今日頭條
官方微信
官方抖音
資訊頻道★四川公眾項目咨詢管理有限公司黃曉燕,劉暢,宋仕斌
電信云是基于NFV和SDN技術構建的云化網絡基礎設施,其通過網絡資源虛擬化打造彈性、高效、按需分配的業務網絡[1]。電信云在傳統網絡安全的基礎上增加了水平方向的分層,多廠商對接的解耦架構導致電信云安全邊界模糊化、分層化,多層間安全策略不能協同,安全問題難以快速定位和溯源,靜態配置安全策略無法滿足靈活、彈性與擴縮容的需求。網絡安全已經上升到國家戰略,國家相繼頒布了《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等一系列法律法規[2]。因此,亟須研究新的電信云虛擬基礎設施網絡安全策略,以構建電信云主動、動態、全網協同、智能運維的縱深安全防護體系。
1 電信云虛擬基礎設施安全威脅分析
隨著NFV日益成熟,越來越多的設備廠家提供基于NFV的商品和服務,而越來越多的運營商在通信網絡中逐步引入NFV設備進行網絡云化改造[3]。從傳統IT架構到云化部署使得傳統邊界定義失效。云化數據中心在傳統數據中心面向出口除進行分布式拒絕服務(Distributed Denial of Service,DDoS)、防護等物理基礎設施安全外,還需關注虛擬機層面的安全性問題。電信云虛擬基礎設施安全威脅包括虛擬基礎設施業務面安全威脅和虛擬基礎設施管理面安全威脅。
1.1 虛擬基礎設施業務面安全威脅
電信云虛擬基礎設施業務面是由虛擬服務層與下層物理資源之間的數據處理與交互通道、虛擬服務層與上層的虛擬機及虛擬機中的App之間的交互通道以及數據和處理模塊所構成的平面。虛擬基礎設施業務面安全威脅為App、Guest OS、Cloud OS、Host OS之間的業務運行能力和資源可能面臨的安全威脅,其安全威脅與攻擊場景如圖1所示。
圖1 虛擬基礎設施業務面安全威脅與攻擊場景
攻擊者可能對虛擬機鏡像文件進行非法篡改或安裝惡意軟件,并利用設備驅動接口漏洞在系統加載虛擬機過程中對Hypervisor進行攻擊造成虛擬機逃逸,威脅Host OS安全。攻擊者在虛擬機中通過構造特殊的虛擬磁盤驅動接口,可能繞過虛擬磁盤系統的隔離非法訪問其他用戶的磁盤空間。虛擬機根據業務需要可能被分配權限訪問Cloud OS提供的虛擬傳輸設備,這些虛擬傳輸設備業務面的通信協議可能會遭受攻擊導致虛擬化傳輸出現故障。從一個虛擬機中試圖連接和登錄另一個虛擬機的Guest OS,而這兩個虛擬機之間沒有正常業務通信需求。如果虛擬化網絡提供了二者間連接的通路,則攻擊者可利用Guest OS系統漏洞或弱認證導致該虛擬機被非法入侵。攻擊者從一個虛擬機中嘗試連接另一個虛擬機中的App可能導致App被非法連接和訪問。攻擊者通過在合法運行的Guest OS中加載惡意軟件或非法軟件病毒,威脅Guest OS的正常運行,并可偽造/篡改系統軟件、讀取/恢復新分配的存儲資源和內存資源原始內容。Cloud OS給新虛擬機分配存儲資源和內存資源時,這些存儲資源中可能殘存有上一位使用者的信息,新的虛擬機用戶可能會讀取或恢復原始存儲數據導致用戶信息泄露。Cloud OS對外連接需求會對外暴露虛擬路由器IP地址,可能從DC外部攻擊虛擬路由器外部IP地址導致路由協議被攻擊或轉發能力受到DDOS攻擊。
1.2 虛擬基礎設施管理面安全威脅
虛擬基礎設施管理面是由為維護虛擬基礎設施由維護人員通過外部管理終端與虛擬基礎設施的管理接口之間建立的連接通道、通道內傳輸的數據以及負責對傳輸數據進行處理的功能模塊所構成的平面。虛擬基礎設施管理面的安全威脅與攻擊場景如圖2所示。
