等保2.0下高校虚拟化平台安全探索
2020-06-08户利利
户利利
摘要:虚拟化系统的高可靠性、可扩展性、易于管理等优点使得虚拟化系统在高校得到了广泛的推广使用。文章基于网络安全等级保护2.0的基本要求,确定了虚拟化平台的安全责任边界、分析了虚拟化平台的安全风险。针对虚拟化平台面临的安全威胁和安全需求,参考国家安全等级保护建设和测评的标准和规范,基于等级保护“一个中心,三重防护”的纵深防护思想,文章从虚拟化平台的区域边界、计算环境以及安全管理中心三个方面来介绍如何通过虚拟化等级保护来加强虚拟化平台的安全。
关键词:虚拟化平台;高校;等级保护
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2020)10-0027-03
1概述
2016年11月7号,十二届全国人大常委会第24次会议通过了《中华人民共和国网络安全法》,该法是网络领域的基础性法律,于2017年6月1日起开始实施。《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。高校作为培养人才的重要基地,需要严格遵守网络安全法,实施网络安全等级保护制度。2019年,网络安全等级保护系列标准正式发布,网络安全等级保护从此由1.0时代迈入2.0时代。网络安全等级保护制度在2.0时代,将云计算、物联网、移动互联、工业控制信息系统和大数据等新应用、新技术纳入等级保护扩展要求。
虚拟化技术是云计算中的核心技术,虚拟化包括了三层含义:虚拟化的对象是各种各样的资源;经过虚拟化后的逻辑资源对用户隐藏了不必要的细节;用户可以在虚拟化环境中实现其在真实环境中的部分或者全部功能嘲。虚拟化平台是利用虚拟化技术,将各类硬件资源虚拟化成统一的资源池,简化了资源配置和管理,具有高可靠性、高弹性的同时提高了硬件的利用率。在现实的生产应用中,由于云平台软件的厚重,消耗资源大、价格昂贵等现实原因,云平台软件主要运用于各个大型企事业单位和运营商中,中小型企业和高校由于业务需求和经济原因并没有真正实现云的概念,大部分只是在虚拟化的层面上,因此从某种意义上说,虚拟化平台的应用更具有广泛性。
在网络安全等级保护标准中,云计算是指通过网络访问或可扩展的、灵活的物理或虚拟共享的资源池,同时这种资源池需要具有自助获取和管理的模式。虽然虚拟化平台不具有云计算所要求的自助获取的模式,但是虚拟化平台也是个资源池,是可以参照云计算的要求来做安全等保。
2确定安全责任边界
区别于传统的信息系统,虚拟化保护环境是虚拟化平台以及虚拟化平台上部署的各类软件以及各相关组件的集合。虚拟化保护环境依据管理权限划分为不同的管理范围,管理员对各自的管理范围的安全负责。其中,虚拟化平台等级保护的定级、备案、等级测评、安全整改等具體实施由虚拟化平台的管理者负责;各虚拟化用户对其申请的虚拟资源上的系统负责,该系统的定级和等级保护开展工作由虚拟化用户负责。虚拟化平台上可以有多个不同等级的虚拟化用户信息系统,这些虚拟化用户信息系统的安全保护的等级不能高于平台的安全等级应。
在各高校中,一般是由信息中心作为虚拟化平台的管理者,由信息中心根据平台的用途和重要性确定平台的保护等级,并根据平台的保护等级的要求实施安全等保。在高校中,虚拟化用户通常是指高校内的各个业务单位,各业务单位在保障业务工作的同时,也需要保障相应系统的安全。
虚拟化环境中可能具有多种虚拟化服务模式,根据服务模式的不同,虚拟化平台的管理者和虚拟化用户的安全责任边界是不同的。虚拟化服务模式可分为基础设施即服务IaaS、平台即服务PaaS、软件即服务SaaS。在不同的服务模式下,虚拟化用户的安全责任边界是不同的。对于IaaS的基础设施服务模式,虚拟化用户的职责范围包括虚拟机操作系统和操作系统上的所有应用以及数据库和中间件;对于PaaS平台即是服务模式,虚拟化用户的责任对象为软件开发平台中间件、应用和数据;对于SaaS软件即服务模式,虚拟化用户的职责范围主要为用户访问和用户账号安全。除去虚拟化用户的安全责任范围,平台剩下的安全责任都由平台管理员的承担。
