崔 陽，尚 旭，金 鑫，王 進(jìn)，溫尚國

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

云計(jì)算技術(shù)自從被提出，就是計(jì)算機(jī)領(lǐng)域廣泛關(guān)注的技術(shù)熱點(diǎn)之一，其發(fā)展應(yīng)用給社會生活各個領(lǐng)域帶來了顯著的影響和變化[1]。云計(jì)算技術(shù)的廣泛應(yīng)用改變了傳統(tǒng)的技術(shù)體系架構(gòu)，帶來了虛擬化、動態(tài)可擴(kuò)展、按需部署、靈活性高、可靠性高、性價(jià)比高和可擴(kuò)展性等技術(shù)優(yōu)點(diǎn)。隨著相應(yīng)產(chǎn)品的應(yīng)用，云計(jì)算技術(shù)也改變了信息領(lǐng)域的組織管理模式。然而，云計(jì)算技術(shù)也帶來了新的安全問題，如偽造身份、惡意軟件、隱私泄露、數(shù)據(jù)竊取、有組織的網(wǎng)絡(luò)攻擊等。由于目前該領(lǐng)域尤其缺乏對云計(jì)算技術(shù)安全的認(rèn)知和鑒別手段，也缺乏對云計(jì)算安全的統(tǒng)一監(jiān)管，無法消除用戶使用云計(jì)算技術(shù)的安全顧慮，成為影響云計(jì)算技術(shù)進(jìn)一步推廣的最大障礙。

由于云計(jì)算技術(shù)具有體系架構(gòu)復(fù)雜、虛擬資源與物理資源相結(jié)合、多租戶使用和共享等特點(diǎn)，導(dǎo)致部署于網(wǎng)絡(luò)邊界的安全防護(hù)傳統(tǒng)手段已經(jīng)無法有效應(yīng)對云環(huán)境的安全風(fēng)險(xiǎn)。解決云計(jì)算安全問題，需要突破原有的安全理論界限，從頂層技術(shù)的角度出發(fā)，結(jié)合安全保密現(xiàn)代化的需求，并根據(jù)云計(jì)算應(yīng)用典型系統(tǒng)架構(gòu)特點(diǎn)，全面梳理云計(jì)算各個層次所面對的多種安全威脅和存在的安全問題。本文針對所面臨的安全威脅，根據(jù)云計(jì)算環(huán)境分層體系架構(gòu)特點(diǎn)，結(jié)合現(xiàn)有的云安全標(biāo)準(zhǔn)和規(guī)范，研究云計(jì)算的安全防護(hù)模型，提出基于統(tǒng)一安全的策略，進(jìn)而設(shè)計(jì)和構(gòu)建云安全監(jiān)管體系。

1 云安全風(fēng)險(xiǎn)分析

由于云環(huán)境中采用了虛擬化共享技術(shù)，使得不同應(yīng)用之間的資源能夠充分共享，但應(yīng)用軟件結(jié)構(gòu)更加復(fù)雜，應(yīng)用業(yè)務(wù)邏輯層次增加，導(dǎo)致攻擊者可利用的攻擊面增加，也大大增加了。此外，云平臺不同架構(gòu)層次上，也有著不同的安全風(fēng)險(xiǎn)。

1.1 云基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)

云基礎(chǔ)設(shè)施包括服務(wù)器、交換機(jī)、存儲等硬件設(shè)備。這些設(shè)備可以分類為網(wǎng)絡(luò)傳輸設(shè)備和計(jì)算存儲設(shè)備。由于其不同的運(yùn)行特點(diǎn)，兩者存在不同的安全風(fēng)險(xiǎn)。

1.1.1 計(jì)算存儲設(shè)備安全風(fēng)險(xiǎn)

在云計(jì)算環(huán)境中，計(jì)算存儲設(shè)備是云最基本的基礎(chǔ)設(shè)施，是進(jìn)行計(jì)算和存儲數(shù)據(jù)的主要設(shè)備，其硬件形式為機(jī)架式服務(wù)器。在該環(huán)境中，計(jì)算存儲設(shè)備也面臨著傳統(tǒng)服務(wù)器面臨的風(fēng)險(xiǎn)，如存在系統(tǒng)漏洞、非法復(fù)制、非法使用權(quán)限、數(shù)據(jù)竊取、數(shù)據(jù)丟失、硬件后門等方面的安全風(fēng)險(xiǎn)。

1.1.2 網(wǎng)絡(luò)物理傳輸安全風(fēng)險(xiǎn)

云平臺的物理傳輸網(wǎng)絡(luò)存在外來網(wǎng)絡(luò)非法入侵、網(wǎng)絡(luò)竊取、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)設(shè)備自身安全性方面的風(fēng)險(xiǎn)，如網(wǎng)絡(luò)設(shè)備被非法控制、網(wǎng)絡(luò)路由被非法劫持等。另外，云平臺傳輸網(wǎng)絡(luò)應(yīng)采取密碼技術(shù)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，防止數(shù)據(jù)被監(jiān)聽泄密。

1.2 基礎(chǔ)設(shè)施服務(wù)層安全風(fēng)險(xiǎn)

虛擬化是云計(jì)算特有的技術(shù)。引入虛擬化技術(shù)的同時，也帶來了傳統(tǒng)系統(tǒng)中未有過的安全風(fēng)險(xiǎn)和威脅?；A(chǔ)設(shè)施服務(wù)（Infrastructure as a Service，IaaS）層主要包括虛擬機(jī)、云數(shù)據(jù)存儲和傳輸、虛擬化監(jiān)視器、網(wǎng)絡(luò)虛擬化和虛擬化管理幾個部分?；A(chǔ)設(shè)施服務(wù)層為云平臺提供基礎(chǔ)的運(yùn)行服務(wù)，基礎(chǔ)設(shè)施的安全是云平臺安全的基礎(chǔ)。除了傳統(tǒng)的安全威脅以外，虛擬資源的管理和分享也導(dǎo)致了新的安全威脅。