圖2 虛擬基礎設施業務面安全威脅與攻擊場景
攻擊者在DC外部連接到MANO(或Local OM)或通過用戶虛擬機連接管理虛擬機,使用非法獲取的MANO或Local OM的管理員賬號登錄,對OpenStack Controller進行非法管理操作。攻擊者在管理網絡中遠程攻擊Host OS,提供被解登錄賬號或利用系統漏洞非法入侵Host OS。攻擊者獲取Host OS管理員登錄憑證在主機近端登錄Host OS,對Host OS進行非法操作并獲取用戶數據,造成用戶數據泄露。攻擊者在用戶虛擬機中或管理網絡中連接虛擬路由器管理接口非法登錄管理接口對虛擬路由器進行非法操作。攻擊者在用戶虛擬機中或管理網絡中非法連接VNC Proxy對VM進行非法控制。攻擊者在用戶虛擬機中或管理網絡中連接并攻擊OpenStack Controller非法進行虛擬資源的申請與管理。攻擊者在用戶虛擬機中或管理網絡中非法登錄VNC Server,通過VNC Server非法控制VM。攻擊者在用戶虛擬機中或管理網絡中偽造OpenStack Controller,向OpenStack Agent發送偽造消息從而非法控制虛擬化資源。
2 虛擬基礎設施安全策略
虛擬基礎設施是指運行在物理基礎設施上的虛擬化平臺,其為虛擬化網元的運行提供所需要的計算資源存儲資源和網絡資源,包括Host OS、Cloud OS、Guest OS(VM)。本文針對虛擬基礎設施安全風險提出了相應的安全策略,并在貫穿于網絡中的關鍵交互點、上下層級之間構建了立體結構的安全架構,確保了電信云網絡基礎設施及通信網元的安全運營,滿足了用戶面、平臺、網絡、系統、虛擬化等維度的安全需求。
2.1 虛擬化網絡安全
兩個虛擬機之間可能存在某些通信需求,可以在兩個虛擬機之間的訪問通路上進行數據包端口隔離,如在虛擬路由上采用ACL進行端口白名單過濾,但僅限這些通信端口可被訪問,除此之外的端口訪問則在兩個虛擬機之間隔離。同時,Host OS在VM內的端口上實現了ACL規則的自動生成與自動部署,降低了網絡被入侵的風險。虛擬傳輸設備業務面支持一些必要的路由協議和ARP,這些協議需要支持防攻擊能力。防攻擊能力包含3個方面:防畸形報文攻擊、防拒絕服務攻擊、防偽造對端。虛擬網絡中的虛擬傳輸設備具有管理接口,需要支持用戶管理、登錄認證、操作鑒權、日志記錄等操作。需要對可訪問虛擬傳輸設備的通道進行限制,僅允許合法的主機進入這個通道。管理端口需要具有防協議攻擊能力,包括防畸形報文攻擊,防拒絕服務攻擊。虛擬網絡中有多種管理面需要從維護網絡中連接訪問,如管理虛擬機、虛擬傳輸設備管理端口、NFV管理端口,為避免這些管理端口直接暴露在DC外部,優先部署堡壘機。管理人員需要先登錄到堡壘,通過堡壘機上跳轉到需要訪問的管理端口。
2.2 虛擬化存儲安全
分配給虛擬機使用的虛擬化存儲資源需要進行訪問控制和隔離,確保只有存儲資源歸屬的虛擬機才可以訪問該虛擬化存儲資源。存儲在虛擬化存儲資源中的數據只能專屬于歸屬虛擬機,其他人員不能將數據導出到虛擬網絡外,系統需要提供檢測機制,禁止在Host空間中將虛擬磁盤中的數據復制、導出到系統外。將虛擬化存儲資源與虛擬機特征綁定并加密,確保即使通過其他手段獲取到其他虛擬機的存儲資源也無法正確讀取該存儲資源中的數據。通過分域管理,能夠精準、快捷地對電信云中的每個區域模塊進行有效部署和控制[4]。
