华为FusionSphere 6.5.0 虚拟化套件安全技术白皮书

华为FusionSphere 6.5.0虚拟化套件安全技术白皮书5FusionSphere 6.5.0虚拟化套件安全技术白皮书目 录1 虚拟化平台安全威胁分析11.1 概述11.2 云安全威胁分析11.2.1 传统的安全威胁11.2.2 云计算带来的新的安全威胁31.3 云计算的安全价值42 FusionSphere安全方案52.1 FusionSphere总体安全框架52.2 网络安全62.2.1 网络平面隔离62.2.2 VLAN隔离72.2.3 防IP及MAC仿冒82.2.4 端口访问限制82.3 虚拟化安全82.3.1 vCPU调度隔离安全92.3.2 内存隔离92.3.3 内部网络隔离102.3.4 磁盘I/O隔离102.4 数据安全102.4.1 数据加密102.4.2 用户数据隔离102.4.3 数据访问控制112.4.4 剩余信息保护112.4.5 数据备份112.4.6 软件包完整性保护122.5 运维管理安全122.5.1 管理员分权管理122.5.2 账号密码管理122.5.3 日志管理122.5.4 传输加密132.5.5 数据库备份132.6 基础设施安全132.6.1 操作系统加固142.6.2 Web安全142.6.3 数据库加固152.6.4 Web容器加固152.6.5 安全补丁152.6.6 防病毒16FusionSphere 6.5.0虚拟化套件安全技术白皮书1 虚拟化平台安全威胁分析1.1 概述云计算虚拟化平台作为一种新的计算资源提供方式，用户在享受它带来的便利性、低成本等优越性的同时，也对其自身的安全性也存在疑虑。如何保障用户数据和资源的机密性、完整性和可用性成为云计算系统急需解决的课题。本文在分析云计算带来的安全风险和威胁基础上，介绍了华为云计算虚拟化平台针对这些风险和威胁所采取策略和措施，旨在为客户提供安全可信的服务器虚拟化解决方案。1.2 云安全威胁分析1.2.1 传统的安全威胁l 来自外部网络的安全威胁的主要表现 传统的网络IP攻击如端口扫描、IP地址欺骗、Land攻击、IP选项攻击、IP路由攻击、IP分片报文攻击、泪滴攻击等。 操作系统与软件的漏洞在计算机软件（包括来自第三方的软件，商业的和免费的软件）中已经发现了不计其数能够削弱安全性的缺陷（bug）。黑客利用编程中的细微错误或者上下文依赖关系，已经能够控制操作系统，让它做任何他们想让它做的事情。常见的操作系统与软件的漏洞有：缓冲区溢出、滥用特权操作、下载未经完整性检查的代码等。 病毒、木马、蠕虫等。 SQL注入攻击攻击者把SQL命令插入Web表单的输入域或者页面请求的查询字符串中，欺骗服务器执行恶意的SQL命令，在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入攻击。 钓鱼攻击钓鱼攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获取如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称来自于著名的社交网站，拍卖网站，网络银行，电子支付网站或网络管理者，以此来诱骗受害者的轻信。网钓通常是通过email或者即时通讯进行。 零日攻击过去，安全漏洞被利用一般需要几个月时间。现在这个时间越来越短。如果一个漏洞被发现后，当天或更准确的定义是在24小时内，立即被恶意利用，出现对该漏洞的攻击方法或出现攻击行为，那么该漏洞被称为“零日漏洞”，该攻击被称为“零日攻击”。系统被发现存在漏洞后，由于原厂商需要时间确认漏洞的存在，需要时间评估漏洞的风险，也需要时间来确定漏洞修正的方法，实现该方法后还要验证、评估和质检，因此很难在当日就拿出补丁。由于厂商缺少补丁，而最终用户又缺少防范意识，从而能够造成巨大破坏。现在针对新漏洞的攻击产生速度比以前要快得多。不光有“零日攻击”，还有“零时攻击”。l 来自内部网络的安全威胁的主要表现 攻击方法日新月异，内部安全难以防范主要问题表现在ARP欺骗问题与恶意插件泛滥问题等新的安全问题，被攻破的内网主机中可能被植入木马或者其它恶意的程序，成为攻击者手中所控制的所谓“肉鸡”，攻击者可能以此作为跳板进一步攻击内网其它机器，窃取商业机密，或者将其作为DDOS工具向外发送大量的攻击包，占用大量网络带宽。员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件，都可能给攻击者带来可乘之机。 补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大由于网络内的各种平台的主机和设备存在安全漏洞但没有及时安装最新的安全补丁，或者主机和设备的软件配置存在隐患，杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新，给恶意的入侵者提供了可乘之机，使病毒和蠕虫的泛滥成为可能。大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪，业务无法正常进行。 非法外联难以控制、内部重要机密信息泄露频繁发生员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网，向外部敞开了大门，使得企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可以通过拨号线路进入企业内网；另一方面，内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又不易取证。 