华为FusionSphere 6.0云套件 安全技术白皮书(云数据中心)文档版本V1.0发布日期2016-04-30华为技术有限公司华为FusionSphere 6.0云套件安全技术白皮书 (云数据中心)Doc Number:OFFE00019187_PMD966ZHRevision:A 拟制/Prepared by: chenfujun 90002776; 评审/Reviewed by: huangdenghui 00283052;zouxiaowei 00348656;pengzhao jun 00286002;youwenwei 00176512;yanzhongwei 00232184 批准/Approved by: youwenwei 001765122015-12-29Huawei Technologies Co., Ltd. 华为技术有限公司All rights reserved版权所有 侵权必究版权所有 © 华为技术有限公司 2016 保留一切权利非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标,由各自的所有人拥有注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证由于产品版本升级或其他原因,本文档内容会不定期进行更新除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼 邮编:518129网址:文档版本V1.0 (2016-01-04)华为专有和保密信息 版权所有 © 华为技术有限公司1华为FusionSphere6.0云套件安全技术白皮书(云数据中心)内部公开目 录1 云计算平台安全威胁分析 11.1 概述 11.2 云安全威胁分析 11.2.1 传统的安全威胁 11.2.2 云计算带来的新的安全威胁 31.3 云计算的安全价值 42 FusionSphere安全方案 52.1 FusionSphere总体安全框架 52.2 FusionSphereOpenstack安全框架 62.3 网络安全 62.3.1 网络平面隔离 62.3.2 VLAN隔离 72.3.3 安全组 82.3.4 防IP及MAC仿冒 82.3.5 DHCP隔离 82.4 虚拟化安全 82.4.1 vCPU调度隔离安全 92.4.2 内存隔离 92.4.3 内部网络隔离 92.4.4 磁盘I/O隔离 102.5 数据安全 102.5.1 数据访问控制 102.5.2 剩余信息保护 102.5.3 数据备份 102.5.4 控制台登录虚拟机支持密码认证 102.6 运维管理安全 102.6.1 管理员分权分域管理 112.6.2 账号密码管理 112.6.3 日志管理 112.6.4 传输加密 112.6.5 数据库备份 112.7 基础设施安全 122.7.1 操作系统加固 122.7.2 Web安全 122.7.3 数据库加固 122.7.4 安全补丁 132.7.5 防病毒 13华为FusionSphere6.0云套件安全技术白皮书(云数据中心)内部公开1 云计算平台安全威胁分析1.1 概述云计算平台作为一种新的计算资源提供方式,用户在享受它带来的便利性、低成本等优越性的同时,也对其自身的安全性也存在疑虑。
如何保障用户数据和资源的机密性、完整性和可用性成为云计算系统急需解决的课题本文在分析云计算带来的安全风险和威胁基础上,介绍了华为云计算平台针对这些风险和威胁所采取策略和措施,旨在为客户提供安全可信的云数据中心解决方案1.2 云安全威胁分析1.2.1 传统的安全威胁l 来自外部网络的安全威胁的主要表现− 传统的网络IP攻击如端口扫描、IP地址欺骗、Land攻击、IP选项攻击、IP路由攻击、IP分片报文攻击、泪滴攻击等− 操作系统与软件的漏洞在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(bug)黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制操作系统,让它做任何他们想让它做的事情常见的操作系统与软件的漏洞有:缓冲区溢出、滥用特权操作、下载未经完整性检查的代码等− 病毒、木马、蠕虫等− SQL注入攻击攻击者把SQL命令插入Web表单的输入域或者页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令,在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入攻击− 钓鱼攻击钓鱼攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获取如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
这些通信都声称来自于著名的社交网站,拍卖网站,网络银行,电子支付网站或网络管理者,以此来诱骗受害者的轻信网钓通常是通过email或者即时通讯进行− 零日攻击过去,安全漏洞被利用一般需要几个月时间现在这个时间越来越短如果一个漏洞被发现后,当天或更准确的定义是在24小时内,立即被恶意利用,出现对该漏洞的攻击方法或出现攻击行为,那么该漏洞被称为“零日漏洞”,该攻击被称为“零日攻击”系统被发现存在漏洞后,由于原厂商需要时间确认漏洞的存在,需要时间评估漏洞的风险,也需要时间来确定漏洞修正的方法,实现该方法后还要验证、评估和质检,因此很难在当日就拿出补丁由于厂商缺少补丁,而最终用户又缺少防范意识,从而能够造成巨大破坏现在针对新漏洞的攻击产生速度比以前要快得多不光有“零日攻击”,还有“零时攻击”l 来自内部网络的安全威胁的主要表现− 攻击方法日新月异,内部安全难以防范主要问题表现在ARP欺骗问题与恶意插件泛滥问题等新的安全问题,被攻破的内网主机中可能被植入木马或者其它恶意的程序,成为攻击者手中所控制的所谓“肉鸡”,攻击者可能以此作为跳板进一步攻击内网其它机器,窃取商业机密,或者将其作为DDOS工具向外发送大量的攻击包,占用大量网络带宽。
