华为FusionSphere 6.0 云套件安全技术白皮书(云数据中心)
?
内部公开
运维管理安全
从帐号密码、用户权限、日志、传输安全等方面增强日常运维管理方面的安全措施。
除上述安全方案外,还通过修复Web应用漏洞、对操作系统和数据库进行加固、安装安全补丁和防病毒软件等手段保证各物理主机的安全。
2.2 FusionSphereOpenstack安全框架
FSO(FushionSphereOpenstack)是基于OpenStack开源社区版本构建的云服务平台,实现云平台的计算、网络、存储资源的管理和分配。FSO对外提供管理接口(REST API),以及用户身份的认证过程。
2.3 网络安全
2.3.1 网络平面隔离
将FushionSphereOpenstack的网络通信平面划分管理网络、租户网络、存储网络,网络之间采用VLAN隔离。。各个租户的网络采用VXLAN隔离。通过网络平面隔离保证管理平台操作不影响业务运行,最终用户不能破坏基础平台管理。 FushionSphereOpenstack的网络平面隔离如图2-2所示。 图2-2 网络平面隔离示意图
?
租户网络
文档版本V1.0 (2016-04-304)
华为专有和保密信息 版权所有 ? 华为技术有限公司
6
华为FusionSphere 6.0 云套件安全技术白皮书(云数据中心)
内部公开
为用户提供业务通道,为虚拟机之间通信平面,对外提供业务应用。
每个租户下可创建多个租户网络,租户下的虚拟机可接入租户网络,实现虚拟机之间的互通
?
存储网络
为块存储设备提供通信平面,并为虚拟机提供存储资源,但不直接与虚拟机通信,而通过虚拟化平台转化。
?
管理网络
负责整个云计算系统的管理、业务部署、系统加载等流量的通信。
2.3.2 VLAN隔离
通过虚拟网桥实现虚拟交换功能,虚拟网桥支持VLAN tagging功能,实现VLAN隔离,确保虚拟机之间的安全隔离。
虚拟网桥的作用是桥接一个物理机上的虚拟机实例。虚拟机的网卡eth0,eth1,?,称为前端接口(front-end)。后端(back-end)接口为vif,连接到Bridge。这样,虚拟机的上下行流量将直接经过Bridge转发。Bridge根据mac地址与vif接口的映射关系作数据包转发。
Bridge支持VLAN tagging功能,这样,分布在多个物理机上的同一个虚拟机安全组的虚拟机实例,可以通过VLAN tagging对数据帧进行标识,网络中的交换机和路由器可以根据VLAN标识决定对数据帧路由和转发,提供虚拟网络的隔离功能。 图2-3 VLAN组网图
如图所示,处于不同物理服务器上的虚拟机通过VLAN技术可以划分在同一个局域网内,同一个服务器上的同一个VLAN内的虚拟机之间通过虚拟交换机进行通信,而不同服务器上的同一VLAN内的虚拟机之间通过交换机进行通信,确保不同局域网的虚拟机之间的网络是隔离的,不能进行数据交换。
文档版本V1.0 (2016-04-304)
华为专有和保密信息 版权所有 ? 华为技术有限公司
7
华为FusionSphere 6.0 云套件安全技术白皮书(云数据中心)
内部公开
2.3.3 安全组
图2-4 安全组示意图
用户根据虚拟机安全需求创建安全组,每个安全组可以设定一组访问规则。当虚拟机加入安全组后,即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全组来对自身的虚拟机进行安全隔离和访问控制。
同一个安全组中的虚拟机可能分布在多个物理位置分散的物理机上,一个安全组内的虚拟机之间是可以相互通信,而不同的安全组之间的虚拟机默认是不允许进行通信的,可配置为允许通信。
2.3.4 防IP及MAC仿冒
通过IP和MAC绑定方式实现:防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击,增强用户虚拟机的网络安全。
2.3.5 DHCP隔离
支持对虚拟机的DHCP隔离,禁止用户虚拟机启动DHCP Server服务,防止用户无意识或恶意启动DHCP Server服务,影响正常的虚拟机IP地址分配过程。
2.4 虚拟化安全
Hypervisor能实现同一物理机上不同虚拟机之间的资源隔离,避免虚拟机之间的数据窃取或恶意攻击,保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时,仅能访问属于自己的虚拟机的资源(如硬件、软件和数据),不能访问其他虚拟机的资源,保证虚拟机隔离安全。虚拟机隔离如图所示。
