云安全運(yùn)維管理平臺(tái)研發(fā)與產(chǎn)業(yè)化

云環(huán)境的漏洞掃描和安全配置管理4.3按提供的計(jì)算服務(wù)分4.3.1交付域安全管理技術(shù)云服務(wù)的成功提供和使用離不開應(yīng)用交付和安全接入，對(duì)于云提供者來說，最大程度利用基礎(chǔ)設(shè)施并減少運(yùn)營(yíng)時(shí)間和成本是成功的關(guān)鍵。云服務(wù)使用的管理和安全維護(hù)是云服務(wù)使用范圍進(jìn)一步擴(kuò)大化的主要阻礙。交付域安全管理的目的就是提供了一種從使用者到“云”的安全控制機(jī)制，實(shí)現(xiàn)了對(duì)提供者交付點(diǎn)的服務(wù)有效擴(kuò)展和控制，為用戶提供了一個(gè)管理所有云服務(wù)產(chǎn)品組合的使用率、安全性和性能的控制點(diǎn)。其內(nèi)容包括網(wǎng)關(guān)控制、會(huì)話安全管理、桌面虛擬化控制、應(yīng)用虛擬化控制。網(wǎng)關(guān)控制網(wǎng)關(guān)控制是為用戶提供了一個(gè)控制點(diǎn)，讓用戶能夠很好地控制用戶與“云”的連接以及“云”環(huán)境中和企業(yè)數(shù)據(jù)中心內(nèi)應(yīng)用訪問的安全防護(hù)。相對(duì)于傳統(tǒng)模式，云計(jì)算體系的層次多，內(nèi)部關(guān)系復(fù)雜，因此需要根據(jù)新環(huán)境的要求研究綜合的立體防御機(jī)制，并進(jìn)一步推出適應(yīng)市場(chǎng)需要的虛擬化綜合安全網(wǎng)關(guān)產(chǎn)品。虛擬化綜合安全網(wǎng)關(guān)是針對(duì)云計(jì)算復(fù)雜環(huán)境的綜合防御系統(tǒng)，融合遠(yuǎn)程安全接入、安全訪問控制、抗拒絕服務(wù)攻擊、入侵防御、Web安全等技術(shù)，具備檢測(cè)、分析、決策、響應(yīng)相結(jié)合的聯(lián)動(dòng)防御能力，有效抵御來自物理硬件層、虛擬層、調(diào)度管理層、應(yīng)用層等各個(gè)層次的威脅。對(duì)于企業(yè)來說，云服務(wù)能夠提供許多業(yè)務(wù)優(yōu)勢(shì)，包括：作為測(cè)試環(huán)境，調(diào)整新企業(yè)應(yīng)用的規(guī)模；針對(duì)業(yè)務(wù)關(guān)鍵流程，提供業(yè)務(wù)連續(xù)性保障和突發(fā)容量支持；針對(duì)限時(shí)性需求，提供經(jīng)濟(jì)有效的資源訪問；或者充當(dāng)應(yīng)用的原生環(huán)境，實(shí)現(xiàn)“云”環(huán)境中最佳應(yīng)用交付。當(dāng)然，云服務(wù)也有其不足之處，首要之處就是潛在的流氓IT。在傳統(tǒng)上，IT人員一般是充當(dāng)應(yīng)用和資源的“守門人”角色，有能力控制、監(jiān)控和安全防護(hù)以法規(guī)遵從、保密和企業(yè)政策遵從為目的應(yīng)用和資源使用。采用“云”服務(wù)，由于云環(huán)境具有共享硬件、多承租等特性，IT人員無法有效的實(shí)施安全監(jiān)控，這可能給企業(yè)帶來重大安全風(fēng)險(xiǎn)。而且，即便企業(yè)IT人員提供的云服務(wù)已經(jīng)過驗(yàn)證，但仍有其缺點(diǎn)存在，它會(huì)將整個(gè)應(yīng)用環(huán)境分成多個(gè)小部分，這就增加了以安全性和法規(guī)遵從性為目的的證書管理和政策訪問、使用情況監(jiān)控和可視性保持的復(fù)雜性。網(wǎng)關(guān)控制是通過提供一種網(wǎng)關(guān)控制接入控制器為企業(yè)用戶提供云訪問服務(wù)。