针对“云计算”服务安全思路的改进-花瓶模型V4.0-白红宇

问题提出：

随着云计算与物联网的兴起，使得互联网正在日益

“

城市化

”

，传统的四合院

(

城域网

)

正在被摩天大楼

(

云计算数据中心

)

取代，刚刚组建不久的

“

地球村

”

很快发展成

“

地球城

”

；物联网正在把

“

城

”

中所有的物品信息化，现实世界与虚拟世界正在成为

“

实时

”

的对照版。

但云计算服务模式也为信息安全带来新的问题，虚拟化的服务，不同用户的业务“同时”运行在一个服务“容器”内，传统信息安全的边界隔离思路得到了抑制，安全的边界没有了，传统的安全设备，如防火墙、入侵检测该部署在哪里？没有了安全的保障，用户如愿意使用你的服务吗？

云服务是一种交付服务模式的改变，针对这种服务模式，我们对信息安全体系建设的“花瓶模型”进行了改进，提出了服务访问边界的概念，引入了业务的逻辑边界，也就是虚拟机之间的边界，它包括互为“邻居”的虚拟机之间，以及虚拟机与生成它的“母体”---

云操作系统之间的边界。

安全监控的概念也从对实际设备与系统的监控，发展到对虚拟机内与外的监控，一方面，在建立虚拟机的时候，不仅分配相应的计算、存储、网络资源，还根据管理与用户业务的需要，分配相应的安全资源，如虚拟防火墙、虚拟入侵检测、虚拟病毒过滤等，为户用提供的不再是“毛坯房”，而是“精装修的公寓”。另一方面，对云操作系统环境的监控成为整个云服务安全的重点，进入到这里就可以控制所有应用的业务走向。第三方面，是对云服务接入区域的监控，这里汇集了各种用户业务的流量，鱼龙混杂，也是黑客与蠕虫攻击的门户，实际上是云服务中心的“大门”。

“花瓶模型”描述：

“花瓶模型”是信息安全建设规划的指导模型，是一个遵照动态安全事件处理(PDR

模型)

的基线建设模型。

按照安全事件应急处理的思路，把处理过程分为不同阶段，除了合乎等级保护的保障要求外，再采用静态的风险分析方式，分析每个阶段内各个环节的可能漏洞，建立该阶段的安全建设基线，最终形成整个安全事件处理过程的保障建设基线。

安全事件处理分为三个阶段：

事前：安全防护基线，明确边界，划分安全区域，把要保护的资源与攻击者分开，修建隔离墙，设立边界检查措施，通过增加“空间”距离，减少与外界的通道，提高入侵的门槛与难度；

事中：动态监控基线，边界外要观察攻击者的动向，边界内要注意一些用户的异常行为，一旦发现“乔装”进入的入侵者，就立即报警、截获。监控的目标是在入侵者造成破坏之前尽快发现对方，及时应对，减少可能的损失；

事后：取证追究责任人，震慑攻击者，也就是信任管理基线，处理完事件过后，要追查入侵者进入的途径，看看问题出在哪里，对入侵者的行为记录进行分析，从而发现防护体系与监控体系的漏洞，防止入侵者再次进入。

进一步细化防护、监控、信任三个体系的安全基线，就形成了“花瓶”模型(

形状如花瓶而得名，也寓意安全管理人员的工作如同手捧花瓶，要时刻小心，稍有疏忽，漂亮的花瓶可能就摔得粉碎。安全管理工作的要点是“百密无一疏”)

。

防护体系：防护的重点是边界，不仅是真实的网络边界、人机边界，还有虚拟的业务访问边界，花瓶模型中给出了五大边界需要重点防护

网络边界：网络的出口，外边是不可控区域，必须建立良好的防护措施，常见的安全技术如FW

、IPS

、UTM

、业务代理、网闸等，网站的出口还可选择WAF

安全域边界：安全域是根据网络功能区分的不同的资源区域，或者是根据管理需要进行不同部门之间的隔离，安全域能够清晰地从网络层进行安全隔离，常见安全技术如VLAN

、FW

等

服务访问边界：网络上经常同时运行多个应用系统，一个应用系统上可能提供多项服务(

云计算服务就是其中一种)

，每个用户也可以访问多个应用，使用多个服务。我们需要隔离出不用业务(

用户)

的虚拟网络与应用系统，同时还要避免虚拟机内的用户上升到云操作系统上来。应用访问边界通常采用用户授权来进行控制，一方面可以根据用户身份限制其访问的应用区域(

网络层)

、服务端口(

传输层)

，另一方面可以通过应用系统的账号管理、身份鉴别技术控制用户是否可以访问该应用系统，在应用系统内部还可以通过对功能模块单独授权的方式，限制用户对同一应用系统的不同服务的使用权限

服务器：主机管理的人机界面，一般采用操作系统加固、数据库加固方式，最小授权分配管理人员与用户的权限

终端：人机界面管理，如用户登录、介质管理、非法外联、数据加密等，也可以进行安全策略实施，如红、白、黑名单软件

监控体系：展示系统的整体安全态势，了解网络内的“风吹草动”，是及时发现入侵与违规事件的数据来源。对于云计算来说，监控体系分连个层面：对虚拟机的监控，对云计算管理平台的监控。每个层面都有五大监控要点：

