1、华为 FusionSphere 6.0 云套件 安全技术白皮书(云数据中心)文档版本 V1.0发布日期 2016-04-30华 为 技 术 有 限 公 司华为 FusionSphere 6.0 云套件安全技术白皮书 (云数据中心)Doc Number:OFFE00019187_PMD966ZHRevision:A拟制/Prepared by: chenfujun 90002776;评审/Reviewed by: huangdenghui 00283052;zouxiaowei 00348656;pengzhaojun 00286002;youwenwei 00176512;yanzhongwe
2、i 00232184批准/Approved by: youwenwei 001765122015-12-29Huawei Technologies Co., Ltd. 华为技术有限公司All rights reserved版权所有 侵权必究文档版本 V1.0 (2016-04-304) 华为专有和保密信息 版权所有 华为技术有限公司i版 权 所 有 华 为 技 术 有 限 公 司 2016。 保 留 一 切 权 利 。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。商 标 声 明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标
3、或注册商标,由各自的所有人拥有。注 意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129网址: http:/华为 FusionSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-
4、04-304) 华为专有和保密信息 版权所有 华为技术有限公司ii目 录1 云计算平台安全威胁分析 .11.1 概述 .11.2 云安全威胁分析 .11.2.1 传统的安全威胁 .11.2.2 云计算带来的新的安全威胁 .31.3 云计算的安全价值 .42 FusionSphere 安全方案 .52.1 FusionSphere 总体安全框架 .52.2 FusionSphereOpenstack 安全框架 .62.3 网络安全 .62.3.1 网络平面隔离 .62.3.2 VLAN 隔离 .72.3.3 安全组 .82.3.4 防 IP 及 MAC 仿冒 .82.3.5 DHCP 隔离 .8
5、2.4 虚拟化安全 .82.4.1 vCPU 调度隔离安全 .92.4.2 内存隔离 .92.4.3 内部网络隔离 .92.4.4 磁盘 I/O 隔离 .102.5 数据安全 .102.5.1 数据访问控制 .102.5.2 剩余信息保护 .102.5.3 数据备份 .102.5.4 控制台登录虚拟机支持密码认证 .102.6 运维管理安全 .102.6.1 管理员分权分域管理 .112.6.2 账号密码管理 .112.6.3 日志管理 .112.6.4 传输加密 .11华为 FusionSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-04-3
6、04) 华为专有和保密信息 版权所有 华为技术有限公司iii2.6.5 数据库备份 .112.7 基础设施安全 .122.7.1 操作系统加固 .122.7.2 Web 安全 .122.7.3 数据库加固 .122.7.4 安全补丁 .132.7.5 防病毒 .13华为 FusionSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-04-304) 华为专有和保密信息 版权所有 华为技术有限公司11 云计算平台安全威胁分析1.1 概述云计算平台作为一种新的计算资源提供方式,用户在享受它带来的便利性、低成本等优越性的同时,也对其自身的安全性也存在疑虑
7、。如何保障用户数据和资源的机密性、完整性和可用性成为云计算系统急需解决的课题。本文在分析云计算带来的安全风险和威胁基础上,介绍了华为云计算平台针对这些风险和威胁所采取策略和措施,旨在为客户提供安全可信的云数据中心解决方案。1.2 云安全威胁分析1.2.1 传统的安全威胁 来自外部网络的安全威胁的主要表现 传统的网络 IP 攻击如端口扫描、IP 地址欺骗、Land 攻击、IP 选项攻击、IP 路由攻击、IP 分片报文攻击、泪滴攻击等。 操作系统与软件的漏洞在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(bug) 。黑客利用编程中的细微错误或者上下
8、文依赖关系,已经能够控制操作系统,让它做任何他们想让它做的事情。常见的操作系统与软件的漏洞有:缓冲区溢出、滥用特权操作、下载未经完整性检查的代码等。 病毒、木马、蠕虫等。 SQL 注入攻击攻击者把 SQL 命令插入 Web 表单的输入域或者页面请求的查询字符串中,欺骗服务器执行恶意的 SQL 命令,在某些表单中,用户输入的内容直接用来构造(或者影响)动态 SQL 命令,或作为存储过程的输入参数,这类表单特别容易受到 SQL 注入攻击。 钓鱼攻击钓鱼攻击是一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获取如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称华为 Fusio
9、nSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-04-304) 华为专有和保密信息 版权所有 华为技术有限公司2来自于著名的社交网站,拍卖网站,网络银行,电子支付网站或网络管理者,以此来诱骗受害者的轻信。网钓通常是通过 email 或者即时通讯进行。 零日攻击过去,安全漏洞被利用一般需要几个月时间。现在这个时间越来越短。如果一个漏洞被发现后,当天或更准确的定义是在 24 小时内,立即被恶意利用,出现对该漏洞的攻击方法或出现攻击行为,那么该漏洞被称为“零日漏洞” ,该攻击被称为“零日攻击” 。系统被发现存在漏洞后,由于原厂商需要时间确认漏洞的存
