電信業務云的安全體系架構與關鍵技術研究

胡 坤 王 翔 劉 鏑 張 尼

1 中國聯合網絡通信有限公司 北京 100033 2 中國聯通研究院 北京 100032

引言

云計算的關鍵技術和部署模式能夠有效降低IT資源的能耗成本和管理難度,為用戶帶來更加便宜的軟硬件資源和靈活的業務發展空間,其優勢已得到電信行業的普遍認可。目前,電信業務云的服務種類和應用規模正在逐步擴大,既涉及內部運營支撐,也涉及外部應用服務,例如:云數據中心、云服務平臺、云計算產品、云計算業務等。

綜觀國內外電信運營商的云計算發展,不難發現:電信業務云在應用與推廣過程中遇到的最大障礙是安全和隱私問題。一方面,與傳統計算模式相比,電信業務云具有開放性、動態邊界、虛擬性、多租戶、數據所有權和管理權分離、資源相對集中等特點,這使得電信業務云在技術、管理和法律等方面面臨新的安全挑戰。另一方面,電信業務云中存放著海量用戶數據,記錄了詳細的用戶屬性、通信消費數據、GPS行走軌跡、登錄網站偏好、頻率等內容,如果這些數據遭受攻擊、泄露或丟失,則會給用戶和運營商帶來重大損失。因此,電信業務云面臨著比以往業務系統更為嚴峻的考驗。

本文從CSA(Cloud Security Alliance)提出的云安全威脅入手,深入分析電信業務云面臨的安全威脅與需求,提出層次化的云計算安全體系架構,并對其中的安全技術進行研究,其目標是構建適于電信業務云的縱深安全防御體系,保障電信業務云的安全。

1 電信業務云安全威脅與需求

云計算具有彈性服務、資源池化、大規模/廉價/通用等特點,在實際建設中面臨著眾多安全風險。根據CSA公布的云計算安全威脅,其最主要的安全問題有:數據安全、應用安全、網絡安全、平臺安全、接口安全等[1]。但是,這些安全威脅的描述過于寬泛,缺乏行業特性。依據電信業務云的特性,其更注重云服務側的安全威脅與需求,因此,有必要對電信業務云進行研究,解析每一層涉及到的安全問題。

電信業務云從底至上分為五層(如圖1所示),即物理環境、硬件資源、虛擬資源、管理平臺、服務與應用。物理環境是電信業務云的基礎配置與設施,包括機房位置、周邊環境、線路部署、配套設施等;硬件資源是電信業務云的運營基礎,包括主機服務器、網絡設備、存儲設備、支撐設備等;虛擬資源是經過虛擬化抽象的物理資源,包括虛擬化的網絡資源、存儲資源、計算資源等;管理平臺是對硬件資源和虛擬資源進行管理的軟件模塊和調度模塊,對外提供開放的API和對云服務使用進行認證和度量的功能;服務與應用層包括多種云計算服務,如SaaS、SDPaaS(Service Delivery Platform as a Service)、SecaaS(Security as a Service)等,以及對這些服務的管理和調度,使電信云服務能力能夠被第三方訪問和使用。從上述層次分析可以看出,電信業務云是一種可管控、可度量的云計算模型。

但是,在電信業務云的框架中存在著不同的安全威脅,既包含傳統的安全威脅(例如:鏈路中斷、硬件故障、數據庫宕機等),也涉及一些新的安全威脅(例如:VM(Virtual Machine)逃逸、VM側道攻擊、HyperVisor攻擊等)。圖2給出了電信業務云面臨的安全威脅模型。

在物理環境層,存在一些非人為可控的安全威脅,例如:自然災害、設備損毀、突發事件等;因此,該層需要做好機房的電磁防護、能耗排放、配電保障等工作。在硬件資源層,存在一些傳統安全風險,例如:硬件故障、設備干擾、非法接入等;因此,該層需要對主機設備、網絡設備、存儲設備、管控設備、支撐設備等做好安全保障。而虛擬資源層是安全隱患較為集中的一層,也是電信業務云需要重點防護的層面。總體來講,虛擬資源的安全威脅來自三方面:一是VM管理失效,例如VM蔓延、VM逃逸、VM密鑰竊取等;二是VM或Hypervisor被攻擊,例如VM DoS(Denial of Service)攻擊、VM側道攻擊、VM Hopping等;三是虛擬軟件問題,例如軟件兼容、安全漏洞、監聽/阻斷等;因此,該層需要加強虛擬主機、網絡和存儲的安全管理與防護。在管理平臺層,也面臨諸多的安全威脅,既有開源組件、監測技術的應用風險,也有平臺漏洞、多租戶使用的安全隱患;因此,需要強化該層的虛擬化安全部署、組件安全管控、接口與API安全等內容。最后,服務與應用層存在云服務調用與管控、應用安全評估、云間數據遷移等問題,需要加強服務認證、審計度量、信任安全等方面的工作。此外,數據安全和人員管理也是電信業務云需要重點關注與解決的方面。

