电信业务云的安全体系架构与关键技术研究

胡 坤 王 翔 刘 镝 张 尼

1 中国联合网络通信有限公司 北京 100033 2 中国联通研究院 北京 100032

引言

云计算的关键技术和部署模式能够有效降低IT资源的能耗成本和管理难度,为用户带来更加便宜的软硬件资源和灵活的业务发展空间,其优势已得到电信行业的普遍认可。目前,电信业务云的服务种类和应用规模正在逐步扩大,既涉及内部运营支撑,也涉及外部应用服务,例如:云数据中心、云服务平台、云计算产品、云计算业务等。

综观国内外电信运营商的云计算发展,不难发现:电信业务云在应用与推广过程中遇到的最大障碍是安全和隐私问题。一方面,与传统计算模式相比,电信业务云具有开放性、动态边界、虚拟性、多租户、数据所有权和管理权分离、资源相对集中等特点,这使得电信业务云在技术、管理和法律等方面面临新的安全挑战。另一方面,电信业务云中存放着海量用户数据,记录了详细的用户属性、通信消费数据、GPS行走轨迹、登录网站偏好、频率等内容,如果这些数据遭受攻击、泄露或丢失,则会给用户和运营商带来重大损失。因此,电信业务云面临着比以往业务系统更为严峻的考验。

本文从CSA(Cloud Security Alliance)提出的云安全威胁入手,深入分析电信业务云面临的安全威胁与需求,提出层次化的云计算安全体系架构,并对其中的安全技术进行研究,其目标是构建适于电信业务云的纵深安全防御体系,保障电信业务云的安全。

1 电信业务云安全威胁与需求

云计算具有弹性服务、资源池化、大规模/廉价/通用等特点,在实际建设中面临着众多安全风险。根据CSA公布的云计算安全威胁,其最主要的安全问题有:数据安全、应用安全、网络安全、平台安全、接口安全等[1]。但是,这些安全威胁的描述过于宽泛,缺乏行业特性。依据电信业务云的特性,其更注重云服务侧的安全威胁与需求,因此,有必要对电信业务云进行研究,解析每一层涉及到的安全问题。

电信业务云从底至上分为五层(如图1所示),即物理环境、硬件资源、虚拟资源、管理平台、服务与应用。物理环境是电信业务云的基础配置与设施,包括机房位置、周边环境、线路部署、配套设施等;硬件资源是电信业务云的运营基础,包括主机服务器、网络设备、存储设备、支撑设备等;虚拟资源是经过虚拟化抽象的物理资源,包括虚拟化的网络资源、存储资源、计算资源等;管理平台是对硬件资源和虚拟资源进行管理的软件模块和调度模块,对外提供开放的API和对云服务使用进行认证和度量的功能;服务与应用层包括多种云计算服务,如SaaS、SDPaaS(Service Delivery Platform as a Service)、SecaaS(Security as a Service)等,以及对这些服务的管理和调度,使电信云服务能力能够被第三方访问和使用。从上述层次分析可以看出,电信业务云是一种可管控、可度量的云计算模型。

但是,在电信业务云的框架中存在着不同的安全威胁,既包含传统的安全威胁(例如:链路中断、硬件故障、数据库宕机等),也涉及一些新的安全威胁(例如:VM(Virtual Machine)逃逸、VM侧道攻击、HyperVisor攻击等)。图2给出了电信业务云面临的安全威胁模型。

在物理环境层,存在一些非人为可控的安全威胁,例如:自然灾害、设备损毁、突发事件等;因此,该层需要做好机房的电磁防护、能耗排放、配电保障等工作。在硬件资源层,存在一些传统安全风险,例如:硬件故障、设备干扰、非法接入等;因此,该层需要对主机设备、网络设备、存储设备、管控设备、支撑设备等做好安全保障。而虚拟资源层是安全隐患较为集中的一层,也是电信业务云需要重点防护的层面。总体来讲,虚拟资源的安全威胁来自三方面:一是VM管理失效,例如VM蔓延、VM逃逸、VM密钥窃取等;二是VM或Hypervisor被攻击,例如VM DoS(Denial of Service)攻击、VM侧道攻击、VM Hopping等;三是虚拟软件问题,例如软件兼容、安全漏洞、监听/阻断等;因此,该层需要加强虚拟主机、网络和存储的安全管理与防护。在管理平台层,也面临诸多的安全威胁,既有开源组件、监测技术的应用风险,也有平台漏洞、多租户使用的安全隐患;因此,需要强化该层的虚拟化安全部署、组件安全管控、接口与API安全等内容。最后,服务与应用层存在云服务调用与管控、应用安全评估、云间数据迁移等问题,需要加强服务认证、审计度量、信任安全等方面的工作。此外,数据安全和人员管理也是电信业务云需要重点关注与解决的方面。