3虚拟化平台的安全风险
虚拟化平台具有高可用、可扩展、支持多种操作系统持续运行、空间和资源消耗小等多种优点,但是在引入优势的同时,也带来了许多新的安全风险。
1)虚拟流量交换的安全风险,虚拟化流量分为两种[3],一种是南北向流量,一种是东西向流量。南北向流量是指虚拟化平台与外部的流量,针对这种流量的安全可以采用常见的外部防护墙等防护手段,防护来自虚拟化平台之外的攻击和破坏。东西向流量指的是虚拟化平台上各个虚拟机之间的流量。在虚拟环境中,虚拟机与虚拟机之间是通过虚拟交换机进行通信的,传统的防火墙以及IPS等安全设备是无法感知到这种通信流量的。这种情况下,如果一台虚拟机感染病毒,这台感染病毒的虚拟机会对平台上的其他虚拟机发起攻击,引起虚拟机和平台的多种安全风险。为了应对这种攻击,我们需要对这种东西向的流量进行监控,并且设置各个虚拟机之间的安全策略来降低这种安全风险。
2)虚拟化引入的安全风险。虚拟化平台中,宿主机操作系统,虚拟化平台软件等都可能存在安全漏洞,利用这些安全漏洞,攻击者可以对虚拟化宿主机或者虚拟化平台进行攻击,进而对平台上的虚拟机进行任意的配置破坏,造成虚拟机系统的不可用或者虚拟机上的数据泄露。这种风险需要及时对虚拟化系统进行系统升级,同时采用访问控制的策略管理虚拟化软件层的访问权限,将系统设置为只针对个别IP开放需要的端口。
3)资源分配风险。处于虚拟资源池中的多个虚拟机共享同一套硬件资源,可能会出现恶意抢占网络、存储、计算等资源的情况,不仅影响了平台资源的可用性,还影响了整个平台的性能,导致平台资源耗尽,影响其他关键业务系统的正常运行,造成安全风险。并且由于多个虚拟机共享资源,各个虚拟机在共享资源的同时,可能会造成数据泄露。目前主流的虚拟化系统都已经具备主机监控的功能,当主机或者虚拟机的资源消耗超过一定的阈值时,系统会报警。
4)虚拟化环境下的动态负载,虚拟机的动态漂移技术,保证了虚拟机上业务系统的持续性,但是也给虚拟化安全带来了新的挑战。为了保障各虚拟机的安全策略实施有效,这就需要安全策略、安全防护措施能够随着虚拟机进行漂移。
5)平台层面对数据安全造成的风险。首先终端用户把数据通过虚拟化存储交付给虚拟化平台后,从某种意义上说,数据的访问权限已经开放给了虚拟化平台的管理员,如何从平台管理员的角度保障数据的保密性是第一个挑战。其次,在虚拟化环境下,数据存储是通过碎片化的方式,这种碎片化存储方式给数据的可恢复性带来挑战。同时因为数据是碎片化存放的,无法在存储层面上做隔离,如何保障这些碎片化的数据不被平台上的其他系统访问到这也是个很大的挑战。
4等保2.0下虚拟化平台的安全防护
虚拟化平台是由大量的物理服务器和存储资源组成的共享的IT资源池。虚拟化技术在资源动态分配和保障业务连续性等方面具有显著的优势。为了保证虚拟化平台的安全,提高虚拟化平台的整体防护能力,我们需要对虚拟化平台进行等保安全测评。虚拟化平台的等保安全测评是衡量虚拟化平台安全的重要手段,通过虚拟化平台的安全等保测评工作可以指导虚拟化平台的安全建设,维护虚拟化平台的安全性。
针对虚拟化平台面临的安全威胁和安全需求,基于等级保护“一个中心,三重防护”的纵深防护思想,从通信网络到区域边界再到计算环境进行重重防护,其中安全管理中心对平台的系统管理、安全管理和安全审计进行集中管控。
4.1虚拟化的安全计算环境
用户通过安全的通信网络以网络直接访问、API接口访问和Web服务器等方式安全的访问虚拟化平台提供的计算机安全环境。安全计算环境包括基础设施层安全和服务器层安全。其中,基础设施层分为硬件设施和虚拟设施。硬件设施的安全设计主要涉及物理主机、光纤交换机、存储设备等物理实体的安全。虚拟设施的安全主要涉及服务器虚拟化软件、存储虚拟化软件、网络虚拟化软件、虚拟化平台管理软件等,其中,镜像和快照也属于虚拟设施层。服务层是虚拟化平台提供给用户的虚拟资源的实现,根据服务模式的不同,虚拟化平台提供者和用户承担的安全责任不同。服务层安全首先需要明确虚拟化平台管理者的责任安全范围,根据安全责任范围和安全等级要求得出安全设计技术要求。
