安全防范白皮书.pdf

华为云服务华为云服务 安全防范安全防范白皮书白皮书 文档版本文档版本 0 8 发布日期发布日期 2012 07 08 华为技术有限公司华为技术有限公司 文档版本 华为保密信息 未经授权禁止扩散 i 版权所有版权所有 华为技术有限公司华为技术有限公司 2012 保留一切权利 保留一切权利 非经本公司书面许可 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部 并不得以任何形式传 播 商标声明商标声明 和其他华为商标均为华为技术有限公司的商标 本文档提及的其他所有商标或注册商标 由各自的所有人拥有 注意注意 您购买的产品 服务或特性等应受华为公司商业合同和条款的约束 本文档中描述的全部或部分产品 服务 或特性可能不在您的购买或使用范围之内 除非合同另有约定 华为公司对本文档内容不做任何明示或暗示 的声明或保证 由于产品版本升级或其他原因 本文档内容会不定期进行更新 除非另有约定 本文档仅作为使用指导 本 文档中的所有陈述 信息和建议不构成任何明示或暗示的担保 华为技术有限公司 地址 深圳市龙岗区坂田华为总部办公楼 邮编 518129 网址 客户服务邮箱 support 客户服务电话 4008302118 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 2 页 共 20 页 前前 言言 概述 本文档主要描述了华为云公有云平台所有业务的简单说明 应用场景和客户价值 为客户呈现了华为云服务产品功能全貌 便于客户理解和认识公有云服务 符号约定 在本文中可能出现下列标志 它们所代表的含义如下 符号 说明 表示有高度潜在危险 如果不能避免 会导致人员死亡或 严重伤害 表示有中度或低度潜在危险 如果不能避免 可能导致人 员轻微或中等伤害 表示有潜在风险 如果忽视这些文本 可能导致设备损坏 数据丢失 设备性能降低或不可预知的结果 表示能帮助您解决某个问题或节省您的时间 表示是正文的附加信息 是对正文的强调和补充 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 3 页 共 20 页 修改记录 修改记录累积了每次文档更新的说明 最新版本的文档包含以前所有文档版本的更新内 容 文档版本 01 2012 07 08 第一次正式发布 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 4 页 共 20 页 前前 言言 2 1 华为云服务安全概述华为云服务安全概述 5 2 物理安全物理安全 6 2 1 门禁系统 6 2 2 环境监控系统 6 2 3 管理措施 7 3 华为云服务基础设施安全华为云服务基础设施安全 8 3 1 操作系统加固 8 3 2 数据库加固 8 3 3 安全补丁 9 4 网络安全网络安全 10 4 1 安全防护 10 4 2 网络隔离 10 4 3 内网隐藏 11 4 4 流量监测及流量清洗 11 4 5 入侵检测分析 12 4 6 传输安全 12 4 7 运维接入安全 12 5 安全管理安全管理 14 5 1 日志管理 14 5 2 安全告警管理 14 6 弹性计算云服务安全弹性计算云服务安全 16 6 1 云主机安全隔离 16 6 2 云主机数据安全 17 7 云存储服务安全云存储服务安全 18 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 5 页 共 20 页 1 华为云服务安全概述华为云服务安全概述 华为云服务提供具备高可用高可靠的可扩展的云计算平台服务 能够灵活的 为客户搭建大规模的应用 协助用户保证系统和数据的保密性 完整性和可用性 是华为云服务维护客户的信任和信心的关键 本文从物理安全 管理安全 基础 设施安全和网络安全及针对性的服务安全角度全面介绍华为云服务是如何提供 安全可靠的服务保障 为了保障华为云服务的安全 必须有一个完整的安全架构来全面考虑 避免 考虑不周 出现安全真空 华为安全架构层面主要采用了分层和纵深防御的思想 分层防御分层防御 Layered Defense 分层防御旨在采用多种方法 在网络中多个区 域执行安全性策略 从而确保网络中没有单点安全故障发生 纵深防御纵深防御 Defense in Depth 纵深防御思想使用多重防御策略来管理风险 以便在一层防御不够时 另一层防御将会阻止完全的破坏 华为云服务数据中心安全框架从分层 纵深防御思想出发 根据网络层次分 