1.2.1 虛擬機(jī)安全威脅

虛擬機(jī)面臨傳統(tǒng)主機(jī)系統(tǒng)的所有安全風(fēng)險(xiǎn)。具體面臨的安全威脅如下：操作系統(tǒng)和數(shù)據(jù)庫被暴力破解，造成非法訪問；服務(wù)器的Web 應(yīng)用被入侵，遭遇上傳木馬、上傳webshell 等攻擊行為；補(bǔ)丁更新不及時導(dǎo)致的漏洞被利用；不安全的配置和非必要端口的開放導(dǎo)致的非法訪問和入侵。

1.2.2 云數(shù)據(jù)存儲和傳輸安全風(fēng)險(xiǎn)

在云計(jì)算環(huán)境中，由于存儲虛擬化的引入，物理存儲資源共用和復(fù)用，虛擬機(jī)的數(shù)據(jù)（磁盤內(nèi)容）以文件的形式存儲在物理的存儲介質(zhì)上，并通過網(wǎng)絡(luò)方式訪問，因此面臨著以下風(fēng)險(xiǎn)：

（1）數(shù)據(jù)在傳輸過程中受到破壞而無法恢復(fù)；

（2）在虛擬環(huán)境傳輸?shù)奈募蛘邤?shù)據(jù)被監(jiān)聽；

（3）虛擬機(jī)的內(nèi)存和存儲空間被釋放或再分配后被惡意攻擊者竊取；

（4）同一個邏輯卷被多個虛擬機(jī)掛載導(dǎo)致邏輯卷上的敏感信息泄露；

（5）云用戶從虛擬機(jī)逃逸后獲取鏡像文件或其他用戶的隱私數(shù)據(jù)；

（6）虛擬機(jī)遷移、敏感數(shù)據(jù)存儲漂移導(dǎo)致的不可控；

（7）數(shù)據(jù)安全隔離不嚴(yán)格導(dǎo)致惡意用戶可以訪問其他用戶數(shù)據(jù)；

（8）虛擬機(jī)鏡像遭到惡意攻擊者篡改或非法讀取。

1.2.3 虛擬化監(jiān)視器安全風(fēng)險(xiǎn)

在云計(jì)算環(huán)境中，資源是通過虛擬化監(jiān)視器（Hypervisor）等方式對資源進(jìn)行邏輯切分，其中存在以下安全風(fēng)險(xiǎn)：

（1）Hypervisor 管理器缺乏身份鑒別，導(dǎo)致非法登錄Hypervisor 后進(jìn)入虛擬機(jī)；

（2）控制單臺虛擬機(jī)后，通過虛擬機(jī)漏洞逃逸到Hypervisor，獲得物理主機(jī)的控制權(quán)限；

（3）控制單臺虛擬機(jī)后，通過Hypervisor 漏洞訪問其他虛擬機(jī)；

（4）缺乏服務(wù)質(zhì)量（Quality of Service，QoS）保證機(jī)制，虛擬機(jī)因異常原因產(chǎn)生的資源占用過高而導(dǎo)致宿主機(jī)或宿主機(jī)下的其他虛擬機(jī)的資源不足，導(dǎo)致正常業(yè)務(wù)異常或不可用；

（5）缺乏針對虛擬機(jī)的“監(jiān)、控、防”機(jī)制，不能及時發(fā)現(xiàn)攻擊行為，攻擊者攻破虛擬系統(tǒng)后，可以進(jìn)行任意破壞行為、網(wǎng)絡(luò)行為，還可以猜解其他賬戶，并能長期潛伏；

（6）虛擬機(jī)可能因運(yùn)行環(huán)境異?；蛴布O(shè)備異常等原因出錯而影響其他虛擬機(jī)；

（7）Hypervisor 等核心組件缺乏完整性檢測，存在被破壞和篡改的風(fēng)險(xiǎn)；

（8）抗毀能力不足，核心組件缺乏快速恢復(fù)機(jī)制，在遭到破壞后，無法快速地恢復(fù)。

1.2.4 網(wǎng)絡(luò)虛擬化安全風(fēng)險(xiǎn)

在云計(jì)算模式下，隨著網(wǎng)絡(luò)虛擬化的引入、物理網(wǎng)絡(luò)資源的共享和傳統(tǒng)邊界的消失會帶來以下安全風(fēng)險(xiǎn)：

（1）傳統(tǒng)的防火墻、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）等網(wǎng)絡(luò)安全設(shè)備只能部署在物理網(wǎng)絡(luò)的邊界，無法對虛擬機(jī)之間的通信進(jìn)行細(xì)粒度訪問控制；

（2）網(wǎng)絡(luò)資源虛擬化后，導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)邊界的消失，無法有效地對云環(huán)境流量進(jìn)行審計(jì)、監(jiān)控和管控；

（3）黑客通過虛擬機(jī)向整個虛擬網(wǎng)絡(luò)進(jìn)行滲透攻擊，并在虛擬網(wǎng)絡(luò)內(nèi)傳播病毒木馬等惡意軟件，威脅到整個虛擬網(wǎng)絡(luò)甚至計(jì)算平臺的安全運(yùn)行；

