华为云计算安全解决方案主打胶片140219

华为云计算安全解决方案特权用户安全概述1234虚拟化平台安全Content多租户网络安全公安三所云计算安全检验规范国家信息安全测评中心云计算安全测评报告云计算带来新的安全威肋◆身份与安全管理应用系统和资源所有权的分离，导致云平台管理员可能访问用户数据◆应用与数据安全不同安全需求的租户可能运行在同一台物理机上，传统安全措施难以处理◆系统与虚拟化安全虚拟化平台运行在操作系统与物理设备之间，其设计和实现中存在漏洞风险◆网络与边界安全网络边界的模糊化，传统的边界防护手段在虚拟网络中无法直接使用。除传统威胁外，虚拟化、多租户和特权用户问题使得云计算面临更大风险！云计算安全威胁分析Page5模块威胁源管理员用户黑客端TC/SC非法操作：如利用TCM与TC间正常的升级通道，植入木马控制TC恶意用户：仿冒其他用户登录，破解密码伪造TCM管理员伪造非法TCM：控制TC非法TC：非法TC具有获取VM数据能力TCM漏洞攻击权限滥用：对TC

USB端口管理不合理

数据泄露到本地，如截屏TC被非法破坏：植入木马，非法获取VM数据管网络

截获其他用户密码常见网络攻击

PC等设备绕过安全网关

云虚拟机非法重置用户密码用户非法登录：弱口令或口令保管不善类似PC的常见攻击误挂卷用户虚拟机被篡改

利用虚拟机备份文件非法恢复用户数据攻击相邻虚拟机，如ARP攻击

虚拟机自然损坏非授权访问相邻虚拟机

攻击虚拟化平台

利用虚拟化资源从事非法活动，如攻击外网

虚拟机迁移过程中安全策略失效

虚拟化层管理员非法登录：利用弱口令或口令保管不善还原出前一用户硬盘数据利用租用的虚拟机攻击虚拟化平台权限滥用：如果缺三权分立还原出前一用户内存数据利用租用的虚拟机攻击虚拟化管理平台，如利用OS/web漏洞关键操作无法回溯

虚拟机迁移中截获用户数据破坏镜像文件，植入木马

管理员权限扩大化：如节点间采用互信，则获取单节点权限即可控制整朵云

非法获取敏感信息，如数据库口令

非法监视用户虚拟机流量

非法获取用户密码

纵深防御：端管云协同的安全解决方案Page6云平台客户端软件网络应用桌面应用终端安全多种用户接入认证（密码/Ukey/指纹）国内UBKey身份网关集成，单点登录防止非法TC接入(标识/证书校验)传输通道SSL加密接入控制/传输安全物理/虚拟防火墙虚拟机安全组安全接入网关平面隔离入侵检测防护网络安全文件加密及权限控制VM磁盘加密/文件保密柜数据容灾备份虚拟机终端安全管理系统剩余数据彻底删除（磁盘/内存）数据安全云平台安全加固可信计算TPM提供完整性保护防病毒安全补丁虚拟化隔离云平台安全统一账户管理及认证日志审计堡垒主机，集中的维护入口和审计分权分域三员分立运维管理安全USB端口策略管控TC系统只读（重启系统复原）补丁和升级管理高度的系统裁剪和加固桌面终端接入、网络平台、数据管理用户验证信息用户个人数据企业办公数据运维人员UserAUserB特权用户管理安全概述1234虚拟化平台安全Content多租户网络安全云计算的本质:一台超级计算机,两层OS架构1.从云平台的角度：虚拟机是云计算操作系统的一个应用2.从虚拟机的角度：云计算操作系统就是原来的硬件层云计算安全的核心控制点在云操作系统云操作系统需要安全可控硬件资源操作系统系统软件应用软件云计算硬件资源操作系统APPOS

系统软件应用软件传统PC系统架构云计算操作系统CloudOS

云计算系统架构操作系统APPOS

系统软件应用软件VM1VM2Page8CPU虚拟化及安全性保证传统X86架构的CPU指令分为Ring0-Ring34个特权级别，（Ring0用于运行操作系统内核、Ring3用于应用程序），从而实现操作系统与应用程序之间的隔离虚拟化环境下，支持虚拟化的CPU对指令集进行了扩展，对指令的优先级增加了一个维度：ROOT模式和非ROOT模式，其中ROOT模式属于CloudOS的指令CloudOS负责CPU指令在ROOT模式和非ROOT模式的切换，以及维护不同VM之间非ROOT模式下指令的调度只要CloudOS是安全可信的，指令的优先级以及不同VM之是的指令隔离就能得到保证Page9内存虚拟化及安全性保证内存虚拟化共涉及到三个内存地址：机器地址（真实物理内存地址）虚拟机物理地址应用程序使用地址虚拟机物理地址与应用程序使用地址之间的映射关系是由APPOS维护的CloudOS是建立和维护不同VM的虚拟机物理地址与机器地址之间的映射关系，并根据这个映射关系提供内存路由控制，防止不同VM之间内存地址的非法访问只要CloudOS是安全可信的，就能限制VM只能访问为其分配的内存，不同VM之间的内存隔离就能得到保证云计算硬件资源操作系统APPOS

