑戰(zhàn)，指出要解決云資源池安全問題所需部署的防護策略，說明了部署效果及下一步研究方向。

關(guān)鍵詞：云資源池；安全防護；虛擬化

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）20-0020-02

Discussion on Security Defense Strategy for Cloud Resource Pool of Operators

JIN Yu， ZHU Hua

（GCI Science & Technology Co.Ltd. ， Guangzhou 510310， China）

Abstract： This paper deals with the defense strategy to solve the security problems in cloud resource pool by analyzing the current status of telecom operators cloud resource pool where there are needs and challenges for security.

Key words： cloud resource pool； security defense； virtualization

傳統(tǒng)計算機技術(shù)用相對獨立的計算機承載不同應(yīng)用，相互間計算、存儲資源很難共享，帶來資源利用率低、能源消耗多、電子垃圾污染大、維護復(fù)雜等問題。云計算技術(shù)的興起和應(yīng)用提供了一種新型的信息資源管理和計算服務(wù)模式，解決了傳統(tǒng)計算機技術(shù)的弊端，依托通信網(wǎng)絡(luò)，將資源集中起來提供計算信息服務(wù)，從而降低成本、節(jié)能降耗。

云資源池將服務(wù)器物理資源抽象成邏輯資源，讓一臺服務(wù)器變成幾臺甚至上百臺相互隔離的虛擬服務(wù)器，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務(wù)器整合，讓IT對業(yè)務(wù)的變化更具適應(yīng)力。

作為云服務(wù)提供商的電信運營商就是首先需要建設(shè)一個大容量的資源池來滿足在并發(fā)的業(yè)務(wù)高峰時刻用戶的服務(wù)要求[1] 。

1 現(xiàn)狀分析

電信運營商的業(yè)務(wù)云體系目前主要側(cè)重資源池整體布局、計算虛擬化技術(shù)的雙節(jié)點部署。隨著資源池規(guī)模不斷擴大和承載應(yīng)用的不斷增多，云資源池在服務(wù)模式、動態(tài)虛擬化管理方式以及多租戶共享運營模式等方面的差異、因管理權(quán)和所有權(quán)的分離而引發(fā)的信任問題，使其安全性面臨比傳統(tǒng)IT系統(tǒng)更為嚴(yán)峻的挑戰(zhàn)，需要克服數(shù)據(jù)安全和運營安全雙重風(fēng)險。

在安全組件部署方面，當(dāng)前云資源池通過防火墻設(shè)備進(jìn)行安全防護[2]，采用主備工作模式，通過心跳線連接，通過防火墻虛擬化技術(shù)，實現(xiàn)各系統(tǒng)之間的安全隔離，通過vLan方式實現(xiàn)不同集群間的網(wǎng)絡(luò)劃分，實現(xiàn)資源池東西方向的安全隔離，存儲層面通過ZONE和LUN映射實現(xiàn)虛擬機間存儲訪問隔離，嚴(yán)格隔離用戶數(shù)據(jù)。這種僅依靠防火墻與數(shù)據(jù)存儲訪問控制的安全策略進(jìn)行資源池的安全隔離，遠(yuǎn)遠(yuǎn)無法滿足資源池安全建設(shè)的需要，主要問題如下：[3]。

1） 業(yè)務(wù)平臺虛擬機缺少防惡意代碼軟件安裝，在網(wǎng)絡(luò)邊界處無法監(jiān)視網(wǎng)絡(luò)入侵和攻擊行為，云資源池管理平臺不能主動識別端口掃描、暴力破解、木馬后門攻擊、緩沖區(qū)溢出攻擊、IP 碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊。

2） 云資源池底層架構(gòu)主機采用服務(wù)器虛擬化軟件安裝，主機維護靠系統(tǒng)日志方式進(jìn)行記錄，系統(tǒng)日志不獨立，無法防止被篡改，管理人員做了違規(guī)操作后可能會刪除日志，造成無法追查、無法定位。

