云計算平臺全周期安全風險評估系統

文/周衛國

1 引言

根據NIST(美國國家標準與技術研究院)的定義，云計算是一種能夠通過網絡以便利的、按需付費的方式獲取計算資源并提高其可用性的模式。其中計算資源包括：網絡、服務器、存儲、應用和服務等，這些資源來自一個共享的、可配置的資源池，并能夠以最省力和無人干預的方式獲取和釋放。

按照云計算平臺提供的服務種類，云計算平臺的三層架構定義如下：基礎設施作為服務(IaaS)，提供給用戶的能力是云供應了處理、存儲、網絡，及其它基礎性的計算資源，以供用戶部署或運行任意自己的軟件，包括操作系統或應用；平臺作為服務(PaaS)，提供給用戶的能力是在云基礎設施之上部署用戶創建或采購的應用，這些應用使用服務商支持的編程語言或工具開發；軟件作為服務(SaaS)，提供給用戶的能力是使用服務商運行在云基礎設施之上的應用。用戶使用各種客戶端設備通過“瘦”客戶界面(例如瀏覽器)等來訪問應用(例如基于瀏覽器的郵件)。

隨著計算機網絡技術的發展，云計算可以大幅度降低開銷成本并提高運營效率，因此其應用和推廣勢在必行。但是，云計算集中式運作的特性也使之成為一把雙刃劍。一方面，從管理、維護和花銷的角度來看，云計算能夠在降低成本的同時提供更高效的服務；另一方面，集中式運作可能會造成諸如數據泄露之類的嚴重后果。因此，云計算所帶來的安全隱患不容小覷。

2 云計算平臺安全問題及思考

目前，安全問題已經成為阻礙云計算發展的主要問題之一。為了讓企業放心地采用云計算服務，相應的安全評估機制就顯得至關重要。然而，目前還不存在足夠全面的云架構安全評估機制。雖然近年來國內外有不少學者針對云的安全性評估和可信性評測開展了很多相關工作，但是其研究工作卻普遍存在一個問題：沒有分層次分析云平臺的安全性。而云平臺架構十分復雜，要評測其整體安全性，也應該分層考慮其各層的安全隱患，進而對云平臺的整體安全性進行評估。

圖1：云安全評估系統架構示意圖

信息安全評估工具是基于傳統信息安全等級保護，采用漏洞探測、木馬檢測、軟件代碼安全分析、安全攻擊仿真、網絡協議分析、網絡性能壓力測試等方法，對傳統信息系統的主機、網絡、操作系統、主機中文件和數據進行安全測評。

隨著云計算的推廣，上云的單位和遷移至云上的業務日益增多，亟需對云上安全情況進行檢測評估。隨著云安全等級保護和云安全指南也順應需求落地，要求云上安全評估范圍和傳統信息安全評估范圍有差異，即需要對云計算信息系統中業務系統及相關云平臺資源進行統一定級，測評。傳統的信息安全等保安全評估工具已經不能滿足云計算信息系統安全評估定級需求，當前云安全等保和云安全對云計算信息系統安全比較概括化，缺少針對云計算信息系統的安全指標體系；需要出現一種遵照云安全要求和標準設計的云安全評估系統和指標體系，來解決云計算信息系統安全定級評估的問題。

目前存在的傳統安全評估產品對傳統信息系統環境進行事前(部署時或其他某個時刻)掃描評估，不能對信息環境進行持續檢測；由于云環境和平臺由服務商提供，業務上云后用戶對云上資產、業務和數據的掌控程度變低，需要一種能夠支持對云全生命周期持續監測掃描的風險評估方法，即運行前對云環境，包括：云機房、云平臺、虛擬化層等，進行安全評估；運行中，對云上資源及業務進行持續監控和評估；運行后，對云上用戶行為存在的風險進行評估，確定當前安全水平和風險情況；

由于云計算信息系統環境龐大，結構復雜，為保證云安全評能夠恰當的根據環境的實際情況得到合理的結果，需要提供可配置的云計算信息系統安全評估基線；同時可引入專家評估機制，一方面提高準確度，降低誤報漏報率；另一方面能夠對云上出現的未知安全問題(0-Day)及時找到合適的處置評價方法。

檢測評估后需形成定級，產生風險評估報告。通過評估在所監測的潛在不安全事件的嚴重等級下各相關風險點的嚴重程度，可準確的預警哪些風險點具有觸發該潛在不安全事件的較大風險，及時預警，有效避免嚴重等級較高的風險點引發不安全事件，導致安全事故的問題。且由于云上環境龐雜，持續檢測發現的云安全問題緊靠手動處理效率低下，需要根據評估狀態和結果能夠對一些修復類、防御類等工具產生聯動，達到高效修復和防護效果。

3 云計算平臺全周期安全風險評估系統探討

針對以上研究，提出云計算平臺全周期安全評估系統及方法，可以遵照云安全等級保護和安全指南，能夠對云計算系統進行全生命周期的安全評估；原來針對云安全評估的指標體系，可用于云計算系統安全評估，風險事件發現，云安全測試，云安全基線配置檢查等領域；支持云計算安全基線配置檢查和專家評估機制結合，提高準確度，降低誤報漏報率；同時能夠對云上出現的未知安全問題找到合適的評估處置方法。檢測評估后形成定級，產生風險評估報告。根據評估狀態和結果產生對其他模塊的聯動。

