云平臺安全架構及防護機制研究

◆童林萍 嚴雄兵 張荻

（武漢電力職業技術學院信息工程系 湖北 430000）

1 引言

云平臺指云計算平臺，利用虛擬化技術，將服務器、網絡、存儲、數據庫、應用程序等計算機軟件和硬件資源整合進行統一管理，通過網絡訪問的方式提供服務，主要用于解決信息系統中軟件和硬件資源的共享及利用率低、系統并發訪問能力不足、信息化運維難度大等問題。云平臺能夠提供部署、管理和運行應用程序能力的服務模式，為用戶提供了共享和按需使用軟硬件資源的方式，滿足數據使用、存儲、共享的需求，也帶來了一系列新的安全威脅與問題[1-3]。在云計算環境中，由于云平臺中資源的動態伸縮性帶來的不確定性和復雜性，用戶業務的安全性及其數據隱私性很難保證，從而引起了一系列安全問題。因此，解決云平臺自身的安全和云平臺提供服務的安全問題，是云平臺全面推廣和應用的關鍵。

本文主要工作是結合當前網絡安全形勢下云平臺面臨的安全威脅，分析云平臺安全問題涉及的要素，研究了廣泛認可的云平臺安全框架的特點，調整了云計算定義模型，依據現有云平臺的防護安全策略，提出了云平臺中面向云租戶安全的防護機制。

2 云平臺安全問題

隨著越來越多的企業、機構、組織將業務和應用部署在云平臺，云平臺的安全也面臨著更多挑戰。國家計算機網絡應急技術處理協調中心今年7月公布的《2021年上半年我國互聯網網絡安全監測數據分析報告》，表明我國云平臺上遭受各類網絡攻擊事件在總體安全事件的比重依然較高，其中遭受攻擊的主要類型為大流量DDoS攻擊、被植入后門、被篡改網站等。同時，攻擊者利用我國云平臺作為工具對外發起網絡攻擊的事件時有發生，其中攻擊的主要類型為發起DDoS攻擊、作為攻擊跳板對外植入后門、作為木馬和僵尸網絡惡意程序控制端控制的IP地址、承載的惡意程序等。

云安全聯盟（Cloud Security Alliance，CSA）最新發布的2020版本的《云計算的11類頂級威脅》，統計了全球用戶使用云計算中面臨11類主要的云安全威脅，根據對風險和漏洞重要程度的評估，威脅的排名依次為，數據泄露；配置錯誤和變更控制不足；缺乏云安全架構和策略；身份，憑證，訪問和密鑰管理不足；賬戶劫持；內部威脅；不安全的接口和 API；控制平面薄弱；元結構和應用程序結構失效；有限的云使用可見性；濫用及違法使用云服務。

根據國內外云平臺中主要網絡攻擊統和安全威脅的統計分析，其安全問題實質上是在傳統安全的基礎上由于虛擬化等技術所引入的新的安全問題的集合，涉及云平臺自身的安全和云平臺提供服務的安全兩個方面。

3 云平臺安全架構

國內外云安全體系架構和安全模型較多，有基于角色分類、基于系統分層、基于用戶行為[4-5]等。其中獲得廣泛認可的架構和模型包括NIST云計算參考體系結構及云計算安全參考架構、CSA4.0云安全指南以及我國等級保護2.0云計算安全防護技術框架等。

美國國家標準技術研究所（National Institute of Standards and Technology，NIST）提出了得到普遍的認可和支持的云計算參考體系結構。該架構包含3種服務模式、4種部署模型、5大基礎特征。其中3種云服務模式：軟件即服務（SaaS）、平臺即服務（PaaS）、基礎設施即服務（IaaS）；4種部署方式：公有云、私有云、社區云、混合云；5種基礎特征：資源池化、按需配置、廣泛的網絡、快速彈性、服務可測量，其中資源池化是其他特征的基礎。ISO IEC 17788-2014中提出了多租戶的特征，多租戶的指多個不同的云消費者之間共享同一個資源池，但是它們相互隔離并且孤立。隔離允許云提供商將同一個資源池中的資源分配到不給的云租戶，孤立確保不同的云租戶相互之間不能看到或修改對方的資產。將NIST的云計算參考體系結構和ISO IEC 17788-2014 中補充的多租戶特征相結合，云計算關系如圖1所示。