（4）虛擬機(jī)之間進(jìn)行的地址解析協(xié)議（Address Resolution Protocol，ARP）攻擊、嗅探；

（5）虛擬系統(tǒng)在熱遷移過程中數(shù)據(jù)被非法嗅探和讀??；

（6）云內(nèi)網(wǎng)絡(luò)帶寬的非法搶占；

（7）重要的網(wǎng)段、服務(wù)器被非法訪問、端口掃描、入侵攻擊；

（8）內(nèi)部用戶或內(nèi)部網(wǎng)絡(luò)的非法外聯(lián)行為無法檢測和阻斷；

（9）內(nèi)部用戶之間或者虛擬機(jī)之間的端口掃描、暴力破解、入侵攻擊等。

1.2.5 虛擬化管理方面安全風(fēng)險(xiǎn)

利用虛擬化管理軟件自身存在安全漏洞，入侵管理平面，對云平臺進(jìn)行破壞；缺乏統(tǒng)一的、高安全性的認(rèn)證和鑒權(quán)體系，導(dǎo)致云平臺管理員賬號被非法冒用、暴力破解等帶來的安全威脅；管理員權(quán)限集中，缺乏審計(jì)和回溯機(jī)制，導(dǎo)致管理平面的安全風(fēng)險(xiǎn)；管理平面缺乏安全設(shè)計(jì)，導(dǎo)致對服務(wù)器、宿主機(jī)、虛擬機(jī)等進(jìn)行操作管理時存在被竊聽和重放的風(fēng)險(xiǎn)；Hypervisor、虛擬系統(tǒng)、云平臺不及時更新或系統(tǒng)漏洞導(dǎo)致的攻擊入侵。

1.3 平臺服務(wù)層安全風(fēng)險(xiǎn)

平臺服務(wù)（Platform as a Service，PaaS）層向應(yīng)用提供開發(fā)、部署、運(yùn)行需要的數(shù)據(jù)庫服務(wù)、Web服務(wù)平臺、消息中間件等云平臺服務(wù)。這些平臺服務(wù)的安全性和服務(wù)數(shù)據(jù)的安全性直接相關(guān)，并直接影響云的安全。

1.3.1 云平臺服務(wù)安全風(fēng)險(xiǎn)

云平臺服務(wù)提供的數(shù)據(jù)庫服務(wù)、Web 服務(wù)平臺、消息中間件等云平臺服務(wù)基于統(tǒng)一的模板創(chuàng)建，如果云平臺服務(wù)存在安全漏洞，攻擊者就可以利用這個安全漏洞，對云平臺服務(wù)開展廣泛攻擊。云平臺服務(wù)安全面臨注入攻擊、跨站腳本、可擴(kuò)展標(biāo)記語言（eXtensible Markup Language，XML）外部實(shí)體漏洞、失效的身份認(rèn)證、失效的訪問控制、安全配置錯誤、使用含有已知漏洞的組件、不充分的日志和監(jiān)控等安全風(fēng)險(xiǎn)。

1.3.2 云平臺接口安全風(fēng)險(xiǎn)

通過云平臺接口實(shí)現(xiàn)對云平臺服務(wù)的操作和管理，如果接口的安全保護(hù)不到位或者接口的傳輸協(xié)議有安全問題就會產(chǎn)生安全風(fēng)險(xiǎn)。云平臺接口安全面臨以下風(fēng)險(xiǎn)：未經(jīng)授權(quán)的用戶，進(jìn)行非法訪問；接口受到分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，接口可用性遭到破壞；傳輸協(xié)議未加密或加密不充分，導(dǎo)致授權(quán)用戶被竊聽，發(fā)生數(shù)據(jù)泄密；傳輸協(xié)議對數(shù)據(jù)完整性保護(hù)不足，存在傳輸數(shù)據(jù)被篡改風(fēng)險(xiǎn)，完整性被破壞。

1.3.3 云平臺數(shù)據(jù)安全風(fēng)險(xiǎn)

由于應(yīng)用的數(shù)據(jù)集中存儲在云平臺中，一旦存在安全風(fēng)險(xiǎn)會影響到所有的應(yīng)用，將造成特別重大的損失，因此要格外注意云平臺的數(shù)據(jù)安全保護(hù)。云平臺數(shù)據(jù)服務(wù)的安全風(fēng)險(xiǎn)主要有數(shù)據(jù)泄露和數(shù)據(jù)丟失兩方面，數(shù)據(jù)泄露安全風(fēng)險(xiǎn)包括數(shù)據(jù)庫未授權(quán)訪問、數(shù)據(jù)庫相關(guān)賬戶劫持、不完善的身份驗(yàn)證邏輯、用戶錯誤配置、不安全的應(yīng)用程序接口（Application Programming Interface，API）（爬蟲爬?。┑?；數(shù)據(jù)丟失安全風(fēng)險(xiǎn)包括內(nèi)部人員竊取、密碼泄漏、意外刪除文件、惡意軟件破壞、硬件設(shè)備故障、非法入侵等。

1.4 軟件服務(wù)層安全風(fēng)險(xiǎn)

云平臺的軟件服務(wù)（Software as a Service，SaaS）層向應(yīng)用提供軟件服務(wù)。這些軟件服務(wù)的安全性直接影響云平臺的安全。

1.4.1 云平臺軟件服務(wù)的安全風(fēng)險(xiǎn)

云平臺軟件服務(wù)安全面臨以下風(fēng)險(xiǎn)：軟件服務(wù)本身存在安全漏洞，導(dǎo)致受到惡意攻擊，如結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入、跨站腳本攻擊等；云平臺軟件服務(wù)是基于Web 的網(wǎng)絡(luò)管理軟件，Web 應(yīng)用面臨拒絕服務(wù)攻擊、中間人攻擊、惡意軟件注入攻擊等安全風(fēng)險(xiǎn)。

