華為FusionSphere安全技術(shù)

1、安全技術(shù)華為FusionSphere5.01 1 虛擬化平臺(tái)安全威脅分析虛擬化平臺(tái)安全威脅分析 傳統(tǒng)的安全問(wèn)題 云計(jì)算特有的安全問(wèn)題1.1 1.1 云計(jì)算帶來(lái)的新的安全威脅云計(jì)算帶來(lái)的新的安全威脅 管理員角度管理員角度 虛擬管理層成為新的高危區(qū)域 惡意用戶難以被追蹤和隔離 云計(jì)算的開(kāi)放性使云計(jì)算系統(tǒng)更容易受到外部攻擊 (API)最終用戶角度最終用戶角度 數(shù)據(jù)存放在云端無(wú)法控制的風(fēng)險(xiǎn) 資源多租戶共享帶來(lái)的數(shù)據(jù)泄漏與攻擊風(fēng)險(xiǎn) 網(wǎng)絡(luò)接口開(kāi)放性的安全風(fēng)險(xiǎn) 2 FusionSphere2 FusionSphere總體安全框架總體安全框架Data Storage device: 從隔離用戶數(shù)據(jù)、控制數(shù)據(jù)訪

2、問(wèn)、保護(hù)剩余信息、加密虛擬機(jī)磁盤、備份數(shù)據(jù)等方面保證用戶數(shù)據(jù)的安全和完整性。VM isolation: 實(shí)現(xiàn)同一物理機(jī)上不同虛擬機(jī)之間的資源隔離，避免虛擬機(jī)之間的數(shù)據(jù)竊取或惡意攻擊Network transmission security: 通過(guò)網(wǎng)絡(luò)平面隔離、引入防火墻、傳輸加密等手段O&M Management Security: 從帳號(hào)密碼、用戶權(quán)限、日志、傳輸安全等方面增強(qiáng)日常運(yùn)維管理方面的安全措施。其他：其他：修復(fù)Web應(yīng)用漏洞、對(duì)操作系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行加固、安裝安全補(bǔ)丁和防病毒軟件等手段保證各物理主機(jī)的安全。2.1 2.1 網(wǎng)絡(luò)網(wǎng)絡(luò)安全安全-網(wǎng)絡(luò)網(wǎng)絡(luò)平面平面隔離隔離 網(wǎng)絡(luò)通信平

3、面劃分管理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)、劃分管理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)，網(wǎng)絡(luò)之間采用存儲(chǔ)網(wǎng)絡(luò)，網(wǎng)絡(luò)之間采用VLAN隔離；各個(gè)隔離；各個(gè)租戶的網(wǎng)絡(luò)采用租戶的網(wǎng)絡(luò)采用VXLAN隔離。隔離。這樣，保證了管理平臺(tái)操作不影響業(yè)務(wù)運(yùn)行，最終用戶不能破壞基礎(chǔ)平臺(tái)。2.2 2.2 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全-VLANVLAN隔離隔離 同一臺(tái)服務(wù)器上的同一個(gè)虛擬局域網(wǎng)中的虛擬機(jī)通過(guò)虛擬交換機(jī)進(jìn)行通信； 不同服務(wù)器上的同一個(gè)虛擬局域網(wǎng)中的虛擬機(jī)通過(guò)交換機(jī)進(jìn)行通信。 通過(guò)虛擬網(wǎng)橋虛擬網(wǎng)橋?qū)崿F(xiàn)虛擬交換功能，虛擬網(wǎng)橋支持VLAN tagging功能。分布在多個(gè)物理機(jī)上的同一個(gè)虛擬機(jī)安全組的虛擬機(jī)實(shí)例，可以通過(guò)VLAN tagging對(duì)數(shù)據(jù)幀

4、進(jìn)行標(biāo)識(shí)，網(wǎng)絡(luò)中的交換機(jī)和路由器可以根據(jù)VLAN tagging決定對(duì)數(shù)據(jù)幀路由和轉(zhuǎn)發(fā)，提供虛擬網(wǎng)絡(luò)的隔離功能。2.3 2.3 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全-安全安全組組 用戶根據(jù)虛擬機(jī)安全需求創(chuàng)建安全組，每個(gè)安全組可以設(shè)定一組訪問(wèn)規(guī)則。當(dāng)虛擬機(jī)加入安全組后，即受到該訪問(wèn)規(guī)則組的保護(hù)。用戶通過(guò)在創(chuàng)建虛擬機(jī)時(shí)選定要加入的安全組來(lái)對(duì)自身的虛擬機(jī)進(jìn)行安全隔離和訪問(wèn)控制。2.4 2.4 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全-防防IP IP及及MACMAC仿冒、仿冒、 DHCP DHCP隔離隔離 IP和和MAC綁定綁定 防止虛擬機(jī)用戶通過(guò)修改虛擬網(wǎng)卡的IP、MAC地址發(fā)起IP、MAC仿冒攻擊。DHCP隔離隔離 禁止用戶虛擬機(jī)啟動(dòng)DHC