10、在,需要时间评估漏洞的风险,也需要时间来确定漏洞修正的方法,实现该方法后还要验证、评估和质检,因此很难在当日就拿出补丁。由于厂商缺少补丁,而最终用户又缺少防范意识,从而能够造成巨大破坏。现在针对新漏洞的攻击产生速度比以前要快得多。不光有“零日攻击” ,还有“零时攻击” 。 来自内部网络的安全威胁的主要表现 攻击方法日新月异,内部安全难以防范主要问题表现在 ARP 欺骗问题与恶意插件泛滥问题等新的安全问题,被攻破的内网主机中可能被植入木马或者其它恶意的程序,成为攻击者手中所控制的所谓“肉鸡”,攻击者可能以此作为跳板进一步攻击内网其它机器,窃取商业机密,或者将其作为 DDOS 工具向外发送大量的攻
11、击包,占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件,都可能给攻击者带来可乘之机。 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大由于网络内的各种平台的主机和设备存在安全漏洞但没有及时安装最新的安全补丁,或者主机和设备的软件配置存在隐患,杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新,给恶意的入侵者提供了可乘之机,使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪,业务无法正常进行。 非法外联难以控制、内部重要机密信息泄露频繁发生员工通过电话线拨号、VPN 拨号、GPRS 无线拨号等方式绕过防火墙的监控直接连接外网,向外部敞开
12、了大门,使得企业内网的 IT 资源暴露在外部攻击者面前,攻击者或病毒可以通过拨号线路进入企业内网;另一方面,内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去,给企业带来经济损失但又不易取证。 移动电脑设备随意接入、网络边界安全形同虚设员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用,如果管理不善,很有可能携带有病毒或木马,一旦未经审查就接入企业内网,可能对内网安全构成巨大的威胁。 软硬件设备滥用、资产安全无法保障内网资产(CPU、内存、硬盘等)被随意更换,缺乏有效的技术跟踪手段;员工可以随时更改自己所使用的机器的 IP 地址等配置,不仅难于统
13、一管理,而且一旦出现攻击行为或者安全事故,责任定位非常困难。 网络应用缺乏监控,工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率,利用 QQ,MSN,ICQ 这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;使用 BitTorrent、电驴等工具大量下载电影、游戏、软件等大型文件,关键业务应用系统带宽无法保证。华为 FusionSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-04-304) 华为专有和保密信息 版权所有 华为技术有限公司3 缺乏外设管理手段,数据泄密、病毒传播无法控制外设是数据交换的一个最要途径,包括 U 盘、光驱、
14、打印、红外、串口、并口等;由于使用的方便性,近几年成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求等方式无法灵活对外设进行管理,特别是对 USB 接口的管理,所以必须通过其它技术手段解决存在的问题。 管理制度缺乏技术依据,安全策略无法有效落实尽管安全管理制度早已制定,但只能依靠工作人员的工作责任心,无法有效地杜绝问题;通过原始方式:贴封条、定期检查等相对松散的管理机制,没有有效灵活实时的手段保障,无法使管理政策落实。1.2.2 云计算带来的新的安全威胁云计算系统的计算资源使用方式和管理方式的变化,带来了新的安全风险和威胁。对管理员而言主要存在以下风险和威胁: 虚拟管理层成为新的高危区域云
15、计算系统通过虚拟化技术为大量用户提供计算资源,虚拟管理层成为新增的高危区域。 恶意用户难以被追踪和隔离资源按需自助分配使得恶意用户更易于在云计算系统中发起恶意攻击,并且难以对恶意用户进行追踪和隔离。 云计算的开放性使云计算系统更容易受到外部攻击用户通过网络接入云计算系统,开放的接口使得云计算系统更易于受到来自外部网络的攻击。而对最终用户而言,使用云计算服务带来的主要风险和威胁如下: 数据存放在云端无法控制的风险计算资源和数据完全由云计算服务提供商控制和管理带来的风险,包括提供商管理员非法侵入用户系统的风险;释放计算资源或存储空间后,数据能否完全销毁的风险;数据处理存在法律、法规遵从风险。 资源
16、多租户共享带来的数据泄漏与攻击风险多租户共享计算资源带来的风险,包括由于隔离措施不当造成的用户数据泄漏风险;遭受处在相同物理环境下的恶意用户攻击的风险。 网络接口开放性的安全风险网络接入带来的风险:云计算环境下,用户通过网络操作和管理计算资源,鉴于网络接口的开放性,带来的风险也随之升高。1.3 云计算的安全价值 统一、全面的安全策略华为 FusionSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-04-304) 华为专有和保密信息 版权所有 华为技术有限公司4计算资源集中管理使得边界防护更易于部署。可以针对计算资源提供全面的安全策略、统一数据管
17、理、安全补丁管理、以及突发事件管理等安全管理措施。对用户而言,也意味着能够有专业的安全专家团队对其资源和数据进行安全保护。 低安全措施成本多个用户共享云计算系统的计算资源,在集中的资源上统一应用安全措施,可以降低各用户的安全措施平均成本,即更低的投资会给用户带来同样安全的保护措施。 按需提供安全防护利用快速、弹性分配资源的优势,云计算系统可以为过滤、流量整形、加密、认证等提供安全防护措施,动态调配计算资源,提高安全措施处理效率。华为 FusionSphere 6.0 云套件安全技术白皮书(云数据中心) 内部公开文档版本 V1.0 (2016-04-304) 华为专有和保密信息 版权所有 华为技
18、术有限公司52 FusionSphere 安全方案2.1 FusionSphere 总体安全框架根据云计算面临的威胁与挑战,华为提供虚拟化平台安全解决方案,如 图 2-1 所示。图 2-1 安 全 解 决 方 案 框 架分层简要介绍如下: 云平台安全 数据存储安全从隔离用户数据、控制数据访问、保护剩余信息、加密虚拟机磁盘、备份数据等方面保证用户数据的安全和完整性。 虚拟机隔离实现同一物理机上不同虚拟机之间的资源隔离,避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源(如硬件、软件和数据) ,不能访问其他虚拟机的资源,保证虚拟机隔离安全。 网络传输安全