2.3 虛擬化計算安全
云計算有SaaS、PaaS、IaaS三大服務模式,它們的應用都將面臨一個特別的挑戰[5]。為提供高效率的AES、RSA等密碼算法計算,需要在虛擬化環境中提供密碼算法協處理器實現快速的密碼運算。為提供可信的信任根存儲環境,在虛擬化環境中需要對底層的可信環境芯片的處理能力進行虛擬化,使虛擬化平臺可以使用底層的可信環境,實現安全啟動、安全存儲。對Cloud OS發起的任何虛擬化資源請求都需要進行身份認證、訪問控制。在虛擬化環境中需要對底層硬件提供的密碼協處理器芯片或密碼板卡的處理能力進行虛擬化并提供給上層應用使用。系續提供常用密碼算法的共用基礎模塊(Common Building Block,CBB),CBB調用虛擬層提供的由擬化密碼算法協處理器接口,實現高效密碼運算。
2.4 Guest OS安全
Guest OS作為虛擬化平臺上的基礎部件,需要進行系統最小化裁剪和系統部件安全加固,以確保操作系統中只保留業務運行需要的系統組件,并且需要對保留的系統部件的運行參數進行安全配置。Guest OS的運行環境趨于開放,其運行的應用軟件來源多,存在引入病毒的風險。系統提供安全啟動機制,每次虛擬機需要重啟時,虛擬機對系統加載的軟件逐級進行程序完整性校驗啟動加載過程是從BOIS到操作系統,再到應用軟件。系統提供進程白名單機制,制定NFV網元中的合法進程列表,系統定期對運行的進程進行快照,通過對比快照和合法進程列表,檢測系統中是否存在非法進程,如果發現異常進程,則通過告警通知管理員。要在Guest OS中安裝運行防病毒軟件,對系統中的進程活動、文件傳輸進行病毒掃描和查殺。在Guest OS中加載的任何軟件都應該通過合法性校驗,可采用數字簽名方式來校驗虛擬機中應用軟件的合法性。
2.5 Host OS安全
Host OS通過近端登錄進行維護并擁有各種服務與應用系統。系統需要提供統一的賬號管理,通過創建賬號、分配恰當的權限完成用戶賬號管理。系統中的賬號應盡量采用統一的管理入口,避免多套賬號同時存在的情況,如FTP賬號和系統管理員賬號應當統一。通過物理主機的物理接口進入Host OS管理入口。對這些管理入口的訪問需要進行身份認證,只有擁有合法身份的訪問才允許進行下一步的操作。管理人員登錄系統后對系統中任何資源的訪問都需要進行鑒權,只有被授權的資源才被允許訪問。重要的系統執行文件需要進行合法性校驗,防止被非法篡改。校驗應當在系統啟動過程中或啟動后進行,在系統啟動后需要定期校驗,如果發現文件被篡改,則應及時給管理員發送告警。Host OS需要進行最小化裁剪,僅保留業務需要的系統部件,被保留的系統部件要進行安全參數配置確保系統運行在合適的安全狀態下。Host OS中提供了登錄到操作系統的入口和賬號,通過這些賬號登錄到系統的任何管理操作都需要記錄日志,用于事后審計,這些日志要在系統中保留足夠時間。系統中存在各種用途的虛擬機,根據虛擬機的不同用途在系統中應當分配不同的進程權限,并實現權限最小化,避免用戶虛擬機被攻擊后進而獲得較高的系統控制權限。
3 結束語