員工可采用原有的企業(yè)證書登錄安全的門戶網(wǎng)站，接受對(duì)所有已有授權(quán)應(yīng)用和資源的訪問。通過單點(diǎn)登錄去除通過不同位置、使用不同證書訪問云服務(wù)的需求，改善了終端用戶生產(chǎn)力和密碼管理。網(wǎng)關(guān)控制還提供了一種與企業(yè)安全政策完全一致的云服務(wù)快速提供框架，讓IT人員能夠以一種及時(shí)的方式為企業(yè)工作人員提供所需的資源，減少了企業(yè)中流氓IT事件的發(fā)生。用戶可采用所分配的企業(yè)證書登錄安全門戶網(wǎng)站。對(duì)于企業(yè)網(wǎng)絡(luò)上的用戶，IT人員可以選擇啟用或禁用用戶的SSL加密；對(duì)于遠(yuǎn)程用戶，IT人員要求所有連接均啟用SSL加密。安全防護(hù)采用了雙因素認(rèn)證、基于身份的訪問控制、應(yīng)用級(jí)授權(quán)、全面審計(jì)以及一款集成化數(shù)據(jù)包檢測(cè)防火墻，提供了對(duì)存儲(chǔ)中數(shù)據(jù)和傳輸中數(shù)據(jù)的安全保護(hù)。所有應(yīng)用程序的安全必須有所保障，它們的使用必須有因可循；所有用戶，不論是本地的還是遠(yuǎn)程的，有線的還是無線的，必須先通過認(rèn)證并確保安全后才可訪問已授權(quán)應(yīng)用。網(wǎng)關(guān)接入控制器不僅提供了一種從企業(yè)至“云”的網(wǎng)關(guān)，而且還為企業(yè)安全和生產(chǎn)力統(tǒng)一提供方式奠定了良好基礎(chǔ)。目前通常的訪問控制策略有三種：自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制。自主訪問控制是根據(jù)訪問者的身份和授權(quán)來決定訪問模式。主體訪問者對(duì)訪問的控制有一定權(quán)利。但正是這種權(quán)利使得信息在移動(dòng)過程中其訪問權(quán)限關(guān)系會(huì)被改變。如用戶A可以將其對(duì)客體目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對(duì)O訪問權(quán)限的B也可以訪問O,這樣做很容易產(chǎn)生安全漏洞，所以自主訪問控制的安全級(jí)別很低。強(qiáng)制訪問控制是將主體和客體分級(jí)，然后根據(jù)主體和客體的級(jí)別標(biāo)記來決定訪問模式，如可以分為絕密級(jí)、機(jī)密極、秘密級(jí)、無密級(jí)等。這樣就可以利用上讀/下寫來保證數(shù)據(jù)完整性，利用下讀/上寫來保證數(shù)據(jù)的保密性，并且通過這種梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通。但這種強(qiáng)制訪問控制的實(shí)現(xiàn)工作量太大，管理不便?；诮巧脑L問控制，訪問者的權(quán)限在訪問過程中是變化的。有一組用戶集和權(quán)限集，在特定的環(huán)境里，某一用戶被分派一定的權(quán)限來訪問網(wǎng)絡(luò)資源；在另外一種環(huán)境里，這個(gè)用戶又可以被分派不同的權(quán)限來訪問另外的網(wǎng)絡(luò)資源。這種方式更便于授權(quán)管理、角色劃分、職責(zé)分擔(dān)、目標(biāo)分級(jí)和賦予最小特權(quán)，這也是本項(xiàng)目擬采用的基本訪問控制策略。為了保證云接入的安全性的基礎(chǔ)上實(shí)現(xiàn)云接入的可擴(kuò)展性，本項(xiàng)目擬實(shí)現(xiàn)一個(gè)基于微內(nèi)核架構(gòu)的，具有構(gòu)件動(dòng)態(tài)生命周期管理的云接入安全框架。