图1 电信业务云框架

图2 电信业务云安全威胁模型

2 基于“云、管、端”的安全体系架构和关键技术

通过上述云安全威胁模型,可以明晰电信业务云建设中各层的安全要点和注意事项,为云安全技术的研究提供支撑和基础。基于对此威胁模型的认知与理解,本文提出一个基于“云、管、端”的电信业务云安全架构,如图3所示。

该安全体系架构分四个域,即用户域、网络接入域、云服务域、监管域。其中,用户域涉及云终端的安全技术,包括身份权限、病毒防护、入侵检测、数据加密等。网络接入域是用户域与云服务域的传输纽带,与传统网络安全相比,电信业务云的网络接入更强调用户接入和数据传输;因此,网络接入域包含传输加密/容错、网络可信连接、安全评估等技术。云服务域则依据云安全威胁模型,从五个层级考虑安全技术的部署。其中,云数据安全比较特殊,它贯穿整个云服务域。云监管域部署了相关的安全技术和策略,针对上述三个安全域的运行情况进行监控和管理,包括事件管理、补丁管理、灾难恢复等内容。

图3 基于“云、管、端”的电信业务云安全体系架构

2.1 用户域安全

电信业务云的用户有企业内部用户、外部云服务租户、系统管理员等,其使用的终端设备包括服务器、桌面电脑、笔记本电脑、平板电脑、手机等。用户使用的云终端是电信业务云的接入实体,也是用户和云计算平台联系的纽带。云终端安全是云安全的重要环节,也是网络环境下信息安全的关键点。安全的云终端能够更好地保证云用户安全地接入云计算平台,同时减少了云计算平台受到非法访问和恶意攻击的可能性。根据用户域的云终端特性,可以从以下三个方面部署相应的安全技术。

1) 云终端硬件安全技术。云终端在硬件方面可采用安全芯片、接入认证和抗物理攻击等技术来提高终端的安全性,确保云终端设备的可溯源性。其中,安全芯片是一个可独立进行密钥生成、加解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据,为云终端提供加密和安全认证服务。用安全芯片进行加密,密钥被存储在硬件中,被窃的数据无法解密,从而保护云终端的商业隐私和数据安全。终端接入认证技术主要有三种:口令认证、基于预共享密钥的挑战应答认证、基于公钥密码技术的认证[2]。而根据口令产生方式的不同,口令认证技术又可细分为静态口令认证、一次性口令认证和双因素动态口令认证。

2) 云终端系统安全技术。云终端在系统层面可采用的安全技术包括:漏洞扫描、终端加密、病毒防范等。通常,云终端操作系统都存在安全漏洞,使得木马、蠕虫等恶意代码的存在成为可能,造成用户隐私窃取、终端功能破坏、通信网络攻击等安全事件的发生。漏洞扫描可以对指定终端系统的安全性和脆弱性进行检测,发现可被利用的漏洞。漏洞扫描包括基于操作系统的识别技术、漏洞检测数据采集技术、智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描等[3]。云终端加密技术可大致分为三类:软件全加密、文件和文件夹加密、自我加密。在安全软件方面,云终端可部署相应的防病毒软件、个人防火墙,以及其他类型查杀移动恶意代码的软件,以保证系统软件和应用软件的安全性,同时安全软件需要具有自动安全更新功能,能够定期完成补丁的修复与更新。

3) 云终端应用/数据安全技术。云终端应用层面可采用的安全技术包括:终端可信、个人信息安全保护等。前者是通过在云终端上绑定一个可信计算模块来保证现有终端的安全性,从终端开始建立一条可信链来保证整个系统和网络的安全。后者是从终端信息安全的角度,建立整体的安全保障机制,涉及的技术包括信息备份、密码技术、强制控制、访问控制等技术[4]。

2.2 网络域安全

在电信业务云环境中,外部用户访问云平台需要通过统一的接入认证机制,保证用户的真实有效。在某些场景下,用户的接入位置与云平台位置可能相隔千里,为了保障用户访问过程中的安全,还需要采用网络传输安全机制或技术。同时,为了更好地实时监控物理网络流量,防止异常流量攻击的发生,网络流量监控技术也是需要考虑的。因此,可以在以下三个层面采用不同的安全技术。

