云平臺安全監(jiān)管及體系設(shè)計*

崔 陽，尚 旭，金 鑫，王 進，溫尚國

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

云計算技術(shù)自從被提出，就是計算機領(lǐng)域廣泛關(guān)注的技術(shù)熱點之一，其發(fā)展應(yīng)用給社會生活各個領(lǐng)域帶來了顯著的影響和變化[1]。云計算技術(shù)的廣泛應(yīng)用改變了傳統(tǒng)的技術(shù)體系架構(gòu)，帶來了虛擬化、動態(tài)可擴展、按需部署、靈活性高、可靠性高、性價比高和可擴展性等技術(shù)優(yōu)點。隨著相應(yīng)產(chǎn)品的應(yīng)用，云計算技術(shù)也改變了信息領(lǐng)域的組織管理模式。然而，云計算技術(shù)也帶來了新的安全問題，如偽造身份、惡意軟件、隱私泄露、數(shù)據(jù)竊取、有組織的網(wǎng)絡(luò)攻擊等。由于目前該領(lǐng)域尤其缺乏對云計算技術(shù)安全的認(rèn)知和鑒別手段，也缺乏對云計算安全的統(tǒng)一監(jiān)管，無法消除用戶使用云計算技術(shù)的安全顧慮，成為影響云計算技術(shù)進一步推廣的最大障礙。

由于云計算技術(shù)具有體系架構(gòu)復(fù)雜、虛擬資源與物理資源相結(jié)合、多租戶使用和共享等特點，導(dǎo)致部署于網(wǎng)絡(luò)邊界的安全防護傳統(tǒng)手段已經(jīng)無法有效應(yīng)對云環(huán)境的安全風(fēng)險。解決云計算安全問題，需要突破原有的安全理論界限，從頂層技術(shù)的角度出發(fā)，結(jié)合安全保密現(xiàn)代化的需求，并根據(jù)云計算應(yīng)用典型系統(tǒng)架構(gòu)特點，全面梳理云計算各個層次所面對的多種安全威脅和存在的安全問題。本文針對所面臨的安全威脅，根據(jù)云計算環(huán)境分層體系架構(gòu)特點，結(jié)合現(xiàn)有的云安全標(biāo)準(zhǔn)和規(guī)范，研究云計算的安全防護模型，提出基于統(tǒng)一安全的策略，進而設(shè)計和構(gòu)建云安全監(jiān)管體系。

1 云安全風(fēng)險分析

由于云環(huán)境中采用了虛擬化共享技術(shù)，使得不同應(yīng)用之間的資源能夠充分共享，但應(yīng)用軟件結(jié)構(gòu)更加復(fù)雜，應(yīng)用業(yè)務(wù)邏輯層次增加，導(dǎo)致攻擊者可利用的攻擊面增加，也大大增加了。此外，云平臺不同架構(gòu)層次上，也有著不同的安全風(fēng)險。

1.1 云基礎(chǔ)設(shè)施安全風(fēng)險

云基礎(chǔ)設(shè)施包括服務(wù)器、交換機、存儲等硬件設(shè)備。這些設(shè)備可以分類為網(wǎng)絡(luò)傳輸設(shè)備和計算存儲設(shè)備。由于其不同的運行特點，兩者存在不同的安全風(fēng)險。

1.1.1 計算存儲設(shè)備安全風(fēng)險

在云計算環(huán)境中，計算存儲設(shè)備是云最基本的基礎(chǔ)設(shè)施，是進行計算和存儲數(shù)據(jù)的主要設(shè)備，其硬件形式為機架式服務(wù)器。在該環(huán)境中，計算存儲設(shè)備也面臨著傳統(tǒng)服務(wù)器面臨的風(fēng)險，如存在系統(tǒng)漏洞、非法復(fù)制、非法使用權(quán)限、數(shù)據(jù)竊取、數(shù)據(jù)丟失、硬件后門等方面的安全風(fēng)險。

1.1.2 網(wǎng)絡(luò)物理傳輸安全風(fēng)險

云平臺的物理傳輸網(wǎng)絡(luò)存在外來網(wǎng)絡(luò)非法入侵、網(wǎng)絡(luò)竊取、數(shù)據(jù)泄露等安全風(fēng)險，以及網(wǎng)絡(luò)設(shè)備自身安全性方面的風(fēng)險，如網(wǎng)絡(luò)設(shè)備被非法控制、網(wǎng)絡(luò)路由被非法劫持等。另外，云平臺傳輸網(wǎng)絡(luò)應(yīng)采取密碼技術(shù)保證數(shù)據(jù)傳輸?shù)臋C密性和完整性，防止數(shù)據(jù)被監(jiān)聽泄密。

