一个私有云平台的网络安全防护设计
作者:莫文导 张松钿
来源:《理论与创新》2018年第16期
摘 要:本文从一个具体的私有云平台入手,结合云计算环境下的安全风险和安全需求,提出从平台侧和云平台租户侧的网络安全设计,实现了云平台侧物理网络环境和云平台租户侧虚拟化网络的2到7层安全防护,提供了访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功能。
关键词:云计算;虚拟化;分区分域;南北向流量;东西向流量;租户隔离 1 概述
某省级行业单位的云计算平台(以下简称“行业私有云平台”)经过多年的建设,已经发展成支撑信息化快速发展的不可缺少的IT基础设施,辖区内的行业内部信息化建设逐渐向云平台迁移,实现了信息化资源随需而变,按需分配,实现了统一的信息化业务支撑IaaS“私有云”。但是云平台的发展也加大了数据泄露和网络攻击的风险。与其他私有云类似,该行业单位的私有云面临的信息安全风险主要如下:
(1)信息资源安全问题。由于行业私有云平台聚集了大量用户和数据资源,特别是行业的敏感数据防,平台更容易吸引网络攻击,而故障一旦发生,影响范围多,后果更加严重,其开放性对接口的安全也提出了更高的要求。此外,该云计算平台上将内部的不同部门划分成了多个租户,这些租户之间的信息资源如何安全隔离,也是该私有云计算平台的突出安全问题。 (2)传统防护边界模糊化。由于计算与虚拟化的需要,行业私有云平台将部分服务器迁移至单位传统局域网的安全边界之外,局域网边界模糊化,导致传统的安全防御体系失效,需要采用新的安全措施,在虚拟化平台构建各虚拟机的防护边界。
(3)多租户环境隔离。行业私有云平台中多个部门业务系统的多租户环境中,众多部门的应用和数据共享同一套虚拟化软件和基础设施,一旦有租户滥用云端资源,可能会影响其它租户正常使用。除了要求云服务管理平台具备完备的管理能力(例如访问权限控制、异常流量实时监控等),还要建立相应的管理制度,严格验证申请用户身份。
(4)虚拟机间的攻击。在行业私有云平台的虚拟化环境中,部署在同一台物理服务器上的虚拟机之间,可以根据需要进行信息交换,这个过程无需经过网络交换机,在这种情况下,诸如防火墙、入侵检测和防护系统、异常行为监测器等传统的入侵检测设备,都无法监测到物理服务器内部的流量,意味着同一个物理机上的虚拟机之间通信时,存在着很大的安全风险,
龙源期刊网 http://www.qikan.com.cn
攻击者可能通过入侵其中一台虚拟机,攻击或者入侵物理服务器上的其他虚拟机,甚至能够获得整个服务器集群的控制权。 2 云环境防护思路
行业私有云平台属于专有云架构,承载着行业内部业务应用系统运行,为各下属机构和部门的应用系统提供基础设施支撑,为了保障云平台安全、可靠运行,持续提供可用的资源服务,从整个云平台整体安全角度来看,需要从云平台自身安全、租户侧安全2个方面考虑加强安全设计。
2.1 云平台的安全防护
云平台资源面向各部门各业务系统,面临着非法接入、网络入侵、人为攻击、病毒传播、蠕虫攻击、web应用保护、僵尸木马、DDoS攻击等各种安全问题,平台层和承载的各类业务系统软件中存在的安全漏洞,将影响到整个平台的安全性,攻击者在利用漏洞入侵到平台之后,可以对整个平台内部的资源进行各种破坏,从而导致系统不可用,或者数据丢失、数据泄露,其潜在的威胁将无法估量。
(1)分區分域。行业私有云平台安全设计过程中,将各部门的业务通过逻辑隔离划分不同的安全域,将基础设施资源划分为两个独立的区域,分别为互联网业务区、专用网络区,两个区域间不能直接访问,仅能通过跨网数据交换区进行数据交换。按业务系统的等级划分等保安全域,每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户间通过访问控制设备进行访问控制,禁止非授权访问。行业私有云平台支持虚拟私有云,可以在一个云数据中心里灵活设定多个虚拟私有云,多个私有云之间使用VPN技术或VXLAN技术,达到端到端的隔离效果。
(2)防网络病毒。云平台的核心是计算和数据资源,因此也是网络入侵者最主要的目标。病毒、蠕虫、木马等恶意代码一旦感染云平台系统或应用,就可能在平台内部快速传播,消耗网络资源,劫持平台应用,窃取敏感信息,发送垃圾信息,甚至重定向用户到恶意网页。因此行业私有云平台安全设计应包含检测和清除病毒蠕虫木马等恶意内容的机制。
(3)防漏洞攻击。云平台内部有大量业务服务器,其底层和业务应用系统会不断产生新的安全漏洞,黑客能够利用这些漏洞发起对云平台的攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对平台敏感信息监控、窃取、篡改等,因此行业私有云平台需要设计有效的手段来识别并防护针对系统漏洞的攻击。 2.2 租户侧防护