1) 网络安全接入技术。接入或访问控制是保证网络安全的重要手段,它通过一组机制控制不同级别的主体对目标资源的不同授权访问,在对主体认证之后实施网络资源的安全管理使用。网络接入控制技术主要包括自主式网络接入控制和强制式网络接入控制两种。网络系统的管理者事先建立,常以接入控制表或权限表来实现;后者由网络系统管理员来分配接入权限和实施控制,易于与网络的安全策略协调,常用敏感标记实现多级安全控制。相比较而言,前者便于合法用户访问相应的数据,在安全性要求不高的网络环境下可采用;后者易于针对所有用户和资源实施强化的安全接入策略,具有较高的安全保障。

2) 网络安全监控技术。网络安全监控是从数据传输层面进行的安全保护方法,常用的安全技术包括:数据容错、传输加密等。容错和加密是提高网络传输数据可靠性的技术之一。其中,数据容错是通过校验码进行检测的安全技术,而传输加密可分为线路加密和端对端加密两种[5]。前者侧重在线路上而不考虑信源与信宿,是对保密信息通过各线路采用不同的加密密钥提供安全保护;后者则指信息由发送者端通过专用的加密软件,采用某种加密技术对所发送文件进行加密。

3) 网络安全防护技术。常用的网络安全防御技术包括:防火墙、入侵检测、网络防病毒、访问控制等[6]。防火墙是设置在内部网络与外部网络之间的一个隔离层,能够有效防止未知的或者是潜在的入侵者。入侵检测用于保护应用网络连接的主要服务器,实时监视可疑的连接和非法访问的闯入,并对各种入侵行为立即作出反应,如断开网络连接等。网络防病毒技术包括预防病毒、检测病毒和消除病毒等3种技术。访问控制是网络安全防范和保护的主要技术,主要任务是保障网络资源不被非法使用和非法访问。

2.3 服务域安全

云服务域是电信业务云的重点,本节重点解析其中的虚拟资源层、平台管理层和服务应用层的安全技术。其中,数据安全技术贯穿了这三个层面,涉及数据存储、访问、挖掘、审计、发布等环节。

1) 虚拟化安全技术。目前,虚拟化安全技术的研究主要集中在两个方面[7]:一是虚拟化软件的安全,即Hypervisor安全;另一个是虚拟服务器安全,即VM安全。要确保良好的Hypervisor安全性,降低安全风险,可以从4个方面加强虚拟服务器的保护。首先,加强访问控制;其次,减少主机的受攻击面;再次,使用虚拟防火墙加强Hypervisor安全;最后,控制资源,预防拒绝服务攻击。针对虚拟机安全问题,需要采取必要的安全管理策略,以保护云中安全。在虚拟机部署时,物理上把公共的虚拟机与专用的虚拟机分开,同时把不同任务或者服务虚拟机分开;对虚拟机生命周期进行安全管理,考虑虚拟机创建、移动和销毁过程生命周期安全威胁。

2) 平台可信增强技术。传统可信平台只能够保证单台主机上的计算安全性,平台验证机制不能保证远程方得到的测度列表就是VM运行主机的真实信息。因此,需要相关的安全技术保证后台平台资源持久安全。平台可信增强技术包括两个方面:可信赖虚拟机映像与可信赖协调者[8]。后台节点作用为运行掌控客户虚拟机的可信赖虚拟机映像,并阻止特权用户窥视和篡改。可信赖虚拟机映像能够在遵守安全协议的前提下对自身安全进行保护。可信赖协调者管理一系列可以安全运行客户虚拟机的节点,这些节点称为可信节点。

3) 数据安全技术。根据电信业务云中数据的生命周期,可以将其分为6个阶段,即数据生成、数据采集、数据存储、数据挖掘使用、数据共享和数据销毁。运营商的数据通常是散乱在众多系统中,信息来源十分庞杂,因此,需要有效进行数据收集与分析,以保障数据的完整性和安全性。数据采集阶段需要实现数据的分级分类和预处理,重要的防护方法有数据加密、模糊化与脱敏技术。数据存储在云环境中,需要考虑数据的机密性、完整性和可用性,因此,数据存储阶段可采用虚拟化海量存储技术来存储数据资源,如SAN(Storage Area Network)存储技术。数据挖掘使用过程必须通过统一安全策略进行管理,实现鉴权、审计等功能,例如:对算法的安全性和可靠性提供必要的验证与测试方案,规范算法使用的数据范围、挖掘周期、挖掘目的以及挖掘结果的应用范围等内容。数据共享扩大了数据的使用范围,使得对数据权限的控制变得更加复杂。数据可以按照一定规则进行共享,访问者又可以对该数据进一步共享。对于用户的敏感数据,应当考虑采用磁盘擦写、数据销毁算法及物理销毁等方法来对隐私数据进行保护。

