运营商云资源池安全防护策略探讨.docVIP

运营商云资源池安全防护策略探讨 　　摘要：介绍了当前电信运营商云资源池建设现状，分析了云资源池在安全防护方面面临的需求与挑战，指出要解决云资源池安全问题所需部署的防护策略，说明了部署效果及下一步研究方向。 　　关键词：云资源池；安全防护；虚拟化 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）20-0020-02 　　Discussion on Security Defense Strategy for Cloud Resource Pool of Operators 　　JIN Yu， ZHU Hua 　　（GCI Science Technology Co.Ltd. ， Guangzhou 510310， China） 　　Abstract： This paper deals with the defense strategy to solve the security problems in cloud resource pool by analyzing the current status of telecom operators cloud resource pool where there are needs and challenges for security. 　　Key words： cloud resource pool； security defense； virtualization 　　传统计算机技术用相对独立的计算机承载不同应用，相互间计算、存储资源很难共享，带来资源利用率低、能源消耗多、电子垃圾污染大、维护复杂等问题。云计算技术的兴起和应用提供了一种新型的信息资源管理和计算服务模式，解决了传统计算机技术的弊端，依托通信网络，将资源集中起来提供计算信息服务，从而降低成本、节能降耗。 　　云资源池将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，从而提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力。 　　作为云服务提供商的电信运营商就是首先需要建设一个大容量的资源池来满足在并发的业务高峰时刻用户的服务要求[1] 。 　　1 现状分析 　　电信运营商的业务云体系目前主要侧重资源池整体布局、计算虚拟化技术的双节点部署。随着资源池规模不断扩大和承载应用的不断增多，云资源池在服务模式、动态虚拟化管理方式以及多租户共享运营模式等方面的差异、因管理权和所有权的分离而引发的信任问题，使其安全性面临比传统IT系统更为严峻的挑战，需要克服数据安全和运营安全双重风险。 　　在安全组件部署方面，当前云资源池通过防火墙设备进行安全防护[2]，采用主备工作模式，通过心跳线连接，通过防火墙虚拟化技术，实现各系统之间的安全隔离，通过vLan方式实现不同集群间的网络划分，实现资源池东西方向的安全隔离，存储层面通过ZONE和LUN映射实现虚拟机间存储访问隔离，严格隔离用户数据。这种仅依靠防火墙与数据存储访问控制的安全策略进行资源池的安全隔离，远远无法满足资源池安全建设的需要，主要问题如下：[3]。 　　1） 业务平台虚拟机缺少防恶意代码软件安装，在网络边界处无法监视网络入侵和攻击行为，云资源池管理平台不能主动识别端口扫描、暴力破解、木马后门攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击。 　　2） 云资源池底层架构主机采用服务器虚拟化软件安装，主机维护靠系统日志方式进行记录，系统日志不独立，无法防止被篡改，管理人员做了违规操作后可能会删除日志，造成无法追查、无法定位。 　　3） 存在多种管理角色，如设备管理员、系统管理员、安全管理员和应用系统管理员等，同一角色存在多个管理员。管理员进行维护时，可能是使用业务系统同一账号，一旦出现问题很难定位具体某个人的操作。对运维过程中存在的问题无法有定量或定性的分析数据，只能简单从安全事件方面进行描述。 　　综合以上问题，当前需要完善云资源池安全防护策略部署，加强运维过程的事前、事中、事后审计与控制，降低信息安全风险。 　　2 安全防护措施 　　2.1 软件安全防护策略 　　由于云资源池平台中的虚拟终端都通过虚拟主机的虚拟层来和其他及外部进行通信和交互，如果虚拟层存在漏洞或者是被入侵，将造成整个虚拟环境的安全风险，为此加强虚拟层的安全尤为重要。 　　云资源池管理服务器作为虚拟化平台基础架构关键服务器，负责整个虚拟化下的虚拟主机、虚拟网络、虚拟平台存储系统、备份系统、容灾系统的统一控制和管理。因此，针对这类虚拟化自身服务器的入侵检测、入侵防御的安全监控和防护功能是所有虚拟化基础架构安全加固的基础。 　　安全防护软件应专门针对资源池管理服务器提供虚拟