1.4.2 云平臺軟件服務(wù)隔離的安全風(fēng)險(xiǎn)

云平臺軟件服務(wù)在多租戶應(yīng)用模式下，不同用戶共享統(tǒng)一的計(jì)算、網(wǎng)絡(luò)、存儲資源，應(yīng)該實(shí)現(xiàn)完全隔離。但如果不能對各個用戶的軟件服務(wù)進(jìn)行隔離，惡意用戶就能直接訪問他人的軟件服務(wù)，并且可以改變軟件服務(wù)設(shè)置，即非授權(quán)用戶可能突破隔離屏障，訪問、竊取、篡改其他用戶的數(shù)據(jù)。云平臺軟件服務(wù)隔離的主要安全風(fēng)險(xiǎn)有計(jì)算資源未隔離、網(wǎng)絡(luò)資源未隔離、存儲資源未隔離。

1.4.3 云軟件服務(wù)身份和訪問管理的安全風(fēng)險(xiǎn)

云平臺軟件服務(wù)在很多方面都需要進(jìn)行身份和訪問管理，因此將身份和訪問管理集成到云平臺，能為云平臺軟件服務(wù)提供統(tǒng)一的管理服務(wù)。但身份和訪問管理一方面需要接受傳統(tǒng)攻擊方法的考驗(yàn)，另一方面也在云平臺環(huán)境下面臨著新的考驗(yàn)。身份和訪問管理面臨賬戶攻擊和內(nèi)部威脅兩個方面的安全風(fēng)險(xiǎn)。賬戶攻擊是指攻擊者通過某些途徑獲取賬戶信息，這些途徑包括網(wǎng)絡(luò)釣魚、軟件漏洞利用、撞庫、密碼猜解、密碼泄露等，然后進(jìn)行一些惡意的操作或者未授權(quán)的活動。內(nèi)部威脅是指內(nèi)部具有訪問權(quán)限的內(nèi)部人員也有可能因安全意識缺失、錯誤的軟件/服務(wù)配置或者不規(guī)范的軟件使用等原因造成的內(nèi)部安全威脅。

2 云安全標(biāo)準(zhǔn)規(guī)范

云計(jì)算的安全問題已成為阻礙其發(fā)展的重要因素。為了促進(jìn)云計(jì)算的發(fā)展，規(guī)范提高云平臺的安全性，需要提供統(tǒng)一的云計(jì)算安全標(biāo)準(zhǔn)。各國政府機(jī)構(gòu)和國際標(biāo)準(zhǔn)化組織制定了許多云計(jì)算安全的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)規(guī)范成為了評判云平臺安全性的重要依據(jù)。

2.1 國外標(biāo)準(zhǔn)規(guī)范

2.1.1 NIST 安全標(biāo)準(zhǔn)

針對云計(jì)算標(biāo)準(zhǔn)，美國國家標(biāo)準(zhǔn)技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)布了《SP500-291 云計(jì)算標(biāo)準(zhǔn)路線圖》和《SP 500-292 云計(jì)算參考架構(gòu)》，給出了云計(jì)算定義模型，如圖1 所示。

圖1 云計(jì)算定義模型

云計(jì)算定義模型定義了云計(jì)算的3 種基本服務(wù)模式（PaaS、SaaS、IaaS）、4 種部署模式（私有云、社區(qū)云、公有云和混合云）以及5 個基本特征（按需自服務(wù)、廣泛的網(wǎng)絡(luò)接入、資源池化、快速伸縮、服務(wù)可度量）。

2013 年5 月NIST 發(fā)布了《SP 500-299 NIST 云計(jì)算安全參考框架（NCC-SRA）》，指導(dǎo)構(gòu)建安全云環(huán)境[2]，安全參考模型如圖2 所示。

圖2 NIST 云計(jì)算安全參考架構(gòu)

2.1.2 CSA 云安全

云安全聯(lián)盟（Cloud Security Aliance，CSA）發(fā)布的云安全指南為云計(jì)算的安全防護(hù)構(gòu)建提供了指導(dǎo)。CSA 的主要成果有《云計(jì)算關(guān)鍵領(lǐng)域安全指南》《云計(jì)算的主要安全威脅報(bào)告》《云安全聯(lián)盟的云控制矩陣》《身份管理和訪問控制指南》等[3]。其中，《云計(jì)算關(guān)鍵領(lǐng)域安全指南v4.0》共14 個域（章節(jié)），第1 域描述了云計(jì)算概念和體系，其他13 個領(lǐng)域著重介紹了云計(jì)算安全的關(guān)注領(lǐng)域，以解決云計(jì)算環(huán)境中戰(zhàn)略和戰(zhàn)術(shù)安全的“痛點(diǎn)”，可應(yīng)用于各種云服務(wù)和部署模式的組合[4]。這些域分成了兩大類：治理和運(yùn)行。其中，治理域中要求對云平臺進(jìn)行合規(guī)化和審計(jì)管理。

2.2 國內(nèi)云安全標(biāo)準(zhǔn)

隨著云計(jì)算安全問題凸顯，云平臺的安全性問題已經(jīng)上升到事關(guān)國家安全和民生穩(wěn)定的高度。我國政府也制定了一系列相關(guān)法律法規(guī)來規(guī)范和指導(dǎo)云服務(wù)商為云平臺應(yīng)增加相應(yīng)的安全防護(hù)能力，相繼頒布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239—2019）、《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》（GB/T 31167—2014）和《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》（GB/T 31168—2014）等，是云安全標(biāo)準(zhǔn)的基礎(chǔ)。。

