IDC基础设施云的安全策略研究.doc
- 文档编号:230776
- 上传时间:2022-10-07
- 格式:DOC
- 页数:13
- 大小:233KB
IDC基础设施云的安全策略研究.doc
《IDC基础设施云的安全策略研究.doc》由会员分享,可在线阅读,更多相关《IDC基础设施云的安全策略研究.doc(13页珍藏版)》请在冰豆网上搜索。
IDC基础设施云的安全策略研究
段勇朱源
(中国电信股份有限公司上海研究院上海200122)
摘要:
云计算是一种新的技术和商业模式,通过“基础设施云平台”可以为用户提供基于互联网的IT基础设施服务(IaaS),有效提高IDC相关产品的盈利能力,扩大客户群。
然而,“基于互联网”的特点在带来易用性的同时,对业务支撑平台提出了更高的安全要求。
本文结合基础设施云平台的特点,提出了面向基础设施云的安全框架,以及由于云计算的引入新增的安全问题相应的对策。
关键字:
云计算;IaaS;安全策略
1.引言
虽然云计算到目前已经广为人知,但是关于到底什么是云计算还没有完全统一的看法或定义。
在业界有影响的机构组织或商业公司有多种不同的描述。
但是大家普遍认同的,云计算应该具有以下五个基本特征:
按需的自服务:
自己动手、丰衣足食。
作为云服务,不同于传统网络服务或普通IT服务的一个鲜明特征就是云服务是不用人工干预的自助服务,例如服务开通、配置变更、缴费、取消等。
宽带接入:
该特征要求云服务通过网络提供,并且应该涵盖基本上所有的客户端,包括各种电脑、上网本、智能手机等。
虚拟池化的资源:
该特征来源于云服务的多客户性质。
在同一套物理资源之上,给多个客户提供服务,需要将原来孤立的、个体的物理资源通过虚拟化技术映射成为虚拟的、功能模块化的、面向多用户服务的资源池。
并由系统统一的、动态的、按需的再分配给各个客户。
由此而来的另外一个结果就是客户不再关心、也基本上无法知道自己的某个服务在某个时刻运行在哪个物理位置的物理硬件之上。
这些资源包括CPU计算能力、内存、存储、进程、网络带宽、虚拟机、备份数据、维护人员等等。
快速弹性架构:
这个特征被认为是云计算带来的最大好处之一。
用户不再为系统扩容跟不上用户需求预测而苦恼,也不用为短期项目完工后闲置的IT资源而担心。
系统规模扩大、减小,对于云服务的用户来说,变成了鼠标点击事件,就好像云里的服务和虚拟资源是无限的、召之即来、挥之即去的。
可测量的服务:
这里强调的“服务”,它应该是可以测量的、有明确价格和收费政策的。
在使用过程中,各种服务(例如存储、带宽、活动用户账号、各种计算资源等)的使用、监视、控制等对于服务提供者和用户都是透明的。
除了上述五个关键特征之外,多租户也是云计算的重要特征。
这些关键特征直接影响到了云计算环境的安全威胁和相关的安全保护策略。
在互联网进入Web2.0时代以后,网络安全威胁的发展趋势有了很大变化。
云计算服务的大量涌现、个人计算和企业计算大量向云服务迁移进一步加剧了围绕着Web的各种安全威胁。
按照IDC2008年8月份的调查结果,在人们对云计算担心问题排序中,安全问题高居榜首。
图1云计算面临的挑战
IDC基础设施云业务是基于云计算平台的IT基础设施租用服务。
它通过虚拟化、自动化等云计算关键技术智能动态地调配各种资源(如计算、存储、带宽、硬件、软件等)提供给客户。
使得客户无需为繁琐的细节而烦恼,能够更加专注于自己的业务。
2.安全需求分析
IDC基础设施云的安全需求来自于两个方面,一方面,IDC基础设施云业务的基础还是传统的IT环境,从这个层次上来看,大多数环境下,IDC基础设施云平台面临的风险和威胁和传统的IT环境没有什么太大的不同;另一方面,由于采用的云服务模式、运营模式和云计算一些新技术的引入,云计算会比传统的IT环境给运营商带来更多的风险。
2.1.网络层
IDC基础设施云是一类面向互联网客户的公共云服务,要保证业务的正常运维,必须解决客户与IDC基础设施云之间的交互可能存在的风险,这部分由于云计算技术的引入带来的风险主要有虚拟化的网络设备和云计算技术带来的网络区域和层次的隔离模型的变化。