系统软件应用软件云计算操作系统CloudOS

VM1VM2操作系统APPOS

系统软件应用软件虚拟机物理地址虚拟机物理地址机器地址Page10存储虚拟化及安全性保证GuestOS存储设备(逻辑卷,如/dev/sda)VM1GuestOS存储设备(逻辑卷,如/dev/sdb)VM2Back-EndDriverSCSIDriverIPSANController后端存储系统CloudOSLUN1LUN2Disk存储系统创建逻辑卷，并维护逻辑卷与磁盘条带化之间的对应关系，这是存储系统的基本功能CloudOS是建立和维护不同的VM与后端存储系统逻辑卷之间的映射关系，并根据这个映射关系提供存储路由控制，防止不同VM之间逻辑卷的非法访问只要CloudOS是安全可信的，VM就只能访问分配的逻辑卷，不同VM之间的存储隔离就能得到保证。Page11网络虚拟化及安全性保证虚拟网卡有独立的MAC和IP地址，从物理服务器以外的网络上看，与物理的服务器是相同的；vSwitch为交换型（非共享型）交换机，不同VM的数据包被转发到指定的虚拟端口；在Hypervisor层禁止虚拟网卡工作在“混杂模式”，用户无法手动打开，因此无法通过TCPDUMP或者嗅探软件获取同一台物理宿主机上的其它用户VM的数据包；虚拟机的IP地址和MAC地址绑定，防止IP地址欺骗和ARP地址欺骗；在物理服务器内部，VM之间隔离与互通的控制在vSwitch上实现：不同VLAN的通信流量导出到网关；同一VLAN的通信流量直接交换，但接受安全组的安全策略检查；APPOSAppvSwitch（vFW）APPOSAppCloudOS物理网卡VMVMVMVMVMVMVMVM安全组1安全组2安全组3虚拟网卡虚拟网卡CloudOS传统安全手段：系统加固+补丁由于软件存在bug，在安全上就可能引起相应的漏洞，通过对操作系统的加固以及补丁管理，可以修补这些漏洞通过严格的服务裁剪、网络端口扫描、操作权限及访问控制等措施，保证主机平台对外安全可靠完整性保护安全测试安全配置系统加固操作系统加固数据库加固应用加固（Web加固）加固领域加固流程具体方法裁撤不必要的组件、服务等代码遵从代码规范遵从业界配置加固规范，如CIS采用业界扫描工具如Appscan完整性校验工具实现审查代码安全最小化裁剪补丁管理防病毒遵守IPD安全研发流程，实现业界最佳的安全质量Page14安全活动DCP/TR检查点IPD安全活动融入决策检查点，合同和技术评审/其他评审或检查点安全需求安全设计安全开发安全测试安全交付和维护安全需求分析安全威胁分析安全架构/特性设计开源第三方软件选型代码安全检视代码安全扫描报告安全测试方案和用例安全测试报告（包括开源软件）安全补丁（含开源软件及第三方软件)软件外包(安全需求传递，设计评审，代码安全审查，安全测试验收）配置管理(代码，文档，研发工具，开源软件)安全基线、规范、标准、指导书ConceptTR1PlanTR2TR3DevelopmentTR4TR4ATR5QualifyTR6LaunchGALifecycleCharterCDCPPDCPADCPPage14通过安全加固和IPD安全研发流程，使安全漏洞尽可能的少。但是根据摩菲定律：“所有程序都有缺陷”，软件的漏洞，不可能完全没有。需要一种机制，保证即使漏洞被发现，也不会造成后果。CloudOS提供基于硬件的安全保证在系统中引入可信任的TPM芯片，软硬件配合保护云环境的安全可信！虚拟化平台/HypervisorTPM可信度量根（可选2）：IntelTXT安全扩展度量/信任链传递保存度量值报告度量值/可信状态可信存储根可信报告根应用程序/虚拟机CPUBIOS硬件ROM引导扇区/Bootloader计算节点可信验证服务器虚拟化管理服务器可信度量根（可选1）:UEFIBIOS安全启动