2.2.1 云計(jì)算服務(wù)安全指南

2014 年9 月首批發(fā)布的云計(jì)算服務(wù)安全方面的國家標(biāo)準(zhǔn)《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》（GB/T 31168—2014）和《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》（GB/T 31167—2014），是審查云計(jì)算服務(wù)網(wǎng)絡(luò)安全能力的重要標(biāo)準(zhǔn)。

《云計(jì)算服務(wù)安全指南》指導(dǎo)政府部門在云計(jì)算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施，保障數(shù)據(jù)和業(yè)務(wù)的安全，安全地使用云計(jì)算服務(wù)[5]?！对朴?jì)算服務(wù)安全指南》確定了在云計(jì)算服務(wù)的使用過程中要注重運(yùn)行監(jiān)管，即采用云計(jì)算服務(wù)后，為了確保服務(wù)中的數(shù)據(jù)和業(yè)務(wù)的運(yùn)行安全，需要對數(shù)據(jù)和業(yè)務(wù)及其采用的云計(jì)算平臺進(jìn)行持續(xù)監(jiān)管[5]?！对朴?jì)算服務(wù)安全指南》在標(biāo)準(zhǔn)中指出：云計(jì)算環(huán)境安全需要進(jìn)行安全監(jiān)管。安全監(jiān)管即要求第三方測評機(jī)構(gòu)在使用前對云計(jì)算環(huán)境的安全能力和安全云計(jì)算服務(wù)網(wǎng)絡(luò)進(jìn)行審查和測評。在服務(wù)運(yùn)行時也要對云服務(wù)和云形態(tài)實(shí)施安全監(jiān)管。

2.2.2 等保2.0

為了適應(yīng)新技術(shù)、新應(yīng)用情況下信息安全等級保護(hù)工作的開展，國家安標(biāo)委組織進(jìn)行修訂，發(fā)布了《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239—2019），也被稱為等保2.0。該標(biāo)準(zhǔn)針對云計(jì)算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)工業(yè)控制等新技術(shù)、新應(yīng)用領(lǐng)域提出等保擴(kuò)展安全要求[6]。

等保2.0 標(biāo)準(zhǔn)中將安全技術(shù)要求重新劃分為4個層面：物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全[7]。在網(wǎng)絡(luò)和通信安全方面要求安全審計(jì)，云服務(wù)方和云租戶分別收集各自的審計(jì)數(shù)據(jù)，并根據(jù)職責(zé)劃分提供審計(jì)接口，實(shí)現(xiàn)集中審計(jì)。在設(shè)備和計(jì)算安全方面，云服務(wù)方負(fù)責(zé)基礎(chǔ)設(shè)置的安全審計(jì)，云租戶提供計(jì)算服務(wù)中的安全審計(jì)，審計(jì)要求提供數(shù)據(jù)接口實(shí)現(xiàn)集中審計(jì)。在應(yīng)用和數(shù)據(jù)安全方面，和上面的類似，要求根據(jù)職責(zé)劃分，提供各自的審計(jì)接口實(shí)現(xiàn)集中審計(jì)?？梢姷缺?.0 標(biāo)準(zhǔn)對于安全審計(jì)在各個層面都進(jìn)行了要求，云的安全數(shù)據(jù)需要集中收集和審計(jì)，從而對云安全進(jìn)行監(jiān)管。

3 云平臺安全體系

3.1 設(shè)計(jì)思路

前面從云的分層架構(gòu)角度對云上各層面臨的安全風(fēng)險(xiǎn)進(jìn)行了詳細(xì)的梳理和闡述，同時對應(yīng)對這些安全風(fēng)險(xiǎn)需要構(gòu)建的安全能力提出了具體的要求。本節(jié)將針對風(fēng)險(xiǎn)和安全能力需求，從基礎(chǔ)設(shè)施安全、IaaS、PaaS、SaaS、云安全管理和云安全監(jiān)管多維度構(gòu)建云平臺安全的技術(shù)框架，解決前面的安全風(fēng)險(xiǎn)問題。

3.2 體系框架

從云平臺安全技術(shù)體系的角度，將云平臺安全劃分為基礎(chǔ)設(shè)施安全、IaaS 安全、PaaS 安全、SaaS 安全、云安全管理和云安全監(jiān)管6 個層面，如圖3 所示。

圖3 云平臺安全技術(shù)框架

基礎(chǔ)設(shè)施安全方面，除了對于服務(wù)器、交換機(jī)、存儲等硬件設(shè)備的傳統(tǒng)安全防護(hù)以外，還包括針對虛擬化監(jiān)視器的安全保護(hù)技術(shù)，包括組件防篡改、虛機(jī)隔離、內(nèi)存隔離、虛擬機(jī)監(jiān)視程序（Virtual Machine Monitor，VMM）元數(shù)據(jù)保護(hù)等。

IaaS 層安全方面，主要包括虛擬機(jī)安全、虛擬網(wǎng)絡(luò)安全以及虛擬存儲安全3 方面。虛擬機(jī)安全包括虛擬機(jī)中的端口管控、外設(shè)安全、防病毒、漏洞掃描以及入侵檢測等。虛擬網(wǎng)絡(luò)安全包括云平臺上東西向的網(wǎng)絡(luò)防護(hù)，包括流量審計(jì)、訪問控制、入侵檢測與防護(hù)、防ARP 攻擊以及帶寬流量管理等。虛擬存儲安全包括虛機(jī)磁盤、鏡像、快照的存儲加密、完整性保護(hù)、遷移加密和傳輸加密。