员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件,都可能给攻击者带来可乘之机− 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大由于网络内的各种平台的主机和设备存在安全漏洞但没有及时安装最新的安全补丁,或者主机和设备的软件配置存在隐患,杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新,给恶意的入侵者提供了可乘之机,使病毒和蠕虫的泛滥成为可能大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪,业务无法正常进行− 非法外联难以控制、内部重要机密信息泄露频繁发生员工通过线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得企业内网的IT资源暴露在外部攻击者面前,攻击者或病毒可以通过拨号线路进入企业内网;另一方面,内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去,给企业带来经济损失但又不易取证− 移动电脑设备随意接入、网络边界安全形同虚设员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用,如果管理不善,很有可能携带有病毒或木马,一旦未经审查就接入企业内网,可能对内网安全构成巨大的威胁− 软硬件设备滥用、资产安全无法保障内网资产(CPU、内存、硬盘等)被随意更换,缺乏有效的技术跟踪手段;员工可以随时更改自己所使用的机器的IP地址等配置,不仅难于统一管理,而且一旦出现攻击行为或者安全事故,责任定位非常困难。
− 网络应用缺乏监控,工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率,利用,MSN,ICQ 这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用BitTorrent、电驴等工具大量下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证− 缺乏外设管理手段,数据泄密、病毒传播无法控制外设是数据交换的一个最要途径,包括U盘、光驱、打印、红外、串口、并口等;由于使用的方便性,近几年成为数据泄密、病毒感染的出入口通过封贴端口、制度要求等方式无法灵活对外设进行管理,特别是对USB接口的管理,所以必须通过其它技术手段解决存在的问题− 管理制度缺乏技术依据,安全策略无法有效落实尽管安全管理制度早已制定,但只能依靠工作人员的工作责任心,无法有效地杜绝问题;通过原始方式:贴封条、定期检查等相对松散的管理机制,没有有效灵活实时的手段保障,无法使管理政策落实1.2.2 云计算带来的新的安全威胁云计算系统的计算资源使用方式和管理方式的变化,带来了新的安全风险和威胁对管理员而言主要存在以下风险和威胁:l 虚拟管理层成为新的高危区域云计算系统通过虚拟化技术为大量用户提供计算资源,虚拟管理层成为新增的高危区域。
l 恶意用户难以被追踪和隔离资源按需自助分配使得恶意用户更易于在云计算系统中发起恶意攻击,并且难以对恶意用户进行追踪和隔离l 云计算的开放性使云计算系统更容易受到外部攻击用户通过网络接入云计算系统,开放的接口使得云计算系统更易于受到来自外部网络的攻击而对最终用户而言,使用云计算服务带来的主要风险和威胁如下: l 数据存放在云端无法控制的风险计算资源和数据完全由云计算服务提供商控制和管理带来的风险,包括提供商管理员非法侵入用户系统的风险;释放计算资源或存储空间后,数据能否完全销毁的风险;数据处理存在法律、法规遵从风险l 资源多租户共享带来的数据泄漏与攻击风险多租户共享计算资源带来的风险,包括由于隔离措施不当造成的用户数据泄漏风险;遭受处在相同物理环境下的恶意用户攻击的风险l 网络接口开放性的安全风险网络接入带来的风险:云计算环境下,用户通过网络操作和管理计算资源,鉴于网络接口的开放性,带来的风险也随之升高1.3 云计算的安全价值l 统一、全面的安全策略计算资源集中管理使得边界防护更易于部署可以针对计算资源提供全面的安全策略、统一数据管理、安全补丁管理、以及突发事件管理等安全管理措施对用户而言,也意味着能够有专业的安全专家团队对其资源和数据进行安全保护。
l 低安全措施成本多个用户共享云计算系统的计算资源,在集中的资源上统一应用安全措施,可以降低各用户的安全措施平均成本,即更低的投资会给用户带来同样安全的保护措施l 按需提供安全防护利用快速、弹性分配资源的优势,云计算系统可以为过滤、流量整形、加密、认证等提供安全防护措施,动态调配计算资源,提高安全措施处理效率2 FusionSphere安全方案2.1 FusionSphere总体安全框架根据云计算面临的威胁与挑战,华为提供虚拟化平台安全解决方案,如图2-1所示图2-1 安全解决方案框架。