張 婷
(中國聯(lián)合網(wǎng)絡(luò)通信有限公司 哈爾濱軟件研究院,黑龍江 哈爾濱 150040)
云平臺又稱云計(jì)算平臺,是一種基于軟硬件資源提供計(jì)算、網(wǎng)絡(luò)以及存儲能力的平臺,主要包括專注于數(shù)據(jù)存儲的存儲云平臺、專注于數(shù)據(jù)處理的云平臺以及兼顧計(jì)算與數(shù)據(jù)存儲和處理的綜合性云平臺[1]。云平臺集成了虛擬化技術(shù),擴(kuò)展了各個(gè)服務(wù)器設(shè)備的云計(jì)算能力。云中的服務(wù)器由云平臺統(tǒng)一管理,根據(jù)實(shí)際需要分配計(jì)算資源和存儲容量資源。與傳統(tǒng)網(wǎng)絡(luò)平臺一樣,云平臺也面臨著不可忽視的安全問題,主要為云平臺內(nèi)外的安全問題。內(nèi)部安全風(fēng)險(xiǎn)主要來自人為操作不當(dāng),導(dǎo)致用戶帳戶密碼或私人數(shù)據(jù)泄漏;外部安全風(fēng)險(xiǎn)包括主動攻擊、被動攻擊以及惡意消耗云平臺資源等?;谠破脚_的特點(diǎn)和面臨的安全風(fēng)險(xiǎn)研究響應(yīng)的網(wǎng)絡(luò)安全防范技術(shù)對于確保云平臺的安全穩(wěn)定運(yùn)行來說尤為重要[2]。
根據(jù)云平臺的安全防護(hù)需求建立多層次、多手段的安全防護(hù)體系,基本思路如下。一是將云平臺的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行安全隔離,分為外部云服務(wù)區(qū)域和內(nèi)部云服務(wù)區(qū)域兩個(gè)安全區(qū)域。數(shù)據(jù)庫、存儲設(shè)備以及云服務(wù)器等重要云平臺資源采用多級隔離技術(shù),在內(nèi)部和外部云服務(wù)區(qū)域之間進(jìn)行安全隔離[3-7]。二是在內(nèi)部和外部云服務(wù)區(qū)域分別進(jìn)行安全隔離。云服務(wù)區(qū)域中的每個(gè)信息系統(tǒng)都被認(rèn)為是一個(gè)獨(dú)立的安全組,這些組可以相互訪問。如果同一云服務(wù)區(qū)域內(nèi)的不同應(yīng)用需要相互訪問,則可以通過安全組防火墻進(jìn)行認(rèn)證訪問。三是互聯(lián)網(wǎng)應(yīng)用安全防護(hù),主要包括網(wǎng)站安全、入侵檢測以及反分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)等模塊。四是數(shù)據(jù)安全交換,外部云服務(wù)區(qū)域通過專線與網(wǎng)關(guān)相連,內(nèi)部云服務(wù)區(qū)域通過專線與本地網(wǎng)絡(luò)相連,本地信息網(wǎng)通過網(wǎng)關(guān)與外部云服務(wù)區(qū)域相連。五是云平臺完全遵從“三權(quán)分立”原則,保證各角色間權(quán)限獨(dú)立。
基于云平臺安全防護(hù)的具體要求,本次研究采用多層防護(hù)策略,其網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)原則包括以下幾點(diǎn)。一是內(nèi)外網(wǎng)隔離。云平臺分為內(nèi)外兩個(gè)區(qū)域:一個(gè)是外網(wǎng),主要用于連接互聯(lián)網(wǎng);另一個(gè)是內(nèi)網(wǎng),主要用于平臺內(nèi)部信息交換。內(nèi)外網(wǎng)之間可以采用防火墻、入侵檢測等技術(shù)實(shí)現(xiàn)安全隔離。二是平臺內(nèi)網(wǎng)隔離。在云平臺內(nèi)部,單個(gè)信息系統(tǒng)視為一個(gè)安全組,組內(nèi)可進(jìn)行信息交換。在內(nèi)部所屬不同安全組的各個(gè)應(yīng)用,如需進(jìn)行信息交換,則可經(jīng)由安全組之間設(shè)置的防火墻進(jìn)行安全訪問。三是互聯(lián)網(wǎng)應(yīng)用安全防護(hù)。主要措施包括但不限于網(wǎng)站安全防護(hù)、入侵檢測以及DDoS攻擊防護(hù)。四是數(shù)據(jù)安全防護(hù)。外網(wǎng)經(jīng)由專線與網(wǎng)關(guān)相連,內(nèi)網(wǎng)經(jīng)由專線接入本地網(wǎng)絡(luò),本地信息網(wǎng)之間、本地信息網(wǎng)與外網(wǎng)之間通過網(wǎng)關(guān)連接。云平臺安全防護(hù)網(wǎng)絡(luò)拓?fù)淙鐖D1所示。