3） 存在多種管理角色，如設(shè)備管理員、系統(tǒng)管理員、安全管理員和應(yīng)用系統(tǒng)管理員等，同一角色存在多個管理員。管理員進(jìn)行維護時，可能是使用業(yè)務(wù)系統(tǒng)同一賬號，一旦出現(xiàn)問題很難定位具體某個人的操作。對運維過程中存在的問題無法有定量或定性的分析數(shù)據(jù)，只能簡單從安全事件方面進(jìn)行描述。

綜合以上問題，當(dāng)前需要完善云資源池安全防護策略部署，加強運維過程的事前、事中、事后審計與控制，降低信息安全風(fēng)險。

2 安全防護措施

2.1 軟件安全防護策略

由于云資源池平臺中的虛擬終端都通過虛擬主機的虛擬層來和其他及外部進(jìn)行通信和交互，如果虛擬層存在漏洞或者是被入侵，將造成整個虛擬環(huán)境的安全風(fēng)險，為此加強虛擬層的安全尤為重要。

云資源池管理服務(wù)器作為虛擬化平臺基礎(chǔ)架構(gòu)關(guān)鍵服務(wù)器，負(fù)責(zé)整個虛擬化下的虛擬主機、虛擬網(wǎng)絡(luò)、虛擬平臺存儲系統(tǒng)、備份系統(tǒng)、容災(zāi)系統(tǒng)的統(tǒng)一控制和管理。因此，針對這類虛擬化自身服務(wù)器的入侵檢測、入侵防御的安全監(jiān)控和防護功能是所有虛擬化基礎(chǔ)架構(gòu)安全加固的基礎(chǔ)。

安全防護軟件應(yīng)專門針對資源池管理服務(wù)器提供虛擬的 IDS 入侵檢測策略、IPS 入侵防護策略功能：

1） 虛擬環(huán)境的管理服務(wù)器的 IDS 入侵檢測應(yīng)包含以下策略：

監(jiān)控關(guān)鍵的虛擬化文件訪問；

監(jiān)控虛擬化軟件的關(guān)鍵命令和工具執(zhí)行；

監(jiān)控虛擬化軟件的關(guān)鍵配置變化；

監(jiān)控虛擬機標(biāo)準(zhǔn)網(wǎng)絡(luò)接口或者其他關(guān)鍵應(yīng)用；

提供一種簡單的機制監(jiān)控虛擬化軟件重要動作日志；

監(jiān)視虛擬化管理服務(wù)器上訪問成功，失敗，以及執(zhí)行命令；

監(jiān)視虛擬管理服務(wù)器上的關(guān)鍵事件和通用的審計；

監(jiān)視虛擬管理服務(wù)器上主機完整性；

監(jiān)視虛擬管理服務(wù)器上虛擬化主機的配置變化[4]。

2） 虛擬環(huán)境的管理服務(wù)器的 IPS 入侵防護應(yīng)包含以下策略：

增強 Windows 安全防護策略，保護管理服務(wù)器的應(yīng)用組件、基礎(chǔ)架構(gòu)組件、應(yīng)用程序文件和包含敏感數(shù)據(jù)的目錄（證書文件/日志文件）；

限制管理服務(wù)器的網(wǎng)絡(luò)訪問的范圍、端口、可信的應(yīng)用程序；

保護需要訪問管理服務(wù)器的第三方訪問工具；

針對預(yù)先調(diào)整的 Windows 基線策略，監(jiān)測用戶/用戶組的改變，登錄失敗，防止對關(guān)鍵配置文件/SSL證書/應(yīng)用程序的篡改；

針對管理平臺預(yù)先調(diào)整的文件完整性檢查策略，實時監(jiān)視平臺的二進(jìn)制文件/配置文件/的變更；

對管理平臺日志進(jìn)行監(jiān)視（主要是 Web 交互日志）。

3） 虛擬化服務(wù)器病毒防護策略

針對虛擬化服務(wù)器病毒的防護，安全防護平臺應(yīng)能針對每個虛擬機進(jìn)行病毒防護，且應(yīng)解決傳統(tǒng)防病毒方式無法適應(yīng)虛擬化架構(gòu)的問題，特別是虛擬化防病毒帶來的掃描風(fēng)暴和病毒定義升級風(fēng)暴問題。