利用服务器上TPM芯片，提供ClouldOS完整性保护方案，实现云平台的可信启动和可信运行

符合TPM1.2和TPM2.0规范

其中TPM2.0支持中国商密算法SMx，满足国内合规性要求支持基于UEFIBIOS安全启动机制、或Intel可信执行技术（TXT）特点Page15沈昌祥院士：可信云计算体系安全架构Page16SINA报道：知情人士对大智慧通讯社透露，国家信息安全战略文件已起草完成，将于中央网络安全信息化领导小组建制后公布，文件要求信息领域核心技术产品国产化为重要发展方向。

该人士透露，文件中会提出建立信息安全网络架构，信息领域核心技术产品的国产化，应用软件、操作系统国产化，工业控制系统信息安全建设，可信云计算等多方面内容。“可以说文件涵盖普通民众日常互联网应用领域信息安全及工业领域信息安全等多方面。”关注点1：内存共享模式下，内存重分配清“0”VM1VM2物理内存释放的内存在hypervisor内清零后再分配计算机的内存一般在未掉电或重新刷新的情况下会保留上个阶段运算的信息。在云计算环境下内存的动态分配对安全是个极大威胁，许多高等级的攻击极有可能利用剩余信息通过极其复杂的技术来获得其它用户的敏感信息，虽然这种攻击的构建成本会较高，但是通过适当的技术可以有效地消除这种风险：在云操作系统将内存重新分配给用户的时候，云操作系统会对分配的内存作写“零”处理，从而保障在新启动的VM中恶意内存检测软件无法检测到有用信息。Page17关注点1：内存分配模式根据安全要求可配置VSApp虚拟化层物理硬件AppAppApp虚拟机内存独占式分配2G2G2G2G所需内存：8G物理硬件App虚拟化层AppAppApp虚拟机内存共享式分配2G2G2G2G所需内存：6G内存共享，写时复制VM1VM2VM3物理内存内存置换DiskVMVM内存气泡VM1VM2内存气泡空闲已使用已使用空闲智能复用内存独占模式：

可以阻止内存复用，每个虚拟化之间内存完全物理分开，安全性最高。牺牲VM密集度和内存交换效率（约30%）换安全。内存共享模式：回收客户机物理内存时内存清“0”技术特点Page18关注点2：存储安全：用户剩余信息彻底清除、不留痕业界模式：虚拟卷通过格式化方式清除数据，不彻底，可恢复，存在信息泄漏风险用户A1租用2使用3退租4租用虚拟卷对虚拟卷每一个物理Bit位清“零”华为模式：对销户虚拟卷采用物理Bit清零措施，确保数据不可恢复，杜绝信息泄漏风险用户A1租用2使用3退租用户B4租用5使用恢复软件，获取数据虚拟卷虚拟卷格式化，数据未完全清除风险安全用户BPage19123@@#@！123@@#@！123#@！123@@#@！00000000

关注点3：虚拟化防病毒Page20一个物理服务器上只在一个独立虚拟机上安装一个防病毒引擎，对所有的用户虚拟机进行防护，用户虚拟机无需安装防病毒引擎。可以避免杀毒风暴，提升用户体验。

瑞星，趋势等厂家已基于华为虚拟化平台提供了无代理防病毒解决方案。GuestVMDriverGuestVMDriver安全VMDriverAVAPPHypervisor无代理集中防病毒处理模块GuestVMDriver特权用户管理安全概述1234虚拟化平台安全Content多租户网络安全虚拟化数据中心网络安全总体方案管理和业务平面隔离计算、管理在不同的VLAN平面计算和存储物理隔离独立的存储网络各个虚拟化业务区域隔离设计支持VDC、信任域、安全组三级隔离机制VDC间路由隔离信任域之间通过虚拟防火墙进行网络隔离信任域内可以根据业务需要灵活划分安全组，比如把WEBAPPDB划在不同的安全组业务安全在核心交换机上部署应用层安全设备，如IPS/IDS、WAF、邮件安全网关、SSLVPN、DDoS等，按需引流合理有效的内部安全隔离设计是保障数据中心网络安全的有效手段。InternetVMVMVMVMVMVMWANInterconnectAreaLBFWSSLLBAnti-DDoSFW/IPSDMZLBFWSSLIPS/IDS//WAFIPS/IDS/WAFLBIPS/IDS//WAFIPS/IDS//WAFPage22VLAN10VLAN11VLAN30VLAN20vSwitchVLAN11vSwitchvSwitchVLAN11host1虚拟化层接入交换Page23虚拟机之间的隔离：VLAN隔离VLAN10VLAN11VLAN30VLAN40VLAN20vSwitch虚拟化平台VLAN11