为物理 主机 虚拟化 网络 业务和数据 管理维护等几个层面 同时整体上 考虑满足合规性等需求 用来指导华为数据中心安全解决方案的设计 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 6 页 共 20 页 2 物理安全物理安全 华为云服务基础设施的各物理设备以及其所处的环境的安全 为了避免人为 破坏 环境因素等影响物理设备正常运转 需要把物理设备放置在封闭环境中 并且严格控制人员出入权限 另外 环境的温度 湿度 供电必须维持在设备正 常运转所需的范围 华为云服务基础设施的物理安全 主要通过门禁系统 环境监控 管理措施 等方面来保障 2 1 门禁系统 云计算系统所处的机房应部署门禁系统 严格审核人员的出入权限 以防止 人为破坏物理设备 门禁系统的部署通常包括如下手段 物理设备所处的机房与维护终端所处的机房最好分权限管理 门禁系统应处于正常关闭状态 严禁人为破坏方式导致门禁失效 2 2 环境监控系统 华为云服务云系统的物理机柜中部署了监控盒 实现了柜内统一管理 监控 盒为设备的正常运行提供一个安全可靠的运行环境 其功能特性如下 监控机柜环境 包括温湿度 水浸 烟雾 侵入等 管理机柜内整机部件 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 7 页 共 20 页 管理机柜资产以及整机部件资产 控制机柜内的精确送风 2 3 管理措施 物理安全除了在技术层面加以保障外 还需要通过严格的管理措施来对物理 设备所处的机房 环境进行管理 管理措施至少应包含如下 人员管理 包括安全制度宣传 安全措施培训等等 门禁权限管理 应有权限申请流程 权限注销流程 权限审核制度等等 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 8 页 共 20 页 3 华为华为云服务云服务基础基础设施设施安全安全 通过对华为云服务基础设施的安全保障 提高华为云服务的安全性及可用性 保证华为云服务服务质量和服务连续性 华为云服务基础设施层遭受的安全威胁 主要包括两类 传统的针对操作系统 数据库 Web的攻击 如黑客攻击 计算机病毒 木马程序 蠕虫 SQL注入攻击等 云计算系统特有的安全威胁 云计算系统的计算节点利用虚拟化技术为 大量用户弹性计算资源 虚拟管理层成为新增的高危区域 针对虚拟管 理层的攻击成为云计算系统特有的安全威胁 3 1 操作系统加固 华为云服务云系统由计算节点 存储节点 管理节点以及应用组件 如虚拟 桌面应用组件 构成 这些节点和组件在安装时均进行了安全加固操作 通过操作系统裁剪 系统安全配置以及完整性保护 对计算 存储 管理节点的 安全加固 通过操作系统站好的口令安全配置 服务安全配置以及文件及目录的权限配置 提供应用组件操作系统安全加固 3 2 数据库加固 华为云服务云计算系统对所使用的数据库采用了一系列加固策略 保障数据 库的安全可靠 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 9 页 共 20 页 3 3 安全补丁 软件因自身设计缺陷而存在很多漏洞 需要定期为系统安装安全补丁以修补 这些漏洞 以防止病毒 蠕虫和黑客利用操作系统漏洞对系统进行攻击 华为云 服务云计算系统安全补丁的安装分为两类 云计算平台的 Linux 操作系统补丁安 装和应用组件的 Windows 2003 服务器的补丁安装 华为云服务的云计算平台的管理节点中部署了补丁服务器实现云计算平 台自动安装安全补丁 华为云服务针对提供应用服务的应用组件提供操作系统终端安全管理系 统进行服务器系统补丁安全补丁 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 10 页 共 20 页 4 网络安全网络安全 华为云服务通过采用华赛的高端安全产品 edeumon 系列产品 以及通过与华 赛在云数据中心上定制化的解决方案与定制化安全设备的研发形成对云数据中 心的网络安全的完整保障 为了抵御数据中心网络可能遭受的各种类型的 DOS 攻击和用户数据遭窃听 和篡改等安全威胁 华为云服务与华赛精诚合作从 网络隔离 攻击防护 传输 安全 等多个角度考虑 共同为华为云服务数据中心打造一个安全的网络环境 4 1 安全防护 华为云服务数据中心与华赛紧密合作 采用华赛的高端防火墙是业界领先的 状态防火墙 主要体现在性能 功能和可靠性方面 在状态防火墙的关键性能上 该防火墙具有业界领先的高小包转发性能和高 