★四川公眾項目咨詢(xún)管理有限公司黃曉燕，劉暢，宋仕斌

電信云是基于NFV和SDN技術(shù)構建的云化網(wǎng)絡(luò )基礎設施，其通過(guò)網(wǎng)絡(luò )資源虛擬化打造彈性、高效、按需分配的業(yè)務(wù)網(wǎng)絡(luò )^[1]。電信云在傳統網(wǎng)絡(luò )安全的基礎上增加了水平方向的分層，多廠(chǎng)商對接的解耦架構導致電信云安全邊界模糊化、分層化，多層間安全策略不能協(xié)同，安全問(wèn)題難以快速定位和溯源，靜態(tài)配置安全策略無(wú)法滿(mǎn)足靈活、彈性與擴縮容的需求。網(wǎng)絡(luò )安全已經(jīng)上升到國家戰略，國家相繼頒布了《網(wǎng)絡(luò )安全法》《數據安全法》《關(guān)鍵信息基礎設施安全保護條例》等一系列法律法規^[2]。因此，亟須研究新的電信云虛擬基礎設施網(wǎng)絡(luò )安全策略，以構建電信云主動(dòng)、動(dòng)態(tài)、全網(wǎng)協(xié)同、智能運維的縱深安全防護體系。

1　電信云虛擬基礎設施安全威脅分析

隨著(zhù)NFV日益成熟，越來(lái)越多的設備廠(chǎng)家提供基于NFV的商品和服務(wù)，而越來(lái)越多的運營(yíng)商在通信網(wǎng)絡(luò )中逐步引入NFV設備進(jìn)行網(wǎng)絡(luò )云化改造^[3]。從傳統IT架構到云化部署使得傳統邊界定義失效。云化數據中心在傳統數據中心面向出口除進(jìn)行分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）、防護等物理基礎設施安全外，還需關(guān)注虛擬機層面的安全性問(wèn)題。電信云虛擬基礎設施安全威脅包括虛擬基礎設施業(yè)務(wù)面安全威脅和虛擬基礎設施管理面安全威脅。

1.1　虛擬基礎設施業(yè)務(wù)面安全威脅

電信云虛擬基礎設施業(yè)務(wù)面是由虛擬服務(wù)層與下層物理資源之間的數據處理與交互通道、虛擬服務(wù)層與上層的虛擬機及虛擬機中的App之間的交互通道以及數據和處理模塊所構成的平面。虛擬基礎設施業(yè)務(wù)面安全威脅為App、Guest OS、Cloud OS、Host OS之間的業(yè)務(wù)運行能力和資源可能面臨的安全威脅，其安全威脅與攻擊場(chǎng)景如圖1所示。

圖1 虛擬基礎設施業(yè)務(wù)面安全威脅與攻擊場(chǎng)景

攻擊者可能對虛擬機鏡像文件進(jìn)行非法篡改或安裝惡意軟件，并利用設備驅動(dòng)接口漏洞在系統加載虛擬機過(guò)程中對Hypervisor進(jìn)行攻擊造成虛擬機逃逸，威脅Host OS安全。攻擊者在虛擬機中通過(guò)構造特殊的虛擬磁盤(pán)驅動(dòng)接口，可能繞過(guò)虛擬磁盤(pán)系統的隔離非法訪(fǎng)問(wèn)其他用戶(hù)的磁盤(pán)空間。虛擬機根據業(yè)務(wù)需要可能被分配權限訪(fǎng)問(wèn)Cloud OS提供的虛擬傳輸設備，這些虛擬傳輸設備業(yè)務(wù)面的通信協(xié)議可能會(huì )遭受攻擊導致虛擬化傳輸出現故障。從一個(gè)虛擬機中試圖連接和登錄另一個(gè)虛擬機的Guest OS，而這兩個(gè)虛擬機之間沒(méi)有正常業(yè)務(wù)通信需求。如果虛擬化網(wǎng)絡(luò )提供了二者間連接的通路，則攻擊者可利用Guest OS系統漏洞或弱認證導致該虛擬機被非法入侵。攻擊者從一個(gè)虛擬機中嘗試連接另一個(gè)虛擬機中的App可能導致App被非法連接和訪(fǎng)問(wèn)。攻擊者通過(guò)在合法運行的Guest OS中加載惡意軟件或非法軟件病毒，威脅Guest OS的正常運行，并可偽造/篡改系統軟件、讀取/恢復新分配的存儲資源和內存資源原始內容。Cloud OS給新虛擬機分配存儲資源和內存資源時(shí)，這些存儲資源中可能殘存有上一位使用者的信息，新的虛擬機用戶(hù)可能會(huì )讀取或恢復原始存儲數據導致用戶(hù)信息泄露。Cloud OS對外連接需求會(huì )對外暴露虛擬路由器IP地址，可能從DC外部攻擊虛擬路由器外部IP地址導致路由協(xié)議被攻擊或轉發(fā)能力受到DDOS攻擊。