2.2 核心業(yè)務(wù)主機安全防護策略

無論是物理服務(wù)器還是虛擬化后的服務(wù)器，都面臨相同的安全防護考慮，包括：網(wǎng)絡(luò)入侵、病毒攻擊、針對性未知病毒、惡意配置修改、漏洞利用、數(shù)據(jù)盜取和傳輸、遠(yuǎn)程內(nèi)存shellcode 注入、進(jìn)程注入等等。資源池安全管理平臺應(yīng)提供針對物理機、虛擬化服務(wù)器的全方位 的系統(tǒng)加固和系統(tǒng)入侵防御，最大限度的保護無論是物理還是虛擬的服務(wù)器的系統(tǒng)安全、業(yè)務(wù)應(yīng)用安全和數(shù)據(jù)安全。因此在安全防護策略設(shè)置時應(yīng)考慮以下功能：

1） 防護零日攻擊：通過沙盒技術(shù)、白名單技術(shù)阻止惡意程序利用零日漏洞對關(guān)鍵業(yè)務(wù)服務(wù)器進(jìn)行攻擊，阻止惡意程序通過零日漏洞進(jìn)行傳播。

2） 細(xì)粒度的系統(tǒng)加固和訪問控制：能夠鎖定操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫、 阻止未授權(quán)的程序運行，針對每個操作系統(tǒng)和應(yīng)用程序進(jìn)程都創(chuàng)建基于行為的“虛擬”Shell，監(jiān)控對內(nèi)核的系統(tǒng)調(diào)用并根據(jù)用戶定義的策略允許或拒絕對系統(tǒng)資源的訪問；設(shè)定訪問控制列表（ACL），實時監(jiān)控訪問程序，可對照用戶的身份和權(quán)限進(jìn)行控制，針對各個進(jìn)程設(shè)定 ACL，限定允許訪問的網(wǎng)絡(luò)地址，開放訪問的時間以及訪問權(quán)限。

3） 文件/注冊表/屬性的完整性監(jiān)控：監(jiān)控物理或虛擬主機上的關(guān)鍵系統(tǒng)配 置或關(guān)鍵應(yīng)用的配置文件、注冊表、屬性變動情況、以及變動的內(nèi)容、實施變動的用戶等。

4） 物理或虛擬化服務(wù)器上的應(yīng)用收集及策略制定：收集物理或虛擬化服務(wù)器上的應(yīng)用程序收集，并直接在控制臺上呈現(xiàn)，根據(jù)收集的應(yīng)用程序直接指定基于策略的控制和白名單策略。

5） 系統(tǒng)和用戶監(jiān)控審計：能夠監(jiān)控用戶登錄的核心進(jìn)程 login，通過此進(jìn)程攔截各種方式的用戶登錄過程，實現(xiàn)主機用戶行為審計、操作系統(tǒng)日志審計、應(yīng)用審計等。