文档版本V1.0 (2016-04-304)
华为专有和保密信息 版权所有 ? 华为技术有限公司
8
华为FusionSphere 6.0 云套件安全技术白皮书(云数据中心)
内部公开
图2-5 虚拟机相关资源隔离
2.4.1 vCPU调度隔离安全
X86架构为了保护指令的运行,提供了指令的4个不同Privilege特权级别,术语称为Ring,优先级从高到低依次为Ring 0(被用于运行操作系统内核)、Ring 1(用于操作系统服务)、Ring 2(用于操作系统服务)、Ring 3(用于应用程序),各个级别对可以运行的指令进行限制。vCPU的上下文切换,由Hypervisor负责调度。Hypervisor使虚拟机操作系统运行在Ring 1上,有效地防止了虚拟机Guest OS直接执行所有特权指令;应用程序运行在Ring 3上,保证了操作系统与应用程序之间的隔离。
2.4.2 内存隔离
虚拟机通过内存虚拟化来实现不同虚拟机之间的内存隔离。内存虚拟化技术在客户机已有地址映射(虚拟地址和机器地址)的基础上,引入一层新的地址——“物理地址”。在虚拟化场景下,客户机OS将“虚拟地址”映射为“物理地址”;Hypervisor负责将客户机的“物理地址”映射成“机器地址”,实际物理地址后,再交由物理处理器来执行。
2.4.3 内部网络隔离
Hypervisor提供虚拟防火墙——路由器(VFR,Virtual Firewall - Router)的抽象,每个客户虚拟机都有一个或者多个在逻辑上附属于VFR的网络接口VIF(Virtual Interface)。从一个虚拟机上发出的数据包,先到达Domain 0,由Domain 0来实现数据过滤和完整性检查,并插入和删除规则;经过认证后携带许可证,由Domain 0转发给目的虚拟机;目的虚拟机检查许可证,以决定是否接收数据包。
文档版本V1.0 (2016-04-304)
华为专有和保密信息 版权所有 ? 华为技术有限公司
9
华为FusionSphere 6.0 云套件安全技术白皮书(云数据中心)
内部公开
2.4.4 磁盘I/O隔离
华为Hypervisor采用分离设备驱动模型实现I/O的虚拟化。该模型将设备驱动划分为前端驱动程序、后端驱动程序和原生驱动三个部分,其中前端驱动在GuestOS中运行,而后端驱动和原生驱动则在HostOS中运行。前端驱动负责将GuestOS的I/O请求传递到HostOS中的后端驱动,后端驱动解析I/O请求并映射到物理设备,提交给相应的设备驱动程序控制硬件完成I/O操作。换言之,虚拟机所有的I/O操作都会由Hypervisor截获处理;Hypervisor保证虚拟机只能访问分配给它的物理磁盘空间,从而实现不同虚拟机存储空间的安全隔离。
2.5 数据安全
2.5.1 数据访问控制
系统对每个卷定义不同的访问策略,没有访问该卷权限的用户不能访问该卷,只有卷的真正使用者(或者有该卷访问权限的用户)才可以访问该卷,每个卷之间是互相隔离的。
2.5.2 剩余信息保护
对高安全要求的场景,保证数据的安全,支持在卷回收时默认对逻辑卷的所有bit位进行清零。在非高安全场景,系统可配置为将逻辑卷的前10M空间进行清零。
数据中心的物理硬盘更换后,需要数据中心的系统管理员采用消磁或物理粉碎等措施保证数据彻底清除。
2.5.3 数据备份
FushionSphereOpenstack的数据存储采用多重备份机制,每一份数据都可以有一个或者多个备份,即使存储载体(如硬盘)出现了故障,也不会引起数据的丢失,同时也不会影响系统的正常使用。
系统对存储数据按位或字节的方式进行数据校验,并把数据校验信息均匀的分散到阵列的各个磁盘上;阵列的磁盘上既有数据,也有数据校验信息,但数据块和对应的校验信息存储于不同的磁盘上,当某个数据盘被损坏后,系统可以根据同一带区的其他数据块和对应的校验信息来重构损坏的数据。
2.5.4 控制台登录虚拟机支持密码认证
用户通过控制台访问虚拟机时,支持密码认证。虚拟机的控制台登录密码是在创建虚拟机时随机创建的。通过控制台,用户只能访问自己创建的虚拟机。
2.6 运维管理安全
在运维管理方面,主要的安全威胁包括:
? ?
管理员权限不支持精细化控制;
采用弱密码,且长期不进行修改,导致密码泄露;
华为专有和保密信息 版权所有 ? 华为技术有限公司
10
文档版本V1.0 (2016-04-304)