虚拟机基于CDN安全私有云

基于CDN的安全私有云

作者盛瀚北京银行。

摘要本文分析了私有云面临主要维威胁及相应提出的安全需求设计一套基于CDN的安全私有云平台架构包括智能WAF防火墙、智能蜜罐、分布式全流量检测取证、分布式云存储等关键技术。

关键词云安全私有云

1.云计算安全现状

云计算模式将数据统一存储在云计算服务器对核心数据进行集中管控比传统分布在大量终端上的数据行为更安全。数据的集中使得安全审计、安全评估、安全运维等行为更加简单易行同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战。全球领先的信息技术研究和顾问公司Gartner认为全球云安全服务将保持强劲增长势头在2017年达到59亿美元相比2016年增长21%。云安全服务市场的整体增速高于信息安全information s ecurity总体市场。Gartner预计云安全服务市场将在2020年接近90亿美元。

1.1.云计算面临的威胁

随着云提供商不断积累运营经验和技术的日益成熟云故障的频率和持续时间都在减少。但与此同时企业却在面对宕机的时候变得越来越脆弱依赖性也越来越高潜在的危害或者强烈的挫折感变得比以往任何时候都更大。总结回顾一下近期发生的云安全事件

2016年1月18日Microsoft Office 365的用户的电子邮件账户出现问题微软将故障归咎于一次错误的软件更新但是其初次修复的尝试并没有解决问题在最初的故障出现五天之后2月22日再次爆发了电子邮件故障。

2016年4月11日 Google Cloud Platform出现18分钟的中段影响到Comp ute Engine实例和所有地区的VPN服务。

2016年6月2日Apple云发生广泛的服务中断让Apple一些受欢迎的零售和备份服务服务都出现中断造成部分客户无法访问多个iCloud和App Store服务同时App Store、Apple TV App Store和Mac App Store、 iTunes和Apple基于云的图片服务都遇到了中断。

2017年2月28日晚8点39分百度移动端搜索发生故障搜索请求无法显示结果至晚9点21分恢复历时42分钟。

…

CSA云安全联盟列出的2016年“十二大云安全威胁”。依排序分别为1.数据泄露2.凭证被盗和身份验证如同虚设3.界面和API被黑

4.系统漏洞利用5.账户劫持6.恶意内部人士7.APT(高级持续性威胁)

寄生虫8.永久的数据丢失9.调查不足10.云服务滥用11.拒绝服务(DoS)攻击12.共享技术共享危险问题。

把云计算环境下的安全威胁细化并按系统保护的基本要求进行对应可得到如下的云计算环境下的具体安全威胁

(1)网络安全部分

业务高峰时段或遭遇DDoS攻击时的大流量导致网络拥堵或网络瘫痪

重要网段暴露导致来自外部的非法访问和入侵

单台虚拟机被入侵后对整片虚拟机进行的渗透攻击并导致病毒等恶意行为在网络内传播蔓延

虚拟机之间进行的ARP攻击、嗅探

云内网络带宽的非法抢占

重要的网段、服务器被非法访问、端口扫描、入侵攻击云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源

虚拟化网络环境中流量的审计和监控

内部用户或内部网络的非法外联行为的检查和阻断内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为

(2)主机安全部分

服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问的行为

对服务器、宿主机、虚拟机等进行操作管理时被窃听同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露

对服务器的Web应用入侵、上传木马、上传webshell等攻击行为

服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配臵和非必要端口的开放导致的非法访问和入侵

虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足

(3)资源抽象安全部分

虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用

虚拟资源不足导致非重要业务正常运作但重要业务受损缺乏身份鉴别导致的非法登录hypervisor后进入虚拟机通过虚拟机漏洞逃逸到hypervisor获得物理主机的控制权限