（1） 支持標(biāo)準(zhǔn)IPSECVPN和SSLVPN；支持基于標(biāo)準(zhǔn)IKE協(xié)商的VPN通信隧道，支持多種IKE認(rèn)證方式，如預(yù)共享密鑰、數(shù)字證書，支持IKE擴(kuò)展認(rèn)證，如Radius認(rèn)證等，支持3DES、DES、AES等算法，支持標(biāo)準(zhǔn)MD5、SHA-1認(rèn)證算法，支持隧道的NAT穿越，支持隧道內(nèi)的QoS。（2） 考慮到云計(jì)算終端多樣性和基礎(chǔ)架構(gòu)的異構(gòu)型，擬展開虛擬專用網(wǎng)（VPN）適用性方面的研究，通過總體設(shè)計(jì)，分類處理的原則來支持多種客戶端操作系統(tǒng)、瀏覽器以及多種設(shè)備類型。（3） 針對(duì)目前虛擬專用網(wǎng)（VPN）大都只支持Web代理應(yīng)用的不足，擬開展虛擬專用網(wǎng)（VPN）對(duì)應(yīng)用多樣性的支持，主要采用應(yīng)用轉(zhuǎn)換和IPTunnel技術(shù)，實(shí)現(xiàn)了對(duì)目前所有網(wǎng)絡(luò)層以上各種靜態(tài)或者動(dòng)態(tài)端n應(yīng)用的完全支持，包括：網(wǎng)上鄰居、文件共享，遠(yuǎn)程桌面、FTP、oUTLooK，SQL，LotusNOTES、SYBASE、ORACLE，CITRIX等各種應(yīng)用。（4） 基于關(guān)聯(lián)分析的角色訪問權(quán)限控制的研究，提供了細(xì)致到每個(gè)URL和不同應(yīng)用的權(quán)限劃分，通過給不同用戶設(shè)置不同角色來分配訪問授權(quán)?；诮巧脑L問限制為企業(yè)網(wǎng)絡(luò)提供了較強(qiáng)的安全性，同時(shí)，針對(duì)資源權(quán)限的靈活控制，使管理員對(duì)訪問權(quán)限控制的更改能第一時(shí)間生效，保證資源訪問安全。（5） 集成企業(yè)級(jí)狀態(tài)防火墻方面的研究，擬采用基于連接狀態(tài)檢查的檢測(cè)方法，即“狀態(tài)檢測(cè)”方法。該方法將同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，通過匹配規(guī)則表與連接狀態(tài)表的相關(guān)約束，達(dá)到對(duì)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口，目標(biāo)端以及網(wǎng)絡(luò)接口等數(shù)據(jù)包進(jìn)行控制的目標(biāo)。研究基于狀態(tài)檢測(cè)表追蹤連接會(huì)話狀態(tài)的判定機(jī)制，即結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷，決定是否允許該數(shù)據(jù)包通過。另外，內(nèi)置防火墻支持透明、路由、混合3種工作模式；支持雙向NAT、靜態(tài)路由和基于源（和目的）地址的策略路由；支持帶寬控制和時(shí)間控制；支持基于接口的安全策略；支持黑名單、ARP綁定、webURL過濾、關(guān)鍵字過濾等功能。（6） 云安全審計(jì)關(guān)鍵技術(shù)的研究，擬采用基于日志分析的方法，用戶可根據(jù)日志記錄查詢和跟蹤云數(shù)據(jù)流向。研究日志級(jí)別的分類和度量標(biāo)準(zhǔn)，如：緊急、報(bào)警、錯(cuò)誤、調(diào)試等。同時(shí)，管理員可按照餅圖、柱狀圖、曲線圖等多種顯示方式對(duì)服務(wù)的被訪問次數(shù)、被拒絕次數(shù)、用戶的登錄次數(shù)、告警次數(shù)等進(jìn)行直觀顯示。