1.2　虛擬基礎設施管理面安全威脅

虛擬基礎設施管理面是由為維護虛擬基礎設施由維護人員通過(guò)外部管理終端與虛擬基礎設施的管理接口之間建立的連接通道、通道內傳輸的數據以及負責對傳輸數據進(jìn)行處理的功能模塊所構成的平面。虛擬基礎設施管理面的安全威脅與攻擊場(chǎng)景如圖2所示。

圖2 虛擬基礎設施業(yè)務(wù)面安全威脅與攻擊場(chǎng)景

攻擊者在DC外部連接到MANO（或Local OM）或通過(guò)用戶(hù)虛擬機連接管理虛擬機，使用非法獲取的MANO或Local OM的管理員賬號登錄，對OpenStack Controller進(jìn)行非法管理操作。攻擊者在管理網(wǎng)絡(luò )中遠程攻擊Host OS，提供被解登錄賬號或利用系統漏洞非法入侵Host OS。攻擊者獲取Host OS管理員登錄憑證在主機近端登錄Host OS，對Host OS進(jìn)行非法操作并獲取用戶(hù)數據，造成用戶(hù)數據泄露。攻擊者在用戶(hù)虛擬機中或管理網(wǎng)絡(luò )中連接虛擬路由器管理接口非法登錄管理接口對虛擬路由器進(jìn)行非法操作。攻擊者在用戶(hù)虛擬機中或管理網(wǎng)絡(luò )中非法連接VNC Proxy對VM進(jìn)行非法控制。攻擊者在用戶(hù)虛擬機中或管理網(wǎng)絡(luò )中連接并攻擊OpenStack Controller非法進(jìn)行虛擬資源的申請與管理。攻擊者在用戶(hù)虛擬機中或管理網(wǎng)絡(luò )中非法登錄VNC Server，通過(guò)VNC Server非法控制VM。攻擊者在用戶(hù)虛擬機中或管理網(wǎng)絡(luò )中偽造OpenStack Controller，向OpenStack Agent發(fā)送偽造消息從而非法控制虛擬化資源。

2　虛擬基礎設施安全策略

虛擬基礎設施是指運行在物理基礎設施上的虛擬化平臺，其為虛擬化網(wǎng)元的運行提供所需要的計算資源存儲資源和網(wǎng)絡(luò )資源，包括Host OS、Cloud OS、Guest OS（VM）。本文針對虛擬基礎設施安全風(fēng)險提出了相應的安全策略，并在貫穿于網(wǎng)絡(luò )中的關(guān)鍵交互點(diǎn)、上下層級之間構建了立體結構的安全架構，確保了電信云網(wǎng)絡(luò )基礎設施及通信網(wǎng)元的安全運營(yíng)，滿(mǎn)足了用戶(hù)面、平臺、網(wǎng)絡(luò )、系統、虛擬化等維度的安全需求。