圖1 電信業務云框架

圖2 電信業務云安全威脅模型

2 基于“云、管、端”的安全體系架構和關鍵技術

通過上述云安全威脅模型,可以明晰電信業務云建設中各層的安全要點和注意事項,為云安全技術的研究提供支撐和基礎。基于對此威脅模型的認知與理解,本文提出一個基于“云、管、端”的電信業務云安全架構,如圖3所示。

該安全體系架構分四個域,即用戶域、網絡接入域、云服務域、監管域。其中,用戶域涉及云終端的安全技術,包括身份權限、病毒防護、入侵檢測、數據加密等。網絡接入域是用戶域與云服務域的傳輸紐帶,與傳統網絡安全相比,電信業務云的網絡接入更強調用戶接入和數據傳輸;因此,網絡接入域包含傳輸加密/容錯、網絡可信連接、安全評估等技術。云服務域則依據云安全威脅模型,從五個層級考慮安全技術的部署。其中,云數據安全比較特殊,它貫穿整個云服務域。云監管域部署了相關的安全技術和策略,針對上述三個安全域的運行情況進行監控和管理,包括事件管理、補丁管理、災難恢復等內容。

圖3 基于“云、管、端”的電信業務云安全體系架構

2.1 用戶域安全

電信業務云的用戶有企業內部用戶、外部云服務租戶、系統管理員等,其使用的終端設備包括服務器、桌面電腦、筆記本電腦、平板電腦、手機等。用戶使用的云終端是電信業務云的接入實體,也是用戶和云計算平臺聯系的紐帶。云終端安全是云安全的重要環節,也是網絡環境下信息安全的關鍵點。安全的云終端能夠更好地保證云用戶安全地接入云計算平臺,同時減少了云計算平臺受到非法訪問和惡意攻擊的可能性。根據用戶域的云終端特性,可以從以下三個方面部署相應的安全技術。

1) 云終端硬件安全技術。云終端在硬件方面可采用安全芯片、接入認證和抗物理攻擊等技術來提高終端的安全性,確保云終端設備的可溯源性。其中,安全芯片是一個可獨立進行密鑰生成、加解密的裝置,內部擁有獨立的處理器和存儲單元,可存儲密鑰和特征數據,為云終端提供加密和安全認證服務。用安全芯片進行加密,密鑰被存儲在硬件中,被竊的數據無法解密,從而保護云終端的商業隱私和數據安全。終端接入認證技術主要有三種:口令認證、基于預共享密鑰的挑戰應答認證、基于公鑰密碼技術的認證[2]。而根據口令產生方式的不同,口令認證技術又可細分為靜態口令認證、一次性口令認證和雙因素動態口令認證。

2) 云終端系統安全技術。云終端在系統層面可采用的安全技術包括:漏洞掃描、終端加密、病毒防范等。通常,云終端操作系統都存在安全漏洞,使得木馬、蠕蟲等惡意代碼的存在成為可能,造成用戶隱私竊取、終端功能破壞、通信網絡攻擊等安全事件的發生。漏洞掃描可以對指定終端系統的安全性和脆弱性進行檢測,發現可被利用的漏洞。漏洞掃描包括基于操作系統的識別技術、漏洞檢測數據采集技術、智能端口識別、多重服務檢測、安全優化掃描、系統滲透掃描等[3]。云終端加密技術可大致分為三類:軟件全加密、文件和文件夾加密、自我加密。在安全軟件方面,云終端可部署相應的防病毒軟件、個人防火墻,以及其他類型查殺移動惡意代碼的軟件,以保證系統軟件和應用軟件的安全性,同時安全軟件需要具有自動安全更新功能,能夠定期完成補丁的修復與更新。

3) 云終端應用/數據安全技術。云終端應用層面可采用的安全技術包括:終端可信、個人信息安全保護等。前者是通過在云終端上綁定一個可信計算模塊來保證現有終端的安全性,從終端開始建立一條可信鏈來保證整個系統和網絡的安全。后者是從終端信息安全的角度,建立整體的安全保障機制,涉及的技術包括信息備份、密碼技術、強制控制、訪問控制等技術[4]。