PaaS 層安全方面，主要包括PaaS 的服務(wù)安全、接口安全以及數(shù)據(jù)安全3 個方面。服務(wù)安全，包括服務(wù)的訪問控制、身份認(rèn)證、Web 應(yīng)用防護(hù)、合規(guī)配置、操作審計(jì)等。接口安全包括接入認(rèn)證鑒權(quán)、傳輸加密、傳輸數(shù)據(jù)完整性、DDoS 防護(hù)等。數(shù)據(jù)安全包括數(shù)據(jù)的訪問審計(jì)、認(rèn)證鑒權(quán)、數(shù)據(jù)分類、數(shù)據(jù)安全保護(hù)等。

SaaS 層安全方面主要涉及防護(hù)應(yīng)用安全，包括應(yīng)用身份認(rèn)證、應(yīng)用訪問控制、Web 應(yīng)用防護(hù)應(yīng)用數(shù)據(jù)加密以及應(yīng)用行為審計(jì)等。

云安全管理方面，云上安全防護(hù)與傳統(tǒng)安全防護(hù)主要的區(qū)別在于防護(hù)邊界的消失和云上資源的動態(tài)變化。云安全服務(wù)的服務(wù)鏈編排，包括資源編排、服務(wù)生命周期管理等；云安全服務(wù)的彈性伸縮包括服務(wù)高可用、服務(wù)橫向伸縮以及服務(wù)負(fù)載均衡等。此外，云安全管理還包括統(tǒng)一的云安全態(tài)勢、云安全操作、日志審計(jì)。

云安全監(jiān)管將對云平臺、云服務(wù)、云應(yīng)用、云安全服務(wù)進(jìn)行全方面的安全監(jiān)管。如Gartner 等研究機(jī)構(gòu)對云上安全防護(hù)提出了“自適應(yīng)”的云安全架構(gòu)要求。對云安全管理來說要實(shí)現(xiàn)“自適應(yīng)”的云安全架構(gòu)，必須實(shí)現(xiàn)云安全策略的自適應(yīng)，包括統(tǒng)一獲取云安全服務(wù)的安全策略、安全策略自適應(yīng)調(diào)整、安全策略統(tǒng)一合規(guī)檢查等。云安全狀態(tài)檢查，包括對云組件、云網(wǎng)絡(luò)和云資產(chǎn)進(jìn)行安全檢查，檢測安全狀態(tài)是否滿足安全要求，提出改善建議。云安全合規(guī)性檢查，是對云平臺和云服務(wù)是否符合相關(guān)安全標(biāo)準(zhǔn)和規(guī)范進(jìn)行檢查，分析其安全狀態(tài)，通過自定義合規(guī)策略實(shí)現(xiàn)安全基線檢查。

4 云安全監(jiān)管體系設(shè)計(jì)

4.1 體系概述

第3 節(jié)從云平臺的基礎(chǔ)設(shè)施安全、IaaS 安全、PaaS 安全、SaaS 安全、云安全管理和云安全監(jiān)管6個層面構(gòu)建了云平臺的安全體系。下面針對云安全監(jiān)管系統(tǒng)的設(shè)計(jì)具體如下文所述。

基于云安全監(jiān)管系統(tǒng)構(gòu)建一套統(tǒng)一的云安全監(jiān)測和管理體制，為管理員提供統(tǒng)一的云安全監(jiān)管界面，并為部署在云平臺中的虛擬機(jī)提供安全合規(guī)性檢測、網(wǎng)絡(luò)連通性監(jiān)測、網(wǎng)絡(luò)流量流向監(jiān)測、網(wǎng)絡(luò)流量抓包分析等功能，實(shí)現(xiàn)云上安全策略有效性分析。云安全監(jiān)管系統(tǒng)采用有代理+無代理雙監(jiān)控模式，提供虛擬網(wǎng)絡(luò)安全有效性監(jiān)測、虛擬網(wǎng)絡(luò)流量監(jiān)控、通信關(guān)系可見、云上抓包等能力，為用戶清晰展示云內(nèi)的網(wǎng)絡(luò)訪問關(guān)系，便于及時驗(yàn)證網(wǎng)絡(luò)安全防護(hù)策略配置的有效性，為優(yōu)化網(wǎng)絡(luò)策略配置提供有力支撐，實(shí)現(xiàn)云上安全的“可看可查”。

云安全監(jiān)管系統(tǒng)圍繞云環(huán)境配置合規(guī)性、組件可信性、系統(tǒng)脆弱性、網(wǎng)絡(luò)連通性、策略合理性、隔離有效性等多個安全維度，應(yīng)對云環(huán)境接入訪問和云平臺安全防護(hù)的安全防護(hù)風(fēng)險(xiǎn)，實(shí)現(xiàn)對云安全的“可看可查”和“可管可控”。該系統(tǒng)還能夠?qū)崿F(xiàn)云內(nèi)各虛擬機(jī)之間網(wǎng)絡(luò)連通性監(jiān)測，便于驗(yàn)證網(wǎng)絡(luò)訪問控制策略的有效性；能夠?qū)崟r監(jiān)測云內(nèi)流量分布情況，觀察動向流量走向，便于優(yōu)化網(wǎng)絡(luò)策略配置；能夠提供云上抓包工具，可通過監(jiān)管平臺抓取任意節(jié)點(diǎn)之間的數(shù)據(jù)包，快速定位分析問題。

云安全監(jiān)管系統(tǒng)根據(jù)統(tǒng)一的接口規(guī)范，通過主動式調(diào)用云平臺接口獲取的信息和被動式接收云平臺上報(bào)的信息，同時基于統(tǒng)一的云安全監(jiān)管模型對不同云平臺進(jìn)行綜合監(jiān)管和智能評估。