1.2 基礎(chǔ)設(shè)施服務(wù)層安全風(fēng)險

虛擬化是云計算特有的技術(shù)。引入虛擬化技術(shù)的同時，也帶來了傳統(tǒng)系統(tǒng)中未有過的安全風(fēng)險和威脅。基礎(chǔ)設(shè)施服務(wù)（Infrastructure as a Service，IaaS）層主要包括虛擬機、云數(shù)據(jù)存儲和傳輸、虛擬化監(jiān)視器、網(wǎng)絡(luò)虛擬化和虛擬化管理幾個部分?；A(chǔ)設(shè)施服務(wù)層為云平臺提供基礎(chǔ)的運行服務(wù)，基礎(chǔ)設(shè)施的安全是云平臺安全的基礎(chǔ)。除了傳統(tǒng)的安全威脅以外，虛擬資源的管理和分享也導(dǎo)致了新的安全威脅。

1.2.1 虛擬機安全威脅

虛擬機面臨傳統(tǒng)主機系統(tǒng)的所有安全風(fēng)險。具體面臨的安全威脅如下：操作系統(tǒng)和數(shù)據(jù)庫被暴力破解，造成非法訪問；服務(wù)器的Web 應(yīng)用被入侵，遭遇上傳木馬、上傳webshell 等攻擊行為；補丁更新不及時導(dǎo)致的漏洞被利用；不安全的配置和非必要端口的開放導(dǎo)致的非法訪問和入侵。

1.2.2 云數(shù)據(jù)存儲和傳輸安全風(fēng)險

在云計算環(huán)境中，由于存儲虛擬化的引入，物理存儲資源共用和復(fù)用，虛擬機的數(shù)據(jù)（磁盤內(nèi)容）以文件的形式存儲在物理的存儲介質(zhì)上，并通過網(wǎng)絡(luò)方式訪問，因此面臨著以下風(fēng)險：

（1）數(shù)據(jù)在傳輸過程中受到破壞而無法恢復(fù)；

（2）在虛擬環(huán)境傳輸?shù)奈募蛘邤?shù)據(jù)被監(jiān)聽；

（3）虛擬機的內(nèi)存和存儲空間被釋放或再分配后被惡意攻擊者竊??；

（4）同一個邏輯卷被多個虛擬機掛載導(dǎo)致邏輯卷上的敏感信息泄露；

（5）云用戶從虛擬機逃逸后獲取鏡像文件或其他用戶的隱私數(shù)據(jù)；

（6）虛擬機遷移、敏感數(shù)據(jù)存儲漂移導(dǎo)致的不可控；

（7）數(shù)據(jù)安全隔離不嚴(yán)格導(dǎo)致惡意用戶可以訪問其他用戶數(shù)據(jù)；

（8）虛擬機鏡像遭到惡意攻擊者篡改或非法讀取。

1.2.3 虛擬化監(jiān)視器安全風(fēng)險

在云計算環(huán)境中，資源是通過虛擬化監(jiān)視器（Hypervisor）等方式對資源進行邏輯切分，其中存在以下安全風(fēng)險：

（1）Hypervisor 管理器缺乏身份鑒別，導(dǎo)致非法登錄Hypervisor 后進入虛擬機；

（2）控制單臺虛擬機后，通過虛擬機漏洞逃逸到Hypervisor，獲得物理主機的控制權(quán)限；

（3）控制單臺虛擬機后，通過Hypervisor 漏洞訪問其他虛擬機；

（4）缺乏服務(wù)質(zhì)量（Quality of Service，QoS）保證機制，虛擬機因異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機或宿主機下的其他虛擬機的資源不足，導(dǎo)致正常業(yè)務(wù)異?；虿豢捎?；

（5）缺乏針對虛擬機的“監(jiān)、控、防”機制，不能及時發(fā)現(xiàn)攻擊行為，攻擊者攻破虛擬系統(tǒng)后，可以進行任意破壞行為、網(wǎng)絡(luò)行為，還可以猜解其他賬戶，并能長期潛伏；

（6）虛擬機可能因運行環(huán)境異?；蛴布O(shè)備異常等原因出錯而影響其他虛擬機；

（7）Hypervisor 等核心組件缺乏完整性檢測，存在被破壞和篡改的風(fēng)險；

（8）抗毀能力不足，核心組件缺乏快速恢復(fù)機制，在遭到破壞后，無法快速地恢復(fù)。

1.2.4 網(wǎng)絡(luò)虛擬化安全風(fēng)險

在云計算模式下，隨著網(wǎng)絡(luò)虛擬化的引入、物理網(wǎng)絡(luò)資源的共享和傳統(tǒng)邊界的消失會帶來以下安全風(fēng)險：

（1）傳統(tǒng)的防火墻、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）等網(wǎng)絡(luò)安全設(shè)備只能部署在物理網(wǎng)絡(luò)的邊界，無法對虛擬機之間的通信進行細(xì)粒度訪問控制；

（2）網(wǎng)絡(luò)資源虛擬化后，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界的消失，無法有效地對云環(huán)境流量進行審計、監(jiān)控和管控；

（3）黑客通過虛擬機向整個虛擬網(wǎng)絡(luò)進行滲透攻擊，并在虛擬網(wǎng)絡(luò)內(nèi)傳播病毒木馬等惡意軟件，威脅到整個虛擬網(wǎng)絡(luò)甚至計算平臺的安全運行；

