1、构建安全的云计算平台架构 概述概述 云平台基础架构安云平台基础架构安全全 云用户数据安全云用户数据安全 云平台运营管理安云平台运营管理安全全 云平台安全实践云平台安全实践目录目录概述概述PART随着用户对云接受程度的增加和云计算商业模式的成1熟,越来越多的个人和企业都开始使用云。移动、大数据、物联网、社交等应用类的发展带动云发展的同时也给云带来了安全方面的巨大挑战。云计算相对于传统的计算,使用模式发生了革命性的变化,安全也随之发生很大变化:威胁更多,攻击面更大,目标价 值更高,影响面更广。因此对于安全防范也面临新的 挑战,本议题主要深入分享包括物理安全、数据安全、 计算安全、网络安全、威胁分析
2、、防护探讨等一系列 问题。2PART 云平台基础架构安全云平台基础架构安全 云平台整体架构安云平台整体架构安全全 云平台虚拟化安全云平台虚拟化安全云平台整体架构安全云平台整体架构安全云平台整体架构安全既包括云平台物理架构的安全,也包含云平台虚 拟架构的安全。云平台物理架构安全包含机房的安全,云平台物理网络架构的安全,在物理网络架构安全设计中要包含防范各种各样的威胁,如病毒,木马,DDos 攻击,Web 攻击等。云平台虚拟架构的安全中,传统的安全设备可能使不上力,比如同一 宿主机上的虚机之间的安全访问,这就要借用虚拟防火墙。在云平台虚拟 架构的安全设计中,我们将网络安全设备资源池化,形成一个资源
3、池,在 需要安全的地方调用合适的安全资源。且这种安全设备资源池化后,具有 弹性扩展功能,更能适应云平台的弹性伸缩的架构。统一网络架构统一网络架构物理网络平台安全物理网络平台安全云平台整体架构安全云平台整体架构安全虚拟网络平台安全虚拟网络平台安全防防Ddos安全设计安全设计呼呼 唤唤云平台整体架构安全云平台整体架构安全数据管理 可信管理CORE SWCORE SWHypervisorVMVMVMvSwitchLBTORTORTORVXLAN NetworkWANHypervisorVMVMVMvSwitchVXLAN、VTEP、GW统一管理业务东西流量管理业务南北流量管理网络管理控制中心Open
4、Flow + OVSDBOpenFlow + Netconf服务器FWRouterOpenStackNeutron ServerNova VM Plug-inNET Plug-invRoutervRouter创建网络:VXLANvRouter创建将Subnet绑定到对应的vRouter同一个subnet的网关逻辑上分散在各个VTEP上vRoutervRoutervRouterDDosWAFVMVMVM多租户虚拟机云平台整体架构安全云平台整体架构安全-统一的网络构架统一的网络构架云平台整体架构安全云平台整体架构安全-物理网络平台安物理网络平台安全全网络防护层通过 抗DDOS设备对 进入数据中心的
5、 流量进行清洗, 下一代防火墙 和WAF能对3层到7层数据进行。 安全过滤。核心交换机间通 过虚拟化成一台 设备,保证网络 的高可用性。做到Hypervisor、 虚机安全;用户 数据的安全隔离; 存储资源重分配 之前信息删除。云平台整体架构安全云平台整体架构安全-DDOSDDos攻击介绍:指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一 个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。防DDos攻击方法:攻击者控制多台傀儡机从世界各地向攻击目标发动攻击,其实攻击的是 我们在各个数据中心部署的CDN网络,CDN中的流量检测设备检测到后,送 给清洗设备,清洗后的流
6、量就送给攻击目标,这样就减轻了攻击目标的压力。云平台整体架构安全云平台整体架构安全-DDOS攻击攻击DC1DC3DC2傀儡机攻击者流量清洗流量清洗CDNCDNDC N流流量量清清洗洗C D N流量流量清清洗洗攻击目标DWDM流量清洗流量清洗云平台整体架构安全云平台整体架构安全-虚拟网络平台安虚拟网络平台安全全HypervisorVTEPVM1VM2VM3HypervisorVTEPVM1VM2VM3vxlan gatewayvIPS,vWAF,vAuditvFWCore vxlan gatewayCore vxlan gatewayFWFWAnti-DDOSAnti-DDOSVxlan 网络i