云安全監(jiān)管系統(tǒng)從多個維度全方位監(jiān)測和考察云環(huán)境安全性，主要包含配置合規(guī)性、組件完整性、身份可信性、系統(tǒng)脆弱性、網(wǎng)絡(luò)連通性、策略合理性、隔離有效性。配置合規(guī)性檢查宿主機(jī)、云平臺、虛擬機(jī)和容器配置是否合規(guī)。策略合理性驗(yàn)證云平臺安全域、安全組和泛終端主機(jī)安全防護(hù)策略的設(shè)置是否合理。組件完整性校驗(yàn)云平臺各組件是否符合完整性的要求；身份可信性考核云平臺中虛擬資產(chǎn)身份標(biāo)識、認(rèn)證、鑒權(quán)和訪問控制是否符合云平臺身份驗(yàn)證要求。系統(tǒng)脆弱性掃描宿主機(jī)、云平臺、虛擬機(jī)和容器是否存在安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)連通性發(fā)現(xiàn)云平臺虛擬機(jī)和容器中服務(wù)開放端口間的通信關(guān)系。隔離有效性評估云平臺安全域、安全組和泛終端主機(jī)安全防護(hù)策略的設(shè)置是否生效。

云安全監(jiān)管系統(tǒng)通過綜合評分評估云環(huán)境安全性，并為云安全管理員提供合理、有效的安全加固方案和措施。

4.2 體系功能組成

云安全監(jiān)管系統(tǒng)由管理端和代理端組成。云安全監(jiān)管系統(tǒng)為軟件形態(tài)，部署于獨(dú)立的服務(wù)器或虛擬機(jī)。管理端為云平臺提供安全監(jiān)管功能，提供云平臺數(shù)據(jù)采集、分析、處理及展示能力。代理端以輕量客戶端形式部署于虛擬機(jī)和宿主機(jī)內(nèi)部，提供虛擬機(jī)和宿主機(jī)的數(shù)據(jù)采集、策略驗(yàn)證執(zhí)行、網(wǎng)絡(luò)抓包、脆弱性掃描等能力，具體功能組成如圖4所示。

圖4 云安全監(jiān)管系統(tǒng)功能組成

4.2.1 管理端

管理端實(shí)現(xiàn)虛擬資產(chǎn)發(fā)現(xiàn)、虛擬網(wǎng)絡(luò)拓?fù)湔故?、網(wǎng)絡(luò)通信可見、網(wǎng)絡(luò)安全有效性監(jiān)測、云上抓包、虛擬機(jī)運(yùn)行狀態(tài)監(jiān)控、合規(guī)性檢測、組件完整性檢測、身份可信鑒別、安全風(fēng)險(xiǎn)檢測、策略有效性檢測以及安全狀態(tài)分析等能力。

（1）虛擬資產(chǎn)發(fā)現(xiàn)：采集虛擬機(jī)CPU、內(nèi)存、存儲配置、IP 地址、MAC 地址，操作系統(tǒng)類型等基礎(chǔ)信息。

（2）虛擬網(wǎng)絡(luò)拓?fù)湔故荆涸苾?nèi)虛擬機(jī)和虛擬網(wǎng)絡(luò)，繪制虛擬網(wǎng)絡(luò)拓?fù)鋱D。

（3）網(wǎng)絡(luò)通信可見：據(jù)實(shí)際網(wǎng)絡(luò)流量，自動繪制云內(nèi)各虛擬主機(jī)與外部的通信關(guān)系。

（4）網(wǎng)絡(luò)安全有效性監(jiān)測：實(shí)現(xiàn)云內(nèi)網(wǎng)絡(luò)安全隔離有效性檢查，自動發(fā)現(xiàn)虛擬機(jī)內(nèi)部的服務(wù)及監(jiān)聽端口，支持一鍵監(jiān)測云內(nèi)所有服務(wù)/端口之間的連通性，且能夠?qū)С霰O(jiān)測結(jié)果。

（5）云上抓包：提供在線抓包工具，便于快速定位和分析問題。

（6）虛擬機(jī)運(yùn)行狀態(tài)監(jiān)控：監(jiān)控虛擬主機(jī)管控客戶端運(yùn)行狀態(tài)和系統(tǒng)CPU、內(nèi)存、磁盤IO 等運(yùn)行狀態(tài)。

（7）合規(guī)性檢測：根據(jù)預(yù)先制定的安全規(guī)則或用戶自定義的安全規(guī)則對云平臺進(jìn)行全方位的檢測，檢測是否符合安全規(guī)則，并給出檢測報(bào)告，提供修改建議和意見。

（8）組件完整性檢測：檢測云平臺系統(tǒng)的運(yùn)行組件是否完整、是否被非法修改或篡改。

（9）身份可信鑒別：檢驗(yàn)云用戶、云租戶、云計(jì)算節(jié)點(diǎn)、云服務(wù)組件、虛擬實(shí)體等進(jìn)行身份認(rèn)證，是否滿足云平臺身份認(rèn)證標(biāo)準(zhǔn)的要求，是否采用生物特征、密碼標(biāo)識、用戶口令等多因子驗(yàn)證方法。

（10）安全風(fēng)險(xiǎn)檢測：掃描云平臺和虛擬機(jī)運(yùn)行的系統(tǒng)和軟件是否存在安全風(fēng)險(xiǎn)，并提示用戶修補(bǔ)。

（11）策略有效性檢測：收集和整理云平臺及相關(guān)安全組件的安全，檢驗(yàn)這些策略對云平臺是否生效、是否有沖突、是否對防護(hù)對象有缺失。

（12）安全狀態(tài)分析：通過檢測結(jié)果，分析云平臺的安全狀態(tài)，形成檢測報(bào)告并給出安全建議。

4.2.2 代理端

代理端實(shí)現(xiàn)安全策略驗(yàn)證、基礎(chǔ)數(shù)據(jù)采集、網(wǎng)絡(luò)抓包、脆弱性掃描等能力。

4.3 功能模塊設(shè)計(jì)