圖1 云計算關系

3.1 NIST云計算安全參考架構

NIST云計算安全參考架構將云平臺中參與者角色劃分為5類，分別是云服務消費者、云服務提供者、云服務承運者、云服務審計者和云服務代理者[6]，每個角色可以是個人，也可以是組織。在5類角色框架基礎上，基于角色分類設計組織架構。云服務提供者指銷售云服務產品的個人或組織。云服務消費者指向云服務提供者購買云服務產品的個人或組織。云服務代理者指負責管理云服務的使用、性能，并協調云服務消費者與云服務提供者的關系的個人或者組織。云服務審計者指能夠對云計算安全性、性能、操作進行獨立評估的第三方個人或組織。云服務承運者指在云服務提供者和云服務消費者之間提供連接媒介，以便把云服務產品從云提供者那里轉移到云消費者手中的個人或組織。云平臺中必須包含云服務提供者和云服務消費者兩類角色，云服務承運者、云服務審計者以及云服務代理者這三類角色是否包含，與具體的業務和安全要求相關。該安全架構基于角色分類設計安全功能層進行安全防護，清楚的劃分了各方安全職責。整個架構根據各個角色參與云平臺活動的角度，提出了安全防護職責要求，如圖2所示。

圖2 NIST云計算安全參考架構

3.2 CSA云安全模型

CSA云安全模型在NIST基于角色劃分的架構基礎上劃分層次，不同層次的云服務類型中提供者和消費者之間的安全責任分擔不同，云服務提供者所在的層次越低，云消費者自身所要負責的安全運營和安全管理職責就越多。IaaS服務模式中，云提供者負責保障基礎設施安全，云消費者負責系統服務安全、應用安全和數據安全。PaaS服務模式中，云提供者負責保障基礎設施安全和系統服務安全，云消費者負責應用安全和數據安全。SaaS服務模式中，云提供者負責保障基礎設施安全、系統服務安全和應用安全，云消費者負責數據安全。CSA通過分析IaaS、PaaS和SaaS三種基本云服務模式的層次及其依賴關系，針對不同層次的云服務提供相應安全措施，形成云安全分層模型[7]，如圖3所示。

圖3 CSA云安全模型

3.3 等保2.0云安全防護技術框架

我國等級等保2.0云計算等級保護安全防護技術框架，按照《信息安全技術 網絡安全等級保護安全設計技術要求》（GB/T 25070-2019）總體“一個中心，三重防護”的防護理念和分類結構設計思想?！耙粋€中心”指安全管理中心，“三重防護”指安全計算環境、安全區域邊界和安全通信網絡。安全管理中心是在系統管理、安全管理、審計管理等三個方面的安全機制實施統一管理的平臺或區域，針對的對象為網絡安全等級保護對象的安全策略及三重防護中安全計算環境、安全區域邊界和安全通信網絡。該架構分為七個邏輯層，分別為硬件層、資源抽象控制層、虛擬化計算資源層、軟件平臺層、應用平臺層、用戶層和管理層，按照分層進行防護設計。整體架構結合云計算角色分類、系統分層和云計算安全需求，并在服務層面強調了基于租戶角色安全的云安全分層防護技術框架[8]，如圖4所示。

震損水庫滲漏常見大壩下游及壩內輸泄水結構出口。常見表現為震后滲漏量增加，渾水出現一段時間后又變清，滲漏量趨于穩定。如汶川地震后，紫坪鋪大壩滲漏量較震前有所增加，但總量不大，滲流水質在震后的1~2天較震前渾濁，并夾帶泥沙，后水質變清。在某些情形下，震后滲漏量比震前持續增加，一直出現渾水，疑大壩壩體可能出現集中滲漏，可能是壩體產生橫向裂縫或壩內涵管出現變形損壞等。如四川省梓潼縣聯盟水庫左右兩壩肩震前就長年漏水，繞壩滲漏明顯,地震后滲流量顯著增大。

圖4 等保2.0云安全防護技術框架

云平臺中不同的系統安全架構和模型，設計的角度和理念不同，安全能力和管理責任的要求不同，防護的視角和適用的場景也不同。用戶根據自身的基礎設施條件和業務需求以及安全需求，選擇合適自身情況的云平臺建設方式。

4 云平臺防護機制

傳統的網絡攻擊可能的攻擊方式為物理與環境、網絡、主機、應用和數據5個方面。云平臺的基礎設施同樣使用了物理主機、網絡設備、應用系統等軟硬件，因此不僅面臨傳統網絡安全的問題，并且由于虛擬化技術使得傳統的主機安全威脅、網絡安全威脅、應用安全威脅和數據安全威脅等有了新的變化。為解決云平臺中主要安全風險，本文利用基于角色、基于系統分層的防護思想，結合國家信息技術和網絡安全相關政策法規要求，從網絡安全、主機安全、應用安全和數據安全等方面分析云平臺面臨的安全威脅和問題，提出了云平臺中面向云租戶安全的防護機制，結構如圖5所示。

