電信運營商私有云資源池的安全風險和防護

許 智

（中國電信海南公司，海口 570216）

0 引言

隨著虛擬化技術的快速發(fā)展，電信運營商建設私有云資源池，廣泛運用于業(yè)務平臺和IT 系統(tǒng)（以下統(tǒng)稱業(yè)務系統(tǒng)）的建設和整合，大大縮短了業(yè)務系統(tǒng)建設周期并降低了建設和維護成本，快速響應業(yè)務需求提供業(yè)務能力，但是也帶來了因云資源池自身存在的威脅因素以及管理問題，帶來業(yè)務不可用或數據泄露、濫用、被篡改等風險。相對于傳統(tǒng)獨立的業(yè)務系統(tǒng)，云資源池網絡架構很大，承載著多個業(yè)務系統(tǒng)，如發(fā)生安全事件帶來的損失和影響將是成倍放大的。

1 云資源池安全風險分析

1.1 安全優(yōu)勢

（1）為了確保業(yè)務系統(tǒng)的安全，運營商在建設私有云資源池時配套了較完善的安全設備，根據各個業(yè)務系統(tǒng)的需要提供安全監(jiān)測和防護服務，相對于傳統(tǒng)業(yè)務系統(tǒng)的煙囪式架構需要單獨建設各種安全設備，各業(yè)務系統(tǒng)分攤的成本大大減少，也為建設更完善的安全設備創(chuàng)造條件。

（2）私有云資源池使用云管平臺實行集中管理，對所有資源都能進行有效管控，避免了無人管理、無人知曉的流離資產，也避免了不按規(guī)范進行維護的資產，傳統(tǒng)業(yè)務系統(tǒng)的流離資產更容易成為業(yè)務系統(tǒng)被攻擊的入口。

1.2 安全風險

（1）云資源池是以傳統(tǒng)架構為基礎的，就不可避免地存在傳統(tǒng)架構中各層次的共性安全問題，如物理安全，主機、網絡等基礎設施安全，應用安全等[1]。

（2）云資源池本身也存在特有的安全風險。主要包括：云資源池將各類資源通過虛擬化后提供給各個業(yè)務系統(tǒng)共享，在理想狀態(tài)下，虛擬機之間、虛擬機和宿主機之間，都是相互獨立的，各系統(tǒng)之間是網絡隔離的，但在物理上使用的計算、內存、存儲、網絡等資源是共用的，如發(fā)生隔離失效，虛擬機受到惡意攻擊，就會以此為跳板入侵其他虛擬機，甚至通過虛擬機逃逸獲取宿主機的權限進而控制整個云資源池；云資源池通過分配賬號權限給云資源池和各個業(yè)務系統(tǒng)的管理人員進行管理，如發(fā)生賬號權限設置不當或權限提升漏洞，會造成業(yè)務系統(tǒng)被非法入侵，云資源池管理員擁有很大的權限，如發(fā)生誤操作或惡意操作將會造成無法挽回的嚴重后果；部分業(yè)務系統(tǒng)因業(yè)務需要接入公網，如系統(tǒng)或接口的漏洞被攻擊者利用，會造成該業(yè)務系統(tǒng)被非法入侵，進而入侵其他業(yè)務系統(tǒng)或整個云資源池，等等。

運營商私有云資源池承載著多個業(yè)務系統(tǒng)，保存著大量的重要業(yè)務數據和用戶信息，更容易成為攻擊的目標，攻擊者期望通過獲取或篡改數據，使云資源池及業(yè)務系統(tǒng)業(yè)務不可用，占用資源發(fā)起其他攻擊等手段非法獲利，因此，運營商應采取有效的安全防護措施，確保私有云資源池的業(yè)務安全和信息安全。

