APP下载

云计算网络信息安全防护思路探究*

2019-04-30田春平张晋源武靖莹

通信技术 2019年4期
关键词:防病毒防火墙虚拟化

田春平,张晋源,武靖莹

(中国电信股份有限公司云南分公司,云南 昆明 650000)

0 引 言

随着云计算时代的发展,云应用会渗透到我们生活的方方面面,我们在尽情享受云计算带来的便利同时,也面临着网络与信息安全的威胁。而且情况变得越来越严重,人们应该对这一问题得到认识并懂得相关的知识以提高防范意识,本文就现在云计算网络环境下做相关的信息安全及网络防护问题的研究与探讨。

1 云计算网络与信息安全概述

云计算是一种基于互联网相关服务按使用量付费的模式,是一种虚拟化的资源,这种模式提供可用的、便捷的、按需的,高效的网络访问,使计算机各种资源实现共享(其中资源包括有数据网络,服务器,信息存储,应用软件,服务,维护等等),这些资源按需快速定制,时间快、成本低。虽然云计算有以上诸多优点,但是由于云计算的开放及共享虚拟特性,存贮其上的信息必然面临信息安全三个基本属性中的保密性挑战。

信息安全简而言之就是信息的在使用中的安全程度,主要由CIA(Confidentiality、Integrity、Availability)衡量,即:保密性、完整性、可用性、。网络与信息安全治理包含的范围有网络安全、运营安全、访问控制、软件开发安全等。网络环境是保障信息安全的前提,只有拥有一个可靠网络环境下的信息安全保障体系,才是保证信息系统稳定运行的关键所在。可以将网络信息安全看成是多个安全单元的集合,其中每个单元都是一个整体,包含了多个特性,一般从安全特性、安全层次和系统单元去理解网络信息安全。

云计算的诞生标志了网络计算架构的进一步发展,在注重信息安全的同时,还需考虑如何构建一个稳固安全的云计算网络体系。云计算网络结构与普通网络结构差异性在于云应用更加集中化,云计算网络资源更加具有弹性,即用即取,避免了很多不必要的资源浪费。所以,针对云计算的网络安全架构需要更加完整,并随时利用网络流量分析(Network Traffic Analyzer,NTA)、端点检测和响应(Endpoint Detection Response,EDR)等新发展的技术进行防护。

2 云计算面临的信息安全问题

2.1 传统安全威胁

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击依然是云平台面临的主要威胁之一,尤其是针对云平台业务系统的攻击行为以及由云平台内部外发的攻击行为,对整个云平台大网均存在安全隐患;

包括僵尸、木马、病毒、蠕虫等传统安全威胁仍然是云平台面临的重要风险之一,在云平台内,如租户隔离、区域隔离措施不当,这类威胁将会更快、更迅速的在云平台内部进行传播,给云平台带来极大安全隐患;

云承载着各类业务系统,尤其是Web业务系统,仍然面临着包括SQL注入、XSS、命令注入、跨站请求伪造、非法上传下载、Web服务器/插件漏洞攻击、爬虫攻击、Webshell、暴力破解等传统的Web应用攻击威胁;

云内IT主机非常多,包括Windows系统、Linux系统、UNIX系统、网络交换设备、数据库及中间件等都面临着各类安全漏洞风险,传统的漏洞利用方式攻击手段依然有效。

2.2 云计算特有风险

数据泄露风险:云计算内存储着大量的用户数据,数据量越大、价值越高安全威胁也就越高。因此云平台内面临着数据泄露、篡改等安全隐患。

隔离失效风险:在云计算环境中,计算能力、存储与网络在多个用户之间共享。如果不能对不同用户的存储、内存、虚拟机、路由等进行有效隔离,恶意用户就可能访问其他用户的数据并进行修改、删除等操作。

虚机逃逸:虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机宿主操作系统的目的。主要利用虚机本身或Hypervisor层的安全漏洞造成在Hypervisor层执行任意代码,进而实现虚机逃逸;

虚机内存泄露:当虚拟机共享或者重新分配硬件资源时会造成很多的安全风险。信息可能会在虚拟机之间被泄露。例如,如果虚拟机占用了额外的内存,然而在释放的时候没有重置这些区域,分配在这块内存上的新的虚拟机就可以读取到敏感信息;

虚机动态迁移:利用虚拟化技术能快速实现VM的动态迁移,同时带来新的安全风险包括安全策略不能实时协同调整、数据明文传输被监听、内存信息泄露、地址解析协议(Address Resolution Protocol,ARP)攻击等;