（4）虛擬機之間進行的地址解析協(xié)議（Address Resolution Protocol，ARP）攻擊、嗅探；

（5）虛擬系統(tǒng)在熱遷移過程中數(shù)據(jù)被非法嗅探和讀取；

（6）云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占；

（7）重要的網(wǎng)段、服務(wù)器被非法訪問、端口掃描、入侵攻擊；

（8）內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為無法檢測和阻斷；

（9）內(nèi)部用戶之間或者虛擬機之間的端口掃描、暴力破解、入侵攻擊等。

1.2.5 虛擬化管理方面安全風(fēng)險

利用虛擬化管理軟件自身存在安全漏洞，入侵管理平面，對云平臺進行破壞；缺乏統(tǒng)一的、高安全性的認(rèn)證和鑒權(quán)體系，導(dǎo)致云平臺管理員賬號被非法冒用、暴力破解等帶來的安全威脅；管理員權(quán)限集中，缺乏審計和回溯機制，導(dǎo)致管理平面的安全風(fēng)險；管理平面缺乏安全設(shè)計，導(dǎo)致對服務(wù)器、宿主機、虛擬機等進行操作管理時存在被竊聽和重放的風(fēng)險；Hypervisor、虛擬系統(tǒng)、云平臺不及時更新或系統(tǒng)漏洞導(dǎo)致的攻擊入侵。

1.3 平臺服務(wù)層安全風(fēng)險

平臺服務(wù)（Platform as a Service，PaaS）層向應(yīng)用提供開發(fā)、部署、運行需要的數(shù)據(jù)庫服務(wù)、Web服務(wù)平臺、消息中間件等云平臺服務(wù)。這些平臺服務(wù)的安全性和服務(wù)數(shù)據(jù)的安全性直接相關(guān)，并直接影響云的安全。

1.3.1 云平臺服務(wù)安全風(fēng)險

云平臺服務(wù)提供的數(shù)據(jù)庫服務(wù)、Web 服務(wù)平臺、消息中間件等云平臺服務(wù)基于統(tǒng)一的模板創(chuàng)建，如果云平臺服務(wù)存在安全漏洞，攻擊者就可以利用這個安全漏洞，對云平臺服務(wù)開展廣泛攻擊。云平臺服務(wù)安全面臨注入攻擊、跨站腳本、可擴展標(biāo)記語言（eXtensible Markup Language，XML）外部實體漏洞、失效的身份認(rèn)證、失效的訪問控制、安全配置錯誤、使用含有已知漏洞的組件、不充分的日志和監(jiān)控等安全風(fēng)險。

1.3.2 云平臺接口安全風(fēng)險

通過云平臺接口實現(xiàn)對云平臺服務(wù)的操作和管理，如果接口的安全保護不到位或者接口的傳輸協(xié)議有安全問題就會產(chǎn)生安全風(fēng)險。云平臺接口安全面臨以下風(fēng)險：未經(jīng)授權(quán)的用戶，進行非法訪問；接口受到分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，接口可用性遭到破壞；傳輸協(xié)議未加密或加密不充分，導(dǎo)致授權(quán)用戶被竊聽，發(fā)生數(shù)據(jù)泄密；傳輸協(xié)議對數(shù)據(jù)完整性保護不足，存在傳輸數(shù)據(jù)被篡改風(fēng)險，完整性被破壞。

1.3.3 云平臺數(shù)據(jù)安全風(fēng)險

由于應(yīng)用的數(shù)據(jù)集中存儲在云平臺中，一旦存在安全風(fēng)險會影響到所有的應(yīng)用，將造成特別重大的損失，因此要格外注意云平臺的數(shù)據(jù)安全保護。云平臺數(shù)據(jù)服務(wù)的安全風(fēng)險主要有數(shù)據(jù)泄露和數(shù)據(jù)丟失兩方面，數(shù)據(jù)泄露安全風(fēng)險包括數(shù)據(jù)庫未授權(quán)訪問、數(shù)據(jù)庫相關(guān)賬戶劫持、不完善的身份驗證邏輯、用戶錯誤配置、不安全的應(yīng)用程序接口（Application Programming Interface，API）（爬蟲爬?。┑?；數(shù)據(jù)丟失安全風(fēng)險包括內(nèi)部人員竊取、密碼泄漏、意外刪除文件、惡意軟件破壞、硬件設(shè)備故障、非法入侵等。

1.4 軟件服務(wù)層安全風(fēng)險

云平臺的軟件服務(wù)（Software as a Service，SaaS）層向應(yīng)用提供軟件服務(wù)。這些軟件服務(wù)的安全性直接影響云平臺的安全。

1.4.1 云平臺軟件服務(wù)的安全風(fēng)險

云平臺軟件服務(wù)安全面臨以下風(fēng)險：軟件服務(wù)本身存在安全漏洞，導(dǎo)致受到惡意攻擊，如結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入、跨站腳本攻擊等；云平臺軟件服務(wù)是基于Web 的網(wǎng)絡(luò)管理軟件，Web 應(yīng)用面臨拒絕服務(wù)攻擊、中間人攻擊、惡意軟件注入攻擊等安全風(fēng)險。