2 云資源池安全防護措施

針對云資源池存在的各種風險，運營商除了依靠云平臺開發(fā)商不斷升級云資源池架構的健壯性并修復云資源池的安全漏洞，更要通過提升安全防護手段以提高云資源池的安全性，部署較完善的安全設施為云資源池和各業(yè)務系統(tǒng)提供自動防護能力，以及加強日常安全管控以防范人為造成的威脅。

2.1 部署安全設施

（1）主機防護設備。部署主機防護設備對物理主機和虛擬主機提供入侵檢測防御、漏洞風險檢測、基線配置檢查、弱口令檢測、防病毒、木馬程序查殺等能力，實現全方位的基礎防護。

（2）堡壘機。部署堡壘機實現云資源池和業(yè)務系統(tǒng)的集中認證、集中賬號、集中授權和集中審計，實現統(tǒng)一的運維入口，對非法指令、違規(guī)操作、越權操作及時發(fā)現并預警或攔截。

（3）網站防護設備。大多數業(yè)務系統(tǒng)都有Web 網站，在云資源池部署網站防護設施為各個網站提供集中防護，部署Web 應用防火墻主動防御網站受到各種攻擊、數據竊取，阻斷對網站的非法訪問，部署網頁防篡改系統(tǒng)用于保護網頁文件完整性，在網頁發(fā)生非法篡改后阻止該網頁繼續(xù)流出并進行網頁恢復。

2.2 安全管控

（1）網絡隔離。分別配置不同的VLAN 和獨立的虛擬防火墻，實現各個業(yè)務系統(tǒng)之間的隔離，對于有業(yè)務交互的業(yè)務系統(tǒng)之間不在云資源池內部進行互通，全部流量都在防火墻之外再流入，雖然浪費了部分網絡資源，但確保各個業(yè)務系統(tǒng)之間的安全隔離；各業(yè)務系統(tǒng)根據業(yè)務情況設置流量限制，在單個系統(tǒng)發(fā)生網絡風暴等異常狀況時，不會占滿整個云資源池的出口帶寬，避免對其他系統(tǒng)的影響。

（2）權限管控。按照“最小化權限”原則配置云資源池和業(yè)務系統(tǒng)管理員的賬號權限，并限制所有維護操作只能通過堡壘機進行，提供具有雙因子認證方式的高強度認證（靜態(tài)口令、一次性口令、數字證書、動態(tài)口令），并對訪問權限進行集中控制，所有操作日志都集中記錄管理和分析，及時發(fā)現非法或超出權限的操作，提供控制和審計依據；對于涉及業(yè)務安全和信息安全的重要操作，均設置雙人方式，按流程進行一人操作一人審批。

（3）日常安全檢查。雖然安全設施提供了自動的防護能力，但也存在漏報、誤報等問題，還需在日常維護中利用第三方安全設備對云資源池和業(yè)務系統(tǒng)兩個層面定期進行安全檢查，檢查內容包括系統(tǒng)漏洞、基線配置、賬號弱口令，檢查范圍包括操作系統(tǒng)、數據庫、中間件和網絡設備，對于有Web 網頁的還需要進行Web 掃描和Web 人工滲透檢查，對發(fā)現問題進行及時整改，形成“檢查-整改-檢查-整改”的推進機制，不斷消除安全漏洞。

（4）日常審計。除了堡壘機自動進行安全審計外，還需配置專門的安全審計人員，定期進行運維審計、配置審計、操作審計、數據庫審計等人工審計。

（5）殘留數據清理。從云資源池上退網的業(yè)務系統(tǒng)，對原分配的存儲設備需進行數據永久刪除才回收重新分配，對于故障替換下來或工程更換的存儲設備，進行消磁處理，避免殘留的數據被竊取。

3 結束語

運營商的業(yè)務系統(tǒng)云化，維護效率大大提高，日常維護工作也逐漸向安全防護傾斜，應結合現有的防護技術，加強安全管理，確保私有云資源池和所承載業(yè)務系統(tǒng)的網絡安全、業(yè)務安全、信息安全。