7、nternet物理硬件设备(CPU、内存、网卡、硬盘)虚拟安全应用池VM根据自身的安全 需要,通过调用虚 拟安全池中的虚拟 安全防护设备对自 身进行安全防护。Hypervisor层安 全控制:通过调 用Hypervisor层 的 API,在VM访 问物理硬件 资 源时进行安全控制。物理层 网络防护云平台虚拟化安全云平台虚拟化安全同台物理机器上运行多台虚拟机,共用cpu资源,实现对CPU指令 集的扩展和虚拟机运行模式的控制。内存安全同台物理机器上运行多台虚拟机,多台虚拟机共享使用物理主机的 内存空间。存储安全虚拟机镜像无论在静止还是运行状态都有被窃取或篡改脆弱漏洞。对 应的解决方案是在任何时候对
8、虚拟机镜像进行加密和逻辑镜像隔离。网络安全虚拟化对网络安全带来巨大的威胁,虚拟机间可能通过内存而不是网 络进行通讯,因此这些通讯流量对标准的网络安全控制来说是不可见的。云平台基础架安全云平台基础架安全-虚拟化安虚拟化安全全CPU虚拟化安全性保证虚拟化安全性保证内存虚拟化安全性保证内存虚拟化安全性保证虚拟化安全虚拟化安全存储虚拟化安全性保证存储虚拟化安全性保证网络虚拟化安全性保证网络虚拟化安全性保证呼呼唤唤虚拟化安全虚拟化安全-CPU虚拟化安全性保证虚拟化安全性保证 cpu 虚 拟 化 安 全 : 1.传统的软件辅助虚拟化使用优先级压 缩和二进制代码翻译相结合的方式来实 现完全虚拟化,但这种方式
9、存在虚拟化 漏洞。2.基于intel VT-x硬件虚拟化的技术, 对cpu的指令进行扩展,对指令的优先 级增加了一个维度,即root模式和非root模式,Hypervisor运行在root模式 下,客户虚拟机运行在非root模式,当 执行敏感指令时被Hypervisor截获,能 有效避免虚拟化漏洞。User AppsGuest OSHypervisorHost HardwardRing 3Ring 0Non-rootModeRing 2 Ring 1Root Mode虚拟化安全虚拟化安全-内存虚拟化安全性保内存虚拟化安全性保证证虚拟机运行时用到三种内存地址:1.虚拟机虚拟地址,虚拟机物理地址,
10、 主机物理地址。2.虚拟机的虚拟地址和虚拟机物理地址 是由虚拟机操作系统完成的,3.虚拟机物理地址和主机物理地址转换是由Hypervisor完成的。4.基于 intel VT-x的EPT技术,一方面 能加快内存访问的效率,另一方面能够限制vm只访问分配到的 内存,从而实现虚拟机之间的内存隔离。V MV M虚 拟 机 内 存物 理 地 址主 机 内 存虚拟化安全虚拟化安全-存储虚拟化安全性保存储虚拟化安全性保证证创建虚拟机系统盘和数据盘,维护磁盘 到后端存储的映射和磁盘数据加密的基 本功能 1.Hypervisor实现对不同虚拟机的逻辑 磁盘的管理和安全隔离。2.分布式存储实现一份数据保存多份,
11、防丢失。3.分布式存储实现所有数据故障的检测 和自动恢复。恢复不需要人工介入,在 恢复期间,可以保持正常的数据访问。VMHyperviso rOpenStackNovaNeutron ServerVM Plug-inNET Plug-inscsi- driver 分布式存 储数据加密管理 数据隔离 VM虚拟化安全虚拟化安全-网络虚拟化安全性保网络虚拟化安全性保证证虚拟网络安全性保证,不同租户创建不同的vlan网络:1.实现多虚拟化网络全方位的安全管 理功能,所有的虚拟机数据在没有流出网络之前都可以实现网络数据加密。2.Hypervisor实现高安全网络数据加 密功能。3.bridge实现网络的
12、安全访问控制。 4.br-int实现不同的vlan网络划分和 访问隔离。5.br-tun实现同其它物理机器和外网 的通信访问功能。VM 1VM 2租户2vethbridgebridgevethvethvethovsbr-intVM 1租户1bridgevethvethovsbr-tunvethpatch-tunpatch-intHypervisorPART 3云用户数云用户数据据安全安全云用户数据安全云用户数据安全在云中虚拟化的效率要求多个租户的虚拟机共存于同一物理资源上。 虽然传统的数据中心的安全仍然适用于云环境,物理隔离和基于硬件的 安全不能保护防止在同一服务器上虚拟机之间的攻击。管理访问
