IaaS云计算安全系统的框架设计

IaaS云计算安全框架设计

1 IaaS云计算功能架构

说明：

接入层：指提供给用户访问云系统或用于为其他服务提供调用接口的软硬件系统。如Portal。虚拟资源层：指虚拟机、虚拟存储设备、虚拟交换机、虚拟服务器等虚拟化的实体。

虚拟化平台层: 指服务器虚拟化软件（如vmwareESXi），存储虚拟化软件(??),

网络虚拟化软件（?）。

硬件资源层：指各种服务器，存储设备及存储网络、网络设备及连接等资源。

管理层: 指提供IaaS服务管理、系统运行管理及安全管理功能相关软硬件系统。

2 IaaS云计算安全风险

2.1 接入层风险

会话控制和劫持：指web应用中的通信会话被攻击者控制劫持导致通信信息泄露或拒绝服务等问题。尽管HTTP协议是无状态协议，但一些Web应用程序则依赖于会话状态，因此存在遭受会话控制和劫持风险。

API访问控制失效：指当外部实体访问接口层时，不能验证调用者的身份信息或者验证机制被旁路带来的问题。

弱密码攻击：指因为加密算法缺陷或新的密码分析技术的进步导致安全通信中所依赖的加密技术不再安全。

2.2 虚拟资源层风险

虚拟机隔离失效：一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机，可能带来虚拟机信息泄露，拒

绝服务等问题。

虚拟机逃逸：指攻击者获得Hypervisor的访问权限，从而对其他虚拟机进行攻击。若一个攻击者接入的主机运行多个虚拟机，它可以关闭Hypervisor，最终导致这些虚拟机关闭。

虚拟机迁移安全失效：指当虚拟机进行动态迁移或通过文件复制等方式静态迁移时，如果迁移前后所在的主机平台的安全措施不一致，则可导致虚拟机陷入安全风险状态。

共享存储数据删除不彻底：指多租户模式下，不同用户共享同一物理存储资源，当一个用户所分配的物理存储资源被回收后，如果其上的数据没有彻底删除，那么就可能被非法恢复的风险。

虚拟机镜像文件非法访问和篡改：指虚拟机镜像文件在没有所有者授权下非法复制，修改等风险。

2.3虚拟化平台层风险

虚拟化平台完整性篡改：指虚拟化软件被攻击者注入恶意代码或进行篡改导致系统进入不安全状态。

管理接口非法访问：指虚拟化软件面向管理员的访问接口没有设置访问控制措施或因为软件缺陷利用，攻击者访问管理接口将直接影响这个虚拟化平台的安全。如Xen用XenCenter管理其虚拟机，这些控制台可能会引起一些新的缺陷，例如跨站脚本攻击、SQL入侵等。

资源分配拒绝服务：指在虚拟化环境下，CPU、内存等资源是虚拟机和宿主机共享的，如果虚拟机发起DoS 攻击以获取宿主机上所有的资源，可能造成主机拒绝服务。

2.4 硬件资源层风险

主机及网络拒绝服务：指提供服务的物理主机和网络设备不能为其他访问者提供正常的服务。

服务器非法访问：指服务器因为缺乏访问控制或认证机制被非法用户登录或使用其资源。

存储硬件设备失效导致的数据丢失：指因为设备自身质量问题导致数据丢失。

设备非法接入网络：指网络缺乏必要的设备监控机制，不能发现或阻止未经事先登记或注册的设备接入网络，给网络带来安全隐患。

服务器病毒感染：指服务器因为病毒库未更新或防御不当导致感染病毒，影响服务器的正常运行。

服务器节点失效：指服务器因为自身设备故障或软件系统漏洞导致不能正常服务。

2.5 物理安全风险

自然灾害：指地震、火灾等具有强破坏力的情况。

数据中心非法进出：指人员可以随意进出带来的风险，如设备失窃。

数据中心辅助设施失效：指提供数据中心动力的系统的失效带来的风险，如供电设备失效导致服务器宕机数据丢失等问题。

2.6 其他风险

服务商绑定：指因为服务商没有采用标准的技术导致当用户从一家服务商将业务迁移到另一家服务商时，存在迁移困难的风险。

服务计费失效:指云服务计费测量系统因为被攻击导致服务计费工作失效。

合规审计失效：指云环境下的合规审计工作变动困难。如可能存在一家云服务商同时还租用其他云服务商的服务，这种业务下的合格审计工作显然更加复杂。

动态系统的监控失效：指因为云系统的动态特点，传统的监控技术存在不足而导致的风险。如同一主机上的虚拟机间流量无法用传统的技术来监控。

多用户身份及访问控制失效：指云环境下，用户的身份及访问管理问题变得更加困难，传统方法可能不在适用于云环境下。

3 IaaS云计算安全框架

IaaS云计算安全框架

3.1接入层安全

3.1.1 web安全

云服务是一种基于Web的服务模式，同时相关管理工作也通过Web方式来管理。因此，web安全包括Web 应用系统本身的安全和web内容安全。一是利用 Web 应用漏洞（如 SQL 注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞）获取用户信息、损害应用程序，以及得到 Web 服务器的控制权限等；二是内容安全，即利用漏洞篡改网页内容，植入恶意代码，传播不正当内容等一系列问题。

主要安全风险：弱密码攻击、会话控制和劫持、权限提升、网页内容篡改等。

主要安全措施：

针对 Web 应用漏洞，应注重 Web 应用系统的全生命周期的安全管理，针对系统生命周期不同阶段的特点

采用不同的方法提高应用系统的安全性。

Web 应用可采取网页过滤、反间谍软件、邮件过滤、网页防篡改、Web 应用防火墙等防护措施，同时加强安全配置，如定期检查中间件版本及补丁安装情况，账户及口令策略设置，定期检查系统日志和异常安全事件等等。

3.1.2 API安全

API安全主要指IaaS作为云资源，除了可以直接为用户所使用外，也可以被PaaS云服务商所使用。因此，在进行服务调用对API的验证成为一个关注的问题。

主要安全措施: 对API签名，确保只对合法的调用者使用。

3.2 虚拟资源层安全

虚拟资源层安全指资源被虚拟化为虚拟资源的安全风险。

主要安全风险：虚拟机隔离失效，虚拟机逃逸、资源分配拒绝服务等。

主要安全措施：虚拟机的安全隔离及访问控制、虚拟交换机、虚拟防火墙、虚拟镜像文件的加密存储、存储空间的负载均衡、冗余保护、虚拟机的备份恢复等。

3.3 虚拟化平台层安全

虚拟化平台层安全指虚拟化相关软件的安全风险，各种虚拟化软件引入了新的攻击界面，如服务器虚拟化软件的Hypervisor 和其它管理模块。

主要安全风险: hypervisor层的软件篡改、管理接口非法访问、资源分配拒绝服务等。

主要安全措施：基于可信计算技术实施对虚拟化平台层的完整性保护，引入访问控制机制确保管理接口的安全性，引入身份认证技术确保其他管理模块的安全。

3.4 硬件资源层安全

3.4.1 服务器安全

服务器安全主要指云计算系统中的主机服务器、维护终端在内的所有计算机设备在操作系统和数据库的层面安全性。

主要安全风险：

（1）操作系统的安全问题主要体现在操作系统本身的缺陷带来的不安全因素，如访问控制、身份认证、系统漏洞、操作系统的安全配置问题、病毒对操作系统的威胁等方面，

（2）数据库的安全性主要体现在安全补丁、账户口令、角色权限、日志和审计、参数设置等方面。