4.2虚拟化的安全区域边界
在安全区域边界方面,除了传统的物理区域的边界安全,还增加了由于虚拟引入的边界问题。首先将整个平台分为管理区域和业务区域。管理区域与业务区域网络进行隔离设计,其中运维平台、安全管理平台、虚拟化管理平台仅允许管理区域内的管理终端访问,避免远程管理引入的系统风险。
在业务区域中,需要在虚拟化系统规划时,就在计算、存储和网络三个层面对平台上将要运行的虚拟机、数据库和中间件等资源按业务的重要程度进行物理模块的隔离划分。具体的划分和隔离方法如下:
数据库层面上,按业务逻辑将数据库分为核心数据库和交互数据库。数据库需要专门建立一个单独的计算池,该计算池配置2个以上的高性能计算节点均衡计算负载,在存储上单独创建2个数据卷分别用来存核心数据库和交互数据库,核心的数据库存放业务系统使用的核心数据,仅限相关的业务的访问,拒绝其他访问,配置策略要严格很多。交互数据库用于存放应用系统之间的交换数据,配置的安全访问策略较为宽松,用于过滤应用层带来的安全问题,实现核心数据库和应用之间的逻辑隔离。网络层面上划分两个子网,核心数据库子网网段和交互数据库子网网段,实现网络层面的安全隔离。
中间件部分,根据业务量的大小,创建一个单独的计算池,该计算池可以由2个以上高性能节点和一个单独的数据卷构成;
在虚拟机层面上,对虚拟机按照业务的重要的程度再次进行划分,分为非常重要的虚拟机,重要的虚拟机和一般虚拟机以及临时虚拟机四个等级的虚拟机,将这四个等级的虚拟机放在一个计算池中,并且将这四个等级的虚拟机分别存储在不同的数据卷上。网络层面上,对应于四种等级的虚拟机,可以划分四个不同的子网,并且这四个子网分隔较远,方便后期对流量的监控和分析。
4.3虚拟化安全管理中心
虚拟化环境的系统管理、安全管理和安全审计由安全管理中心统一集中管控。安全管理中心可以是一个机构,也可以是个平台,安全管理中心对系统管理、安全管理和审计管理负责。由于虚拟化系统复杂,需要管理的內容比较多,在等保2.0中,需要将这些管理接口单独划分到一个区域中,与生产网分离,实现独立且集中的管理。在安全管理方面,安全管理中心制定平台安全管理规范和管理员安全操作守则。为了保障系统管理的安全性,系统管理员需要依据操作手册对平台系统进行维护,并且需要详细记录操作日志。在用户权限方面,严格遵循最低权限原则,管理人员的权限需要与其工作职责范围匹配,禁止共享账号,当管理员发生人员变动时,即刻更新管理员账号和密码,将旧的管理员账号进行删除。同样,安全设备和安全组件的管理接口也需要设置独立的网段进行集中管理,并且平台上所有的数据库、中间件、虚拟机的安全策略配置和漏洞管理可以集中配置和管理。在安全审计方面,平台上的所有的登陆除了需要通过身份认证外,还需要通过堡垒机等,实现系统登录的多重防护。平台上数据库、中间件和虚拟机的日志需要定期发到审计服务器上,该日志审计服务器需要保存平台上各个数据库、中间件和虚拟机的6个月全流量操作日志,并且该日志有备份。
5结束语
高校信息化建设需要将网络信息安全放在首位,《中华人民共和国网络安全法》的发布将网络安全等级保护上升到了法律层面。通过网络安全等级保护建设可以加强高校的网络安全防护体系的建设。本文以高校虚拟化平台为例,确定了虚拟化平台系统的安全责任边界、分析了虚拟化系统的安全风险。针对虚拟化平台面临的安全威胁和安全需求,参考国家安全等级保护建设和测评的标准和规范,基于等级保护“一个中心,三重防护”的纵深防护思想,分别从虚拟化系统的区域边界、计算环境以及安全管理中心三个方面来介绍如何通过虚拟化等级保护来加强虚拟化平台的安全。