接入交换汇聚交换虚拟化层接入交换同一虚拟交换机内同一VLAN通信：不出虚拟交换机，直接在虚拟交换内部完成交换同一虚拟交换机内不同VLAN通信：通过外部三层互通网关完成VLAN间互通不同虚拟交换机间同一VLAN通信（同一物理接入交换机内）：通过物理接入交换机二层互通不同虚拟交换机间同一VLAN通信（跨物理接入交换机）：同2，通过外部三层互通网关完成VLAN互通

vSwitchvSwitchvSwitchVLAN11host1Page24安全组：具有相同的安全策略的一组VM的集合,支持安全组间的访问控制策略和安全组内成员间的互访策略。每个VM一组ACL，互不影响，VM迁移时安全策略自动刷新。提供VM粒度的隔离机制，解决VLAN资源不足、配置工作量大的问题。分布式策略控制，报文无需迂回到集中的策略控制点，避免形成性能瓶颈。可以和边界防火墙共同部署，构筑立体安全防护能力（南北向流量控制+东西向流量控制）。虚拟机之间的隔离：安全组VLAN10VLAN30VLAN40VLAN20vSwitch虚拟化平台接入交换汇聚交换虚拟化层接入交换vSwitchvSwitchvSwitchhost1安全组策略执行安全组策略执行安全组策略执行安全组策略执行安全组1安全组2安全组3云管理(VM部署)如：目的端口80host2host3host_N安全组访问控制策略下发多租户之间的隔离：硬件网关虚拟化Page25

云数据中心

部门A部门B部门C

部门C部门B部门AMPLSVPNCMPLSVPNBMPLSVPNAVlan100Vlan200Vlan300VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVM各个部门在数据中心的业务区，采用VLAN隔离；VSYSCVSYSBVSYSA防火墙通过MPLSVPN与各个部门互联；防火墙启用虚拟系统(VSYS)：外网口，通过VPN标签，识别来自不同部门的数据流，并送入对应的VSYS；内网口，通过VLAN-ID，识别来自不同部门的数据流，并送入对应VSYS；虚拟系统具有完全独立的体验：独立的设备管理；独立的设备资源享用；独立的安全策略部署；独立的日志报表查看；Page25Page26虚拟防火墙——VSA,virtualserviceappliance支持DHCPServer功能支持NAT/NAPT功能支持带状态的ACL过滤功能支持ASPF应用感知的报文过滤功能支持安全防攻击能力支持基于流量的统计/限速功能支持IPsecVPN软件虚拟防火墙：这种形式的虚拟化设备部署在某个VM上，以网关方式工作。提供REST管理接口，管理员可以在云安全管理平台中配置安全策略，自动下发到相应的VSA上。VLAN1VMVMVMVLAN3VMVMVMVLAN2VMVMVMVSA/vFWvFWvFWvFWvFW特点：功能丰富，按需部署多租户之间的隔离：软件虚拟防火墙特权用户管理安全概述1234虚拟化平台安全Content虚拟化网络安全业务模板设计业务部署、管理组织设计、组织管理系统管理员业务管理员资源管理角色管理用户管理组织管理最终用户资源使用以角色为核心的权限管理，灵活的分权分域，支持用户组管理员权限灵活、全面的管理管理员三员分立Page29安全管理员安全审计员系统管理员日志审计安全管理用户管理权限管理安全策略管理...系统管理虚拟机管理存储管理网络管理...超级管理员三员分立(无超级管理员):1.系统安装时，生成系统管理员、安全管理员、安全审计员。2.系统中的不同用户相互监督、相互制约，每个管理员各司其职。技术特点统一运维入口，统一审计：堡垒主机Page30禁止核心业务、数据服务器核心业务、数据服务器桌面云管理、数据服务器合作商桌面云系统A运维人员业务系统B业务系统CUserBUserA集中监控和审计其他入口禁止堡垒主机统一数据中心的管理入口；完善的日志审计，支持对图形终端、字符终端、数据库应用、文件传输等。

提供实时视频监控录屏，对高危的操作（删除或重启等）可以实时的截断。可进行集中的用户管理、单点登录、密码定时更新等支持多种管理员身份认证方式Page31用户虚拟机桌面云用户2、用户查看虚拟机列表3.用户点击VM，成功登录VM1.TC中插入USBKey，输入PIN码登录TC域用户密码指纹USBkey密码+指纹与第三方集中用户管理系统对接Page32支持与第三方账户管理系统对接，包括终端用户账号、桌面管理系统账号、云管理系统、账号集中管理，计算节点、存储节点。案例：华为公司IT的SCAM系统与移动4A在管理系统方面需要做定制账户管理系统用户虚拟机Vdesktop管理系统OMPORTAL云管理系统网络设备接入控制系统终端用户云管理员业务管理员授权体系–维护帐号根据业务需要动态分配,及时回收提交账号口令申请电子流代维业务主管审批代维人员代维业务主管业主安全管理审批业主安全管理员账号及口令业主安全审计员集中运维审计中心日志帐号授权IT电子流（系统/账号/使用开始时间/结束