13、是通过互联网,而不是传统数据中心模式中所坚持的受控制 的和限制的直接连接或到现场的连接。这增加了风险和暴露,将需要对 系统控制和访问控制限制的变化进行严密监控。用户数据安全隔离用户数据安全隔离用户数据存储安全用户数据存储安全用户数据安全用户数据安全用户数据访问控制安全用户数据访问控制安全用户数据传输安全用户数据传输安全呼呼唤唤云用户数据安全云用户数据安全用户数据安全用户数据安全-创建多租户逻辑隔离的安全网创建多租户逻辑隔离的安全网络络租户租户1vRouterAPP, Network(VXLAN2) , subnetDB, Network(VXLAN3) , subnetVMVMVMWEB,Ne
14、twork(VXLAN1) , subnetExternal NetworkFWvFWvIPSvLB租户租户2WEB,Network(VXLAN4) , subnetvRouterAPP,Network(VXLAN5) , subnetDB, Network(VXLAN6) , subnetVMVMVMFWvFWvIPSvLB多租户基于OpenStack模型对 虚拟网络进行逻辑抽象vRouter代表逻辑三层网关网络,分散在各个虚拟设备上。Network,代表逻辑二层网 络,分配到不通的vlan网络。Subnet代表某个子网网段网络服务功能,为每个租户提供独立的FW、LB及NAT服 务租户之间相
15、互隔离,互不干 扰租租户户3WEB,Network(VXLAN7) , subnetvRouterAPP,Network(VXLAN8) , subnetDB, Network(VXLAN9) , subnetVMVMVMFWvFWvIPSvLB用户数据安全用户数据安全用户数据存储安用户数据存储安全全租用、使用abc123用户A退租000对虚拟卷每一个物理Bit位清 零用户B000租用安全对销户虚拟卷采用物理bit清零措施,确保 数据不可恢复,杜绝信息泄露风险用户数据安全用户数据安全用户数据安全控用户数据安全控制制vSwitch安全组策略执行VM VM VM安全组1vSwitch安全组策略执行
16、VM VM VM安全组2vSwitch安全组策略执行VM VM VM安全组3vSwitch安全组策略执行安全组策略管理host1host2host3host4核心交换接入交换 虚拟 接入 交换通过安全 组提供VM 粒度的隔离 机制,每个VM一组ACL, VM迁移时安全策 略自动刷新分布式控制 策略,报文 无需迂回到 集中的策略 控制点,避免形成性能(部署在VM上)瓶颈。用户数据安全用户数据安全用户数据传输安用户数据传输安全全用户在访问VPC的过 程中,会和数据中心 中的VFW建立vpn。 经过internet的数据都 将被加密。云平台运营管理安全云平台运营管理安全PART 4云平台运营管云平台
17、运营管理理安全安全云平台运营管理安全云平台运营管理安全用户管理:对用户帐号进行集中维护管理,为集中访问 控制、集中授权、集中审计提供可靠的原始数据。认证授权:建立统一、集中的认证和授权系统,以提高 访问的安全性。安全审计:建立安全审计系统,进行统一、完整的审计 分析,通过对操作、维护 等各类日志的安全审计,提高 对违规溯源的事后审查能力。管理流程:制定安全运营策略及安全维护规章要求。应急响应:制定数据中心安全事件应急响应机制及流程, 包括安全事件的等级 划分、处理流程、事件上报等规范要求。统一安全监控管理统一安全监控管理只需轻点只需轻点 鼠标,即鼠标,即 实现随时实现随时 随地引流随地引流Sw
18、itch1物理主机物理主机镜像口Switch2物理主机物理主机镜像口Switch3物理主机物理主机镜像口统一监控管理统一监控管理数据探针数据探针 服务器服务器数据探针数据探针 服务器服务器数据探针数据探针 服务器服务器流量分析流量分析 服务器服务器通通 过过 打打 隧隧 道道 的的 方方 式式 实实 现现 引引 流流, 沿沿 途途 设设 备备 无无 感感 知知云平台安全实践云平台安全实践云平台云平台 安安全实践全实践云平台安全实践云平台安全实践-新致云安全案新致云安全案例例外网的外网的syn攻击攻击某天新致云监控平台通过监控发现外网的机器发出惊人的syn 半连接,因为我们前期通过防火墙部署过syn过滤数,流量在进入到 我们真正的服务器前都被我们的流量清洗设备过滤了,然后将干净的 流量送到了真正的被攻击服务器。其实黑客攻击的是我们在各个数据 中心部署的CDN网络,CDN中的流量检测设备检测到后,送给清洗设 备,清洗后的流量就送给攻击目标,这样就减轻了攻击目标的压力。 事后,我们统计下来 ,这次我们的清洗设备挡住了将近百G的攻击。
