今日頭條
官方微信
官方抖音
資訊頻道★四川公眾項目咨詢管理有限公司黃曉燕,劉暢,宋仕斌
電信云是基于NFV和SDN技術構(gòu)建的云化網(wǎng)絡基礎設施,其通過網(wǎng)絡資源虛擬化打造彈性、高效、按需分配的業(yè)務網(wǎng)絡[1]。電信云在傳統(tǒng)網(wǎng)絡安全的基礎上增加了水平方向的分層,多廠商對接的解耦架構(gòu)導致電信云安全邊界模糊化、分層化,多層間安全策略不能協(xié)同,安全問題難以快速定位和溯源,靜態(tài)配置安全策略無法滿足靈活、彈性與擴縮容的需求。網(wǎng)絡安全已經(jīng)上升到國家戰(zhàn)略,國家相繼頒布了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關鍵信息基礎設施安全保護條例》等一系列法律法規(guī)[2]。因此,亟須研究新的電信云虛擬基礎設施網(wǎng)絡安全策略,以構(gòu)建電信云主動、動態(tài)、全網(wǎng)協(xié)同、智能運維的縱深安全防護體系。
1 電信云虛擬基礎設施安全威脅分析
隨著NFV日益成熟,越來越多的設備廠家提供基于NFV的商品和服務,而越來越多的運營商在通信網(wǎng)絡中逐步引入NFV設備進行網(wǎng)絡云化改造[3]。從傳統(tǒng)IT架構(gòu)到云化部署使得傳統(tǒng)邊界定義失效。云化數(shù)據(jù)中心在傳統(tǒng)數(shù)據(jù)中心面向出口除進行分布式拒絕服務(Distributed Denial of Service,DDoS)、防護等物理基礎設施安全外,還需關注虛擬機層面的安全性問題。電信云虛擬基礎設施安全威脅包括虛擬基礎設施業(yè)務面安全威脅和虛擬基礎設施管理面安全威脅。
1.1 虛擬基礎設施業(yè)務面安全威脅
電信云虛擬基礎設施業(yè)務面是由虛擬服務層與下層物理資源之間的數(shù)據(jù)處理與交互通道、虛擬服務層與上層的虛擬機及虛擬機中的App之間的交互通道以及數(shù)據(jù)和處理模塊所構(gòu)成的平面。虛擬基礎設施業(yè)務面安全威脅為App、Guest OS、Cloud OS、Host OS之間的業(yè)務運行能力和資源可能面臨的安全威脅,其安全威脅與攻擊場景如圖1所示。
圖1 虛擬基礎設施業(yè)務面安全威脅與攻擊場景
攻擊者可能對虛擬機鏡像文件進行非法篡改或安裝惡意軟件,并利用設備驅(qū)動接口漏洞在系統(tǒng)加載虛擬機過程中對Hypervisor進行攻擊造成虛擬機逃逸,威脅Host OS安全。攻擊者在虛擬機中通過構(gòu)造特殊的虛擬磁盤驅(qū)動接口,可能繞過虛擬磁盤系統(tǒng)的隔離非法訪問其他用戶的磁盤空間。虛擬機根據(jù)業(yè)務需要可能被分配權(quán)限訪問Cloud OS提供的虛擬傳輸設備,這些虛擬傳輸設備業(yè)務面的通信協(xié)議可能會遭受攻擊導致虛擬化傳輸出現(xiàn)故障。從一個虛擬機中試圖連接和登錄另一個虛擬機的Guest OS,而這兩個虛擬機之間沒有正常業(yè)務通信需求。如果虛擬化網(wǎng)絡提供了二者間連接的通路,則攻擊者可利用Guest OS系統(tǒng)漏洞或弱認證導致該虛擬機被非法入侵。攻擊者從一個虛擬機中嘗試連接另一個虛擬機中的App可能導致App被非法連接和訪問。