l虚拟网络设备
在IDC基础设施云环境下,已经可以提供具备VLAN以及更多能力的虚拟交换设备,这些虚拟交换设备给在虚拟环境下部署支撑应用的灵活虚拟网络多层架构提供了条件,比如部署不同的应用服务器、Web服务器、甚至数据服务器。
如果用传统的部署在虚拟环境外的安全组件,是无法完成对虚拟网络架构的各个服务器流量监控和审计的。
同样,发生在虚拟交换机间的流量也是无法监控的。
这样虚拟环境就成了整个安全的黑盒子,如果任何一台虚拟环境下的服务器收到攻击,会极其容易的扩散到其他的虚拟服务器或主机。
l网络区域和层次的变化
以往的网络区域和层次的隔离模型在公共的云计算模式下发生了很大变化。
多年来,网络安全依靠分区,例如内部网与外部网、开发环境和生产环境,通过隔离网络流量提高网络的安全性,该模型是基于只有特定的个人和系统有权访问特定区域。
同样,在一个特定的层系统往往只有特定的访问权限,例如,在展现层的系统不能直接和数据库层通讯,但可以与授权的应用系统通讯。
在IDC基础设施云里,传统网络里分区和层的概念已被公共云的“安全组”,“安全域”或“虚拟数据中心”替换,相比以前分区和层的模型,它更是一个逻辑的模型。
例如,安全组可让用户的虚拟机使用物理或虚拟防火墙限制彼此访问,实现具有基于IP地址的过滤能力(具体地址或子网),数据包类型(TCP,UDP连接或ICMP),特定端口或端口范围的能力。
以往基于网络分区和层的模型,不同的主机之间不仅在网络上逻辑分开,这两组系统在物理主机上也是分开的。
但是有了云计算,这种分离不再存在。
云计算的安全域之间都是基于逻辑的分离,不再是物理分离,因为现在逻辑分开的两个域可能都在一台物理主机上。
2.2.主机和操作系统层
目前几乎所有IDC基础设施云提供的服务都是采用了基于主机的虚拟化技术,因此,这部分由于云计算引入的风险主要考虑两个方面,一个是虚拟化软件的安全性,另一个使用虚拟化技术的虚拟服务器的安全。
l虚拟化软件安全性
该软件层是一个非常重要的层次,坐落于裸机顶部,提供能够创建、运行和销毁虚拟服务器的能力。
实现虚拟化的方法不止一种,实际上,有几种方法都可以通过不同层次的抽象来实现相同的结果,如操作系统级虚拟化、全虚拟化或半虚拟化。
在IDC基础设施云平台中,云主机的客户不必访问此软件层,它完全应该是由云服务提供商来管理的。
由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次,可以使你在一台计算机上安全的同时运行多个操作系统,任何未经授权的用户必须严格限制访问。
由于虚拟化对于IaaS云架构来说非常关键,任何可能会影响该层次完整性的攻击对于云上的所有客户来说都是灾难性的。
云服务提供商应建立必要的安全控制措施,限制对于hypervisor和其它形式的虚拟化层次的物理和逻辑访问控制。
虚拟化层的完整性和可用性对于基于虚拟化技术构建的公有云的完整性和可用性的保证上是最重要,也是最关键的。
一个有漏洞的虚拟化软件会暴露所有的业务域给恶意的入侵者。
l虚拟服务器的安全
虚拟服务器位于虚拟化软件之上,客户可以通过自服务平台选择满足需求的虚拟服务器,例如,Linux,微软的Windows和Solaris等的各种操作系统。
客户可以充分利用虚拟服务器,就像访问物理服务器一样,并通过Internet管理并且使用。
对于云主机的客户来说,可以完全访问基于虚拟化软件之上的虚拟机。
因此,客户有责任确保具有访问权限的客户和虚拟机的安全管理。
从攻击面的角度来看,虚拟机可以提供给任何在互联网上的客户使用,因此需要采取一定的安全措施,限制访问虚拟机实例。
通常情况下,IDC基础设施云服务提供商严格限制虚拟服务器端口访问,并建议客户使用安全接入方式(如SSH、IPSecVPN等)来管理虚拟服务器实例。
虚拟机在公共IDC基础设施云服务可能遇到的安全威胁包括:
Ø窃取密钥用于访问和管理主机(例如,SSH的私钥)
Ø攻击未打补丁的,有漏洞的服务标准端口服务(例如,FTP、NetBIOS、SSH)
Ø没有采取适当的安全措施的帐户劫持(即弱或没有密码的标准帐户)