移动电脑设备随意接入、网络边界安全形同虚设员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用，如果管理不善，很有可能携带有病毒或木马，一旦未经审查就接入企业内网，可能对内网安全构成巨大的威胁。 软硬件设备滥用、资产安全无法保障内网资产（CPU、内存、硬盘等）被随意更换，缺乏有效的技术跟踪手段；员工可以随时更改自己所使用的机器的IP地址等配置，不仅难于统一管理，而且一旦出现攻击行为或者安全事故，责任定位非常困难。 网络应用缺乏监控，工作效率无法提高上网聊天、网络游戏等行为严重影响工作效率，利用QQ，MSN，ICQ 这类即时通讯工具来传播病毒，已经成为新病毒的流行趋势；使用BitTorrent、电驴等工具大量下载电影、游戏、软件等大型文件，关键业务应用系统带宽无法保证。 缺乏外设管理手段，数据泄密、病毒传播无法控制外设是数据交换的一个最要途径，包括U盘、光驱、打印、红外、串口、并口等；由于使用的方便性，近几年成为数据泄密、病毒感染的出入口。通过封贴端口、制度要求等方式无法灵活对外设进行管理，特别是对USB接口的管理，所以必须通过其它技术手段解决存在的问题。 管理制度缺乏技术依据，安全策略无法有效落实尽管安全管理制度早已制定，但只能依靠工作人员的工作责任心，无法有效地杜绝问题；通过原始方式：贴封条、定期检查等相对松散的管理机制，没有有效灵活实时的手段保障，无法使管理政策落实。1.2.2 云计算带来的新的安全威胁云计算系统的计算资源使用方式和管理方式的变化，带来了新的安全风险和威胁。对管理员而言主要存在以下风险和威胁：l 虚拟管理层成为新的高危区域云计算系统通过虚拟化技术为大量用户提供计算资源，虚拟管理层成为新增的高危区域。l 恶意用户难以被追踪和隔离资源按需自助分配使得恶意用户更易于在云计算系统中发起恶意攻击，并且难以对恶意用户进行追踪和隔离。l 云计算的开放性使云计算系统更容易受到外部攻击用户通过网络接入云计算系统，开放的接口使得云计算系统更易于受到来自外部网络的攻击。而对最终用户而言，使用云计算服务带来的主要风险和威胁如下： l 数据存放在云端无法控制的风险计算资源和数据完全由云计算服务提供商控制和管理带来的风险，包括提供商管理员非法侵入用户系统的风险；释放计算资源或存储空间后，数据能否完全销毁的风险；数据处理存在法律、法规遵从风险。l 资源多租户共享带来的数据泄漏与攻击风险多租户共享计算资源带来的风险，包括由于隔离措施不当造成的用户数据泄漏风险；遭受处在相同物理环境下的恶意用户攻击的风险。l 网络接口开放性的安全风险网络接入带来的风险：云计算环境下，用户通过网络操作和管理计算资源，鉴于网络接口的开放性，带来的风险也随之升高。1.3 云计算的安全价值l 统一、全面的安全策略计算资源集中管理使得边界防护更易于部署。可以针对计算资源提供全面的安全策略、统一数据管理、安全补丁管理、以及突发事件管理等安全管理措施。对用户而言，也意味着能够有专业的安全专家团队对其资源和数据进行安全保护。l 低安全措施成本多个用户共享云计算系统的计算资源，在集中的资源上统一应用安全措施，可以降低各用户的安全措施平均成本，即更低的投资会给用户带来同样安全的保护措施。l 按需提供安全防护利用快速、弹性分配资源的优势，云计算系统可以为过滤、流量整形、加密、认证等提供安全防护措施，动态调配计算资源，提高安全措施处理效率。2 FusionSphere安全方案2.1 FusionSphere总体安全框架根据云计算面临的威胁与挑战，华为提供虚拟化平台安全解决方案，如图2-1所示。图2-1 安全解决方案框架分层简要介绍如下：l 云平台安全 数据存储安全从隔离用户数据、控制数据访问、备份数据等方面保证用户数据的安全和完整性。 虚拟机隔离实现同一物理机上不同虚拟机之间的资源隔离，避免虚拟机之间的数据窃取或恶意攻击，保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时，仅能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证虚拟机隔离安全。 网络传输安全通过网络平面隔离、引入防火墙、传输加密等手段，保证业务运行和维护安全。l 运维管理安全从帐号密码、用户权限、日志、传输安全等方面增强日常运维管理方面的安全措施。除上述安全方案外，还通过修复Web应用漏洞、对操作系统和数据库进行加固、安装安全补丁和防病毒软件等手段保证各物理主机的安全。2.2 网络安全2.2.1 网络平面隔离将FusionSphere的网络通信平面划分为业务平面、存储平面和管理平面，且三个平面之间是隔离的。存储平面与业务平面、管理平面间物理隔离；管理平面与业务平面间是逻辑隔离。通过网络平面隔离保证管理平台操作不影响业务运行，最终用户不能破坏基础平台管理。FusionSphere的网络平面隔离如图2-2所示。图2-2 网络平面隔离示意图l 业务平面为用户提供业务通道，为虚拟机虚拟网卡的通信平面，对外提供业务应用。l 存储平面为iSCSI存储设备提供通信平面，并为虚拟机提供存储资源，但不直接与虚拟机通信，而通过虚拟化平台转化。l 管理平面负责整个云计算系统的管理、业务部署、系统加载等流量的通信。2.2.2 VLAN隔离通过虚拟网桥实现虚拟交换功能，虚拟网桥支持VLAN tagging功能，实现VLAN隔离，确保虚拟机之间的安全隔离。虚拟网桥的作用是桥接一个物理机上的虚拟机实例。虚拟机的网卡eth0，eth1，称为前端接口（front-end）。后端（back-end）接口为vif，连接到Bridge。这样，虚拟机的上下行流量将直接经过Bridge转发。Bridge根据mac地址与vif接口的映射关系作数据包转发。Bridge支持VLAN tagging功能，这样，分布在多个物理机上的同一个虚拟机