虚拟化通信:虚机通信模式基本在大二层网络环境中,传统的网络边界检测及防护手段在应对东西向流量通信时无法提供有效检测及处置。

运营模式风险:云计算带来新的运营模式的改变,各类业务资源需要按需弹性扩展提供,在使用的过程中可能存在云计算资源能力的滥用造成资源的浪费;用户侧失去对资源的直接控制,云计算的地域特性及租户的流动性为云服务提供商合规性要求、安全监管以及隐私保护提出了更高的要求。

恶意租户风险:在云环境下,授权用户可享受云计算服务。恶意用户利用云计算服务的安全漏洞,上传恶意攻击代码,非法获取或破坏其他用户的数据和应用。此外,内部工作人员(例如云服务商系统管理员与审计员)的失误或恶意攻击更加难于防范。

3 云计算网络信息安全防护思路

不同于普通网络架构,云计算网络架构更庞大,存储容量更多,用户数量也就越多,所以面临的安全防护问题也就越广。云计算环境下加密方式没有变化,但是网络安全边界类以及系统安全类有着很大不同,云服务提供商不能有效像传统一样进行系统软件的掌握,这就造成了虚拟系统运行存在漏洞,可能对网络环境造成很大的安全威胁[1]。因此,一个健全有效的云计算网络安全防护体系的建立就显得很有必要。

3.1 建立完整的信息安全保障体系

建立重要信息备份审计机制。重要信息保护包括重要信息备份、重要系统备份、网络接口设置主备等,并且需要做好账号审计工作,对修改、查看、删除重要信息的操作日志进行记录。由于云计算网络的特殊性,大量的数据集群在云端,做备份和审计工作会增加系统资源消耗和财产资源消耗,但是如果云网络瘫痪且没有良好的备份,那么将会造成不可弥补的巨大损失。

建立信息安全保护体系。信息安全保护工作有定期进行漏洞扫描工作,及时对有问题的设备打补丁;与公网接口地址处谨慎开放端口,若是必要端口需要进行相关安全策略的防护;做好网络设备安全加固工作,设置防火墙策略、设置访问控制列表(Access Control List,ACL)策略等;系统数据包中传输的数据使用密文加密后传输;数据库重要数据或个人隐私数据进行加密存储。

3.2 建立完整的防火墙防护体系和DDoS攻击防护体系

3.2.1 建立完整的防火墙防护体系

在云平台边界部署网络隔离设备,将云计算数据中心与不信任域进行有效地隔离与访问控制。从网络防火墙技术应用方面,主要是内外网设置防火墙,能检测进入信息协议以及端口和目的地址等,过滤到不符规定的外来信息[2]。访问控制系统主要指的就是防火墙,根据防火墙上的策略检查经过的流量,保证只有合法流量才能访问云计算网络。防火墙部署在出口路由器和核心交换机之间,用于隔离云计算网络和外部网络环境。整个防火墙的策略应该遵循最小化原则,才能切实发挥防火墙的隔离作用。针对云计算网络环境中的虚拟化环境进行防护,可以采用虚拟防火墙来实现,虚拟防火墙分为分布式防火墙和集中式防火墙。

集中式防火墙将虚拟防火墙集中在云安全资源池中,旁挂在云计算环境之外,此方式要想防护到目的流量,需要将云计算网络中的流量牵引到云安全资源池,流量经过虚拟防火墙后再注回原云计算网络中。其中软件定义网络(Software Defined Network,SDN)技术能够方便的实现将被防护流量注回云安全资源池中,所以一般有SDN技术的云数据中心,通常采用此种方式。

分布式部署方式将虚拟防火墙部署在每个租户虚拟私有网络(Virtual Private Cloud,VPC)边界。不同的VPC用虚拟局域网(Virtual Local Area Network,VLAN)隔离的情况下,可以把虚拟主机和虚拟化防火墙的业务网口加入同一个VLAN,或者用安全组隔离的情况下,可以把虚拟主机和虚拟防火墙的业务网口加入同一端口组列表。该VPC内的虚拟主机在访问其它区域的虚拟主机的时候,流量就必须经过虚拟化防火墙,需要虚拟化防火墙作为网关来做访问控制。如图1所示为云计算网络中的防火墙部署拓扑。

在云计算网络环境中,不仅仅是网络资源需要防火墙的防护,云平台的虚拟机中承载着大量的Web应用服务,所以还需部署网站应用级入侵防御系统(Web Application Firewall,WAF)来应对各种通过Web应用传入的威胁。通过严格的访问控制,防止Web应用被入侵,以保护整个系统的可用性。对于部署方式,由于出入口的流量较大,所以常采用旁路的方式旁挂在出口路由器上,将特定网络地址(Internet Protocol Address,IP)的http/https流量引导到WAF上,WAF对流量进行过滤转发,最终实现Web应用安全防护。