2.1　虛擬化網(wǎng)絡(luò )安全

兩個(gè)虛擬機之間可能存在某些通信需求，可以在兩個(gè)虛擬機之間的訪(fǎng)問(wèn)通路上進(jìn)行數據包端口隔離，如在虛擬路由上采用ACL進(jìn)行端口白名單過(guò)濾，但僅限這些通信端口可被訪(fǎng)問(wèn)，除此之外的端口訪(fǎng)問(wèn)則在兩個(gè)虛擬機之間隔離。同時(shí)，Host OS在VM內的端口上實(shí)現了ACL規則的自動(dòng)生成與自動(dòng)部署，降低了網(wǎng)絡(luò )被入侵的風(fēng)險。虛擬傳輸設備業(yè)務(wù)面支持一些必要的路由協(xié)議和ARP，這些協(xié)議需要支持防攻擊能力。防攻擊能力包含3個(gè)方面：防畸形報文攻擊、防拒絕服務(wù)攻擊、防偽造對端。虛擬網(wǎng)絡(luò )中的虛擬傳輸設備具有管理接口，需要支持用戶(hù)管理、登錄認證、操作鑒權、日志記錄等操作。需要對可訪(fǎng)問(wèn)虛擬傳輸設備的通道進(jìn)行限制，僅允許合法的主機進(jìn)入這個(gè)通道。管理端口需要具有防協(xié)議攻擊能力，包括防畸形報文攻擊，防拒絕服務(wù)攻擊。虛擬網(wǎng)絡(luò )中有多種管理面需要從維護網(wǎng)絡(luò )中連接訪(fǎng)問(wèn)，如管理虛擬機、虛擬傳輸設備管理端口、NFV管理端口，為避免這些管理端口直接暴露在DC外部，優(yōu)先部署堡壘機。管理人員需要先登錄到堡壘，通過(guò)堡壘機上跳轉到需要訪(fǎng)問(wèn)的管理端口。

2.2　虛擬化存儲安全

分配給虛擬機使用的虛擬化存儲資源需要進(jìn)行訪(fǎng)問(wèn)控制和隔離，確保只有存儲資源歸屬的虛擬機才可以訪(fǎng)問(wèn)該虛擬化存儲資源。存儲在虛擬化存儲資源中的數據只能專(zhuān)屬于歸屬虛擬機，其他人員不能將數據導出到虛擬網(wǎng)絡(luò )外，系統需要提供檢測機制，禁止在Host空間中將虛擬磁盤(pán)中的數據復制、導出到系統外。將虛擬化存儲資源與虛擬機特征綁定并加密，確保即使通過(guò)其他手段獲取到其他虛擬機的存儲資源也無(wú)法正確讀取該存儲資源中的數據。通過(guò)分域管理，能夠精準、快捷地對電信云中的每個(gè)區域模塊進(jìn)行有效部署和控制^[4]。

2.3　虛擬化計算安全

云計算有SaaS、PaaS、IaaS三大服務(wù)模式，它們的應用都將面臨一個(gè)特別的挑戰^[5]。為提供高效率的AES、RSA等密碼算法計算，需要在虛擬化環(huán)境中提供密碼算法協(xié)處理器實(shí)現快速的密碼運算。為提供可信的信任根存儲環(huán)境，在虛擬化環(huán)境中需要對底層的可信環(huán)境芯片的處理能力進(jìn)行虛擬化，使虛擬化平臺可以使用底層的可信環(huán)境，實(shí)現安全啟動(dòng)、安全存儲。對Cloud OS發(fā)起的任何虛擬化資源請求都需要進(jìn)行身份認證、訪(fǎng)問(wèn)控制。在虛擬化環(huán)境中需要對底層硬件提供的密碼協(xié)處理器芯片或密碼板卡的處理能力進(jìn)行虛擬化并提供給上層應用使用。系續提供常用密碼算法的共用基礎模塊（Common Building Block，CBB），CBB調用虛擬層提供的由擬化密碼算法協(xié)處理器接口，實(shí)現高效密碼運算。

