运营商云资源池安全防护策略的探讨

金钰　朱华

摘要：介绍了当前电信运营商云资源池建设现状，分析了云资源池在安全防护方面面临的需求与挑战，指出要解决云资源池安全问题所需部署的防护策略，说明了部署效果及下一步研究方向。

关键词：云资源池；安全防护；虚拟化

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）20-0020-02

Discussion on Security Defense Strategy for Cloud Resource Pool of Operators

JIN Yu， ZHU Hua

（GCI Science & Technology Co.Ltd. ， Guangzhou 510310， China）

Abstract： This paper deals with the defense strategy to solve the security problems in cloud resource pool by analyzing the current status of telecom operators cloud resource pool where there are needs and challenges for security.

Key words： cloud resource pool； security defense； virtualization

传统计算机技术用相对独立的计算机承载不同应用，相互间计算、存储资源很难共享，带来资源利用率低、能源消耗多、电子垃圾污染大、维护复杂等问题。云计算技术的兴起和应用提供了一种新型的信息资源管理和计算服务模式，解决了传统计算机技术的弊端，依托通信网络，将资源集中起来提供计算信息服务，从而降低成本、节能降耗。

云资源池将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，从而提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力。

作为云服务提供商的电信运营商就是首先需要建设一个大容量的资源池来满足在并发的业务高峰时刻用户的服务要求[1] 。

1 现状分析

电信运营商的业务云体系目前主要侧重资源池整体布局、计算虚拟化技术的双节点部署。随着资源池规模不断扩大和承载应用的不断增多，云资源池在服务模式、动态虚拟化管理方式以及多租户共享运营模式等方面的差异、因管理权和所有权的分离而引发的信任问题，使其安全性面临比传统IT系统更为严峻的挑战，需要克服数据安全和运营安全双重风险。

在安全组件部署方面，当前云资源池通过防火墙设备进行安全防护[2]，采用主备工作模式，通过心跳线连接，通过防火墙虚拟化技术，实现各系统之间的安全隔离，通过vLan方式实现不同集群间的网络划分，实现资源池东西方向的安全隔离，存储层面通过ZONE和LUN映射实现虚拟机间存储访问隔离，严格隔离用户数据。这种仅依靠防火墙与数据存储访问控制的安全策略进行资源池的安全隔离，远远无法满足资源池安全建设的需要，主要问题如下：[3]。

1） 业务平台虚拟机缺少防恶意代码软件安装，在网络边界处无法监视网络入侵和攻击行为，云资源池管理平台不能主动识别端口扫描、暴力破解、木马后门攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击。

2） 云资源池底层架构主机采用服务器虚拟化软件安装，主机维护靠系统日志方式进行记录，系统日志不独立，无法防止被篡改，管理人员做了违规操作后可能会删除日志，造成无法追查、无法定位。

3） 存在多种管理角色，如设备管理员、系统管理员、安全管理员和应用系统管理员等，同一角色存在多个管理员。管理员进行维护时，可能是使用业务系统同一账号，一旦出现问题很难定位具体某个人的操作。对运维过程中存在的问题无法有定量或定性的分析数据，只能简单从安全事件方面进行描述。

综合以上问题，当前需要完善云资源池安全防护策略部署，加强运维过程的事前、事中、事后审计与控制，降低信息安全风险。

2 安全防护措施

2.1 软件安全防护策略

由于云资源池平台中的虚拟终端都通过虚拟主机的虚拟层来和其他及外部进行通信和交互，如果虚拟层存在漏洞或者是被入侵，将造成整个虚拟环境的安全风险，为此加强虚拟层的安全尤为重要。

云资源池管理服务器作为虚拟化平台基础架构关键服务器，负责整个虚拟化下的虚拟主机、虚拟网络、虚拟平台存储系统、备份系统、容灾系统的统一控制和管理。因此，针对这类虚拟化自身服务器的入侵检测、入侵防御的安全监控和防护功能是所有虚拟化基础架构安全加固的基础。

安全防护软件应专门针对资源池管理服务器提供虚拟的 IDS 入侵检测策略、IPS 入侵防护策略功能：

1） 虚拟环境的管理服务器的 IDS 入侵检测应包含以下策略：

监控关键的虚拟化文件访问；

监控虚拟化软件的关键命令和工具执行；

监控虚拟化软件的关键配置变化；

监控虚拟机标准网络接口或者其他关键应用；

提供一种简单的机制监控虚拟化软件重要动作日志；

监视虚拟化管理服务器上访问成功，失败，以及执行命令；

监视虚拟管理服务器上的关键事件和通用的审计；

监视虚拟管理服务器上主机完整性；

监视虚拟管理服务器上虚拟化主机的配置变化[4]。

2） 虚拟环境的管理服务器的 IPS 入侵防护应包含以下策略：

增强 Windows 安全防护策略，保护管理服务器的应用组件、基础架构组件、应用程序文件和包含敏感数据的目录（证书文件/日志文件）；

限制管理服务器的网络访问的范围、端口、可信的应用程序；

保护需要访问管理服务器的第三方访问工具；

针对预先调整的 Windows 基线策略，监测用户/用户组的改变，登录失败，防止对关键配置文件/SSL证书/应用程序的篡改；

针对管理平台预先调整的文件完整性检查策略，实时监视平台的二进制文件/配置文件/的变更；

对管理平台日志进行监视（主要是 Web 交互日志）。

3） 虚拟化服务器病毒防护策略

针对虚拟化服务器病毒的防护，安全防护平台应能针对每个虚拟机进行病毒防护，且应解决传统防病毒方式无法适应虚拟化架构的问题，特别是虚拟化防病毒带来的扫描风暴和病毒定义升级风暴问题。