1.4.2 云平臺軟件服務(wù)隔離的安全風(fēng)險

云平臺軟件服務(wù)在多租戶應(yīng)用模式下，不同用戶共享統(tǒng)一的計算、網(wǎng)絡(luò)、存儲資源，應(yīng)該實現(xiàn)完全隔離。但如果不能對各個用戶的軟件服務(wù)進行隔離，惡意用戶就能直接訪問他人的軟件服務(wù)，并且可以改變軟件服務(wù)設(shè)置，即非授權(quán)用戶可能突破隔離屏障，訪問、竊取、篡改其他用戶的數(shù)據(jù)。云平臺軟件服務(wù)隔離的主要安全風(fēng)險有計算資源未隔離、網(wǎng)絡(luò)資源未隔離、存儲資源未隔離。

1.4.3 云軟件服務(wù)身份和訪問管理的安全風(fēng)險

云平臺軟件服務(wù)在很多方面都需要進行身份和訪問管理，因此將身份和訪問管理集成到云平臺，能為云平臺軟件服務(wù)提供統(tǒng)一的管理服務(wù)。但身份和訪問管理一方面需要接受傳統(tǒng)攻擊方法的考驗，另一方面也在云平臺環(huán)境下面臨著新的考驗。身份和訪問管理面臨賬戶攻擊和內(nèi)部威脅兩個方面的安全風(fēng)險。賬戶攻擊是指攻擊者通過某些途徑獲取賬戶信息，這些途徑包括網(wǎng)絡(luò)釣魚、軟件漏洞利用、撞庫、密碼猜解、密碼泄露等，然后進行一些惡意的操作或者未授權(quán)的活動。內(nèi)部威脅是指內(nèi)部具有訪問權(quán)限的內(nèi)部人員也有可能因安全意識缺失、錯誤的軟件/服務(wù)配置或者不規(guī)范的軟件使用等原因造成的內(nèi)部安全威脅。

2 云安全標(biāo)準(zhǔn)規(guī)范

云計算的安全問題已成為阻礙其發(fā)展的重要因素。為了促進云計算的發(fā)展，規(guī)范提高云平臺的安全性，需要提供統(tǒng)一的云計算安全標(biāo)準(zhǔn)。各國政府機構(gòu)和國際標(biāo)準(zhǔn)化組織制定了許多云計算安全的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)規(guī)范成為了評判云平臺安全性的重要依據(jù)。

2.1 國外標(biāo)準(zhǔn)規(guī)范

2.1.1 NIST 安全標(biāo)準(zhǔn)

針對云計算標(biāo)準(zhǔn)，美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了《SP500-291 云計算標(biāo)準(zhǔn)路線圖》和《SP 500-292 云計算參考架構(gòu)》，給出了云計算定義模型，如圖1 所示。

圖1 云計算定義模型

云計算定義模型定義了云計算的3 種基本服務(wù)模式（PaaS、SaaS、IaaS）、4 種部署模式（私有云、社區(qū)云、公有云和混合云）以及5 個基本特征（按需自服務(wù)、廣泛的網(wǎng)絡(luò)接入、資源池化、快速伸縮、服務(wù)可度量）。

2013 年5 月NIST 發(fā)布了《SP 500-299 NIST 云計算安全參考框架（NCC-SRA）》，指導(dǎo)構(gòu)建安全云環(huán)境[2]，安全參考模型如圖2 所示。

圖2 NIST 云計算安全參考架構(gòu)

2.1.2 CSA 云安全

云安全聯(lián)盟（Cloud Security Aliance，CSA）發(fā)布的云安全指南為云計算的安全防護構(gòu)建提供了指導(dǎo)。CSA 的主要成果有《云計算關(guān)鍵領(lǐng)域安全指南》《云計算的主要安全威脅報告》《云安全聯(lián)盟的云控制矩陣》《身份管理和訪問控制指南》等[3]。其中，《云計算關(guān)鍵領(lǐng)域安全指南v4.0》共14 個域（章節(jié)），第1 域描述了云計算概念和體系，其他13 個領(lǐng)域著重介紹了云計算安全的關(guān)注領(lǐng)域，以解決云計算環(huán)境中戰(zhàn)略和戰(zhàn)術(shù)安全的“痛點”，可應(yīng)用于各種云服務(wù)和部署模式的組合[4]。這些域分成了兩大類：治理和運行。其中，治理域中要求對云平臺進行合規(guī)化和審計管理。

2.2 國內(nèi)云安全標(biāo)準(zhǔn)

隨著云計算安全問題凸顯，云平臺的安全性問題已經(jīng)上升到事關(guān)國家安全和民生穩(wěn)定的高度。我國政府也制定了一系列相關(guān)法律法規(guī)來規(guī)范和指導(dǎo)云服務(wù)商為云平臺應(yīng)增加相應(yīng)的安全防護能力，相繼頒布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019）、《信息安全技術(shù) 云計算服務(wù)安全指南》（GB/T 31167—2014）和《信息安全技術(shù) 云計算服務(wù)安全能力要求》（GB/T 31168—2014）等，是云安全標(biāo)準(zhǔn)的基礎(chǔ)。。