2.4 监管域安全

监管域需要对用户域、网络域、服务域的运行情况进行监控和管理,识别并阻止异常用户的非法使用和滥用,实现资源的合理配置和平台的稳定运行。因此,可以从以下4个层面采用多种安全技术与策略,实现监管域的预期任务和目标。

1) 硬件监管。针对电信业务云的硬件监管包括:软硬件冗余管理、设备安全维护、网络通信保障、分区分域管理等。软硬件的冗余能够通过多重备份增加电信业务云的可靠性,对于多重备份需要统一进行管理。分区域管理是指应充分考虑云数据的安全性要求,对云服务的整个业务流程实现分区分域的管理[9]。例如,区可分为生产区、运维管理区、办公区、隔离区和公网区等;域可分为数据采集域、数据存储域、数据挖掘域、数据输出审计域等。

2) 平台监管。平台监管的内容包括:集中补丁管理、操作日志管理、密钥及证书管理、安全配置管理等。其中,较为重要的是集中补丁管理。为减少云平台的安全漏洞,需要规范安全补丁的管理工作。其过程通常包括4个环节:补丁分析、补丁测试、部署安装、补丁检查。安全补丁管理流程可以由安全事件触发,也可以按周期触发。同时,还应建立完善的日志记录及审核机制,通过对操作、维护等各类日志进行统一、完整的审计分析,提高对安全事件的事后审查能力。

3) 流程监管。流程监管的内容包括:业务流程管理、安全事件管理、安全策略管理、应用监控管理等。其中,为确保不同种类的云服务安全、有序地运行,需要部署不同种类的安全策略对云业务加以管理、约束。为了防止已被执行的不同的安全策略之间发生冲突,导致云业务失去安全保护,应部署安全协调机制对各种安全策略进行管理。

4) 服务监管。服务监管的内容包括:服务登记与审查、服务度量与计费、人员权限管理、服务周期管理等。为适应云计算环境下的安全防护需求,保障云业务、系统安全运营,应对云服务的开发、搭建、上线以及使用进行全生命周期的监管,具备相应的运营安全管理功能,实现对虚拟资源的精细化安全控制。

3 结束语

云计算不仅带来了新的IT资源使用形式,也带来了新的业务服务模式。在带来了诸多好处的同时,云计算也面临着巨大的安全威胁与挑战。电信业务云的固有特性需要新的安全技术和策略。运营商在开展电信业务云建设之前,需要首先设计完善云安全体系架构。本文构建了电信业务云的安全威胁模型,并讨论了相应的安全体系架构和关键技术。由于云安全的动态性和相对性特点,决定了电信业务云的安全研究是一个不断发展、完善和前进的过程。接下来,作者将会对该安全架构和关键技术进行实践和探索。

参考文献

[1]姜政伟,刘宝旭.云计算安全威胁与风险分析[J].信息安全与技术,2012,3(11):36-47

[2]宛经伟.终端的可信度量技术研究与应用[D].南京理工大学,硕士学位论文,2011

[3]潘文宇,段勇.云计算在电信行业的应用研究[J].电信科学,2010,26(6):25-28

[4]方明伟.基于可信计算的移动智能终端安全技术研究[D].华中科技大学,博士学位论文,2012

[5]张建华.云计算的安全威胁分析及多层次安全机制的建立[J].西南民族大学学报,2012,38(4):634-637

[6]罗军舟,金嘉晖,宋爱波,等.云计算:体系架构与关键技术[J].通信学报,2011,32(7):3-21

[7]张建华,吴恒,张文博.云计算核心技术研究综述[J].小型微型计算机系统,2013,34(11):2417-2424

[8]李红娇,魏为民,田秀霞,等.可信计算技术在云计算安全中的应用[J].上海电力学院学报,2013,29(1):83-86

[9]谢垂益,鲁向前,卿斯汉.云存储系统的分区编码冗余方法研究[J].信息网络安全,2013(6):2-6