5、P Server服務(wù)，防止用戶無(wú)意識(shí)或惡意啟動(dòng)DHCP Server服務(wù)，從而影響正常的虛擬機(jī)IP地址分配過(guò)程。3 3 虛擬化虛擬化安全安全 vCPU調(diào)度隔離調(diào)度隔離安全安全-由Hypervisor負(fù)責(zé)調(diào)度vCPU，使得虛擬機(jī)操作系統(tǒng)運(yùn)行在Ring 1上，應(yīng)用程序運(yùn)行在Ring 3上，有效地防止了虛擬機(jī)Guest OS直接執(zhí)行所有特權(quán)指令，保證了操作系統(tǒng)與應(yīng)用程序之間的隔離。 內(nèi)存隔離內(nèi)存隔離（內(nèi)存地址-物理地址-機(jī)器地址）映射 內(nèi)部網(wǎng)絡(luò)隔離內(nèi)部網(wǎng)絡(luò)隔離-由Domain 0來(lái)實(shí)現(xiàn)數(shù)據(jù)過(guò)濾和完整性檢查，并插入和刪除規(guī)則；從一個(gè)虛擬機(jī)上發(fā)出的數(shù)據(jù)包，先到達(dá)Domain 0，經(jīng)過(guò)認(rèn)證后攜帶許可證，由

6、Domain 0轉(zhuǎn)發(fā)給目的虛擬機(jī)；目的虛擬機(jī)檢查許可證，以決定是否接收數(shù)據(jù)包。 磁盤磁盤I/O隔離隔離-虛擬機(jī)所有的I/O操作都會(huì)由Hypervisor截獲處理；Hypervisor保證虛擬機(jī)只能訪問(wèn)分配給它的物理磁盤空間，從而實(shí)現(xiàn)不同虛擬機(jī)存儲(chǔ)空間的安全隔離。（設(shè)備驅(qū)動(dòng)劃分為前端驅(qū)動(dòng)程序、后端驅(qū)動(dòng)程序和原生驅(qū)動(dòng)三個(gè)部分，其中前端驅(qū)動(dòng)在GuestOS中運(yùn)行，而后端驅(qū)動(dòng)和原生驅(qū)動(dòng)則在Host OS中運(yùn)行。前端驅(qū)動(dòng)負(fù)責(zé)將GuestOS的I/O請(qǐng)求傳遞到Host OS中的后端驅(qū)動(dòng)，后端驅(qū)動(dòng)解析I/O請(qǐng)求并映射到物理設(shè)備，提交給相應(yīng)的設(shè)備驅(qū)動(dòng)程序控制硬件完成I/O操作）4 4 數(shù)據(jù)安全數(shù)據(jù)安全 數(shù)據(jù)訪

7、問(wèn)數(shù)據(jù)訪問(wèn)控制控制-對(duì)每個(gè)卷定義不同的訪問(wèn)策略。 剩余信息保護(hù)剩余信息保護(hù)-對(duì)高安全要求的場(chǎng)景，支持在卷回收時(shí)默認(rèn)對(duì)邏輯卷的所有bit位進(jìn)行清零。在非高安全場(chǎng)景，系統(tǒng)可配置為將邏輯卷的前10M空間進(jìn)行清零。數(shù)據(jù)中心的物理硬盤更換后，需要數(shù)據(jù)中心的系統(tǒng)管理員采用消磁或物理粉碎等措施保證數(shù)據(jù)徹底清除。 數(shù)據(jù)備份數(shù)據(jù)備份-多重備份機(jī)制，支持校驗(yàn) 控制臺(tái)登錄虛擬機(jī)支持密碼認(rèn)證控制臺(tái)登錄虛擬機(jī)支持密碼認(rèn)證-用戶通過(guò)控制臺(tái)訪問(wèn)虛擬機(jī)時(shí)，支持密碼認(rèn)證。通過(guò)控制臺(tái)，用戶只能訪問(wèn)自己創(chuàng)建的虛擬機(jī)。5 5 運(yùn)維管理安全運(yùn)維管理安全主要的安全威脅包括：主要的安全威脅包括： 管理員權(quán)限管理員權(quán)限不支持精細(xì)化控制； 采用弱密碼弱密碼，且長(zhǎng)期不進(jìn)行修改，導(dǎo)致密碼泄露； 管理員惡意行為無(wú)法監(jiān)控、回溯；主要可采取的措施：主要可采取的措施： 管理員分權(quán)分域管理 賬號(hào)密碼管理-滿足一定規(guī)則，定期修改，不明文存儲(chǔ) 日志管理-操作日志（審計(jì)，防抵賴），運(yùn)行日志 （記錄各節(jié)點(diǎn)的運(yùn)行情況），黑匣子日志（記嚴(yán)重故障時(shí)的定位信息） 傳輸加密-管理員訪問(wèn)管理系統(tǒng)，均采用HTTPS方式，傳輸通道采用SSL加密。 數(shù)據(jù)庫(kù)備份-本地備份和異地備份6 6 基礎(chǔ)設(shè)施安全基礎(chǔ)