6） 高性能防火墻：能夠提供高性能防火墻功能，對進(jìn)出TCP/UDP流量進(jìn)行管控。

7） 實現(xiàn)緩沖區(qū)溢出和內(nèi)存防護，支持進(jìn)程間訪問控制，支持進(jìn)程和子進(jìn)程的啟動保護。

8） 對物理及虛擬化的服務(wù)器系統(tǒng)及關(guān)鍵應(yīng)用的實時監(jiān)控和審計。

9） 提供物理及虛擬化服務(wù)器的入侵防護和檢測。

2.3 運維管理安全防護策略

由于云資源池管理本身特性、管理員權(quán)限過大、維護人員變動，將給業(yè)務(wù)應(yīng)用帶來巨大風(fēng)險。用戶口令共享導(dǎo)致的用戶身份的真實性和合法性無法得到保證，管理用戶出現(xiàn)操作失誤或惡意操作，可采用對用戶操作行為進(jìn)行審計方式降低風(fēng)險。為此部署運維安全管理軟件，實現(xiàn)用戶認(rèn)證、安全審計功能，構(gòu)建云資源池堡壘機。該軟件應(yīng)能夠?qū)Y源池運維操作進(jìn)行認(rèn)證并保存相關(guān)操作記錄以便追溯，將把所有對虛擬化軟件的訪問路徑進(jìn)行統(tǒng)一，能確保資源池的訪問必須通過運維安全管理軟件進(jìn)行，從而完成對虛擬化資源池的堡壘控制，包括授權(quán)管理、權(quán)限控制、審計操作、二次高危操作授權(quán)流程處理等，功能如下：

1） 對云資源池提供細(xì)粒度的訪問控制功能，讓虛擬化平臺環(huán)境減少不必要的訪問特權(quán)賬戶，管理控制用戶訪問虛擬資產(chǎn)；

2） 能夠自動定期為虛擬基礎(chǔ)設(shè)施進(jìn)行系統(tǒng)配置和安全設(shè)置評估，詳細(xì)記錄成功和失敗的操作和配置變更，提供深入的數(shù)據(jù)審計，并解決法規(guī)對虛擬化系統(tǒng)的安全要求；

3） 提供針對命令級別的訪問控制，將管理員權(quán)限進(jìn)行進(jìn)一步區(qū)分，同時對虛擬機訪問的對象，例如存儲設(shè)備的訪問權(quán)限可以進(jìn)行控制。

4） 實現(xiàn)賬號的集成管理：通過對現(xiàn)有資源池管理員的管理權(quán)限進(jìn)行回收， 所有用戶必須通過運維管理軟件上的用戶認(rèn)證后，才能管理虛擬化平臺。

5） 提供對不同虛擬機進(jìn)行分組權(quán)限授權(quán)。支持多種雙因素認(rèn)證方式：包括 RSA Secure ID， VeriSign VIP 等多種雙因素認(rèn)證方式，并且可以和AD 集成使用從而可以保證虛擬終端用戶和虛擬平臺管理員用戶身份的真實性和合法性[5]。

6） 提供關(guān)鍵操作的，高危操作的二次審批，針對特別敏感的命令，例如虛擬機重啟，可以設(shè)置命令審批機制，既管理員A下達(dá)虛擬機重啟命令時候，需要管理員B進(jìn)行審批，杜絕誤操作可能性。

3 結(jié)束語

隨著云資源池在電信運營商的大規(guī)模建設(shè)，其面臨的安全挑戰(zhàn)也是前所未有，為了實現(xiàn)云計算的安全目標(biāo)，還需要在當(dāng)前云資源池平臺基礎(chǔ)上，深入研究云計算與互聯(lián)網(wǎng)金融結(jié)合的安全防護技術(shù)，提供更多云計算安全解決方案。

參考文獻(xiàn)：

[1] 安全云服務(wù)的資源池化與虛擬化[EB/OL].[2012-02-24].http：//book.51cto.com/art/201202/319793.htm.

[2] 幾種分布式攻擊（ICMP、SYNFlood、Smurf）的防范[EB/OL].[2013-12-05].http：//www.educity.cn/labs/564686.html.

[3] 燕杰，樊勇兵，金華敏，等. 電信運營商的云計算資源池部署方法概述[J]. 電信科學(xué)， 2011（10）：15-18.

[4] 侯繼江，張鑒，陳軍. 電信運營商云計算數(shù)據(jù)中心安全防護體系研究[J]. 電信網(wǎng)技術(shù)， 2012（3）：26-27.

[5] 丘惠軍. 虛擬化安全服務(wù)器研究與設(shè)計[J]. 現(xiàn)代計算機， 2014（2）：77-78.