2.2 核心业务主机安全防护策略

无论是物理服务器还是虚拟化后的服务器，都面临相同的安全防护考虑，包括：网络入侵、病毒攻击、针对性未知病毒、恶意配置修改、漏洞利用、数据盗取和传输、远程内存shellcode 注入、进程注入等等。资源池安全管理平台应提供针对物理机、虚拟化服务器的全方位 的系统加固和系统入侵防御，最大限度的保护无论是物理还是虚拟的服务器的系统安全、业务应用安全和数据安全。因此在安全防护策略设置时应考虑以下功能：

1） 防护零日攻击：通过沙盒技术、白名单技术阻止恶意程序利用零日漏洞对关键业务服务器进行攻击，阻止恶意程序通过零日漏洞进行传播。

2） 细粒度的系统加固和访问控制：能够锁定操作系统、应用程序、数据库、 阻止未授权的程序运行，针对每个操作系统和应用程序进程都创建基于行为的“虚拟”Shell，监控对内核的系统调用并根据用户定义的策略允许或拒绝对系统资源的访问；设定访问控制列表（ACL），实时监控访问程序，可对照用户的身份和权限进行控制，针对各个进程设定 ACL，限定允许访问的网络地址，开放访问的时间以及访问权限。

3） 文件/注册表/属性的完整性监控：监控物理或虚拟主机上的关键系统配 置或关键应用的配置文件、注册表、属性变动情况、以及变动的内容、实施变动的用户等。

4） 物理或虚拟化服务器上的应用收集及策略制定：收集物理或虚拟化服务器上的应用程序收集，并直接在控制台上呈现，根据收集的应用程序直接指定基于策略的控制和白名单策略。

5） 系统和用户监控审计：能够监控用户登录的核心进程 login，通过此进程拦截各种方式的用户登录过程，实现主机用户行为审计、操作系统日志审计、应用审计等。

6） 高性能防火墙：能够提供高性能防火墙功能，对进出TCP/UDP流量进行管控。

7） 实现缓冲区溢出和内存防护，支持进程间访问控制，支持进程和子进程的启动保护。

8） 对物理及虚拟化的服务器系统及关键应用的实时监控和审计。

9） 提供物理及虚拟化服务器的入侵防护和检测。

2.3 运维管理安全防护策略

由于云资源池管理本身特性、管理员权限过大、维护人员变动，将给业务应用带来巨大风险。用户口令共享导致的用户身份的真实性和合法性无法得到保证，管理用户出现操作失误或恶意操作，可采用对用户操作行为进行审计方式降低风险。为此部署运维安全管理软件，实现用户认证、安全审计功能，构建云资源池堡垒机。该软件应能够对资源池运维操作进行认证并保存相关操作记录以便追溯，将把所有对虚拟化软件的访问路径进行统一，能确保资源池的访问必须通过运维安全管理软件进行，从而完成对虚拟化资源池的堡垒控制，包括授权管理、权限控制、审计操作、二次高危操作授权流程处理等，功能如下：

1） 对云资源池提供细粒度的访问控制功能，让虚拟化平台环境减少不必要的访问特权账户，管理控制用户访问虚拟资产；

2） 能够自动定期为虚拟基础设施进行系统配置和安全设置评估，详细记录成功和失败的操作和配置变更，提供深入的数据审计，并解决法规对虚拟化系统的安全要求；

3） 提供针对命令级别的访问控制，将管理员权限进行进一步区分，同时对虚拟机访问的对象，例如存储设备的访问权限可以进行控制。

4） 实现账号的集成管理：通过对现有资源池管理员的管理权限进行回收， 所有用户必须通过运维管理软件上的用户认证后，才能管理虚拟化平台。

5） 提供对不同虚拟机进行分组权限授权。支持多种双因素认证方式：包括 RSA Secure ID， VeriSign VIP 等多种双因素认证方式，并且可以和AD 集成使用从而可以保证虚拟终端用户和虚拟平台管理员用户身份的真实性和合法性[5]。

6） 提供关键操作的，高危操作的二次审批，针对特别敏感的命令，例如虚拟机重启，可以设置命令审批机制，既管理员A下达虚拟机重启命令时候，需要管理员B进行审批，杜绝误操作可能性。

3 结束语

随着云资源池在电信运营商的大规模建设，其面临的安全挑战也是前所未有，为了实现云计算的安全目标，还需要在当前云资源池平台基础上，深入研究云计算与互联网金融结合的安全防护技术，提供更多云计算安全解决方案。

参考文献：

[1] 安全云服务的资源池化与虚拟化[EB/OL].[2012-02-24].http：//book.51cto.com/art/201202/319793.htm.

[2] 几种分布式攻击（ICMP、SYNFlood、Smurf）的防范[EB/OL].[2013-12-05].http：//www.educity.cn/labs/564686.html.

[3] 燕杰，樊勇兵，金华敏，等. 电信运营商的云计算资源池部署方法概述[J]. 电信科学， 2011（10）：15-18.

[4] 侯继江，张鉴，陈军. 电信运营商云计算数据中心安全防护体系研究[J]. 电信网技术， 2012（3）：26-27.

[5] 丘惠军. 虚拟化安全服务器研究与设计[J]. 现代计算机， 2014（2）：77-78.