龙源期刊网 http://www.qikan.com.cn
(1)租户间隔离。行业私有云平台将基础设施资源划分为两个独立的区域,两个区域间不能直接访问,仅能通过跨网数据交换区进行数据交换。为满足等保合规需求,在每个业务区内还划分二级等保区和三级等保区两个区域,两者的计算资源不允许共享。防护策略方面,每个等保区域内不同租户应用间通过VLAN/VxLAN网络隔离,租户间通过访问控制设备进行访问控制,禁止非授权访问。
(2)租户虚拟机防护。在云平台的环境下,租户内部存在一台或多台虚拟机,虚拟机是否安全和可靠直接影响到租户业务的质量好坏。行业私有云平台在虚拟机的主要防护措施如下:①对虚拟主机进行安全加固。单台物理服务器上的各虚拟机之间,可能存在直接的二层信息交换,管理员很难监控到这部分流量,因此,需要通过设置相应的策略,实现虚拟机之间流量的访问控制及安全风险检测,此外,还要对通过虚拟机漏洞获得对所在物理机的访问行为进行防范和控制。②建立不同虚拟机之间的访问控制体系。屏蔽非必要的虚拟主机之间的互访,即使有数据互访的需求,也是在管理员知情并批准的提前下且需经过防火墙的安全控制。 3 网络安全设计
根据行业私有云平台的安全防护思路和需求分析,以及云平台的建设目标,行业私有云平台从平台层、租户层两个方面来设计网络安全方案,框架图如图1所示。
在平台层,主要考虑解决平台整体的网络数据安全的问题,租户和用户接入平台、云间互联的安全问题,业务可靠性的安全保障等。 3.1 平台侧设计方案
在行业私有云平台的物理网络边界部署边界安全类产品,如下一代防火墙NGFW、SSL安全网关等产品,形成安全硬件资源池,在物理网络出口提供平台级的整体安全保护,实现如区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、接入安全、服务器负载均衡等功能,实现2到7层安全防护和应用、链路的负载优化,实现精细的区域划分与可视化的权限访问控制,保证云平台和内部业务系统的安全性、可用性、持续性。 (1)网络出口安全。行业私有云平台物理网络出口部署下一代防火墙NGFW,替代传统防火墙,实现完整的二到七层网络数据安全保护,不仅提供访问控制、入侵防御、病毒防护、漏洞保护、Web应用安全保护等功能,还能实时防御来自互联网、外网的非法访问、入侵、蠕虫、病毒、木马、漏洞攻击、web攻击、应用攻击等威胁行为,实现云平台具备精确识别用户、应用和内容的安全防护能力,降低安全风险和隐患,确保平台网络和业务系统数据持续安全运行。
(2)平台分区分域。行业私有云平台物理网络出口部署下一代防火墙NGFW,实现了专用网络区和互联网区区域边界划分,其中,专用网络区主要是部门系统内和系统间的互访,互
龙源期刊网 http://www.qikan.com.cn
联网用户不能直接访问该区域的业务系统和数据信息;互联网区部署的是门户WEB等托管服务,完成信息互联网发布和数据填报。在各安全区内,按照接入区、核心网络交换区、计算存储区、运维管理区进行安全区域划分,在专用网络区和互联网区之间,专门设置数据交换区,满足两个区域之间高强度的网络数据隔离和信息互换需求。通过这些云平台区域边界划分和安全隔离措施,实现网络服务、应用业务的独立性和各业务的隔离、互访安全保障。 (3)网络病毒防范。行业私有云平台通过强化NGFW的APT检测功能,配合终端的病毒查杀软件,为云平台提供网络级病毒防护功能,能够有效查杀病毒木马、僵尸网络、APT攻击、漏洞攻击等威胁,防止针对云平台的病毒入侵行为。终端病毒查杀软件主要负责终端系统的网络病毒防护,其关键是确保杀毒软件病毒特征库能够及时更新,因此,云平台中需部署相应的病毒特征库升级服务器。NGFW的APT检测功能主要是针对平台内部感染了病毒、木马的终端,其感染的病毒、木马试图与外部网络通信时,AF识别出该流量,并根据策略对其网络流量阻断和记录日志,帮助客户快速定位感染病毒的终端设备,避免一些非法恶意数据进入客户端,起到网络层面病毒防护的效果。
