校园IaaS云计算平台安全与对策研究
【 摘 要 】 文章阐述了校园IaaS云计算平台的结构及存在的安全问题,涉及虚拟机、物理主机等安全问题。根据校园IaaS云计算平台安全问题,提出了相关的对策。
【 关键词 】 IaaS安全;对策;虚拟机
【 Abstract 】 Through structure and problem of security of compus IaaS cloud computing platform is explained, the security of VM and hostes are pointed. Aimed to security of campus IaaS cloud computing platform, pointed out the policy of the security.
【 Keywords 】 iaas security; policy virtual machine
1 引言
根据NIST的定义,云计算是一种模型,通过按需网络存取共享的可配置的计算资源池,以最小的管理或者被快速部署和发布。它可以依据交付模式分成三个不同的层次,即Iaas(基础设施即服务)、PaaS(平台即服务)、SaaS(软件即服务)。其中IaaS其实是一个租户云层,可以使分散的资源被用户共享,用户通过Internet可以从完善的计算机基础设施获得服务。IaaS云计算平台由于其使用SOA、虚拟化和Web 2.0技术导致继承了相关技术的安全性问题,所以IaaS云计算平台也存在安全漏洞。根据云计算安全联盟(CSA)的白皮书,云计算的安全问题在2008年至2011年之间是呈上升趋势。
从用户角度看,云安全问题仍然是用户采用云计算平台的主要阻碍。所以,分析和研究校园IaaS云计算平台安全对于西北农林科技大学更好地开展和应用云计算具有重要的意义。
2 校园IaaS云平台组成与安全
2.1 校园IaaS云平台的组成
西北农林科技大学的校园IaaS云平台是于2013年11月正式运行,计算资源由12台高性能的4路企业级服务器组成,内存总量达3TB。其框架图如图1所示。
图1中的校园用户主要是校园网内部的有各种资源需求的部门或者职能处室,目前不支持个人用户。校园IaaS云平台包括云资源管理平台、计算资源池、网络资源池、存储资源池。其中云资源管理平台主要包括虚拟化管理、云资源管理、云服务管理、用户管理及云安全管理和云服务平台门户。虚拟化管理主要包括:1)虚拟机进行管理,比如虚拟机的创建、删除、启动、挂起、虚拟机动态调度,虚拟机高可用管理,虚拟机模板管理等;2)对虚拟化网络进行管理,比如设置虚拟机的VLAN及虚拟机的端口带宽;3)对Hypervisor物理资源分配管理,可以依据不同的分配策略进行资源配置。云资源管理主要负责对校园IaaS平台所管理的计算、存储和网络资源进行管理和监控,并对所监控的物理资源或者虚拟资源设置报警策略,生成物理资源、虚拟资源和校园IaaS云平台用户业务的各类监控视图,满足校园IaaS云平台管理员掌握资源使用情况的需求。云服务管理主要负责对基于服务目录的云服务流程管理,将虚拟机的各种资源,如计算资源、存储资源和IP资源发布成服务,并对各种资源进行基价计费管理。用户管理负责基于角色的用户管理,并给不同的角色赋予适当的权限,对校园用户进行注册等管理。云安全管理主要负责虚拟机的VLAN隔离,对用户和管理员的操作进行安全审计。云服务平台门户主要负责校园用户登录门户申请虚拟资源,管理各类虚拟资源。
2.2 校园IaaS平台的安全问题
不同于传统的安全,校园IaaS云平台的支撑技术即虚拟化技术对传统的信息安全发起了挑战,校园IaaS云平台提供给校园用户一个资源池包括计算、存储和网络,校园用户有权运行任意软件和管理他们所拥有的资源。校园IaaS云平台管理员必须负责校园用户的系统产生、通信、监控和迁移所带来的安全问题。
2.2.1虚拟化
虚拟化允许校园用户产生,复制,共享,迁移和回滚虚拟机,同时也允许在同一台虚拟机上执行不同的应用程序。由于虚拟层需要确保其安全性,它也引入了相关安全。虚拟机安全跟实体机安全具有相同的重要性,并且由于虚拟机有两个边界:物理边界和虚拟边界,导致其安全性增加了更多的入侵点和互联复杂性。虚拟化引入了一种新的技术,即虚拟机管理程序,这必须进行有效管理。