攻破虚拟系统后进行任易破坏行为、网络行为、对其它账户的猜解和长期潜伏

通过hypervisor漏洞访问其它虚拟机

虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取

虚拟机和备份信息在迁移或删除后被窃取

hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵

虚拟机可能因运行环境异常或硬件设备异常等原因出错而影响其他虚拟机

无虚拟机快照导致系统出现问题后无法及时恢复

虚拟机镜像遭到恶意攻击者篡改或非法读取

(4)数据安全及备份恢复

数据在传输过程中受到破坏而无法恢复

在虚拟环境传输的文件或者数据被监听

云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据

因各种原因或故障导致的数据不可用

敏感数据存储漂移导致的不可控

数据安全隔离不严格导致恶意用户可以访问其他用户数据为了保障云平台的安全必须有有效抵御或消减这些威胁或者采取补偿性的措施降低这些威胁造成的潜在损失。当然从安全保障的角度讲还需要兼顾其他方面的安全需求。

1.2.云计算安全需求与挑战

云计算平台是在传统IT技术的基础上增加了一个虚拟化层并且具有了资源池化、按需分配弹性调配高可靠等特点。因此

传统的安全威胁种类依然存在传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险从保障系统整体安全出发其面临的主要挑战和需求如下

法律和合规

动态、虚拟化网络边界安全

虚拟化安全

流量可视化

数据保密和防泄露

安全运维和管理

针对云计算所面临的安全威胁及来自各方面的安全需求需要对科学设计云计算平台的安全防护架构选择安全措施并进行持续管理满足云计算平台的全生命周期的安全。

2.基于CDN的安全私有云平台设计

2.1.系统架构

CDN的全称是Content D elivery N etwork即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节使内容传输的更快、更稳定。通过在网络各处放臵节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容解决I nt e rn et网

络拥挤的状况提高用户访问网站的响应速度。

基于CDN的安全私有云平台是针对CND特殊环境下对整个云端边界及核心应用集群进行综合安全防护的解决方案。整个平台由智能WAF防火墙系统、智能蜜罐系统、分布式全流量检测取证系统和分布式存储中心几部分构成。

整个平台的核心为分布式全流量检测取证系统当部署在边界的全流量感知到攻击行为时迅速通知分布式WAF设备将其链路阻断并行为全流量系统提交有关线索综合调度系统立即将对方流量劫持到蜜罐中记录其动作、捕捉其工具同时分析对方软件系统及网络环境。

基于CDN的安全云私有云平台总体架构如下图

图1安全云私有云平台总体架构

2.2.主要系统设计

全流量系统实时采集CDN的边界流量通过对协议还原进行数据建模实时提取疑似针对CDN边界网络的APT攻击渗透行为同时WAF设备与与全流量设备互相联动一旦获取全流量分析系统提取的攻击入侵样本及定位攻击源头分布式WAF设备将迅速对可疑的攻击行为进行快速阻断与报警提供详尽的攻击日志呈现。

安全云私有云平台通过与不同功能模块之间的数据交换与流动为数据、资源和能力的使用者提供统一透明的访问接口。并以可视化的方式进行安全威胁预警与展示。

主要功能包括

(1)基于CDN网络边界的WAF阻断系统提供Web应用攻击防护能力通过多种机制的分析检测够有效的阻断攻击保证Web应用合法流量的正常传输 同时针对各类安全攻击如SQL注入攻击、网页篡改、网页挂马等 WAF阻断系统根据最佳安全策略进行防护有效降低安全风险。

(2)基于CDN网络边界的蜜罐系统通过多个蜜罐系统构成一个黑客诱捕网络体系架构在保证网络的高度可控性的同时对整个攻击事件进行信息的采集和分析帮助WEB管理人员认知真实运用中存在的漏洞有效降低真实WEB应用的安全风险。

(3)基于CDN网络出口的分布式全流量检测取证系统在CDN流量下实现高速入侵渗透行为全流量检测通过对网络流量进行清洗和过滤将过滤后的统计流量和异常流量回传给数据分析中心快速发现和定位被入侵设备主机及时报警并进行相关流量的存储和关联。

(4)分布式云存储中心采用基于hadoop+elasticsearch+spark分布式模式进行存储与数据挖掘。建立一套基于Lucene的搜索服务器提供具有分布式多用户全文搜索等综合访问服务。