2.2.1 云計算服務(wù)安全指南

2014 年9 月首批發(fā)布的云計算服務(wù)安全方面的國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計算服務(wù)安全能力要求》（GB/T 31168—2014）和《信息安全技術(shù) 云計算服務(wù)安全指南》（GB/T 31167—2014），是審查云計算服務(wù)網(wǎng)絡(luò)安全能力的重要標(biāo)準(zhǔn)。

《云計算服務(wù)安全指南》指導(dǎo)政府部門在云計算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施，保障數(shù)據(jù)和業(yè)務(wù)的安全，安全地使用云計算服務(wù)[5]。《云計算服務(wù)安全指南》確定了在云計算服務(wù)的使用過程中要注重運行監(jiān)管，即采用云計算服務(wù)后，為了確保服務(wù)中的數(shù)據(jù)和業(yè)務(wù)的運行安全，需要對數(shù)據(jù)和業(yè)務(wù)及其采用的云計算平臺進行持續(xù)監(jiān)管[5]?！对朴嬎惴?wù)安全指南》在標(biāo)準(zhǔn)中指出：云計算環(huán)境安全需要進行安全監(jiān)管。安全監(jiān)管即要求第三方測評機構(gòu)在使用前對云計算環(huán)境的安全能力和安全云計算服務(wù)網(wǎng)絡(luò)進行審查和測評。在服務(wù)運行時也要對云服務(wù)和云形態(tài)實施安全監(jiān)管。

2.2.2 等保2.0

為了適應(yīng)新技術(shù)、新應(yīng)用情況下信息安全等級保護工作的開展，國家安標(biāo)委組織進行修訂，發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239—2019），也被稱為等保2.0。該標(biāo)準(zhǔn)針對云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域提出等保擴展安全要求[6]。

等保2.0 標(biāo)準(zhǔn)中將安全技術(shù)要求重新劃分為4個層面：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全[7]。在網(wǎng)絡(luò)和通信安全方面要求安全審計，云服務(wù)方和云租戶分別收集各自的審計數(shù)據(jù)，并根據(jù)職責(zé)劃分提供審計接口，實現(xiàn)集中審計。在設(shè)備和計算安全方面，云服務(wù)方負(fù)責(zé)基礎(chǔ)設(shè)置的安全審計，云租戶提供計算服務(wù)中的安全審計，審計要求提供數(shù)據(jù)接口實現(xiàn)集中審計。在應(yīng)用和數(shù)據(jù)安全方面，和上面的類似，要求根據(jù)職責(zé)劃分，提供各自的審計接口實現(xiàn)集中審計?？梢姷缺?.0 標(biāo)準(zhǔn)對于安全審計在各個層面都進行了要求，云的安全數(shù)據(jù)需要集中收集和審計，從而對云安全進行監(jiān)管。

3 云平臺安全體系

3.1 設(shè)計思路

前面從云的分層架構(gòu)角度對云上各層面臨的安全風(fēng)險進行了詳細(xì)的梳理和闡述，同時對應(yīng)對這些安全風(fēng)險需要構(gòu)建的安全能力提出了具體的要求。本節(jié)將針對風(fēng)險和安全能力需求，從基礎(chǔ)設(shè)施安全、IaaS、PaaS、SaaS、云安全管理和云安全監(jiān)管多維度構(gòu)建云平臺安全的技術(shù)框架，解決前面的安全風(fēng)險問題。

3.2 體系框架

從云平臺安全技術(shù)體系的角度，將云平臺安全劃分為基礎(chǔ)設(shè)施安全、IaaS 安全、PaaS 安全、SaaS 安全、云安全管理和云安全監(jiān)管6 個層面，如圖3 所示。

圖3 云平臺安全技術(shù)框架

基礎(chǔ)設(shè)施安全方面，除了對于服務(wù)器、交換機、存儲等硬件設(shè)備的傳統(tǒng)安全防護以外，還包括針對虛擬化監(jiān)視器的安全保護技術(shù)，包括組件防篡改、虛機隔離、內(nèi)存隔離、虛擬機監(jiān)視程序（Virtual Machine Monitor，VMM）元數(shù)據(jù)保護等。

IaaS 層安全方面，主要包括虛擬機安全、虛擬網(wǎng)絡(luò)安全以及虛擬存儲安全3 方面。虛擬機安全包括虛擬機中的端口管控、外設(shè)安全、防病毒、漏洞掃描以及入侵檢測等。虛擬網(wǎng)絡(luò)安全包括云平臺上東西向的網(wǎng)絡(luò)防護，包括流量審計、訪問控制、入侵檢測與防護、防ARP 攻擊以及帶寬流量管理等。虛擬存儲安全包括虛機磁盤、鏡像、快照的存儲加密、完整性保護、遷移加密和傳輸加密。

PaaS 層安全方面，主要包括PaaS 的服務(wù)安全、接口安全以及數(shù)據(jù)安全3 個方面。服務(wù)安全，包括服務(wù)的訪問控制、身份認(rèn)證、Web 應(yīng)用防護、合規(guī)配置、操作審計等。接口安全包括接入認(rèn)證鑒權(quán)、傳輸加密、傳輸數(shù)據(jù)完整性、DDoS 防護等。數(shù)據(jù)安全包括數(shù)據(jù)的訪問審計、認(rèn)證鑒權(quán)、數(shù)據(jù)分類、數(shù)據(jù)安全保護等。