圖5 云租戶的安全結構圖

4.1 網絡安全

針對虛擬化網絡結構、虛擬化網絡設備、虛擬化安全設備等對象，涉及網絡邊界和安全區域兩個方面。

網絡邊界的安全問題，云平臺中依托的虛擬化技術使得網絡邊界變得非常模糊，傳統的防火墻、入侵檢測系統、入侵防御系統等網絡安全設備只能部署在物理網絡的邊界，不能有效地對云平臺內流量進行審計、監控和管控。同一個宿主機中同虛擬機之間的網絡訪問與交互只在宿主機內部完成，存在安全策略覆蓋的盲區。

網絡邊界的安全措施，采用異常流量清洗和僵尸網絡監測等傳統安全手段進行網絡訪問控制。網絡區域的安全措施，對業務層面和管理層面的網絡劃分安全域，明確安全邊界，進行邏輯隔離和故障隔離，防止非法或者未授權設備的接入，阻止網絡攻擊在云平臺中擴散，使得攻擊影響的最小化。

4.2 主機安全

針對傳統主機、虛擬機等對象，通過虛擬主機進行隔離，涉及虛擬主機管理和虛擬主機使用兩個方面。虛擬主機管理的安全需求，包括虛擬機與宿主機隔離、虛擬機功能監控、虛擬化資源調度、資源程序安全、虛擬機獨享資源使用的限制、虛擬機之間的隔離等。虛擬機使用的安全需求，包括虛擬機遷移安全、虛擬機數據隱私保護等。

虛擬機管理的安全威脅，存在虛擬機逃逸、虛擬機運行惡意程序、資源競爭導致的虛擬機故障、惡意程序攻擊、DDos攻擊、隱私信道引起非法通信。虛擬機使用的安全威脅，存在流量被監控、數據被盜取、安全域變更、用戶數據被偷窺。

4.3 應用安全

針對業務應用系統、業務數據等對象，涉及應用程序開發安全和應用程序使用安全兩個方面。

應用程序開發的安全威脅，管理應用程序的源代碼、組件、服務部署和數據處理等不規范。應用程序使用的安全威脅，存在權限設置不當，造成越權訪問等問題。

應用程序開發的安全措施，遵循開發的安全規范，配置相對獨立的開發環境和測試環境進行開發和測試工作，并且開發、測試的環境與生產環境嚴格隔離。應用程序使用的安全措施，采用應用資源控制、應用安全審計、應用訪問控制等手段，防止由于云平臺中應用系統的缺陷和漏洞或者用戶越權訪問造成的重要數據被非法篡改、敏感信息泄露等問題。

4.4 數據安全

針對業務數據、管理數據、用戶隱私數據等對象，涉及數據的存儲和刪除兩個方面。

數據存儲的安全威脅，存在數據被未授權用戶非法訪問和篡改的安全風險，數據的隱私性得不到保證。數據刪除的安全威脅，由于存儲空間的釋放和回放，攻擊者恢復已經被刪除的數據，從而導致數據泄露。

數據存儲的安全措施，采用身份認證和授權、數據加密和訪問控制等安全措施。數據刪除的安全措施，采用數據復寫等方式。數據復寫方式是先對數據進行破壞，之后使用新數據對原有數據進行破壞，保證數據被徹底銷毀。同時，由于數據發多副本存儲，需要確保與目標數據相關聯的副本數據的刪除。

5 結語

云平臺作為云計算應用的基礎平臺，通過提供IaaS、PaaS、SaaS三種服務模式，滿足資源統一管理、數據去邊界、應用高可靠、運營流程打通、研發效率提升的建設目標，推動公司數字化轉型，滿足業務支撐目標，得到越來越多的企業、機構、組織的認可。

本文根據目前的網絡安全形勢總結了云平臺面臨的安全威脅，分析了云平臺中廣泛認可的安全架構的特點，在安全技術方面提出了以租戶安全為核心云平臺防護機制，提升云平臺的防護能力。在安全管理方面，進一步完善管理制度，加強云平臺的規范管理。云平臺中有海量的數據，下一步工作，主要是研究云平臺關于數據的安全性問題。