IaaS云计算安全架构规划与设计.docVIP

IaaS云计算安全框架设计  1 IaaS云计算功能架构 ? 说明：接入层：指提供给用户访问云系统 或用于为其他服务提供调用接口的软硬件系统。如Portal。虚拟资源层：指虚拟机、虚拟存储设备、虚拟交换机、虚拟服务器等虚拟化的实体 。虚拟化平台层: 指服务器虚拟化软件（如vmwareESXi），存储虚拟化软件(??), 网络虚拟化软件（?）。硬件资源层：指各种服务器，存储设备及存储网络、网络设备及连接等资源。管理层: 指提供IaaS服务管理、系统运行管理及安全管理功能相关软硬件系统。2 IaaS云计算安全风险 2.1 接入层风险会话控制和劫持：指web应用中的通信会话被攻击者控制劫持导致通信信息泄露或拒绝服务等问题。尽管HTTP协议是无状态协议，但一些Web应用程序则依赖于会话状态，因此存在遭受会话控制和劫持风险。API访问控制失效：指当外部实体访问接口层时，不能验证调用者的身份信息或者验证机制被旁路带来的问题。弱密码攻击：指因为加密算法缺陷或新的密码分析技术的进步导致安全通信中所依赖的加密技术不再安全。2.2 虚拟资源层风险虚拟机隔离失效：一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机，可能带来虚拟机信息泄露，拒绝服务等问题。虚拟机逃逸：指攻击者获得Hypervisor的访问权限，从而对其他虚拟机进行攻击。若一个攻击者接入的主机运行多个虚拟机，它可以关闭Hypervisor，最终导致这些虚拟机关闭。虚拟机迁移安全失效：指当虚拟机进行动态迁移或通过文件复制等方式静态迁移时，如果迁移前后所在的主机平台的安全措施不一致，则可导致虚拟机陷入安全风险状态。共享存储数据删除不彻底：指多租户模式下，不同用户共享同一物理存储资源，当一个用户所分配的物理存储资源被回收后，如果其上的数据没有彻底删除，那么就可能被非法恢复的风险。虚拟机镜像文件非法访问和篡改：指虚拟机镜像文件在没有所有者授权下非法复制，修改等风险。2.3虚拟化平台层风险虚拟化平台完整性篡改：指虚拟化软件被攻击者注入恶意代码或进行篡改导致系统进入不安全状态。管理接口非法访问：指虚拟化软件面向管理员的访问接口没有设置访问控制措施或因为软件缺陷利用，攻击者访问管理接口将直接影响这个虚拟化平台的安全。如Xen用XenCenter管理其虚拟机，这些控制台可能会引起一些新的缺陷，例如跨站脚本攻击、SQL入侵等。资源分配拒绝服务：指在虚拟化环境下，CPU、内存等资源是虚拟机和宿主机共享的，如果虚拟机发起DoS攻击以获取宿主机上所有的资源，可能造成主机拒绝服务。2.4 硬件资源层风险主机及网络拒绝服务：指提供服务的物理主机和网络设备不能为其他访问者提供正常的服务。服务器非法访问：指服务器因为缺乏访问控制或认证机制被非法用户登录或使用其资源。存储硬件设备失效导致的数据丢失：指因为设备自身质量问题导致数据丢失。设备非法接入网络：指网络缺乏必要的设备监控机制，不能发现或阻止未经事先登记或注册的设备接入网络，给网络带来安全隐患。服务器病毒感染：指服务器因为病毒库未更新或防御不当导致感染病毒，影响服务器的正常运行。服务器节点失效：指服务器因为自身设备故障或软件系统漏洞导致不能正常服务。2.5 物理安全风险自然灾害：指地震、火灾等具有强破坏力的情况。数据中心非法进出：指人员可以随意进出带来的风险，如设备失窃。数据中心辅助设施失效：指提供数据中心动力的系统的失效带来的风险，如供电设备失效导致服务器宕机数据丢失等问题。2.6 其他风险服务商绑定：指因为服务商没有采用标准的技术导致当用户从一家服务商将业务迁移到另一家服务商时，存在迁移困难的风险。服务计费失效:指云服务计费测量系统因为被攻击导致服务计费工作失效。合规审计失效：指云环境下的合规审计工作变动困难。 如可能存在一家云服务商同时还租用其他云服务商的服务，这种业务下的合格审计工作显然更加复杂。动态系统的监控失效：指因为云系统的动态特点，传统的监控技术存在不足而导致的风险。如同一主机上的虚拟机间流量无法用传统的技术来监控。多用户身份及访问控制失效：指云环境下，用户的身份及访问管理问题变得更加困难，传统方法可能不在适用于云环境下。3 IaaS云计算安全框架 ? ?IaaS云计算安全框架 3.1接入层安全3.1.1 web安全云服务是一种基于Web的 服务模式，同时相关管理工作也通过Web方式来管理。因此，web安全包括Web 应用系统本身的安全和web内容安全。一是利用 Web 应用漏洞（如 SQL 注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞）获取用户信息、损害应用程序，以及得到 Web 服务器的控制权限等