2.2.2虚拟机监控(VMM)
虚拟机监控(VMM)负责虚拟机的隔离,如果VMM被破坏,其上的虚拟机可能同时会被破坏。由于VMM是一种用于控制和监控虚拟的底层的软件,所以,与传统的软件一样也存在安全漏洞。保持VMM的简单和小型化以减少安全脆弱性风险。同时,虚拟化能在物理机之间进行虚拟机的迁移来实现容错,负载均衡或者维护。这个有用的特性也会带来安全问题了。攻击者可以破坏VMM的迁移模块,并传输一个受害者虚拟机到恶意服务器。虚拟机迁移也会导致VM的内容传输到网络,破坏数据的完整性和保密性。恶意服务器可以通过迁移到另外一个主机破坏其安全。
2.2.3虚拟网络
网络组件被不同的校园云用户共享,共享资源可能会被攻击者发起跨用户攻击。其增加了虚拟机的互联性的同时,也产生了一个重要的安全挑战。最安全的方法是将每一个虚拟机和主机使用专门的物理通道,但是,虚拟机管理程序使用虚拟网络连接虚拟机进行直接通信。例如Xen提供了两种方法配置虚拟网络——桥接和路由,但是这些技术增加了实施某类攻击,如嗅探等的可能性。
3 校园IaaS安全问题对策
3.1 加固主机操作系统和虚拟机
由于主机操作系统的安全问题会导致攻击者访问虚拟机上的所有服务,因此必须对主机操作系统进行必要的安全保护,主要的技术措施有几个方面:1)主机操作系统应遵循最小安装原则,并设置升级服务器等方式保证系统补丁得到及时更新,补丁和升级包必须在非生产环境下测试,同时,关闭不必要的端口和服务;2)应根据管理用户的角色分配权限,遵循所需管理的最小权限原则;3)强制使用强密码,管理用户的密码强制使用密码强度高的密码,减少弱口令攻击,并设置更换密码的周期;4)虚拟机管理程序的加固主要是对云平台使用的虚拟机管理程序漏洞进行统一的软件变更管理,及时更新补丁和配置变更。
3.2 加强安全措施,限制对物理主机访问
由于用户的一些特殊需求,比如系统中必须使用的软件需要硬件加密狗,导致用户必须对物理主机的访问进行控制,使用必要的安全措施监控物理主机和机房,如进出服务器机房进行安全认证;对服务器加锁避免重要部件被盗;对BIOS设置密码
防止修改主机的启动项,用户需要对物理主机进行访问控制的,需要保证物理介质的安全性,并对其进行的相关操作审计。
3.3 使用VXLAN技术对虚拟网络进行隔离
VXLAN技术是VLAN隔离能力的扩展,传统VLAN tag只有12位,在云计算平台里,4096这个极限是不够用的。VXLAN在网络隔离时,采用的VXLAN ID有24Bit,可以划分出高达1600万个相互严格隔离的虚二层网络,目前看来这样的扩展性是远远足够的。通过VXLAN技术,我们可以对虚拟网进行更加细粒度的控制,通过ACL对不同的数据流进行控制。
3.4 部署实时补丁和升级系统
由于虚拟机的出现,对系统的升级和补丁变得更加复杂。这不仅仅是对宿主主机操作系统进行补丁和更新,而且,如果补丁在安装后需要重启系统,那么有时需要关闭主机,还需要关闭主机上的每一个系统,因此,有必要进行测试流程控制,确认补丁对系统的配置不会产生什么影响,以避免使用资源进行虚拟机的回滚。
3.5 实施虚拟机镜像备份
经常对所有生产环境中的虚拟机进行镜像备份,有助于恢复被攻击者所攻击的系统,我们采用备份软件对所有的虚拟机进行备份,同时,备份产生的数据流进行加密措施,防止备份过程中被窃取。
3.6 虚拟机远程访问的安全性
对于远程管理用户登录虚拟机,我们强制用户使用SSH登录,加强主机与用户之间通信连接的安全性,防止中间人攻击和钓鱼攻击。
参考文献
[1] 冯登国,张敏,张妍等.云计算安全研究[J].软件学报,2011,22(1)::10.3724/SP.J.1001.2011.03958.
[2] Virtual Machine security guidelines version 1.0,The Center for Internet Security[EB/OL],[2007].http://.
[3] CSA guidance, cloud security alliance[EB/OL],[2011].
https://.
作者简介:
邓希廉(1979-),男,工程师,西北农林科技大学网络与教育技术中心;主要研究方向和关注领域:信息安全。