攻擊者通過在合法運行的Guest OS中加載惡意軟件或非法軟件病毒,威脅Guest OS的正常運行,并可偽造/篡改系統(tǒng)軟件、讀取/恢復新分配的存儲資源和內(nèi)存資源原始內(nèi)容。Cloud OS給新虛擬機分配存儲資源和內(nèi)存資源時,這些存儲資源中可能殘存有上一位使用者的信息,新的虛擬機用戶可能會讀取或恢復原始存儲數(shù)據(jù)導致用戶信息泄露。Cloud OS對外連接需求會對外暴露虛擬路由器IP地址,可能從DC外部攻擊虛擬路由器外部IP地址導致路由協(xié)議被攻擊或轉(zhuǎn)發(fā)能力受到DDOS攻擊。
1.2 虛擬基礎設施管理面安全威脅
虛擬基礎設施管理面是由為維護虛擬基礎設施由維護人員通過外部管理終端與虛擬基礎設施的管理接口之間建立的連接通道、通道內(nèi)傳輸?shù)臄?shù)據(jù)以及負責對傳輸數(shù)據(jù)進行處理的功能模塊所構(gòu)成的平面。虛擬基礎設施管理面的安全威脅與攻擊場景如圖2所示。
圖2 虛擬基礎設施業(yè)務面安全威脅與攻擊場景
攻擊者在DC外部連接到MANO(或Local OM)或通過用戶虛擬機連接管理虛擬機,使用非法獲取的MANO或Local OM的管理員賬號登錄,對OpenStack Controller進行非法管理操作。攻擊者在管理網(wǎng)絡中遠程攻擊Host OS,提供被解登錄賬號或利用系統(tǒng)漏洞非法入侵Host OS。攻擊者獲取Host OS管理員登錄憑證在主機近端登錄Host OS,對Host OS進行非法操作并獲取用戶數(shù)據(jù),造成用戶數(shù)據(jù)泄露。攻擊者在用戶虛擬機中或管理網(wǎng)絡中連接虛擬路由器管理接口非法登錄管理接口對虛擬路由器進行非法操作。攻擊者在用戶虛擬機中或管理網(wǎng)絡中非法連接VNC Proxy對VM進行非法控制。攻擊者在用戶虛擬機中或管理網(wǎng)絡中連接并攻擊OpenStack Controller非法進行虛擬資源的申請與管理。攻擊者在用戶虛擬機中或管理網(wǎng)絡中非法登錄VNC Server,通過VNC Server非法控制VM。攻擊者在用戶虛擬機中或管理網(wǎng)絡中偽造OpenStack Controller,向OpenStack Agent發(fā)送偽造消息從而非法控制虛擬化資源。
2 虛擬基礎設施安全策略
虛擬基礎設施是指運行在物理基礎設施上的虛擬化平臺,其為虛擬化網(wǎng)元的運行提供所需要的計算資源存儲資源和網(wǎng)絡資源,包括Host OS、Cloud OS、Guest OS(VM)。本文針對虛擬基礎設施安全風險提出了相應的安全策略,并在貫穿于網(wǎng)絡中的關鍵交互點、上下層級之間構(gòu)建了立體結(jié)構(gòu)的安全架構(gòu),確保了電信云網(wǎng)絡基礎設施及通信網(wǎng)元的安全運營,滿足了用戶面、平臺、網(wǎng)絡、系統(tǒng)、虛擬化等維度的安全需求。
2.1 虛擬化網(wǎng)絡安全