云安全監(jiān)管系統(tǒng)分為管理端和代理端兩部分，通過部署在虛擬機(jī)中的代理端，獲取虛擬機(jī)數(shù)據(jù)采集模塊周期性，采集虛擬機(jī)內(nèi)部的基礎(chǔ)數(shù)據(jù)。這些數(shù)據(jù)包括CPU、內(nèi)存、存儲等虛擬機(jī)資源運(yùn)行狀態(tài)以及虛擬機(jī)內(nèi)部運(yùn)行的服務(wù)及監(jiān)聽端口等。數(shù)據(jù)通過消息通信模塊發(fā)送至管理端，檢測虛擬機(jī)中的網(wǎng)絡(luò)流量，檢測通信關(guān)系和行為，評估云平臺網(wǎng)絡(luò)風(fēng)險(xiǎn)。云安全監(jiān)管系統(tǒng)管理端為云平臺提供安全監(jiān)管功能，通過與云平臺接口和代理采集的數(shù)據(jù)，對云平臺數(shù)據(jù)進(jìn)行采集、分析、處理及展示。云安全監(jiān)管服務(wù)端由云安全合規(guī)檢測服務(wù)、云安全數(shù)據(jù)分析服務(wù)、云安全管控服務(wù)、數(shù)據(jù)存儲服務(wù)、數(shù)據(jù)采集服務(wù)以及用戶交互服務(wù)組成，各服務(wù)組件關(guān)系如圖5 所示。

圖5 云安全監(jiān)管系統(tǒng)技術(shù)結(jié)構(gòu)

4.3.1 云安全合規(guī)性監(jiān)測服務(wù)

依據(jù)等保2.0 條例、GJB5612 條例等安全保密要求，對云平臺提供云配置合規(guī)性、云組件完整性、云身份可靠性、云網(wǎng)絡(luò)連通性、云策略合理性、云脆弱性、云隔離有效性等安全層面控制點(diǎn)進(jìn)行檢測，將檢測邏輯規(guī)則化，并形成標(biāo)準(zhǔn)規(guī)則格式下發(fā)到規(guī)則引擎。規(guī)則引擎解析控制點(diǎn)檢測規(guī)則，通過調(diào)用云平臺遠(yuǎn)程接口和代理接口，完成控制點(diǎn)檢測并形成檢測結(jié)論和檢測意見。

4.3.2 云安全數(shù)據(jù)分析服務(wù)

云安全數(shù)據(jù)分析服務(wù)對采集層獲取的動靜態(tài)數(shù)據(jù)進(jìn)行處理、統(tǒng)計(jì)、分析以及關(guān)聯(lián)操作，并將分析、評估結(jié)果存放至關(guān)系型數(shù)據(jù)庫，為云平臺的安全分析、評估和評分提供支撐。

4.3.3 數(shù)據(jù)處理服務(wù)

數(shù)據(jù)采集服務(wù)將收集的多云資產(chǎn)數(shù)據(jù)進(jìn)行統(tǒng)一建模，依次進(jìn)行校驗(yàn)、規(guī)整、聚合入庫。云資產(chǎn)、虛擬機(jī)基礎(chǔ)配置、虛擬機(jī)運(yùn)行狀態(tài)等靜態(tài)數(shù)據(jù)將存入關(guān)系型數(shù)據(jù)庫，動態(tài)數(shù)據(jù)，如網(wǎng)絡(luò)通信數(shù)據(jù)流量，存入時序數(shù)據(jù)庫。

4.3.4 數(shù)據(jù)采集服務(wù)

數(shù)據(jù)采集中心通過雙路模式采集云環(huán)境中數(shù)據(jù)；通過調(diào)用云軟件開發(fā)工具包（Software Development Kit，SDK）提供的遠(yuǎn)程接口，收集云環(huán)境資產(chǎn)數(shù)據(jù)，包括云資產(chǎn)的網(wǎng)絡(luò)、存儲、配置、運(yùn)行狀態(tài)等信息；通過代理端數(shù)據(jù)采集虛擬機(jī)和宿主機(jī)基礎(chǔ)數(shù)據(jù)、運(yùn)行數(shù)據(jù)等。

4.3.5 用戶交互服務(wù)

用戶交互服務(wù)為用戶提供Web 管理界面，實(shí)現(xiàn)云資產(chǎn)查看、合規(guī)檢測管理、數(shù)據(jù)分析管理、系統(tǒng)管理等功能的操作界面。管理界面功能操作簡單，操作易懂易用，數(shù)據(jù)呈現(xiàn)清晰。

5 結(jié)語

安全性問題已成為阻礙云計(jì)算技術(shù)進(jìn)一步應(yīng)用和推廣的最大障礙。云安全監(jiān)管系統(tǒng)能改變云平臺對安全風(fēng)險(xiǎn)缺乏感知、分析和評估手段的現(xiàn)狀，打破云平臺安全的“黑盒”情況。本文設(shè)計(jì)基于對云平臺網(wǎng)絡(luò)流量、安全策略和安全數(shù)據(jù)的匯總分析，并與安全管理系統(tǒng)等現(xiàn)有安全信息系統(tǒng)聯(lián)動，能夠?qū)υ破脚_的配置合規(guī)性、組件完整性、身份可信性、系統(tǒng)脆弱性、策略有效性進(jìn)行評估，實(shí)現(xiàn)對云平臺安全的“可看可查”和“可管可控”，提升云平臺安全防御能力。