2.4　Guest OS安全

Guest OS作為虛擬化平臺上的基礎部件，需要進(jìn)行系統最小化裁剪和系統部件安全加固，以確保操作系統中只保留業(yè)務(wù)運行需要的系統組件，并且需要對保留的系統部件的運行參數進(jìn)行安全配置。Guest OS的運行環(huán)境趨于開(kāi)放，其運行的應用軟件來(lái)源多，存在引入病毒的風(fēng)險。系統提供安全啟動(dòng)機制，每次虛擬機需要重啟時(shí)，虛擬機對系統加載的軟件逐級進(jìn)行程序完整性校驗啟動(dòng)加載過(guò)程是從BOIS到操作系統，再到應用軟件。系統提供進(jìn)程白名單機制，制定NFV網(wǎng)元中的合法進(jìn)程列表，系統定期對運行的進(jìn)程進(jìn)行快照，通過(guò)對比快照和合法進(jìn)程列表，檢測系統中是否存在非法進(jìn)程，如果發(fā)現異常進(jìn)程，則通過(guò)告警通知管理員。要在Guest OS中安裝運行防病毒軟件，對系統中的進(jìn)程活動(dòng)、文件傳輸進(jìn)行病毒掃描和查殺。在Guest OS中加載的任何軟件都應該通過(guò)合法性校驗，可采用數字簽名方式來(lái)校驗虛擬機中應用軟件的合法性。

2.5　Host OS安全

Host OS通過(guò)近端登錄進(jìn)行維護并擁有各種服務(wù)與應用系統。系統需要提供統一的賬號管理，通過(guò)創(chuàng )建賬號、分配恰當的權限完成用戶(hù)賬號管理。系統中的賬號應盡量采用統一的管理入口，避免多套賬號同時(shí)存在的情況，如FTP賬號和系統管理員賬號應當統一。通過(guò)物理主機的物理接口進(jìn)入Host OS管理入口。對這些管理入口的訪(fǎng)問(wèn)需要進(jìn)行身份認證，只有擁有合法身份的訪(fǎng)問(wèn)才允許進(jìn)行下一步的操作。管理人員登錄系統后對系統中任何資源的訪(fǎng)問(wèn)都需要進(jìn)行鑒權，只有被授權的資源才被允許訪(fǎng)問(wèn)。重要的系統執行文件需要進(jìn)行合法性校驗，防止被非法篡改。校驗應當在系統啟動(dòng)過(guò)程中或啟動(dòng)后進(jìn)行，在系統啟動(dòng)后需要定期校驗，如果發(fā)現文件被篡改，則應及時(shí)給管理員發(fā)送告警。Host OS需要進(jìn)行最小化裁剪，僅保留業(yè)務(wù)需要的系統部件，被保留的系統部件要進(jìn)行安全參數配置確保系統運行在合適的安全狀態(tài)下。Host OS中提供了登錄到操作系統的入口和賬號，通過(guò)這些賬號登錄到系統的任何管理操作都需要記錄日志，用于事后審計，這些日志要在系統中保留足夠時(shí)間。系統中存在各種用途的虛擬機，根據虛擬機的不同用途在系統中應當分配不同的進(jìn)程權限，并實(shí)現權限最小化，避免用戶(hù)虛擬機被攻擊后進(jìn)而獲得較高的系統控制權限。

3　結束語(yǔ)