3.2.2 建立完整的DDoS防护体系

云平台上分布着大量虚拟服务器,攻击者针对云计算架构的DoS攻击在流量上提高了攻击当量来达到攻击效果[3]。所以建立一个完整的DDoS防护体系是一个巨大的挑战。

图1 云计算网络防火墙部署图(分布式、集中式)

在云计算网络架构的网络出口处建立黑洞路由进行防护,这是对抗DDoS攻击比较好的方法。当DOS攻击进行时,在攻击路径上设置路由黑洞,能够使得攻击数据包在此丢弃而不送往受害机器,避免了受害机器因不断接收巨量数据包导致挂死。

使用DDoS防火墙和异常流量检测与清洗设备对抗攻击。当应对小流量的DDoS攻击时,设置简单的防火墙策略和DDoS应用软件就能够进行防护。但是当应对大流量大规模的攻击事件时,需要将流量引入DDoS清洗设备并检查分组限流的部署情况。在云计算网络入口出口处设置DDoS防火墙和流量清洗设备,能够最大限度防止DDoS攻击对云计算网络的影响。

异常流量检测与清洗一般采用旁路部署的模式,旁挂在核心交换机上,通过OSPF/BGP/IS-IS路由协议广播路由的方式,实现对异常流量的自动化牵引。对于清洗后的回注流量,一般采用策略路由的方式来控制流量上行或下行。如图2为异常流量监测与清洗设备部署方案。

3.3 利用漏洞扫描主动防御

在云计算网络安全防护过程中,定期进行云端设备及系统的漏洞扫描能起到良好的防御效果。漏洞扫描根据目的地址及端口信息,利用已知漏洞信息进行扫描,主动探测系统或主机是否存在可被利用的漏洞。在云计算网络中,面向的是巨量的网络数据,云计算按需自服务,弹性可扩展,资源池化,广泛网络接入,多租户等特性造就了云计算网络在安全防护中的特殊性。这一特殊性在主动漏洞扫描中体现在于使用单机资源的漏洞扫描技术会浪费大量的系统资源和人力资源,所以需要的是利用网络协议建立扫描系统,少量地耗费网络资源去做扫描的工作。

图2 异常流量监测与清洗系统部署方案

由于安全漏洞主要出现在云主机应用程序中,所以安全漏洞扫描器主要针对的是云主机层面的漏洞扫描,且分为两种部署方式:分布式部署和集中式部署。

分布式部署方案中,虚拟化安全漏洞扫描器分别部署在不同的VLAN中,实现对本VLAN中所有主机的安全扫描工作。扫描结束后,通过VLAN Security将扫描结果传给安全管理平台。在实际的运用情况中,虚拟化安全漏洞扫描器可以根据需要动态生成及部署,使用完成后进行下线或销毁。

集中式部署方案中,安全漏洞扫描器会集中部署在某一个资源池或区域。其业务扫描端口可以静态的接入不同的VLAN中(要求不同的VLAN的IP地址不能重合),或者通过建立多协议标签交换(Multi-Protocol Label Switching,MPLS)通道的方式将扫描器的业务扫描端口与被扫描的VLAN连通,实现安全扫描。

对于实现了SDN的云平台,也可采用动态端口接入的方式。即在扫描器启动时,在SDN控制器的配合下,将扫描器的业务扫描端口与被扫描的VLAN连通。扫描结束后,再由SDN控制断开连接。这样就实现了安全扫描器的共享和复用。

如果网络采用可扩展虚拟局域网(Virtual eXtensible LAN,vXLan)的方式,分布式部署与上述方案相似,只需将虚拟机实例生成在租户vXLan网络内部并打通业务口和虚拟机工作口的网络连接即可。对于集中式的部署方案,需要将租户内部需要扫描的虚拟机,通过浮动IP的方式暴露给扫描器。安全扫描器部署策略如图3所示。

图3 安全扫描器部署策略

3.4 利用多重身份认证技术

云计算网络处于发展过程中,对于诸多新接入的设备,默认设置、弱口令等问题也比较普遍,尤其是与外部网络的接口处的身份认证就显得至关重要,例如系统对外的管理平台,核心网络设备等。对于管理平台,尽量使用强口令(包含英文大小写、数字、符号且不少于8位)且定期(一般为90天)更换一次,除此之外需要多重身份认证,包含但不限于手机号码验证或指纹识别认证技术。

