烟草私有云下的安全防御体系研究与探索
2015-03-24台州市烟草公司临海分公司
台州市烟草公司临海分公司 李 伟
烟草私有云下的安全防御体系研究与探索
台州市烟草公司临海分公司 李 伟
随着浙江烟草十三五规划目标的提出,明确了构架私有云作为创新驱动载体,然而其安全性是行业担忧的问题。通过分析私有云面临的风险,结合烟草行业私有云特征进行具体措施研究,提出了一个适用于烟草企业私有云建设的安全防御体系。
私有云;烟草;云技术;信息安全;安全防御体系
0 绪论
浙烟“十三五”规划目标要求进一步创新驱动,充分应用大数据、云计算、移动互联网等最新信息技术支撑,率先建成以“互联网+浙烟专卖商业”为特征的管理效益型和智慧活力型企业。[1]
烟草搭建的私有云作为创新驱动的载体的关键支撑平台,与公有云、混合云一样,具备云的共同特点是“IT资源整合集成”,这也意味着信息和数据不仅在个人桌面和服务器间流转,还要在云和端间流转。云技术所延伸出来的云安全,不仅需要解决分布在大量分布式计算机上的存储数据安全、用户隐私安全还有具备黑客攻击的防御能力,这就需要烟草企业具备强大的自主可控的安全防御体系,这为行业信息化建设带来了新的挑战和机遇。
1 私有云简述
私有云,指企业云,与混合云、公有云一样,是基于互联网共享基础架构的一种计算模式,将数据、网络、硬件以及软件应用等层面的资源整合为直观、易用的资源池,向网络用户提供在线服务。私有云服务对象是单位内部人员或分支机构。云平台可以提供基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)三种服务形式。IaaS指的是硬件基础设施,包含从机房设备到硬件平台等所有的基础设施资源层面;PaaS是位于IaaS之上的平台,通过网络向用户提供可定制开发的平台服务,例如应用数据库服务、软件开发环境服务等;SaaS位于底层的IaaS和PaaS之上,通过网络向最终用户提供软件应用服务,像微软的在线OFFICE就是SaaS服务。目前私有云已成为数据中心集中化下大型企业或政府部门IT部署的主流模式。
2 台州烟草私有云应用现状
随着烟草行业对信息化要求越来越高,信息化资源亟需集成共享、终端管理亟需集中统一、信息安全也亟待与时俱进的安全防御体系。目前,除去省局要求的营销、网订应用仍沿用物理服务器的部署外,其他应用如专卖、物流、OA等已全部迁入服务器虚拟化平台,搭建了云计算基础设施架构,同时通过不断实践和培训,已经培养出一支理论知识扎实、实践能力过硬的虚拟化技术团队。台州烟草具备充分的基础设施资源支撑理论研究,尤其在计算方面,共有9台中高端物理服务器通过虚拟化技术组成了计算资源池,在组网技术方面,积聚丰富经验的组网技术团队,为安全防御体系研究奠定一定的基础。
3 私有云风险分析
3.1 数据泄露风险
企业的数据关联着企业的生存、竞争,一旦发生关键或隐私数据泄露、失窃或丢失,那对企业来说无疑是致命的。私有云将原本分散存储在各个终端的数据集中存储到企业的云端的基础设施设备中,虽然加强数据共享和同一管理,但同时也给私有云的存储带来了最大的安全风险。
3.2 虚拟机间安全风险
私有云虚拟化的核心是超级管理程序(Hypervisor),也称虚拟机监视器(Virtual Machine Monitor,VMM)。该程序运行在基础物理设备和操作系统之间的中间层,不仅为允诸多操作系统和应用提供硬件共享,同时还为虚拟机动态地分配资源。通过管理程序,位于同一台服务器中的所有虚拟机能够进行完全沟通,数据包不需要经过物理网络实现虚拟机间的传输。因此,如果一个虚拟机被攻破,那么有害程序就会在各个虚拟机间传播,因此采用对物理网络的传统防护方法起不了任何作用。所以传统的安全措施防御私有云存在着极大隐患。
3.3 分布式拒绝服务攻击威胁
与传统攻击不同,对私有云的Ddos攻击,由原来利用大数据流进行暴力型攻击转变为针对基础应用程序的技术型攻击。由于应用层 DdoS攻击不会产生大量的数据流,因而更加难以辨别与防范,但是其造成的破坏性将会明显超过传统的数据中心。
4 烟草行业私有云安全防御体系
云安全技术是保障云计算服务安全性的有效手段,要解决包括云应用程序、数据安全、基础设施安全等诸多问题。由于私有云在架构和技术方面都与传统信息化架构有着根本性的区别,因此探索适合烟草私有云的安全体系迫在眉睫。本文充分结合烟草私有云特和企业的要求,提出一个以技术、管理、制度三个维度构成的安全防御体系。
4.1 技术管控
4.1.1 云计算应用程序的安全防御措施
SaaS、PaaS、IaaS,无论是哪种云下的服务模式,他们的共同特点是将应用程序提供给用户。因此,从应用程序角度,更多的关注这三种应用服务模式下的安全防御措施,避免恶意文件入侵、恶意脚本注入等常见攻击手段。
采用SaaS的服务模式,云计算的服务会直接为用户提供应用程序服务,用户端仅仅是简单的访问和操作,因此安全性防护主要在应用程序和组件的发开上。
PaaS模式是将应用程序部署在了浏览器端。首先是做好访问平台的安全防御设计,再次是建立在浏览器平台上网络程序的安全。措施一是采取统一身份认证等技术。二是通过加密数据、采用加密隧道:如ssl或者通过VPN等技术保证数据传输方式的安全。