2.2 網絡域安全

在電信業務云環境中,外部用戶訪問云平臺需要通過統一的接入認證機制,保證用戶的真實有效。在某些場景下,用戶的接入位置與云平臺位置可能相隔千里,為了保障用戶訪問過程中的安全,還需要采用網絡傳輸安全機制或技術。同時,為了更好地實時監控物理網絡流量,防止異常流量攻擊的發生,網絡流量監控技術也是需要考慮的。因此,可以在以下三個層面采用不同的安全技術。

1) 網絡安全接入技術。接入或訪問控制是保證網絡安全的重要手段,它通過一組機制控制不同級別的主體對目標資源的不同授權訪問,在對主體認證之后實施網絡資源的安全管理使用。網絡接入控制技術主要包括自主式網絡接入控制和強制式網絡接入控制兩種。網絡系統的管理者事先建立,常以接入控制表或權限表來實現;后者由網絡系統管理員來分配接入權限和實施控制,易于與網絡的安全策略協調,常用敏感標記實現多級安全控制。相比較而言,前者便于合法用戶訪問相應的數據,在安全性要求不高的網絡環境下可采用;后者易于針對所有用戶和資源實施強化的安全接入策略,具有較高的安全保障。

2) 網絡安全監控技術。網絡安全監控是從數據傳輸層面進行的安全保護方法,常用的安全技術包括:數據容錯、傳輸加密等。容錯和加密是提高網絡傳輸數據可靠性的技術之一。其中,數據容錯是通過校驗碼進行檢測的安全技術,而傳輸加密可分為線路加密和端對端加密兩種[5]。前者側重在線路上而不考慮信源與信宿,是對保密信息通過各線路采用不同的加密密鑰提供安全保護;后者則指信息由發送者端通過專用的加密軟件,采用某種加密技術對所發送文件進行加密。

3) 網絡安全防護技術。常用的網絡安全防御技術包括:防火墻、入侵檢測、網絡防病毒、訪問控制等[6]。防火墻是設置在內部網絡與外部網絡之間的一個隔離層,能夠有效防止未知的或者是潛在的入侵者。入侵檢測用于保護應用網絡連接的主要服務器,實時監視可疑的連接和非法訪問的闖入,并對各種入侵行為立即作出反應,如斷開網絡連接等。網絡防病毒技術包括預防病毒、檢測病毒和消除病毒等3種技術。訪問控制是網絡安全防范和保護的主要技術,主要任務是保障網絡資源不被非法使用和非法訪問。

2.3 服務域安全

云服務域是電信業務云的重點,本節重點解析其中的虛擬資源層、平臺管理層和服務應用層的安全技術。其中,數據安全技術貫穿了這三個層面,涉及數據存儲、訪問、挖掘、審計、發布等環節。

1) 虛擬化安全技術。目前,虛擬化安全技術的研究主要集中在兩個方面[7]:一是虛擬化軟件的安全,即Hypervisor安全;另一個是虛擬服務器安全,即VM安全。要確保良好的Hypervisor安全性,降低安全風險,可以從4個方面加強虛擬服務器的保護。首先,加強訪問控制;其次,減少主機的受攻擊面;再次,使用虛擬防火墻加強Hypervisor安全;最后,控制資源,預防拒絕服務攻擊。針對虛擬機安全問題,需要采取必要的安全管理策略,以保護云中安全。在虛擬機部署時,物理上把公共的虛擬機與專用的虛擬機分開,同時把不同任務或者服務虛擬機分開;對虛擬機生命周期進行安全管理,考慮虛擬機創建、移動和銷毀過程生命周期安全威脅。

2) 平臺可信增強技術。傳統可信平臺只能夠保證單臺主機上的計算安全性,平臺驗證機制不能保證遠程方得到的測度列表就是VM運行主機的真實信息。因此,需要相關的安全技術保證后臺平臺資源持久安全。平臺可信增強技術包括兩個方面:可信賴虛擬機映像與可信賴協調者[8]。后臺節點作用為運行掌控客戶虛擬機的可信賴虛擬機映像,并阻止特權用戶窺視和篡改。可信賴虛擬機映像能夠在遵守安全協議的前提下對自身安全進行保護。可信賴協調者管理一系列可以安全運行客戶虛擬機的節點,這些節點稱為可信節點。