圖1 云平臺安全防護(hù)網(wǎng)絡(luò)拓?fù)?/p>
1.3.1 防火墻技術(shù)
防火墻用于隔離云平臺和外部網(wǎng)絡(luò),控制云平臺與外部網(wǎng)絡(luò)之間的訪問,有效防止未經(jīng)授權(quán)地訪問云平臺。其中,核心數(shù)據(jù)區(qū)、服務(wù)區(qū)以及接入?yún)^(qū)均設(shè)置防火墻保證數(shù)據(jù)安全,具體做法如下。一是在接入?yún)^(qū)的輸出交換機(jī)和核心區(qū)的交換機(jī)之間安裝防火墻,保證專線接入信息的安全;二是在出口安全區(qū)的交換機(jī)和核心區(qū)的交換機(jī)之間設(shè)置防火墻,保證核心數(shù)據(jù)的安全;三是在服務(wù)區(qū)交換機(jī)和出口區(qū)交換機(jī)之間設(shè)置防火墻,保證服務(wù)區(qū)的數(shù)據(jù)安全。
1.3.2 負(fù)載均衡技術(shù)
通過規(guī)劃云平臺數(shù)據(jù)傳輸負(fù)載可以有效提升云平臺的服務(wù)質(zhì)量。在核心區(qū)的交換機(jī)一側(cè)部署負(fù)載均衡設(shè)備,根據(jù)需要配置服務(wù)器負(fù)載均衡組,以滿足整個(gè)應(yīng)用資源空間的負(fù)載均衡需求[8]。
1.3.3 網(wǎng)絡(luò)審計(jì)技術(shù)
網(wǎng)絡(luò)審計(jì)技術(shù)可以對系統(tǒng)進(jìn)行監(jiān)控和審計(jì),提供用戶行為控制、跟蹤以及評估,滿足云平臺安全需求。本次研究采用堡壘機(jī)網(wǎng)絡(luò)審計(jì)系統(tǒng),堡壘機(jī)管理的IP地址通過專用的云核心交換機(jī)對外公開,除此IP地址的主機(jī)路由外,系統(tǒng)不對外發(fā)布其他管理網(wǎng)絡(luò)路由。基于防火墻配置靜態(tài)地址映射后對外發(fā)布堡壘主機(jī)的公網(wǎng)地址,管理員通過堡壘機(jī)的公網(wǎng)地址訪問堡壘機(jī)的網(wǎng)絡(luò)審計(jì)系統(tǒng),再通過堡壘機(jī)對內(nèi)網(wǎng)其他設(shè)備進(jìn)行管理和配置。
1.3.4 DDoS異常流量清洗系統(tǒng)
流量異常是指網(wǎng)絡(luò)的流量偏離正常范圍,可能會在短時(shí)間內(nèi)對網(wǎng)絡(luò)或網(wǎng)絡(luò)上的計(jì)算機(jī)造成重大損害。此外,DDoS攻擊通常攻擊源分散、流量集中。雖然現(xiàn)有的DDoS攻擊清除方法可以阻斷攻擊流量,但往往會誤傷合法流量?;谠朴?jì)算模型的異常流量清洗系統(tǒng)可用于網(wǎng)絡(luò)上的集中調(diào)度、并行處理以及近距離清洗。
1.3.5 漏洞掃描檢測技術(shù)
漏洞檢測通常采用兩種策略,第一種是被動漏洞檢測,第二種是主動漏洞檢測。被動漏洞檢測策略就是基于主機(jī)對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他與安全規(guī)則抵觸的對象進(jìn)行檢查;而主動漏洞檢測策略是基于網(wǎng)絡(luò)的,通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為,并記錄系統(tǒng)的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測技術(shù)歸納起來主要包括基于應(yīng)用的漏洞檢測技術(shù)、基于主機(jī)的漏洞檢測技術(shù)、基于目標(biāo)的漏洞檢測技術(shù)以及基于網(wǎng)絡(luò)的漏洞檢測技術(shù)。其中,基于網(wǎng)絡(luò)的檢測技術(shù)利用一系列的腳本模擬對系統(tǒng)進(jìn)行攻擊的行為,然后對結(jié)果進(jìn)行分析,針對已知的網(wǎng)絡(luò)漏洞進(jìn)行檢驗(yàn)?;诰W(wǎng)絡(luò)的檢測技術(shù)常被用來進(jìn)行穿透實(shí)驗(yàn)和安全審記[9,10]。
通過分析黑客尋找網(wǎng)絡(luò)漏洞和攻擊網(wǎng)絡(luò)的過程可以發(fā)現(xiàn),傳統(tǒng)的網(wǎng)絡(luò)安全漏洞掃描工具不能根據(jù)檢測過程中得到的信息進(jìn)行進(jìn)一步的分析。實(shí)際上,任何網(wǎng)絡(luò)攻擊都會在被測系統(tǒng)的目標(biāo)主機(jī)留下連接端口、服務(wù)、IP地址以及標(biāo)志等,加上目標(biāo)主機(jī)的系統(tǒng)資源、運(yùn)行狀態(tài)、服務(wù)程序等諸多信息,可以更加全面地認(rèn)識和分析這些網(wǎng)絡(luò)攻擊產(chǎn)生的信息,這也本次研究的漏洞主動檢測分析及預(yù)測機(jī)制的核心?;谶@些信息生產(chǎn)評估報(bào)告,可以主動檢測分析漏洞,預(yù)測系統(tǒng)中可能存在的安全漏洞。