據IDC報告,超過74%的用戶認為安全問題是限制云計算發展的主要問題[6]。隨著5G、大數據、人工智能、國密算法的快速發展及應用,國家對電信云基礎設施的安全技術措施也會持續演進。網絡是云計算基礎設施、云管理策略、云數據業務、讀者云閱讀服務的承載平臺[7]。對于運營商電信云網絡平臺,通常根據業務內容將DC劃分為多個安全等級區域,每個區域都通過防火墻隔離開,業務用戶不能直接訪問高安全等級區,必須通過不同區域內的特定服務器實現跳轉訪問。在安全區域中還可以再次按照業務對當前域進一步劃分與隔離。運營商的網絡業務分為運維域、網關域、控制域、數據域,由不同業務類型匯聚為不同的域,每個域之間以防火墻隔離,確保相互之間只能進行授權訪問。在多廠家共同部署的環境中,對于單個域,還需要考慮主機隔離。目前云計算服務平臺常用認證協議為安全套接字層認證協議SAP[8]。在同一個主機內,如果需要進一步隔離,可考慮VM、Hypervisor,甚至CPU、存儲、網絡等的安全隔離方案。為提升系統防攻擊的能力,應對操作系統、容器、數據庫等進行安全加固,對管理、信令和數據平面做好安全隔離,以及安全監控和審計等一系列安全加固措施,提升防攻擊檢測和響應能力。苗春雨等人[9]提出采用5G網絡切片技術和成熟的云化、虛擬化隔離措施,如物理隔離、VM資源隔離、虛擬可擴展局域網、VPN和虛擬防火墻等,實施精準、靈活的切片隔離,保證在不同租戶之間進行CPU、存儲以及I/0資源的有效隔離。華為技術有限公司[9]提出采用MEC技術將云數據中心的計算能力部分轉移到核心網的邊緣。MEC充分利用了已有的云化、虛擬化安全技術,加強了第三方的認證授權管理和用戶數據保護,構建了邊緣網絡安全。MEC安全域需要根據業務和部署進行嚴格劃分,當在MEC上部署第三方應用時,需要進行軟件、資源、系統、APP的安全隔離與安全保護。
作者簡介:
黃曉燕(1989-),女,廣西南寧人,工程師,學士,現就職于四川公眾項目咨詢管理有限公司,研究方向為5G、云計算、物聯網及網絡安全。
劉 暢(1990-),男,四川成都人,工程師,學士,現就職于四川公眾項目咨詢管理有限公司,研究方向為5G、云計算、物聯網及網絡安全(本文通訊作者)。
宋仕斌(1976-),男,四川成都人,高級工程師,學士,現就職于四川公眾項目咨詢管理有限公司,研究方向為云計算、物聯網及網絡安全。
參考文獻:
[1] 張源, 尹星, 金寧, 等. 5G網絡云化技術及應用[M]. 北京: 人民郵電出版社, 2020.
[2] 張世華, 文湘江, 張奎, 等. 電信云安全方案研究[J]. 郵電設計技術, 2023 (4) : 24 - 28.
[3] 呂振通, 張奎, 康凱, 等. 電信運營商網絡全面云化策略分析[J]. 郵電設計技術, 2021 (6) : 12 - 17.
[4] 張曉藝. 開放的5G電信云網絡是否安全[J]. 計算機與網絡, 2020, 46 (18) : 52 - 53.
[5] 廖堅. 淺析云計算應用模式下的安全挑戰[J]. 電子世界, 2014 (8) : 1 - 2.
[6] 江雪, 何曉霞. 云計算安全對策研究[J]. 微型電腦應用, 2014, 30 (2) : 30 - 34.
[7] 馬曉亭, 陳臣. 云計算環境下基于收益優化的數字圖書館網絡虛擬化研究[J]. 情報科學, 2014, 32 (3) : 61 - 65.
[8] 關慶娟, 楊燕梅, 劉浩. 云圖書館中“基礎設施即服務”模式的安全研究[J]. 電腦知識與技術, 2014, 10 (17): 3991 - 3993.
[9] 苗春雨, 王永琦, 盧建云, 等. 云安全管理與應用[M]. 北京: 人民郵電出版社, 2021.
摘自《自動化博覽》2023年12月刊
北京市公安局海淀分局備案號:11010802023656號