SaaS 層安全方面主要涉及防護應(yīng)用安全，包括應(yīng)用身份認(rèn)證、應(yīng)用訪問控制、Web 應(yīng)用防護應(yīng)用數(shù)據(jù)加密以及應(yīng)用行為審計等。

云安全管理方面，云上安全防護與傳統(tǒng)安全防護主要的區(qū)別在于防護邊界的消失和云上資源的動態(tài)變化。云安全服務(wù)的服務(wù)鏈編排，包括資源編排、服務(wù)生命周期管理等；云安全服務(wù)的彈性伸縮包括服務(wù)高可用、服務(wù)橫向伸縮以及服務(wù)負(fù)載均衡等。此外，云安全管理還包括統(tǒng)一的云安全態(tài)勢、云安全操作、日志審計。

云安全監(jiān)管將對云平臺、云服務(wù)、云應(yīng)用、云安全服務(wù)進行全方面的安全監(jiān)管。如Gartner 等研究機構(gòu)對云上安全防護提出了“自適應(yīng)”的云安全架構(gòu)要求。對云安全管理來說要實現(xiàn)“自適應(yīng)”的云安全架構(gòu)，必須實現(xiàn)云安全策略的自適應(yīng)，包括統(tǒng)一獲取云安全服務(wù)的安全策略、安全策略自適應(yīng)調(diào)整、安全策略統(tǒng)一合規(guī)檢查等。云安全狀態(tài)檢查，包括對云組件、云網(wǎng)絡(luò)和云資產(chǎn)進行安全檢查，檢測安全狀態(tài)是否滿足安全要求，提出改善建議。云安全合規(guī)性檢查，是對云平臺和云服務(wù)是否符合相關(guān)安全標(biāo)準(zhǔn)和規(guī)范進行檢查，分析其安全狀態(tài)，通過自定義合規(guī)策略實現(xiàn)安全基線檢查。

4 云安全監(jiān)管體系設(shè)計

4.1 體系概述

第3 節(jié)從云平臺的基礎(chǔ)設(shè)施安全、IaaS 安全、PaaS 安全、SaaS 安全、云安全管理和云安全監(jiān)管6個層面構(gòu)建了云平臺的安全體系。下面針對云安全監(jiān)管系統(tǒng)的設(shè)計具體如下文所述。

基于云安全監(jiān)管系統(tǒng)構(gòu)建一套統(tǒng)一的云安全監(jiān)測和管理體制，為管理員提供統(tǒng)一的云安全監(jiān)管界面，并為部署在云平臺中的虛擬機提供安全合規(guī)性檢測、網(wǎng)絡(luò)連通性監(jiān)測、網(wǎng)絡(luò)流量流向監(jiān)測、網(wǎng)絡(luò)流量抓包分析等功能，實現(xiàn)云上安全策略有效性分析。云安全監(jiān)管系統(tǒng)采用有代理+無代理雙監(jiān)控模式，提供虛擬網(wǎng)絡(luò)安全有效性監(jiān)測、虛擬網(wǎng)絡(luò)流量監(jiān)控、通信關(guān)系可見、云上抓包等能力，為用戶清晰展示云內(nèi)的網(wǎng)絡(luò)訪問關(guān)系，便于及時驗證網(wǎng)絡(luò)安全防護策略配置的有效性，為優(yōu)化網(wǎng)絡(luò)策略配置提供有力支撐，實現(xiàn)云上安全的“可看可查”。

云安全監(jiān)管系統(tǒng)圍繞云環(huán)境配置合規(guī)性、組件可信性、系統(tǒng)脆弱性、網(wǎng)絡(luò)連通性、策略合理性、隔離有效性等多個安全維度，應(yīng)對云環(huán)境接入訪問和云平臺安全防護的安全防護風(fēng)險，實現(xiàn)對云安全的“可看可查”和“可管可控”。該系統(tǒng)還能夠?qū)崿F(xiàn)云內(nèi)各虛擬機之間網(wǎng)絡(luò)連通性監(jiān)測，便于驗證網(wǎng)絡(luò)訪問控制策略的有效性；能夠?qū)崟r監(jiān)測云內(nèi)流量分布情況，觀察動向流量走向，便于優(yōu)化網(wǎng)絡(luò)策略配置；能夠提供云上抓包工具，可通過監(jiān)管平臺抓取任意節(jié)點之間的數(shù)據(jù)包，快速定位分析問題。

云安全監(jiān)管系統(tǒng)根據(jù)統(tǒng)一的接口規(guī)范，通過主動式調(diào)用云平臺接口獲取的信息和被動式接收云平臺上報的信息，同時基于統(tǒng)一的云安全監(jiān)管模型對不同云平臺進行綜合監(jiān)管和智能評估。