病毒与木马：特点是自我复制、无孔不入，对网络的性能危害极大；一般可从网络上拦截与主机(

终端与服务器内的监控软件)

监控

入侵与异常行为：入侵行为多是隐蔽的，需要在网络与主机上多点监控，通过特征匹配、行为匹配等方式发现入侵者，对内部人员的异常行为，如大量下载资料，非正常时间访问等也应该列入异常监控的范围

流量异常：通过收集网络中各关键点的流量信息，监控流量总体动态，建立流量的基线模型，同时对流量的组成要能根据业务种类、用户、访问方向进行分详细析。造成流量异常一般有四种原因：一是蠕虫病毒发作；二是恶意攻击(

如DDOS)

，三是凸现业务热点(

业务正常访问突然增加，如重大新闻发布)

，四是网络故障，造成其他业务访问集中到本地

设备与系统状态：设备的硬件故障必然引起业务访问的动荡(

虚拟机环境是虚拟设备的状态)

，因此，了解网络、安全、传输、服务器、存储等设备与系统的状态，是分析总体安全态势的基础

业务服务状态：信息安全是保障业务服务能力的，因此，对业务服务的进程状态、用户数量、磁盘空间等涉及服务能力的安全指标都要实时监控

信任体系：对“合法”用户的行为监控，是通过审计方式实现的，要审计，必须先鉴别用户身份，明确用户权限，然后对用户的行为进行详细记录，并且不允许删除或修改记录。信任体系的三要素：

身份鉴别：可选用账号口令方式，也可以选择CA

证书方式，目的就是唯一确认用户的身份。身份鉴别一般出现在用户登录主机(

本地登录)

、登录网络、登录业务系统三个登录点上

授权管理：用户可使用的资源，以及可进行动作的限制。授权是由安全管理员赋予的，违反授权的访问是因该被禁止的

行为审计：审计就是行为的记录，如对数据的操作、配置的更改等。根据审计的目标可采用不同的安全审计措施，下面是常见的几种：

网络行为审计：用户访问网络的资源情况

ii.

主机行为审计：服务器或终端上的行为审计，如服务器上的帐户管理、数据维护，终端上的移动介质使用、外联网络情况等

iii.

互联网行为审计：一般放在网络的互联网出口，对内部用户访问互联网的行为进行审计

iv.

运维审计：针对维护人员的日常管理工作进行审计，主要是网络、安全、服务器、数据库、存储等设备的日常维护行为记录

业务合规性审计：针对用户业务操作、业务处理等行为的审计

安全管理平台：网络公共安全设施，是配合防护、监控、信任安全体系的实施与管理的，也是安全管理人员对网络公共安全维护工作的操作平台，俗称SOC

。安全管理平台一般包含五方面的工作：

资产管理：了解自己的家底是安全管理的基础，也是监控体系终端关注的对象，包括硬件设备与软件系统，物理的与虚拟的。常见的如动态的网络拓扑、资源注册表等

数据备份与恢复：数据备份是后台基础的安全措施，业务数据是业务运营的核心，有了数据就可以在灾难后恢复系统的运行状态

安全运维：安全管理人员不仅要负责网络公共部分的日常管理，还要对各业务系统的用户进行安全方面的服务，如终端安全问题的解决、违规安全事件的查处等，流程化、规范化的运维管理流程是提高运维服务质量的基础

配置变更管理：系统的安全配置是安全策略的实地部署，直接影响安全防护、监控、审计的保障效果，因此配置的变更要协调一致，不能出错；安全配置数据就是整体安全运维系统的基础数据，同业务数据一样重要

漏洞与补丁管理：补丁管理是后台基础的安全措施，发现漏洞就应该及时打补丁，但补丁可能与原有的业务系统有冲突，因此对补丁的安装时有选择的。补丁管理需要维护终端、服务器、数据库、应用软件的各种补丁与最新可用软件资源，保证网络用户的及时更新

安全基线保障思路，是三条安全措施基线加一个平台，各种安全措施相互配合，相互补充，在安全保障总体设计时，要注意三条基线的相对均衡，某一项过强，未必提升整体安全防护能力，却造成资金的不必要浪费；某项过弱，则把整体保障的能力拉下来，造成安全体系的短板。

这里提到的安全保障思路、安全措施，都是为了解决用户具体的安全需求，不局限现有的技术手段。一方面，入侵者还在不断进步，新式的攻击技术与手段层处不穷，我们防护的手段也要不断地升级，以适应对手的变化。另一方面，对付同一种入侵技术，随着技术的进步，更准确、更廉价的措施也会不断出新，我们应该及时更新，合理部署，保持安全架构中的各个安全措施始终处于最佳状态。

本文转自 zhaisj 51CTO博客，原文链接：http://blog.51cto.com/zhaisj/541228，如需转载请自行联系原作者