IaaS处理数据时并不将不同的用户信息隔离,一旦资源池内的一个用户受到攻击时所有的服务器都将受到攻击,对此采取的对策建立可以隔离的数据分区。
4.1.2 基于数据流的私有云数据安全防御措施
传统保护数据安全贯穿数据整个生命周期,从数据生成、使用、传输、变换、存储、归档到销毁等环节。但通过对云计算平台下数据流向的分析,提出对不同数据流向,制定针对性的防御措施,具体如下:
(1)针对vm实例访问外部的情形,往往是vm被攻击和控制后作为跳板,往外进行大流量的分布式拒绝服务攻击。这将消耗服务器的cpu资源,占用云平台的带宽。对此有必要对由内往外的数据流量进行检测,可以借助NTA平台,在路由端将其丢弃;
(2)针对外部访问vm实例的情形,此情况与传统IDC的防护思路一样,不同之处在于云平台下扁平化趋势,应避免串联链路负载过大,以免造成吞吐拥塞。部门串联设备部署方式需要考虑旁路部署防护;
(3)针对虚拟机逃逸情形(指同一物理机和vm之间的访问)。由于超级管理程序(Hypervisor)存在已知漏洞,这就要防止攻击者对利用漏洞控制虚拟控制器。措施一采用漏洞扫描工具,及时发现漏洞,二是及时关注虚拟化厂商提供的补丁。
(4)针对跨物理机的vm实例之间访问,该情况采用传统的安全措施进行防护,如访问控制列表,无论是基于接入密钥对的访问控制模块,还是基于用户角色的访问控制,其目的是确保相应信息只被授权的人员才可以访问,从权限的角度保证数据的安全性和完整性;另外在旁路部署入侵防御检测系统等使得防御效果更佳;[2]
4.1.3 私有云基础网络防御措施
(1)安全域隔离云计算下业务系统
在烟草私有云网络环境下,根据网络安全域划分的基本原则,实施网络安全域的划分,将网络划分为核心网络区、核心生产区、互联网网络区、接入维护区、DMZ区[3],以烟草业务系统为单位,每个业务系统划分不同的vlan,实现云计算网络环境下业务系统间的隔离。
(2)私有云下的安全域划分方法
私有云计算平台上所承载的各业务系统部署在同一物理主机服务器甚至多个物理主机服务器上的多个虚拟主机中,同时,同一物理主机服务器也可能部署了多个不同的业务系统。这些隶属于不同业务系统的虚拟机需要进行隔离和访问控制。
采用vlan方式时,针对不同的安全域使用不同的vlan段,每个安全域内不同的业务系统使用不同的vlan,所有vlan间互相隔离。在需要访问时,在防火墙上做按需访问策略同一vlan内通过pvlan技术划分子vlan,实现统一业务系统内不同安全级别的虚拟机隔离。
4.2 管理对策
烟草企业内部组织与运营管理:
烟草企业内部所有人员,都应有黑客防护意识并具备面对安全攻击的实时防御动员能力,唯有全员‘及时发现,及时反馈,及时响应,及时处理’才能有效防范安全漏洞。
(1)培养用户信息安全素养
安全意识培育刻不容缓,加强员工信息安全的法制教育。通过安全教育影响行为,横向到边、纵向到底的培训全员岗位安全操作技能。
(2)建立员工安全协议
借鉴成熟企业管理方法,将保密和行为协议概念引入行业应用,制定适合烟草企业的协议。一方面作为烟草企业本身,要理清各岗位所掌控的信息情况,明确哪些信息不能被泄露并防止未经认证授权的信息被使用。另一方面约束和规范员工的工作行为,正确的操作和使用烟草行业信息系统。
(3)外包供应商管理
云计算服务是一个庞大的系统,势必会将软件定制模块等外包。由于私有云服务是基于网络的、动态的服务模式,这将导致对用户服务的过程不可控性极大增加。烟草企业应建立起一套外包供应商的管理方案,包括资质认证、询价对比、产品检测验收、服务协议、合规性等多个阶段,同时制订外包商备选方案和外包服务检查系统,当发现在运营过程中较大的系统风险时启动外包商备选方案,以便能及时避免损失与风险发生的概率。
4.3 制度管理
(1)建立健全烟草企业信息安全制度和私有云安全管理操作章程;
(2)建立长期策略性的安全防护制度,包含通过安全风险评估来检视目前的安全技术策略;
(3)建立信息安全日常维保制度,及时发现问题并调整安全防御措施;
(4)建立异常事件监测机制,在制度上约束安全行为。同时不断完善切实可行的应急方案,培育安全事件处理团队,对信息安全应急预案进行演练,提升安全团队的防御能力。
5 总结
烟草私有云平台的运行,安全性是制约其应用的核心问题之一。通过对烟草私有云三种服务模式的分析,得出对应用程序的防御措施;通过对烟草业务数据流向的分析,提出对数据的防御措施;通过对私有云组网架构下的安全域的划分的分析,提出具体划分办法的防御措施。从技术、管理、制度三个维度搭建烟草私有云的立体防御体系,为浙江烟草“十三五”创新驱动载体的运行提供安全保障。
[1]浙江省局精心谋划“十三五”开拓转型发展新格局.http://www.tobaccochina.com/revision/channel/wu/201 58/2015811155915_687317.shtml.2015(8).
[2]腾征岑.控制数据流确保云安全.计算机世界.2015(3):44-45.
[3]云计算网络安全域划分技术要求.http://wenku.it168.com/d_001452862.shtml.2013(12).