云安全監(jiān)管系統(tǒng)從多個維度全方位監(jiān)測和考察云環(huán)境安全性，主要包含配置合規(guī)性、組件完整性、身份可信性、系統(tǒng)脆弱性、網(wǎng)絡(luò)連通性、策略合理性、隔離有效性。配置合規(guī)性檢查宿主機、云平臺、虛擬機和容器配置是否合規(guī)。策略合理性驗證云平臺安全域、安全組和泛終端主機安全防護策略的設(shè)置是否合理。組件完整性校驗云平臺各組件是否符合完整性的要求；身份可信性考核云平臺中虛擬資產(chǎn)身份標(biāo)識、認(rèn)證、鑒權(quán)和訪問控制是否符合云平臺身份驗證要求。系統(tǒng)脆弱性掃描宿主機、云平臺、虛擬機和容器是否存在安全風(fēng)險。網(wǎng)絡(luò)連通性發(fā)現(xiàn)云平臺虛擬機和容器中服務(wù)開放端口間的通信關(guān)系。隔離有效性評估云平臺安全域、安全組和泛終端主機安全防護策略的設(shè)置是否生效。

云安全監(jiān)管系統(tǒng)通過綜合評分評估云環(huán)境安全性，并為云安全管理員提供合理、有效的安全加固方案和措施。

4.2 體系功能組成

云安全監(jiān)管系統(tǒng)由管理端和代理端組成。云安全監(jiān)管系統(tǒng)為軟件形態(tài)，部署于獨立的服務(wù)器或虛擬機。管理端為云平臺提供安全監(jiān)管功能，提供云平臺數(shù)據(jù)采集、分析、處理及展示能力。代理端以輕量客戶端形式部署于虛擬機和宿主機內(nèi)部，提供虛擬機和宿主機的數(shù)據(jù)采集、策略驗證執(zhí)行、網(wǎng)絡(luò)抓包、脆弱性掃描等能力，具體功能組成如圖4所示。

圖4 云安全監(jiān)管系統(tǒng)功能組成

4.2.1 管理端

管理端實現(xiàn)虛擬資產(chǎn)發(fā)現(xiàn)、虛擬網(wǎng)絡(luò)拓?fù)湔故?、網(wǎng)絡(luò)通信可見、網(wǎng)絡(luò)安全有效性監(jiān)測、云上抓包、虛擬機運行狀態(tài)監(jiān)控、合規(guī)性檢測、組件完整性檢測、身份可信鑒別、安全風(fēng)險檢測、策略有效性檢測以及安全狀態(tài)分析等能力。

（1）虛擬資產(chǎn)發(fā)現(xiàn)：采集虛擬機CPU、內(nèi)存、存儲配置、IP 地址、MAC 地址，操作系統(tǒng)類型等基礎(chǔ)信息。

（2）虛擬網(wǎng)絡(luò)拓?fù)湔故荆涸苾?nèi)虛擬機和虛擬網(wǎng)絡(luò)，繪制虛擬網(wǎng)絡(luò)拓?fù)鋱D。

（3）網(wǎng)絡(luò)通信可見：據(jù)實際網(wǎng)絡(luò)流量，自動繪制云內(nèi)各虛擬主機與外部的通信關(guān)系。

（4）網(wǎng)絡(luò)安全有效性監(jiān)測：實現(xiàn)云內(nèi)網(wǎng)絡(luò)安全隔離有效性檢查，自動發(fā)現(xiàn)虛擬機內(nèi)部的服務(wù)及監(jiān)聽端口，支持一鍵監(jiān)測云內(nèi)所有服務(wù)/端口之間的連通性，且能夠?qū)С霰O(jiān)測結(jié)果。

（5）云上抓包：提供在線抓包工具，便于快速定位和分析問題。

（6）虛擬機運行狀態(tài)監(jiān)控：監(jiān)控虛擬主機管控客戶端運行狀態(tài)和系統(tǒng)CPU、內(nèi)存、磁盤IO 等運行狀態(tài)。

（7）合規(guī)性檢測：根據(jù)預(yù)先制定的安全規(guī)則或用戶自定義的安全規(guī)則對云平臺進行全方位的檢測，檢測是否符合安全規(guī)則，并給出檢測報告，提供修改建議和意見。

（8）組件完整性檢測：檢測云平臺系統(tǒng)的運行組件是否完整、是否被非法修改或篡改。

（9）身份可信鑒別：檢驗云用戶、云租戶、云計算節(jié)點、云服務(wù)組件、虛擬實體等進行身份認(rèn)證，是否滿足云平臺身份認(rèn)證標(biāo)準(zhǔn)的要求，是否采用生物特征、密碼標(biāo)識、用戶口令等多因子驗證方法。