每秒新建连接数 保障了海量用户和大流量的能力 在功能方面 该防火墙除了具有强大的安全防护能力外 还具备强大的业务 支撑能力 完善的多通道协议支持 支持完整的 H 323 RAS MGCP SIP MMS 等各种多媒体协议 可以精确的识别各种应用数据流 因此可以对这些数 据流采用不同的控制策略 并满足实时业务对业务流的保序要求 因此 华为云 服务数据中心采用防火墙实现支持丰富业务的能力 4 2 网络隔离 通过网络划分 隔离手段实现计算 存储 管理 接入等域的隔离 管理面 单独物理组网 保证网络安全性 避免网络风暴等问题扩散 通过端到端的VLAN划分以及在核心网络交换机建立VRF的方式 实现多个 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 11 页 共 20 页 网络平面并保证网络平面隔离 通过华为防火墙根据业务划分划分多个安全域 保障各业务之间的有效分离 利用华赛防火墙虚拟防火墙 提供VIP客户的独享虚拟防火墙的安全需求 4 3 内网隐藏 华为云服务为了保证用户的内网安全 同时用使用内网隐藏的方式将内网环 境物理的隐藏到防火墙之内 目前采用的隐藏方式是通过物理防火墙提供的 IP 映射的能力来实现的 4 4 流量监测及流量清洗 以 DDOS 为首的异常流量攻击已经成为一种趋势 攻击方式多样 攻击流量 剧涨 导致带宽拥塞 影响业务存活 同时基于应用层的 CC 攻击不断发展 流 量小且危害大 难以识别与防御 异常流量清洗方案通过动态流量模型 深度包检测 报文特征匹配等技术对 各种对云计算中心的流量型 FLOOD 攻击和应用层的 CC 攻击进行精准识别和防 护 异常流量清洗方案先把流量镜像到 DPI 检测设备上 进行流量旁路检测 然后根据检测的结果对包含异常流量的部分引流到清洗设备 清洗完成后把正常 流量进行回注 由于是旁路检测和清洗 因此在有效清洗的同时并不影响云计算 中心网络的可靠性 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 12 页 共 20 页 4 5 入侵检测分析 防火墙内置 IPS 入侵防御功能 可以更有效地保护针对应用层的攻击 采用独有的智能协议识别技术提供多种协议的协议识别 可以准确发现通过 任意端口传输的各种木马 后门等数据 将不连续的分段流重组为连续的流之后再进行检测 从而确保了应用数据的 连续性 防止 IPS 检测躲避技术 支持基于签名的特征检测 通过不断升级攻击特征 能够迅速检测到攻击行 为 支持对于协议异常检测 通过深度协议分析 将发现的违背协议标准的行为 视为异常 协议异常检测覆盖各种常见的服务 HTTP SMTP FTP POP3 IMAP4 MSRPC NETBIOS SMB MS SQL TELNET IRC DNS 等 华为通过与赛门铁克公司的深入合作 利用安全软件公司的专业团队密切跟 踪全球知名安全组织和软件厂商发布的安全公告 并维持引擎和特征库升级 4 6 传输安全 数据在传输过程中可能遇到被中断 复制 篡改 伪造 窃听和监视等威胁 需要保证信息在网络传输过程的完整性 机密性和有效性 华为云数据中心传输 安全由以下几个方面保证 管理面信任域与非信任域之间全部SSL加密 用户管理接入支持Https 安全性要求高的提供SSL VPN接入 用户访问云主机支持SSH 4 7 运维接入安全 华为云服务为了保证云服务数据中心的持续稳定运行 建立了一支强大的运 维队伍 对于运维人员的数据中心网络及其它资源管理 是通过在华为云服务数 据中心部署的华赛 UMA 堡垒主机 实现运维管理平台的统一运维管理 审计 数据中心外网运维人员和内网运维人员对网络 服务器等设备的远程操作全部集 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 13 页 共 20 页 中登陆到堡垒主机系统上 通过二次跳转系统将维护人员直接连接到指定设备 实现用户对设备资源操作管理的集中人证 集中控制 集中审计 外网运维人员通过互联网接入 登录到 VPN网关设备的专用维护虚拟网关 动态口令验证用户是否合法 验证通过 VPN 网关为用户分配相应的 IP 地址 并通过 ACL 控制本网段 IP 地址只能登录堡垒主机 用户通过 RDP 或 IE 的方式 远程登录堡垒主机 堡垒主机根据用户名 将用户分组到具备维护权限的主机 用户接入的所有数据流都经过 VPN 的 SSL 加密 保证网络传输的安全性 用户 的所有维护操作都通过堡垒主机进行记录 