(4)漏洞攻击防范。云平台内大量主机的底层和业务应用系统需要频繁交互,平台和诸多业务应用系统的漏洞,都会给入侵者可乘之机。黑客能够利用这些漏洞发起对漏洞攻击,比如mail漏洞、后门漏洞、操作系统漏洞、ftp漏洞、数据库漏洞,实现对平台内敏感信息监控、窃取、篡改等操作。除了平台和应用系统需要具备漏洞检测和修复能力外,公共网络层面,也需要有提供实时的漏洞保护和防护的能力,实时对操作系统、应用程序漏洞,如HTTP服务器(Apache、IIS),FTP服务器(FileZilla),Mail服务器(Exchange),Realvnc,OpenSSH,Mysql,DB,SQL,Oracle等漏洞保护,包括后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间谍程序预防等,避免云平台主机漏洞被利用而成为黑客攻击的跳板。由于行业私有云平台部署了NGFW,因此,网络层的防护可以由NGFW完成,只要NGFW内置僵尸网络识别库,就能有效防止云平台内部大量的主机被植入僵尸病毒,还可以通过植入特征库,实现防范木马、广告软件、恶意软件、间谍软件、后门、蠕虫、漏洞、黑客工具、病毒等威胁和隐患。 3.2 租户侧设计方案
(1)租户安全防护。云租户安全防护的主要思路,是在服务器虚拟化环境下,对不同租户间、租户内部虚拟机间的流量进行安全防护和隔离。行业私有云平台通过软件版下一代防火墙vNGFW、软件版负载均衡vLB、软件版vSSL VPN等软件安全产品,构建软件安全资源池,实现按需分配、灵活部署的安全保护,精细的区域划分与可视化的權限访问控制,为虚拟机提供了区域划分、接入控制、病毒防护、入侵防护、漏洞检测、DDoS攻击防护、WEB安全防护、数据泄露保护、网页篡改保护、服务器负载均衡等针对虚拟化网络的2到7层安全防护和应用的负载优化。
龙源期刊网 http://www.qikan.com.cn
(2)租户隔离。租户隔离是指区分出各租户的边界并予以安全隔离,是保证租户安全的有效措施。行业私有云平台每一个租户划分成一个独立的虚拟区域,并在每一个区域使用虚拟防火墙进行区域之间的隔离,避免不受信的租户之间的数据互访造成安全隐患。
(3)租户安全边界。行业私有云平台将虚拟防火墙以虚机的方式部署在租户虚拟网络和云网络的边界,对租户应用系统的南北流量进行安全防护和隔离,不仅实现租户间的安全隔离,防止非法人员从云平台内部进行安全攻击,还可以实现租户应用对外的安全防护和隔离,防止非法人员从外网、互联网进行安全攻击。
(4)租户虚机L2-L7安全防范。为了构建租户虚机的L2-L7安全防范,行业私有云平台为每个租户部署一套虚拟防火墙并开启FW+IPS功能模块,通过收集和分析网络行为、安全日志、审计数据等安全相关的关键信息,主动判断平台各层是否存在违规和入侵攻击行为。此外,提供主动式入侵防御功能,能阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件的攻击。针对需要重点防护的租户,开启虚拟防火墙漏洞扫描和分析功能模块,为这些租户建立威胁预警机制,提供平台和业务系统级别的安全隐患分析服务,包括外部访问、系统维护等。此外,还提供系统安全分析,包括可疑访问、恶意访问、安全试探、异常数据访问等安全隐患的预警性分析。 4 成效分析 4.1 安全防护效果
在部署平台防范系统前,行业私有云平台只在终端、服务器部署防病毒软件,同时在网络层部署传统的防火墙,能在一定程度上对终端的网络病毒防护,但时有发生来自外部的拒绝服务攻击、内部的虚拟机间攻击和租户行为不当导致的租户资源异常等情况。部署平台防范系统后,基本杜绝这类情况,表现出良好的防护效果。 4.2 高效性、协同性影响分析
部署平台防范系统前,在发生拒绝服务攻击、虚拟机间攻击和租户资源异常占用等异常情况时,平台资源的效能会严重降低,进而影响到系统之间数据交换的协同性。部署平台防范系统后,基本消除了上述异常情况,提高了云平台的可用时间,变相提高了云平台的高效性和协同性。在正常运转情况下,部署平台防范系统前后的可用带宽、计算资源可用率,整体差距在1%以内,系统之间建立连接、系统调用平台的公共服务等协同效能基本一致。
综上所述,行业私有云平台按照本文所述的安全设计思路和方案,部署平台防范系统后,在不影响云平台既有的高效、协同特性的基础上,有效提高了平台的防范能力和持续正常服务时间。
龙源期刊网 http://www.qikan.com.cn
参考文献:
[1]信息系统等级保护安全设计技术要求[S].GB/T25070-2010.
[2]李凯丰.多租户模式下的信息系统安全问题研究[D].西安电子科技大学,2011. [3]信息安全技术 云计算服务安全指南[S].GB/T31167:2014. [4]信息安全技术 云计算服务能力要求[S].GB/T 31168:2014.
作者简介:莫文导(1981-),男,高级工程师,研究方向:软件技术、项目管理。张松钿(1979-),男,高级工程师,研究方向:应用系统开发。
因篇幅问题不能全部显示,请点此查看更多更全内容