兩個虛擬機之間可能存在某些通信需求,可以在兩個虛擬機之間的訪問通路上進行數(shù)據(jù)包端口隔離,如在虛擬路由上采用ACL進行端口白名單過濾,但僅限這些通信端口可被訪問,除此之外的端口訪問則在兩個虛擬機之間隔離。同時,Host OS在VM內(nèi)的端口上實現(xiàn)了ACL規(guī)則的自動生成與自動部署,降低了網(wǎng)絡被入侵的風險。虛擬傳輸設備業(yè)務面支持一些必要的路由協(xié)議和ARP,這些協(xié)議需要支持防攻擊能力。防攻擊能力包含3個方面:防畸形報文攻擊、防拒絕服務攻擊、防偽造對端。虛擬網(wǎng)絡中的虛擬傳輸設備具有管理接口,需要支持用戶管理、登錄認證、操作鑒權(quán)、日志記錄等操作。需要對可訪問虛擬傳輸設備的通道進行限制,僅允許合法的主機進入這個通道。管理端口需要具有防協(xié)議攻擊能力,包括防畸形報文攻擊,防拒絕服務攻擊。虛擬網(wǎng)絡中有多種管理面需要從維護網(wǎng)絡中連接訪問,如管理虛擬機、虛擬傳輸設備管理端口、NFV管理端口,為避免這些管理端口直接暴露在DC外部,優(yōu)先部署堡壘機。管理人員需要先登錄到堡壘,通過堡壘機上跳轉(zhuǎn)到需要訪問的管理端口。
2.2 虛擬化存儲安全
分配給虛擬機使用的虛擬化存儲資源需要進行訪問控制和隔離,確保只有存儲資源歸屬的虛擬機才可以訪問該虛擬化存儲資源。存儲在虛擬化存儲資源中的數(shù)據(jù)只能專屬于歸屬虛擬機,其他人員不能將數(shù)據(jù)導出到虛擬網(wǎng)絡外,系統(tǒng)需要提供檢測機制,禁止在Host空間中將虛擬磁盤中的數(shù)據(jù)復制、導出到系統(tǒng)外。將虛擬化存儲資源與虛擬機特征綁定并加密,確保即使通過其他手段獲取到其他虛擬機的存儲資源也無法正確讀取該存儲資源中的數(shù)據(jù)。通過分域管理,能夠精準、快捷地對電信云中的每個區(qū)域模塊進行有效部署和控制[4]。
2.3 虛擬化計算安全
云計算有SaaS、PaaS、IaaS三大服務模式,它們的應用都將面臨一個特別的挑戰(zhàn)[5]。為提供高效率的AES、RSA等密碼算法計算,需要在虛擬化環(huán)境中提供密碼算法協(xié)處理器實現(xiàn)快速的密碼運算。為提供可信的信任根存儲環(huán)境,在虛擬化環(huán)境中需要對底層的可信環(huán)境芯片的處理能力進行虛擬化,使虛擬化平臺可以使用底層的可信環(huán)境,實現(xiàn)安全啟動、安全存儲。對Cloud OS發(fā)起的任何虛擬化資源請求都需要進行身份認證、訪問控制。在虛擬化環(huán)境中需要對底層硬件提供的密碼協(xié)處理器芯片或密碼板卡的處理能力進行虛擬化并提供給上層應用使用。系續(xù)提供常用密碼算法的共用基礎模塊(Common Building Block,CBB),CBB調(diào)用虛擬層提供的由擬化密碼算法協(xié)處理器接口,實現(xiàn)高效密碼運算。
2.4 Guest OS安全
Guest OS作為虛擬化平臺上的基礎部件,需要進行系統(tǒng)最小化裁剪和系統(tǒng)部件安全加固,以確保操作系統(tǒng)中只保留業(yè)務運行需要的系統(tǒng)組件,并且需要對保留的系統(tǒng)部件的運行參數(shù)進行安全配置。Guest OS的運行環(huán)境趨于開放,其運行的應用軟件來源多,存在引入病毒的風險。系統(tǒng)提供安全啟動機制,每次虛擬機需要重啟時,虛擬機對系統(tǒng)加載的軟件逐級進行程序完整性校驗啟動加載過程是從BOIS到操作系統(tǒng),再到應用軟件。系統(tǒng)提供進程白名單機制,制定NFV網(wǎng)元中的合法進程列表,系統(tǒng)定期對運行的進程進行快照,通過對比快照和合法進程列表,檢測系統(tǒng)中是否存在非法進程,如果發(fā)現(xiàn)異常進程,則通過告警通知管理員。要在Guest OS中安裝運行防病毒軟件,對系統(tǒng)中的進程活動、文件傳輸進行病毒掃描和查殺。在Guest OS中加載的任何軟件都應該通過合法性校驗,可采用數(shù)字簽名方式來校驗虛擬機中應用軟件的合法性。