3) 數據安全技術。根據電信業務云中數據的生命周期,可以將其分為6個階段,即數據生成、數據采集、數據存儲、數據挖掘使用、數據共享和數據銷毀。運營商的數據通常是散亂在眾多系統中,信息來源十分龐雜,因此,需要有效進行數據收集與分析,以保障數據的完整性和安全性。數據采集階段需要實現數據的分級分類和預處理,重要的防護方法有數據加密、模糊化與脫敏技術。數據存儲在云環境中,需要考慮數據的機密性、完整性和可用性,因此,數據存儲階段可采用虛擬化海量存儲技術來存儲數據資源,如SAN(Storage Area Network)存儲技術。數據挖掘使用過程必須通過統一安全策略進行管理,實現鑒權、審計等功能,例如:對算法的安全性和可靠性提供必要的驗證與測試方案,規范算法使用的數據范圍、挖掘周期、挖掘目的以及挖掘結果的應用范圍等內容。數據共享擴大了數據的使用范圍,使得對數據權限的控制變得更加復雜。數據可以按照一定規則進行共享,訪問者又可以對該數據進一步共享。對于用戶的敏感數據,應當考慮采用磁盤擦寫、數據銷毀算法及物理銷毀等方法來對隱私數據進行保護。

2.4 監管域安全

監管域需要對用戶域、網絡域、服務域的運行情況進行監控和管理,識別并阻止異常用戶的非法使用和濫用,實現資源的合理配置和平臺的穩定運行。因此,可以從以下4個層面采用多種安全技術與策略,實現監管域的預期任務和目標。

1) 硬件監管。針對電信業務云的硬件監管包括:軟硬件冗余管理、設備安全維護、網絡通信保障、分區分域管理等。軟硬件的冗余能夠通過多重備份增加電信業務云的可靠性,對于多重備份需要統一進行管理。分區域管理是指應充分考慮云數據的安全性要求,對云服務的整個業務流程實現分區分域的管理[9]。例如,區可分為生產區、運維管理區、辦公區、隔離區和公網區等;域可分為數據采集域、數據存儲域、數據挖掘域、數據輸出審計域等。

2) 平臺監管。平臺監管的內容包括:集中補丁管理、操作日志管理、密鑰及證書管理、安全配置管理等。其中,較為重要的是集中補丁管理。為減少云平臺的安全漏洞,需要規范安全補丁的管理工作。其過程通常包括4個環節:補丁分析、補丁測試、部署安裝、補丁檢查。安全補丁管理流程可以由安全事件觸發,也可以按周期觸發。同時,還應建立完善的日志記錄及審核機制,通過對操作、維護等各類日志進行統一、完整的審計分析,提高對安全事件的事后審查能力。

3) 流程監管。流程監管的內容包括:業務流程管理、安全事件管理、安全策略管理、應用監控管理等。其中,為確保不同種類的云服務安全、有序地運行,需要部署不同種類的安全策略對云業務加以管理、約束。為了防止已被執行的不同的安全策略之間發生沖突,導致云業務失去安全保護,應部署安全協調機制對各種安全策略進行管理。

4) 服務監管。服務監管的內容包括:服務登記與審查、服務度量與計費、人員權限管理、服務周期管理等。為適應云計算環境下的安全防護需求,保障云業務、系統安全運營,應對云服務的開發、搭建、上線以及使用進行全生命周期的監管,具備相應的運營安全管理功能,實現對虛擬資源的精細化安全控制。

3 結束語

云計算不僅帶來了新的IT資源使用形式,也帶來了新的業務服務模式。在帶來了諸多好處的同時,云計算也面臨著巨大的安全威脅與挑戰。電信業務云的固有特性需要新的安全技術和策略。運營商在開展電信業務云建設之前,需要首先設計完善云安全體系架構。本文構建了電信業務云的安全威脅模型,并討論了相應的安全體系架構和關鍵技術。由于云安全的動態性和相對性特點,決定了電信業務云的安全研究是一個不斷發展、完善和前進的過程。接下來,作者將會對該安全架構和關鍵技術進行實踐和探索。

參考文獻

[1]姜政偉,劉寶旭.云計算安全威脅與風險分析[J].信息安全與技術,2012,3(11):36-47

[2]宛經偉.終端的可信度量技術研究與應用[D].南京理工大學,碩士學位論文,2011

[3]潘文宇,段勇.云計算在電信行業的應用研究[J].電信科學,2010,26(6):25-28

[4]方明偉.基于可信計算的移動智能終端安全技術研究[D].華中科技大學,博士學位論文,2012

[5]張建華.云計算的安全威脅分析及多層次安全機制的建立[J].西南民族大學學報,2012,38(4):634-637

[6]羅軍舟,金嘉暉,宋愛波,等.云計算:體系架構與關鍵技術[J].通信學報,2011,32(7):3-21

[7]張建華,吳恒,張文博.云計算核心技術研究綜述[J].小型微型計算機系統,2013,34(11):2417-2424

[8]李紅嬌,魏為民,田秀霞,等.可信計算技術在云計算安全中的應用[J].上海電力學院學報,2013,29(1):83-86

[9]謝垂益,魯向前,卿斯漢.云存儲系統的分區編碼冗余方法研究[J].信息網絡安全,2013(6):2-6