據IDC報告，超過(guò)74%的用戶(hù)認為安全問(wèn)題是限制云計算發(fā)展的主要問(wèn)題^[6]。隨著(zhù)5G、大數據、人工智能、國密算法的快速發(fā)展及應用，國家對電信云基礎設施的安全技術(shù)措施也會(huì )持續演進(jìn)。網(wǎng)絡(luò )是云計算基礎設施、云管理策略、云數據業(yè)務(wù)、讀者云閱讀服務(wù)的承載平臺^[7]。對于運營(yíng)商電信云網(wǎng)絡(luò )平臺，通常根據業(yè)務(wù)內容將DC劃分為多個(gè)安全等級區域，每個(gè)區域都通過(guò)防火墻隔離開(kāi)，業(yè)務(wù)用戶(hù)不能直接訪(fǎng)問(wèn)高安全等級區，必須通過(guò)不同區域內的特定服務(wù)器實(shí)現跳轉訪(fǎng)問(wèn)。在安全區域中還可以再次按照業(yè)務(wù)對當前域進(jìn)一步劃分與隔離。運營(yíng)商的網(wǎng)絡(luò )業(yè)務(wù)分為運維域、網(wǎng)關(guān)域、控制域、數據域，由不同業(yè)務(wù)類(lèi)型匯聚為不同的域，每個(gè)域之間以防火墻隔離，確保相互之間只能進(jìn)行授權訪(fǎng)問(wèn)。在多廠(chǎng)家共同部署的環(huán)境中，對于單個(gè)域，還需要考慮主機隔離。目前云計算服務(wù)平臺常用認證協(xié)議為安全套接字層認證協(xié)議SAP^[8]。在同一個(gè)主機內，如果需要進(jìn)一步隔離，可考慮VM、Hypervisor，甚至CPU、存儲、網(wǎng)絡(luò )等的安全隔離方案。為提升系統防攻擊的能力，應對操作系統、容器、數據庫等進(jìn)行安全加固，對管理、信令和數據平面做好安全隔離，以及安全監控和審計等一系列安全加固措施，提升防攻擊檢測和響應能力。苗春雨等人^[9]提出采用5G網(wǎng)絡(luò )切片技術(shù)和成熟的云化、虛擬化隔離措施，如物理隔離、VM資源隔離、虛擬可擴展局域網(wǎng)、VPN和虛擬防火墻等，實(shí)施精準、靈活的切片隔離，保證在不同租戶(hù)之間進(jìn)行CPU、存儲以及I/0資源的有效隔離。華為技術(shù)有限公司^[9]提出采用MEC技術(shù)將云數據中心的計算能力部分轉移到核心網(wǎng)的邊緣。MEC充分利用了已有的云化、虛擬化安全技術(shù)，加強了第三方的認證授權管理和用戶(hù)數據保護，構建了邊緣網(wǎng)絡(luò )安全。MEC安全域需要根據業(yè)務(wù)和部署進(jìn)行嚴格劃分，當在MEC上部署第三方應用時(shí)，需要進(jìn)行軟件、資源、系統、APP的安全隔離與安全保護。

作者簡(jiǎn)介：

黃曉燕（1989-），女，廣西南寧人，工程師，學(xué)士，現就職于四川公眾項目咨詢(xún)管理有限公司，研究方向為5G、云計算、物聯(lián)網(wǎng)及網(wǎng)絡(luò )安全。

劉　暢（1990-），男，四川成都人，工程師，學(xué)士，現就職于四川公眾項目咨詢(xún)管理有限公司，研究方向為5G、云計算、物聯(lián)網(wǎng)及網(wǎng)絡(luò )安全（本文通訊作者）。

宋仕斌（1976-），男，四川成都人，高級工程師，學(xué)士，現就職于四川公眾項目咨詢(xún)管理有限公司，研究方向為云計算、物聯(lián)網(wǎng)及網(wǎng)絡(luò )安全。

參考文獻：

[1] 張源, 尹星, 金寧, 等. 5G網(wǎng)絡(luò )云化技術(shù)及應用[M]. 北京: 人民郵電出版社, 2020.

[2] 張世華, 文湘江, 張奎, 等. 電信云安全方案研究[J]. 郵電設計技術(shù), 2023 (4) : 24 - 28.

[3] 呂振通, 張奎, 康凱, 等. 電信運營(yíng)商網(wǎng)絡(luò )全面云化策略分析[J]. 郵電設計技術(shù), 2021 (6) : 12 - 17.

[4] 張曉藝. 開(kāi)放的5G電信云網(wǎng)絡(luò )是否安全[J]. 計算機與網(wǎng)絡(luò ), 2020, 46 (18) : 52 - 53.

[5] 廖堅. 淺析云計算應用模式下的安全挑戰[J]. 電子世界, 2014 (8) : 1 - 2.

[6] 江雪, 何曉霞. 云計算安全對策研究[J]. 微型電腦應用, 2014, 30 (2) : 30 - 34.

[7] 馬曉亭, 陳臣. 云計算環(huán)境下基于收益優(yōu)化的數字圖書(shū)館網(wǎng)絡(luò )虛擬化研究[J]. 情報科學(xué), 2014, 32 (3) : 61 - 65.

[8] 關(guān)慶娟, 楊燕梅, 劉浩. 云圖書(shū)館中“基礎設施即服務(wù)”模式的安全研究[J]. 電腦知識與技術(shù), 2014, 10 (17): 3991 - 3993.

[9] 苗春雨, 王永琦, 盧建云, 等. 云安全管理與應用[M]. 北京: 人民郵電出版社, 2021.

摘自《自動(dòng)化博覽》2023年12月刊