（10）安全風(fēng)險檢測：掃描云平臺和虛擬機運行的系統(tǒng)和軟件是否存在安全風(fēng)險，并提示用戶修補。

（11）策略有效性檢測：收集和整理云平臺及相關(guān)安全組件的安全，檢驗這些策略對云平臺是否生效、是否有沖突、是否對防護對象有缺失。

（12）安全狀態(tài)分析：通過檢測結(jié)果，分析云平臺的安全狀態(tài)，形成檢測報告并給出安全建議。

4.2.2 代理端

代理端實現(xiàn)安全策略驗證、基礎(chǔ)數(shù)據(jù)采集、網(wǎng)絡(luò)抓包、脆弱性掃描等能力。

4.3 功能模塊設(shè)計

云安全監(jiān)管系統(tǒng)分為管理端和代理端兩部分，通過部署在虛擬機中的代理端，獲取虛擬機數(shù)據(jù)采集模塊周期性，采集虛擬機內(nèi)部的基礎(chǔ)數(shù)據(jù)。這些數(shù)據(jù)包括CPU、內(nèi)存、存儲等虛擬機資源運行狀態(tài)以及虛擬機內(nèi)部運行的服務(wù)及監(jiān)聽端口等。數(shù)據(jù)通過消息通信模塊發(fā)送至管理端，檢測虛擬機中的網(wǎng)絡(luò)流量，檢測通信關(guān)系和行為，評估云平臺網(wǎng)絡(luò)風(fēng)險。云安全監(jiān)管系統(tǒng)管理端為云平臺提供安全監(jiān)管功能，通過與云平臺接口和代理采集的數(shù)據(jù)，對云平臺數(shù)據(jù)進行采集、分析、處理及展示。云安全監(jiān)管服務(wù)端由云安全合規(guī)檢測服務(wù)、云安全數(shù)據(jù)分析服務(wù)、云安全管控服務(wù)、數(shù)據(jù)存儲服務(wù)、數(shù)據(jù)采集服務(wù)以及用戶交互服務(wù)組成，各服務(wù)組件關(guān)系如圖5 所示。

圖5 云安全監(jiān)管系統(tǒng)技術(shù)結(jié)構(gòu)

4.3.1 云安全合規(guī)性監(jiān)測服務(wù)

依據(jù)等保2.0 條例、GJB5612 條例等安全保密要求，對云平臺提供云配置合規(guī)性、云組件完整性、云身份可靠性、云網(wǎng)絡(luò)連通性、云策略合理性、云脆弱性、云隔離有效性等安全層面控制點進行檢測，將檢測邏輯規(guī)則化，并形成標(biāo)準(zhǔn)規(guī)則格式下發(fā)到規(guī)則引擎。規(guī)則引擎解析控制點檢測規(guī)則，通過調(diào)用云平臺遠(yuǎn)程接口和代理接口，完成控制點檢測并形成檢測結(jié)論和檢測意見。

4.3.2 云安全數(shù)據(jù)分析服務(wù)

云安全數(shù)據(jù)分析服務(wù)對采集層獲取的動靜態(tài)數(shù)據(jù)進行處理、統(tǒng)計、分析以及關(guān)聯(lián)操作，并將分析、評估結(jié)果存放至關(guān)系型數(shù)據(jù)庫，為云平臺的安全分析、評估和評分提供支撐。

4.3.3 數(shù)據(jù)處理服務(wù)

數(shù)據(jù)采集服務(wù)將收集的多云資產(chǎn)數(shù)據(jù)進行統(tǒng)一建模，依次進行校驗、規(guī)整、聚合入庫。云資產(chǎn)、虛擬機基礎(chǔ)配置、虛擬機運行狀態(tài)等靜態(tài)數(shù)據(jù)將存入關(guān)系型數(shù)據(jù)庫，動態(tài)數(shù)據(jù)，如網(wǎng)絡(luò)通信數(shù)據(jù)流量，存入時序數(shù)據(jù)庫。

4.3.4 數(shù)據(jù)采集服務(wù)

數(shù)據(jù)采集中心通過雙路模式采集云環(huán)境中數(shù)據(jù)；通過調(diào)用云軟件開發(fā)工具包（Software Development Kit，SDK）提供的遠(yuǎn)程接口，收集云環(huán)境資產(chǎn)數(shù)據(jù)，包括云資產(chǎn)的網(wǎng)絡(luò)、存儲、配置、運行狀態(tài)等信息；通過代理端數(shù)據(jù)采集虛擬機和宿主機基礎(chǔ)數(shù)據(jù)、運行數(shù)據(jù)等。

4.3.5 用戶交互服務(wù)

用戶交互服務(wù)為用戶提供Web 管理界面，實現(xiàn)云資產(chǎn)查看、合規(guī)檢測管理、數(shù)據(jù)分析管理、系統(tǒng)管理等功能的操作界面。管理界面功能操作簡單，操作易懂易用，數(shù)據(jù)呈現(xiàn)清晰。

5 結(jié)語

安全性問題已成為阻礙云計算技術(shù)進一步應(yīng)用和推廣的最大障礙。云安全監(jiān)管系統(tǒng)能改變云平臺對安全風(fēng)險缺乏感知、分析和評估手段的現(xiàn)狀，打破云平臺安全的“黑盒”情況。本文設(shè)計基于對云平臺網(wǎng)絡(luò)流量、安全策略和安全數(shù)據(jù)的匯總分析，并與安全管理系統(tǒng)等現(xiàn)有安全信息系統(tǒng)聯(lián)動，能夠?qū)υ破脚_的配置合規(guī)性、組件完整性、身份可信性、系統(tǒng)脆弱性、策略有效性進行評估，實現(xiàn)對云平臺安全的“可看可查”和“可管可控”，提升云平臺安全防御能力。