漏洞主動檢測系統(tǒng)要求在被測試的目標(biāo)主機(jī)運(yùn)行實(shí)時(shí)監(jiān)視主機(jī)狀態(tài)的服務(wù)程序,以便對漏洞掃描主機(jī)每一次的模擬攻擊進(jìn)行跟蹤,然后將被測試目標(biāo)主機(jī)的服務(wù)進(jìn)程、內(nèi)存資源狀態(tài)以及中央處理器(Central Processing Unit,CPU)資源等信息傳給漏洞掃描主機(jī),對信息進(jìn)行統(tǒng)計(jì)分析,以便進(jìn)行進(jìn)一步的攻擊測試。對不具備測試條件的,應(yīng)給出漏洞危害等級提示,預(yù)警可能存在的網(wǎng)絡(luò)安全隱患,即隱性的網(wǎng)絡(luò)安全漏洞。
1.3.6 防病毒技術(shù)
檢查和清除計(jì)算機(jī)病毒是維護(hù)網(wǎng)絡(luò)安全的重要步驟。通過開發(fā)和推廣更好的防病毒軟件以達(dá)到優(yōu)化檢查和清除計(jì)算機(jī)病毒的效果。計(jì)算機(jī)防病毒軟件適用的用戶組并不完全相同,普通個(gè)人用戶面臨的計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較小,不易受到黑客攻擊,可選擇家用小型殺毒軟件,查殺互聯(lián)網(wǎng)上較為常見的木馬病毒。而云平臺包含大量的關(guān)鍵信息和數(shù)據(jù),因此應(yīng)選擇更專業(yè)的殺毒軟件。由于病毒更新頻繁,在使用殺毒軟件時(shí)應(yīng)注意及時(shí)更新,以確保殺毒功能的有效性。
1.3.7 入侵檢測與隔離技術(shù)
云平臺下的虛擬化安全防護(hù)系統(tǒng)通過更新外圍防火墻的過濾規(guī)則來檢測攻擊。但是由于過濾規(guī)則的限制,很難完全排除惡意攻擊信息。為此,需要通過入侵檢測和隔離技術(shù)攔截針對系統(tǒng)漏洞的攻擊,檢測異常訪問行為,并根據(jù)相應(yīng)的安全策略自動響應(yīng)[10]。本次研究提出一種新的入侵檢測和隔離方法,通過內(nèi)存快照直接獲取云服務(wù)器操作系統(tǒng)的相關(guān)信息,攔截可疑的通信數(shù)據(jù)包,在保證正常數(shù)據(jù)通信的同時(shí)自動檢測攻擊信息。通過分析截獲的信息可以區(qū)分進(jìn)程,防止異常進(jìn)程信息接收合法進(jìn)程數(shù)據(jù)。當(dāng)服務(wù)器受到攻擊時(shí)可以自動檢測并生成新的安全規(guī)則來阻止攻擊,攻擊攔截過濾流程如下。通過數(shù)據(jù)采集器獲取網(wǎng)絡(luò)信息,入侵檢測引擎根據(jù)采集到的數(shù)據(jù)進(jìn)行檢測分析。如果檢測結(jié)果異常,則產(chǎn)生相應(yīng)的告警信息并采取相應(yīng)的對策。
1.3.8 應(yīng)用安全防護(hù)
應(yīng)用安全防護(hù)技術(shù)用于保護(hù)云平臺內(nèi)的各種應(yīng)用,可分析應(yīng)用的安全狀態(tài),及時(shí)找出存在安全風(fēng)險(xiǎn)的應(yīng)用,并采取響應(yīng)的安全措施,阻止針對應(yīng)用程序漏洞的惡意攻擊,從而確保系統(tǒng)安全。首先,研究總結(jié)惡意攻擊行為特性,構(gòu)建惡意行為特征庫并動態(tài)更新,監(jiān)控各應(yīng)用的運(yùn)行,如果監(jiān)測到惡意攻擊行為特征,則判定為惡意攻擊,此時(shí)從安全策略庫中選取對應(yīng)的解決對策,對惡意攻擊行為進(jìn)行處理。
根據(jù)云平臺的實(shí)際安全需求建立多層次、多技術(shù)的安全防護(hù)體系,設(shè)計(jì)出較為完善的安全防護(hù)方案,結(jié)合防火墻、病毒防護(hù)、漏洞掃描、入侵檢測、負(fù)載均衡、DDoS以及應(yīng)用安全防護(hù)等多種技術(shù)為云平臺的運(yùn)行提供有效的安全保障。同時(shí)隨著云平臺業(yè)務(wù)的不斷發(fā)展和技術(shù)的不斷進(jìn)步,云平臺安全防護(hù)體系也需要不斷進(jìn)行優(yōu)化和完善。