會(huì)話安全管理傳統(tǒng)意義上的會(huì)話管理是為了實(shí)現(xiàn)NAT、ASPF、攻擊防范等基于會(huì)話進(jìn)行處理的業(yè)務(wù)而抽象出來的公共功能。此功能把傳輸層報(bào)文之間的交互關(guān)系抽象為會(huì)話，并根據(jù)發(fā)起方或響應(yīng)方的報(bào)文信息對(duì)會(huì)話進(jìn)行狀態(tài)更新和超時(shí)老化。會(huì)話管理支持多個(gè)業(yè)務(wù)特性分別對(duì)同一個(gè)業(yè)務(wù)報(bào)文進(jìn)行處理，實(shí)現(xiàn)的主要功能包括：報(bào)文到會(huì)話的快速匹配；傳輸層協(xié)議狀態(tài)的管理；報(bào)文應(yīng)用層協(xié)議類型的識(shí)別；支持會(huì)話按照協(xié)議狀態(tài)或應(yīng)用層協(xié)議類型進(jìn)行老化；支持指定會(huì)話維持永久連接；會(huì)話的傳輸層協(xié)議報(bào)文校驗(yàn)和檢查；為需要進(jìn)行端口協(xié)商的應(yīng)用層協(xié)議提供特殊的報(bào)文匹配；支持對(duì)ICMP差錯(cuò)控制報(bào)文的解析以及根據(jù)解析結(jié)果進(jìn)行會(huì)話的匹配。會(huì)話管理主要基于傳輸層協(xié)議對(duì)報(bào)文進(jìn)行檢測(cè)。其實(shí)質(zhì)是通過檢測(cè)傳輸層協(xié)議信息（即通用TCP協(xié)議和UDP協(xié)議）來對(duì)連接的狀態(tài)進(jìn)行跟蹤，并對(duì)所有連接的狀態(tài)信息進(jìn)行統(tǒng)一維護(hù)和管理。會(huì)話管理作為基礎(chǔ)特性，只是實(shí)現(xiàn)連接跟蹤，模塊本身并不阻止?jié)撛诘墓魣?bào)文通過。在云計(jì)算環(huán)境中，惡意攻擊者能夠跟蹤會(huì)話狀態(tài)、竊取會(huì)話憑證和監(jiān)測(cè)會(huì)話ID，達(dá)到對(duì)系統(tǒng)進(jìn)行攻擊的目的。因此，提供一種會(huì)話安全管理機(jī)制對(duì)于保障系統(tǒng)和數(shù)據(jù)安全、防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露有著十分重要的意義。會(huì)話安全管理實(shí)現(xiàn)的內(nèi)容包括：a） 支持TCP、UDP、ICMP、RawIP等IPv4報(bào)文的會(huì)話創(chuàng)建、會(huì)話狀態(tài)更新以及根據(jù)協(xié)議狀態(tài)設(shè)置超時(shí)時(shí)間。b） 支持應(yīng)用層協(xié)議的端口映射，允許為應(yīng)用層協(xié)議自定義對(duì)應(yīng)的非通用端口號(hào)，同時(shí)可以根據(jù)應(yīng)用層協(xié)議設(shè)置不同會(huì)話超時(shí)時(shí)間。c） 支持TCP、UDP、ICMP報(bào)文的校驗(yàn)和檢查。在校驗(yàn)和檢查失敗的情況下，不進(jìn)行會(huì)話的匹配或創(chuàng)建，而是由基于會(huì)話管理的其他業(yè)務(wù)來處理。d） 支持ICMP差錯(cuò)報(bào)文的映射，可以根據(jù)ICMP差錯(cuò)報(bào)文的內(nèi)層報(bào)文查找原始的會(huì)話。另外，由于差錯(cuò)報(bào)文都是由于某主機(jī)出錯(cuò)后產(chǎn)生的，因而可以加速該原始會(huì)話的超時(shí)老化。