华为云计算安全解决方案0903

华为云计算安全解决方案HUAWEITECHNOLOGIESCO.,LTD.Huaweiproprietary.Nospreadwithoutpermission.Page1特权用户安全概述1234虚拟化平台安全Content多租户网络安全HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential信息安全概述信息安全定义：对信息系统的软硬件以及数据信息实施安全防护，保证在意外事故或恶意攻击情况下系统不会遭到破坏、敏感数据信息不会被篡改和泄漏，保证信息的机密性、完整性、可用性和可控性，并保证系统能够正常运行，信息服务功能不中断。信息安全面临的威肋：信息泄漏、非法使用、窃听、篡改、假冒、重放、抵赖等。计算机信息系统的安全目标是：非法用户进不了系统进不来非授权用户拿不到信息拿不走重要信息加密，非授权者看到了也看不懂看不懂非授权用户一旦进入系统或违规操作，必将留下痕迹，无法逃脱走不脱即便有信息被拿走或篡改了，系统的安全机制将自动产生相关记录和证据赖不掉信息安全认识发展过程：信息保密信息保护信息保障（纵深防御）HUAWEITECHNOLOGIESCO.,LTD.Huaweiproprietary.Nospreadwithoutpermission.Page3云计算带来新的安全威肋◆身份与安全管理应用系统和资源所有权的分离，导致云平台管理员可能访问用户数据◆应用与数据安全不同安全需求的租户可能运行在同一台物理机上，传统安全措施难以处理◆系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间，其设计和实现中存在漏洞风险◆网络与边界安全网络边界的模糊化，传统的边界防护手段在虚拟网络中无法直接使用。除传统威胁外，虚拟化、多租户和特权用户问题使得云IDC面临更大风险！纵深防御：端管云协同的安全解决方案Page4云平台客户端软件网络应用桌面应用终端安全多种用户接入认证（密码/Ukey/指纹）国内UBKey身份网关集成，单点登录防止非法TC接入(标识/证书校验)传输通道SSL加密接入控制/传输安全物理/虚拟防火墙虚拟机安全组安全接入网关平面隔离入侵检测防护网络安全文件加密及权限控制VM磁盘加密/文件保密柜数据容灾备份虚拟机终端安全管理系统剩余数据彻底删除（磁盘/内存）数据安全操作系统/数据库加固防病毒安全补丁虚拟化隔离Web安全云平台安全统一账户管理及认证日志审计堡垒主机，集中的维护入口和审计分权分域三权分立运维管理安全USB端口策略管控TC系统只读（重启系统复原）补丁和升级管理防截屏高度的系统裁剪和加固桌面终端接入、网络平台、数据管理用户验证信息用户个人数据企业办公数据运维人员UserAUserBHUAWEITECHNOLOGIESCO.,LTD.Huaweiproprietary.Nospreadwithoutpermission.Page5特权用户管理安全概述1234虚拟化平台安全Content多租户网络安全HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential云计算的本质:一台超级计算机,两层OS架构1.从云平台的角度：虚拟机是云计算操作系统的一个应用2.从虚拟机的角度：云计算操作系统就是原来的硬件层云计算安全的核心控制点在云操作系统云操作系统需要安全可控硬件资源操作系统系统软件应用软件云计算硬件资源操作系统APPOS系统软件应用软件传统PC系统架构云计算操作系统CloudOS云计算系统架构操作系统APPOS系统软件应用软件VM1VM2Page6HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialCPU虚拟化及安全性保证传统X86架构的CPU指令分为Ring0-Ring34个特权级别，（Ring0用于运行操作系统内核、Ring3用于应用程序），从而实现操作系统与应用程序之间的隔离虚拟化环境下，支持虚拟化的CPU对指令集进行了扩展，对指令的优先级增加了一个维度：ROOT模式和非ROOT模式，其中ROOT模式属于CloudOS的指令CloudOS负责CPU指令在ROOT模式和非ROOT模式的切换，以及维护不同VM之间非ROOT模式下指令的调度只要CloudOS是安全可信的，指令的优先级以及不同VM之是的指令隔离就能得到保证Page7HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential内存虚拟化及安全性保证内存虚拟化共涉及到三个内存地址：•机器地址（真实物理内存地址）•虚拟机物理地址•应用程序使用地址虚拟机物理地址与应用程序使用地址之间的映射关系是由APPOS维护的CloudOS是建立和维护不同VM的虚拟机物理地址与机器地址之间的映射关系，并根据这个映射关系提供内存路由控制，防止不同VM之间内存地址的非法访问只要CloudOS是安全可信的，就能限制VM只能访问为其分配的内存，不同VM之间的内存隔离就能得到保证云计算硬件资源操作系统APPOS系统软件应用软件云计算操作系统CloudOSVM1VM2操作系统APPOS系统软件应用软件虚拟机物理地址虚拟机物理地址机器地址Page8HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential存储虚拟化及安全性保证GuestOS存储设备(逻辑卷,如/dev/sda)VM1GuestOS存储设备(逻辑卷,如/dev/sdb)VM2Back-EndDriverSCSIDriverIPSANController后端存储系统CloudOSLUN1LUN2Disk存储系统创建逻辑卷，并维护逻辑卷与磁盘条带化之间的对应关系，这是存储系统的基本功能CloudOS是建立和维护不同的VM与后端存储系统逻辑卷之间的映射关系，并根据这个映射关系提供存储路由控制，防止不同VM之间逻辑卷的非法访问只要CloudOS是安全可信的，VM就只能访问分配的逻辑卷，不同VM之间的存储隔离就能得到保证。