2.5 Host OS安全
Host OS通過近端登錄進行維護并擁有各種服務與應用系統(tǒng)。系統(tǒng)需要提供統(tǒng)一的賬號管理,通過創(chuàng)建賬號、分配恰當?shù)臋?quán)限完成用戶賬號管理。系統(tǒng)中的賬號應盡量采用統(tǒng)一的管理入口,避免多套賬號同時存在的情況,如FTP賬號和系統(tǒng)管理員賬號應當統(tǒng)一。通過物理主機的物理接口進入Host OS管理入口。對這些管理入口的訪問需要進行身份認證,只有擁有合法身份的訪問才允許進行下一步的操作。管理人員登錄系統(tǒng)后對系統(tǒng)中任何資源的訪問都需要進行鑒權(quán),只有被授權(quán)的資源才被允許訪問。重要的系統(tǒng)執(zhí)行文件需要進行合法性校驗,防止被非法篡改。校驗應當在系統(tǒng)啟動過程中或啟動后進行,在系統(tǒng)啟動后需要定期校驗,如果發(fā)現(xiàn)文件被篡改,則應及時給管理員發(fā)送告警。Host OS需要進行最小化裁剪,僅保留業(yè)務需要的系統(tǒng)部件,被保留的系統(tǒng)部件要進行安全參數(shù)配置確保系統(tǒng)運行在合適的安全狀態(tài)下。Host OS中提供了登錄到操作系統(tǒng)的入口和賬號,通過這些賬號登錄到系統(tǒng)的任何管理操作都需要記錄日志,用于事后審計,這些日志要在系統(tǒng)中保留足夠時間。系統(tǒng)中存在各種用途的虛擬機,根據(jù)虛擬機的不同用途在系統(tǒng)中應當分配不同的進程權(quán)限,并實現(xiàn)權(quán)限最小化,避免用戶虛擬機被攻擊后進而獲得較高的系統(tǒng)控制權(quán)限。
3 結(jié)束語
據(jù)IDC報告,超過74%的用戶認為安全問題是限制云計算發(fā)展的主要問題[6]。隨著5G、大數(shù)據(jù)、人工智能、國密算法的快速發(fā)展及應用,國家對電信云基礎設施的安全技術措施也會持續(xù)演進。網(wǎng)絡是云計算基礎設施、云管理策略、云數(shù)據(jù)業(yè)務、讀者云閱讀服務的承載平臺[7]。對于運營商電信云網(wǎng)絡平臺,通常根據(jù)業(yè)務內(nèi)容將DC劃分為多個安全等級區(qū)域,每個區(qū)域都通過防火墻隔離開,業(yè)務用戶不能直接訪問高安全等級區(qū),必須通過不同區(qū)域內(nèi)的特定服務器實現(xiàn)跳轉(zhuǎn)訪問。在安全區(qū)域中還可以再次按照業(yè)務對當前域進一步劃分與隔離。運營商的網(wǎng)絡業(yè)務分為運維域、網(wǎng)關域、控制域、數(shù)據(jù)域,由不同業(yè)務類型匯聚為不同的域,每個域之間以防火墻隔離,確保相互之間只能進行授權(quán)訪問。在多廠家共同部署的環(huán)境中,對于單個域,還需要考慮主機隔離。目前云計算服務平臺常用認證協(xié)議為安全套接字層認證協(xié)議SAP[8]。