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 14 页 共 20 页 5 安全安全管管理理 云计算系统自身存在的安全弱点 面临的众多安全威胁 均需要采取多种安 全防护措施与策略 部署大量的安全设备 以保证云计算系统的机密性 完整性 和可用性 华为云服务云系统在用户接入 数据安全 网络安全 虚拟化安全 基础设施安全 物理和环境安全方面都具备安全策略和措施 但只有对所有这些 方面进行合理的管理 才能达到安全的目的 华为云服务云系统提供的安全管理 措施主要有 日志管理 安全告警管理 5 1 日志管理 华为云服务平台 计算节点 存储节点 管理节点 支持以下三类日志 记录操作维护人员在管理节点进行的管理维护操作的操作日志 提供维护人员可了解和分析系统的运行状况 及时发现和处理异常情况的运 行日志 记录系统严重故障时的定位信息 主要用于故障定位和故障处理 便于快速 恢复业务的黑匣子日志 5 2 安全告警管理 安全告警是指当系统侦测到违背安全策略的事件行为时 将安全事件相关的 一些信息上报给安全告警管理 管理员根据这些信息对违背安全策略的行为进行 及时处理 排除安全隐患 安全告警上报的内容包含了告警的来源 告警产生的 时间 告警产生的原因 服务提供者 服务使用者 告警级别 事件类型等信息 目前华为云服务云系统支持的安全告警包括 帐户多次尝试登录失败 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 15 页 共 20 页 访问禁止访问的资源 帐户的鉴权认证信息受到修改 特定帐户的改变操作 网络受到攻击 执行严格受控的操作 电源状态异常 风扇状态异常 CPU温度异常 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 16 页 共 20 页 6 弹性计算云服务弹性计算云服务安全安全 华为云服务的弹性计算云服务 是通过虚拟化的方式将固定的物理基础设施 转化为具有弹性的灵活的虚拟化资源 虚拟化的资源包括计算 存储和网络资源 但是虚拟化带来好处的同时 也带来新的安全风险 首先是虚拟层能否真正地把 云主机和物理机安全地隔离开来 这一点正是保障云主机安全性的根本 其次由 于云主机机运行在同一台物理机上 如果云主机受到破坏 那么上面所有的云主 机都会受到影响 同样如果云主机之间的虚拟网络受到破坏 那么这些云主机也 会受到影响 华为虚拟化安全重点考虑了云主机的隔离和防护 以保障安全隐患 不会在整个网络中蔓延 6 1 云主机安全隔离 华为云服务的弹性计算云服务的同一物理机上不同虚拟机之间的资源隔离 是 VMM 具备的基本特征之一 包括 CPU 内存 内部网络 磁盘 I O 基本上 所有的虚拟化产品都能保证这一点 华为云服务使用的华为的 Hypervisor 产品也 不例外 利用虚拟CPU调度策略 保障虚拟机之间CPU隔离 使用虚拟防火墙对虚拟网络子接口进行管理 实现内部网络隔离 引入一层新的内存管理空间 提供不同虚拟机的内存隔离 采用分离设备驱动模型的IO虚拟化 保证不同虚拟机的存储隔离 通过IP地址与虚拟Mac的绑定 防止VM的地址欺骗 软件虚拟防火墙提供保证虚拟机之间安全的安全组能力 安全防范白皮书 机密 2012 7 23 华为保密信息 未经授权禁止扩散 第 17 页 共 20 页 6 2 云主机数据安全 数据安全是保障数据中心安全的重点 在多租户环境下 使用者无法控制数 据 甚至无法确切知道数据的存储位置 这加剧了用户对数据安全的担忧 也使 得恶意行为或攻击更难以控制 保障用户的数据安全 华为云数据中心从数据隔离 访问控制等多个方面采 取措施 后续将镜像文件快照的数字签名 完整性 加密保护 用户卷访问控制 系统对每个卷定义不同的访问策略 没有访问该卷权限的用户不能访问该卷 只有卷的真正使用者 或者有该卷的访问权限 才可以访问该卷 每个卷之间是 互相隔离的 存储节点接入认证 存储节点是采用标准的 iSCSI 进行访问 并且支持 CHAP Challenge Handshake Authentication Protocol 认证功能 CHAP 认证功能可以提高应用服 务器访问存储系统的安全性 存储系统启用 CHAP 认证以后 应用服务器侧也必须启用 CHAP 认证 同 时在存储系统中把应用服务器的信息加入到存储系统的合法 CHAP 用户 只有 经过 CHAP 认证通过以后才能连接到存储系统并存取数据 剩余数据删除 当用户把卷卸载释放后