e） 支持應(yīng)用層協(xié)議（如FTP等協(xié)議）的控制通道和動(dòng)態(tài)數(shù)據(jù)通道的會(huì)話管理。f） 實(shí)現(xiàn)根據(jù)連接狀態(tài)信息動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻進(jìn)入內(nèi)部區(qū)域，以便阻止惡意的入侵。桌面虛擬化控制桌面虛擬化是指將計(jì)算機(jī)的桌面進(jìn)行虛擬化，以達(dá)到桌面使用的安全性和靈活性。桌面虛擬化是支持企業(yè)級(jí)實(shí)現(xiàn)桌面系統(tǒng)的遠(yuǎn)程動(dòng)態(tài)訪問與數(shù)據(jù)中心統(tǒng)一托管的技術(shù)，可以運(yùn)行用戶通過瘦客戶端在任何地點(diǎn)，任何時(shí)間訪問在網(wǎng)絡(luò)上的專屬的個(gè)人桌面系統(tǒng)。以托管服務(wù)的形式交付桌面可以創(chuàng)建更加靈活的IT基礎(chǔ)架構(gòu)，從而可以幫助企業(yè)更迅速地響應(yīng)市場(chǎng)變化和機(jī)遇。更快和更加一致地將應(yīng)用程序和桌面部署到更多類型的客戶端，從而在提高服務(wù)級(jí)別的同時(shí)降低成本。延長(zhǎng)舊版應(yīng)用程序的使用壽命，并通過應(yīng)用程序虛擬化來消除安裝沖突。對(duì)于遠(yuǎn)程辦公室和分支機(jī)構(gòu)，將您的桌面移到云中，并在任何需要的地點(diǎn)以托管服務(wù)的形式交付它們，同時(shí)保持所需的控制力和安全性。在桌面虛擬化中存在的主要安全問題包括域管理和準(zhǔn)入控制問題。隨著桌面虛擬化的引入，每個(gè)用戶至少多了兩個(gè)操作系統(tǒng)實(shí)例（瘦客戶機(jī)和虛擬桌面），即需要登錄到瘦客戶機(jī)，同時(shí)虛擬桌面也必須加入域才能夠正常工作。云計(jì)算環(huán)境中虛擬桌面端運(yùn)行在數(shù)據(jù)中心，而瘦客戶端接入設(shè)備則可以運(yùn)行在不同的地域，因而位于不同的局域網(wǎng)中，所以需要VPN等關(guān)鍵技術(shù)支持。1）隧道技術(shù)企業(yè)網(wǎng)內(nèi)一個(gè)局域網(wǎng)的數(shù)據(jù)透明的穿過公用網(wǎng)到達(dá)另一個(gè)局域網(wǎng)，虛擬專用網(wǎng)采用了一種稱之為隧道（Tunneling）的技術(shù)。作為VPN關(guān)鍵技術(shù)中最為重要的一項(xiàng)，隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。利用它可在一條廣域鏈路上，從數(shù)據(jù)源到目的節(jié)點(diǎn)之間建立一條隧道。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將其它協(xié)議的數(shù)據(jù)幀或包重新封裝，然后通過隧道發(fā)送。新的幀頭提供路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞，到達(dá)目的節(jié)點(diǎn)，然后進(jìn)行解封，獲得原始數(shù)據(jù)包。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。隧道所使用的傳輸網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò)。隧道技術(shù)包含了數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過程。