在同一個主機內(nèi),如果需要進一步隔離,可考慮VM、Hypervisor,甚至CPU、存儲、網(wǎng)絡等的安全隔離方案。為提升系統(tǒng)防攻擊的能力,應對操作系統(tǒng)、容器、數(shù)據(jù)庫等進行安全加固,對管理、信令和數(shù)據(jù)平面做好安全隔離,以及安全監(jiān)控和審計等一系列安全加固措施,提升防攻擊檢測和響應能力。苗春雨等人[9]提出采用5G網(wǎng)絡切片技術和成熟的云化、虛擬化隔離措施,如物理隔離、VM資源隔離、虛擬可擴展局域網(wǎng)、VPN和虛擬防火墻等,實施精準、靈活的切片隔離,保證在不同租戶之間進行CPU、存儲以及I/0資源的有效隔離。華為技術有限公司[9]提出采用MEC技術將云數(shù)據(jù)中心的計算能力部分轉(zhuǎn)移到核心網(wǎng)的邊緣。MEC充分利用了已有的云化、虛擬化安全技術,加強了第三方的認證授權(quán)管理和用戶數(shù)據(jù)保護,構(gòu)建了邊緣網(wǎng)絡安全。MEC安全域需要根據(jù)業(yè)務和部署進行嚴格劃分,當在MEC上部署第三方應用時,需要進行軟件、資源、系統(tǒng)、APP的安全隔離與安全保護。
作者簡介:
黃曉燕(1989-),女,廣西南寧人,工程師,學士,現(xiàn)就職于四川公眾項目咨詢管理有限公司,研究方向為5G、云計算、物聯(lián)網(wǎng)及網(wǎng)絡安全。
劉 暢(1990-),男,四川成都人,工程師,學士,現(xiàn)就職于四川公眾項目咨詢管理有限公司,研究方向為5G、云計算、物聯(lián)網(wǎng)及網(wǎng)絡安全(本文通訊作者)。
宋仕斌(1976-),男,四川成都人,高級工程師,學士,現(xiàn)就職于四川公眾項目咨詢管理有限公司,研究方向為云計算、物聯(lián)網(wǎng)及網(wǎng)絡安全。
參考文獻:
[1] 張源, 尹星, 金寧, 等. 5G網(wǎng)絡云化技術及應用[M]. 北京: 人民郵電出版社, 2020.
[2] 張世華, 文湘江, 張奎, 等. 電信云安全方案研究[J]. 郵電設計技術, 2023 (4) : 24 - 28.
[3] 呂振通, 張奎, 康凱, 等. 電信運營商網(wǎng)絡全面云化策略分析[J]. 郵電設計技術, 2021 (6) : 12 - 17.
[4] 張曉藝. 開放的5G電信云網(wǎng)絡是否安全[J]. 計算機與網(wǎng)絡, 2020, 46 (18) : 52 - 53.
[5] 廖堅. 淺析云計算應用模式下的安全挑戰(zhàn)[J]. 電子世界, 2014 (8) : 1 - 2.
[6] 江雪, 何曉霞. 云計算安全對策研究[J]. 微型電腦應用, 2014, 30 (2) : 30 - 34.
[7] 馬曉亭, 陳臣. 云計算環(huán)境下基于收益優(yōu)化的數(shù)字圖書館網(wǎng)絡虛擬化研究[J]. 情報科學, 2014, 32 (3) : 61 - 65.
[8] 關慶娟, 楊燕梅, 劉浩. 云圖書館中“基礎設施即服務”模式的安全研究[J]. 電腦知識與技術, 2014, 10 (17): 3991 - 3993.
[9] 苗春雨, 王永琦, 盧建云, 等. 云安全管理與應用[M]. 北京: 人民郵電出版社, 2021.
摘自《自動化博覽》2023年12月刊
北京市公安局海淀分局備案號:11010802023656號