圖2：云計算平臺全周期安全評估方法主要流程示意圖

如圖1所示，云計算平臺全周期安全評估系統包括配置當前云環境安全基準的云安全基線配置模塊、檢測和收集云機房信息系統安全相關的安全評估指標數據的云機房信息系統監測模塊、檢測收集虛擬機管理器相關的安全信息的虛擬化層安全監測模塊、檢測收集云計算平臺系統相關安全信息的云計算平臺系統安全監測模塊、檢測收集云上業務信息及相關操作行為安全情況的云上業務數據安全監測模塊、提供計算模型對各個監測模塊檢測到的數據進行分析技術得出云安全評估等級的云安全分析計算模塊、為整個評估系統提供分析對比指標的安全體系檢測指標庫、對系統錯判進行糾正以及對漏判和未知安全情況進行分析的專家評估系統、對整個評估系統的數據檢測指標進行統一維護管理的安全檢測數據指標體系統一維護模塊、將安全信息分析結果以評估報告的形式輸出的安全評估報告輸出模塊、根據安全評估結構對會產生嚴重威脅的部位進行預警通知的預警通知輸出模塊、根據檢測結果針對安全薄弱地方聯動安全防護和修復軟件進行加強的外接系統聯動模塊、提供安全防護和修護軟件的安全防護模塊。

具體來說，云安全基線配置模塊用于在啟動評估前配置當前云環境的的安全基準，安全基線配置內容是云安全評估指標體系的子集。云機房信息系統安全監測模塊檢測收集云機房信息系統安全相關的安全評估指標數據。與傳統安全評估指標體系有重疊，為保障云機房可靠穩定，包含機房溫度、濕度等運維檢測指標在內。虛擬化層安全監測模塊檢測收集虛擬化管理器相關的安全信息，包括，虛擬化管理器本身的安全漏洞、弱點，利用虛擬化管理器弱點導致的虛擬機逃逸、虛擬機跳躍、隱藏通道攻擊等安全結果，作為對虛擬化層安全評估量化輸入。云計算平臺系統安全監測模塊檢測收集云計算平臺系統相關安全信息，包括虛擬機遷移過程中的安全，虛擬網絡、云存儲等的安全信息。對不同的監測對象采用的方式不盡相同，如：對于虛擬網絡的監測需要部署探針到虛擬交換機處。隨著云計算推廣，云上部署的用戶業務也日趨增多，云上業務數據安全監測模塊檢測收集云上業務信息，包括；性能、漏洞、后門等；云上業務產生的數據的存儲訪問安全情況；云上操作云資源和數據的操作行為安全情況等。云安全分析計算模塊提供計算模型，對上述多個模塊收集檢測到的數據進行分析計算，得出云安全評估等級。專家評估系統引入專家評估機制，一方面根據實際情況，對系統中的錯判進行糾正；另一方面，對漏判的已知和未知安全情況進行分析，并更新維護表體系。指標體系維護模塊是指統一維護一套適用于云安全的監測指標庫。指標體系維護流程：判斷安全檢測數據是否為安全檢測指標庫中包含的類型，如不包含，則啟用專家評估機制，組織專家審核云安全監測數據，分析位置安全事件，并得到專家評定結果，整理安全事件指標，并添加到指標庫中。安全評估報告輸出模塊將安全信息分析結果以評估報告的形式輸出，內容包括但不限：安全評估等級、嚴重安全漏洞、安全弱點等。預警通知輸出模塊根據安全評估結果，對可能產生嚴重威脅的部位產生預警通知。外接系統聯動模塊：檢測結果聯動安全防護和修護軟件，針對安全薄弱地方進行加強；檢測到有木馬病毒，可以啟動對應類型的安全殺毒軟件，檢測到弱點能夠聯動補丁包下載安裝等。

如圖2所示，云計算平臺全周期安全評估方法采用如下步驟：

（1）安裝部署云商評估檢測客戶端工具云安全評估系統；

（2）在云安全評估系統中設置云安全評估基線；

（3）啟動安全掃描檢測；

（4）根據步驟（3）進行云安全評估數據收集；

（5）按照云安全評估指標體系，分析步驟（4）中的云安全評估數據，同時引入專家評估機制；

（6）根據步驟（5）的分析，對云安全情況定級；

（7）根據步驟（6）對云安全情況的定級，形成云安全評估報告；

（8）根據云安全評估報告判斷是否有等級嚴重的安全風險，若是，轉到步驟（9），若否，轉到步驟（10）；

（9）對等級嚴重的風險產生預警；

（10）連接其他云安全評估進行整改聯動，對嚴重安全問題進行安全防護和修復。

4 小結

該云計算平臺全周期安全評估系統及方法遵照云安全等級保護和安全指南，能夠對云計算系統進行全生命周期的安全評估；針對云安全評估的指標體系，也可用于云計算系統安全評估，風險事件發現，云安全測試，云安全基線配置檢查等領域；支持云計算安全基線配置檢查和專家評估機制結合，提高準確度，降低誤報漏報率；同時能夠對云上出現的未知安全問題找到合適的評估處置方法。檢測評估后形成定級，產生風險評估報告。根據評估狀態和結果產生對其他模塊的聯動。