3.5 建立完整入侵检测体系

在云计算网络边界需部署入侵检测系统,通过分析网络流量,对网络及系统的运行状况进行实时的监测,及时发现正在进行的恶意攻击并告警。入侵检测系统同样是纵向采用旁路监听的方式部署,横向采用分布式或集中式部署,不影响正常的出入口流量,网络流量通过线路分光、隧道引流或者端口镜像的方式将流量发送到入侵检测系统中进行检测,对异常行为流量进行告警。图4为入侵检测系统部署策略。

图4 入侵检测系统部署策略(横向及纵向)

纵向防护中,入侵检测系统(Intrusion Detection Systems,IDS)部署在路由器下级,检测经过交换机出口或者经过路由器入口的流量。横向防护中若采用分布式入侵检测,系统是单独部署在虚拟化的云环境中的,通过配置虚拟交换设备将租户需要防护的流量通过镜像引流的方式引流到虚拟网络入侵检测系统(Virtual Network Intrusion Detection System,VNIDS)中进行流量入侵检测,并通过系统管理相关安全日志及告警信息。若采用的是集中式的入侵检测,VNIDS集中到云安全资源池中,租户虚拟机上的横向流量通过隧道引流的方式进入云安全资源池,通过云安全资源池的集中式分析进行流量入侵分析检测。

3.6 建立防病毒防护体系

病毒防护系统主要有两种部署方式:有客户端的网络病毒防护系统和无客户端的病毒防护系统。防病毒主要针对到主机中,所以仅对主机层面进行防护。防护方式可根据云数据中心的防护需求来选择部署相应的病毒防护系统。防病毒系统部署策略如图5所示。

有客户端的网络病毒防护体系,对关键虚拟化服务器进行重点的病毒防护。对需要进行病毒防护的虚拟主机安装客户端,通过部署于运行管理区的防病毒服务器统一进行病毒防护策略管理。针对云数据中心防病毒的要求,对基于Windows、Linux、Unix平台的虚拟化服务器提供全方位的病毒防护能力。

无客户端的病毒防护系统不需要在被防护的虚拟主机上安装任何客户端,只需要在被防护的虚拟主机所在宿主机上安装防病毒模块就可以实现对相应虚拟主机的防护。通常防病毒模块也是用虚拟机的方式安装在云环境中,用户可以配置策略,对已安装防病毒模块的宿主机上的任意虚拟主机进行病毒防护。

对于云计算网络安全的整个防护架构,只要在网络入口处把好关,做到相关防护工作,网络内部结构合理,横向主机之间做好权限管理以及流量管理,日常维护管理及使用行为做到规范化就能够维持云计算网络的安全稳定运行。通过建立以防火墙、异常流量检测与清洗、入侵检测、漏洞扫描、防病毒组成的完整云计算网络安全防护架构,能够最大程度保障整个云计算环境的稳定运行。

图5 防病毒系统部署策略

4 结 语

现代计算机技术发展太快,云计算服务把整个世界都结合在了一起。也把以前很多不相干的事物也结合起来了,很好地运用了网络为我们提供便利,但在为我们提供各种便利的同时也暴露了很多安全性问题。信息的共享性无法保证信息的保密程度,导致很多信息泄漏在网络上也是常有的事,所以网络安全相关技术发展对当今社会也非常的重要,在大型企业或者集团对网络安全的需求就非常的大,因为它牵连的利益更大。每个人都应该提升信息安全意识,建立良好的安全意识从而维护自身利益。

信息的保密性和完整性可以为社会生活带来高效的服务,网络的互通性和自由性可以为社会生活带来便捷的服务。但是信息的不可控性和流动性又给社会生活带来一定信息安全危害,网络的开放性和虚拟性给社会生活带来了信息泄露的威胁。所以说包含万千信息的网络是一把双刃剑,基于云计算的网络信息体系更是有利有弊。我们应该合理地利用信息及网络为生活提供便利的服务,提高网络与信息安全防护技术,提高个人信息安全防范意识,才能造就一个完整可靠的网络信息环境。

猜你喜欢

防病毒防火墙虚拟化
全民总动员,筑牢防火墙
防病毒肺炎
构建防控金融风险“防火墙”
基于OpenStack虚拟化网络管理平台的设计与实现
对基于Docker的虚拟化技术的几点探讨
浅谈计算机防病毒软件的作用机制
浅谈计算机防病毒软件的作用机制
浅析虚拟化技术的安全保障
H3C CAS 云计算管理平台上虚拟化安全防护的实现
在舌尖上筑牢抵御“僵尸肉”的防火墙