如果將加密技術(shù)引入隧道協(xié)議，即數(shù)據(jù)包經(jīng)加密后按隧道協(xié)議進(jìn)行封裝，沿隧道傳輸，就可以確保其安全性，從而在一條不安全的共享鏈路上建立一條能確保數(shù)據(jù)安全的有效通道，達(dá)到延伸網(wǎng)絡(luò)的目的。通過隧道的建立，可實(shí)現(xiàn)：將數(shù)據(jù)流強(qiáng)制送到特定的地址、隱藏私有的網(wǎng)絡(luò)地址、在IP網(wǎng)上傳遞非IP數(shù)據(jù)包和提供數(shù)據(jù)安全支持。目前常用的安全隧道技術(shù)有：點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP、二層隧道協(xié)議L2TP以及IP安全協(xié)議IPSec,出于對(duì)安全性和可擴(kuò)展性等方面的綜合考慮，本云平臺(tái)將采用目前主流的IPSec技術(shù)。用戶認(rèn)證技術(shù)用戶認(rèn)證技術(shù)(UserAuthenticationTechnology)是指在隧道連接正式開始之前確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實(shí)施資源訪問控制或用戶授權(quán)(Authorization)o認(rèn)證協(xié)議一般都要采用一種稱為摘要的技術(shù)。摘要技術(shù)主要是采用HASH函數(shù)將一段長(zhǎng)度可變的長(zhǎng)報(bào)文通過函數(shù)變換，映射為一段長(zhǎng)度固定的短報(bào)文即摘要。由于HASH函數(shù)的特性，使得要找到兩個(gè)不同的報(bào)文具有相同的摘要是非常困難的。該特性使得摘要技術(shù)在VPN中有兩個(gè)用途，即驗(yàn)證數(shù)據(jù)的完整性以及用戶認(rèn)證。常用的HASH函數(shù)有MD5，SHA-1等。在IPSecVPN中缺省的認(rèn)證算法HMAC-MD5和HAC-SHA1oHMAC表示“散列信息認(rèn)證碼(HashedMessageAuthenticationCode)”。MD5是"消息摘要5(MessageDigest5)”算法，SHAI是"安全散列算法(SecureHashAlgorithmVersion1)"。HMAC連續(xù)兩次應(yīng)用同一種傳統(tǒng)的基于密鑰的消息校驗(yàn)碼，第一次利用密鑰對(duì)數(shù)據(jù)加密，第二次是對(duì)上次的輸出結(jié)果加密。根據(jù)所使用的基本的消息校驗(yàn)碼的不同，對(duì)這種算法可有不同的稱號(hào)，如：HMAC-MD5和HMAC-SHA等。HMAC-MD5和HMAC-SH是MD5和SHA的HMAC變體，比MD5和SHA更為強(qiáng)壯，HMAC-MD5生的摘要長(zhǎng)度為128位，而HMAC-SHA產(chǎn)生的摘要長(zhǎng)度為160位。由于用戶認(rèn)證技術(shù)相對(duì)成熟，將采用現(xiàn)有的技術(shù)進(jìn)行集成。數(shù)據(jù)加密技術(shù)當(dāng)數(shù)據(jù)包傳遞時(shí)，數(shù)據(jù)加密技術(shù)用來隱藏?cái)?shù)據(jù)包。如果數(shù)據(jù)包通過不安全的Internet，那么即使已經(jīng)建立了用戶認(rèn)證，VPN也不完全是安全的。因?yàn)槿绻麤]有加密的話，普通的嗅探技術(shù)也能捕獲數(shù)據(jù)包，甚至更改信息流。所以在隧道的發(fā)送端，認(rèn)證用戶要先加密，再傳送數(shù)據(jù)；在接收端，認(rèn)證用戶后再解密。同時(shí)，大多數(shù)的隧道協(xié)議沒有指出使用哪種加密和認(rèn)證技術(shù)，這使得在加密和認(rèn)證技術(shù)上存在著許