Ø攻击那些不正确的主机防火墙安全系统
Ø部署木马嵌入在虚拟机软件组件或在虚拟机镜像(操作系统)本身
2.3.应用和数据层
通常情况下,IDC基础设施云服务提供商,例如Amazon等,将客户在虚拟机上部署的应用看作是一个黑盒子,云服务提供商不必关心客户应用的管理和运维,当然,通常客户也不希望云服务提供商知道自己的应用和数据。
客户的应用程序,无论运行在何种平台上Java、.NET、PHP、RubyonRails等,都由客户部署和管理。
因此客户负有云主机之上应用安全的全部责任。
当然,云服务提供商可以通过增值服务的方式提供相应的安全服务,如保障用户应用安全相关的防火墙策略等这样的安全措施。
总之,云主机的客户负责其应用安全的所有方面,并应采取必要步骤来保护他们的应用程序,以解决在一个多租户和充满风险的环境的威胁。
当然,云服务提供商也可以根据客户的需求,提供必要的基础安全服务和增值的安全服务,保障客户应用的安全。
3.安全框架
IDC基础设施云的安全需求来自于多个维度,分布在管理、技术、业务、人员多个层面,采用分散的、独立的安全技术和措施无法有效解决;安全是云计算的必须组成部分,需要做为一个整体进行系统考虑。
图2IDC基础设施云安全框架
如上图所示,IDC基础设施云的安全要求包括云平台各层次的安全技术要求、安全管理能力要求、接口安全要求以及法律和法规的遵从四个部分。
这四个部分既相对独立,又有机结合,形成IDC基础设施云的整体安全框架。
其中安全技术要求覆盖了IDC基础设施云平台的网络层、虚拟层、操作系统层、应用层和数据层五个部分;安全管理能力要求包括用户管理、访问认证、安全审计、漏洞管理、补丁管理、安全配置管理和安全事件管理七个部分。
3.1.技术要求
技术要求从网络层安全、虚拟层安全、操作系统层安全、应用层安全和数据层安全五个层面提出。
其中
l网络层安全主要指物理网络(含存储网络)的安全;
l虚拟层安全指hypervisor(含管理平台)、虚拟存储和虚拟网络的安全;
l操作系统层安全包括IDC基础设施云中物理主机、虚拟化软件、虚拟机镜像和存储平台的操作系统安全;
l应用层安全包括IDC基础设施云管理平台相关的应用、用户自服务平台和中间件的安全。
用户在IDC基础设施云中构建的应用安全由用户自己保证,如果需要,可以通过增值服务提供给用户;
l数据层安全包括IDC基础设施云管理平台相关的数据安全。
用户在IDC基础设施云中的数据安全由用户自己保证,如果需要,可以通过增值服务提供给用户。
具体各层次考虑的安全要素参见下表:
表1IDC基础设施云安全矩阵
鉴别和认证
访问控制
内容安全
冗余恢复
审计响应
网络层
边界完整性检查
网络设备防护
架构安全
访问控制
网络设备防护
架构安全
入侵防范
恶意代码防范
架构安全
安全审计
虚拟层
身份鉴别
资源控制
架构安全
访问控制
架构安全
剩余信息保护
入侵防范
恶意代码防范
架构安全
安全审计
操作系统层
身份鉴别
资源控制
访问控制
剩余信息保护
入侵防范
恶意代码防范
/
安全审计
应用层
身份鉴别
资源控制
访问控制
剩余信息保护
通信完整性
通信保密性
Web应用安全设计
抗抵赖
软件容错
应用系统过压控制
安全审计
数据层
数据库安全
密钥管理
数据库安全
数据完整性
数据保密性
数据备份和恢复
安全审计
3.2.安全管理能力要求
结合IDC基础设施云的安全需求,安全管理能力方面的要求考虑了7个方面。
3.2.1.用户管理
有了云计算,网络、系统和应用的组织边界将扩展到云服务提供商的网络。
采用云服务之后,整个云服务提供商网络的信任边界将变得动态化和模糊,并且有可能不受控制。
这失控将挑战既定的信任管理和控制模型,如果管理不善,会严重影响云服务的运营。
用户管理最终目标是将用户及其拥有的所有应用系统帐
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IDC 基础设施 安全策略 研究
![提示](https://static.bdocx.com/images/bang_tan.gif)