Page9HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential网络虚拟化及安全性保证虚拟网卡有独立的MAC和IP地址，从物理服务器以外的网络上看，与物理的服务器是相同的；vSwitch为交换型（非共享型）交换机，不同VM的数据包被转发到指定的虚拟端口；在Hypervisor层禁止虚拟网卡工作在“混杂模式”，用户无法手动打开，因此无法通过TCPDUMP或者嗅探软件获取同一台物理宿主机上的其它用户VM的数据包；虚拟机的IP地址和MAC地址绑定，防止IP地址欺骗和ARP地址欺骗；在物理服务器内部，VM之间隔离与互通的控制在vSwitch上实现：不同VLAN的通信流量导出到网关；同一VLAN的通信流量直接交换，但接受安全组的安全策略检查；APPOSAppvSwitch（vFW）APPOSAppCloudOS物理网卡VMVMVMVMVMVMVMVM安全组1安全组2安全组3虚拟网卡虚拟网卡HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialCloudOS传统安全手段：系统加固+补丁由于软件存在bug，在安全上就可能引起相应的漏洞，通过对操作系统、数据库、应用的加固以及补丁管理，可以修补这些漏洞通过严格的服务裁剪、网络端口扫描、操作权限及访问控制等措施，保证主机平台对外安全可靠完整性保护安全测试安全配置系统加固操作系统加固数据库加固应用加固（Web加固）加固领域加固流程具体方法裁撤不必要的组件、服务等代码遵从代码规范遵从业界配置加固规范，如CIS采用业界扫描工具如Appscan完整性校验工具实现审查代码安全最小化裁剪补丁管理防病毒HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential遵守IPD安全研发流程，实现业界最佳的安全质量Page12安全活动DCP/TR检查点IPD安全活动融入决策检查点，合同和技术评审/其他评审或检查点安全需求安全设计安全开发安全测试安全交付和维护安全需求分析安全威胁分析安全架构/特性设计开源第三方软件选型代码安全检视代码安全扫描报告安全测试方案和用例安全测试报告（包括开源软件）安全补丁（含开源软件及第三方软件)软件外包(安全需求传递，设计评审，代码安全审查，安全测试验收）配置管理(代码，文档，研发工具，开源软件)安全基线、规范、标准、指导书ConceptTR1PlanTR2TR3DevelopmentTR4TR4ATR5QualifyTR6LaunchGALifecycleCharterCDCPPDCPADCPPage12通过安全加固和IPD安全研发流程，使安全漏洞尽可能的少。但是根据摩菲定律：“所有程序都有缺陷”，软件的漏洞，不可能完全没有。需要一种机制，保证即使漏洞被发现，也不会造成后果。HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidentialCloudOS提供基于硬件的安全保证在系统中引入可信任的TPM芯片，软硬件配合保护云环境的安全可信！虚拟化平台/HypervisorTPM可信度量根（可选2）：IntelTXT安全扩展度量/信任链传递保存度量值报告度量值/可信状态可信存储根可信报告根应用程序/虚拟机CPUBIOS硬件ROM引导扇区/Bootloader计算节点可信验证服务器虚拟化管理服务器可信度量根（可选1）:UEFIBIOS安全启动利用服务器上TPM芯片，提供ClouldOS完整性保护方案，实现云平台的可信启动和可信运行符合TPM1.2和TPM2.0规范其中TPM2.0支持中国商密算法SMx，满足国内合规性要求支持基于UEFIBIOS安全启动机制、或Intel可信执行技术（TXT）特点Page13HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential关注点1：内存共享模式下，内存重分配清“0”VM1VM2物理内存释放的内存在hypervisor内清零后再分配计算机的内存一般在未掉电或重新刷新的情况下会保留上个阶段运算的信息。在云计算环境下内存的动态分配对安全是个极大威胁，许多高等级的攻击极有可能利用剩余信息通过极其复杂的技术来获得其它用户的敏感信息，虽然这种攻击的构建成本会较高，但是通过适当的技术可以有效地消除这种风险：在云操作系统将内存重新分配给用户的时候，云操作系统会对分配的内存作写“零”处理，从而保障在新启动的VM中恶意内存检测软件无法检测到有用信息。Page14HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential关注点1：内存分配模式根据安全要求可配置VSApp虚拟化层物理硬件AppAppApp虚拟机内存独占式分配2G2G2G2G所需内存：8G物理硬件App虚拟化层AppAppApp虚拟机内存共享式分配2G2G2G2G所需内存：6G内存共享，写时复制VM1VM2VM3物理内存内存置换DiskVMVM内存气泡VM1VM2内存气泡空闲已使用已使用空闲智能复用内存独占模式：可以阻止内存复用，每个虚拟化之间内存完全物理分开，安全性最高。牺牲VM密集度和内存交换效率（约30%）换安全。内存共享模式：回收客户机物理内存时内存清“0”技术特点Page15HUAWEITECHNOLOGIESCO.,LTD.HuaweiConfidential关注点2：存储安全：用户剩余信息彻底清除、不留痕业界模式：虚拟卷通过格式化方式清除数据，不彻底，可恢复，存在信息泄漏风险用户A1租用2使用3退租4租用虚拟卷对虚拟卷每一个物理Bit位清“零”华为模式：对销户虚拟卷采用物理Bit清零措施，确保数据不可恢复，杜绝信息泄漏风险用户A1租用2使用3退租用户B4租用5使用恢复软件，获取数据虚拟卷虚拟卷格式化，数据未完全清除风险安全用户BPage16123@@#@！123@@#@！123#@！123@@#@！00000000HUAWEITECHNOLO