电信云虚拟基础设施安全风险分析与安全策略研究

★ 四川公众项目咨询管理有限公司 黄晓燕，刘畅，宋仕斌

摘要：电信云作为资源池，可分配不同的资源给用户使用。目前，提供防止外部攻击的技术措施保护资源和数据的安全，提供合适的数据保护策略防止用户数据泄露，这些都是电信云平台需要解决的网络信息安全挑战。本文分析了电信云虚拟基础设施业务面及管理面信息网络的安全风险，并从虚拟化网络、虚拟化存储、虚拟化计算、Guest OS、Host OS等维度全方位提出了电信云基础设施系统化信息安全的解决方案，从而为构建动态、主动、全网协同与智能运维的电信云平台纵深安全防护体系提供了技术支撑。

电信云是基于NFV和SDN技术构建的云化网络基础设施，其通过网络资源虚拟化打造弹性、高效、按需分配的业务网络。电信云在传统网络安全的基础上增加了水平方向的分层，多厂商对接的解耦架构导致电信云安全边界模糊化、分层化，多层间安全策略不能协同，安全问题难以快速定位和溯源，静态配置安全策略无法满足灵活、弹性与扩缩容的需求。网络安全已经上升到国家战略，国家相继颁布了《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等一系列法律法规。因此，亟须研究新的电信云虚拟基础设施网络安全策略，以构建电信云主动、动态、全网协同、智能运维的纵深安全防护体系。

1 电信云虚拟基础设施安全威胁分析

随着NFV日益成熟，越来越多的设备厂家提供基于NFV的商品和服务，而越来越多的运营商在通信网络中逐步引入NFV设备进行网络云化改造。从传统IT架构到云化部署使得传统边界定义失效。云化数据中心在传统数据中心面向出口除进行分布式拒绝服务（Distributed Denial of Service，DDoS）、防护等物理基础设施安全外，还需关注虚拟机层面的安全性问题。电信云虚拟基础设施安全威胁包括虚拟基础设施业务面安全威胁和虚拟基础设施管理面安全威胁。

1.1 虚拟基础设施业务面安全威胁

电信云虚拟基础设施业务面是由虚拟服务层与下层物理资源之间的数据处理与交互通道、虚拟服务层与上层的虚拟机及虚拟机中的App之间的交互通道以及数据和处理模块所构成的平面。虚拟基础设施业务面安全威胁为App、Guest OS、Cloud OS、Host OS之间的业务运行能力和资源可能面临的安全威胁，其安全威胁与攻击场景如图1所示。

图1 虚拟基础设施业务面安全威胁与攻击场景

攻击者可能对虚拟机镜像文件进行非法篡改或安装恶意软件，并利用设备驱动接口漏洞在系统加载虚拟机过程中对Hypervisor进行攻击造成虚拟机逃逸，威胁Host OS安全。攻击者在虚拟机中通过构造特殊的虚拟磁盘驱动接口，可能绕过虚拟磁盘系统的隔离非法访问其他用户的磁盘空间。虚拟机根据业务需要可能被分配权限访问Cloud OS提供的虚拟传输设备，这些虚拟传输设备业务面的通信协议可能会遭受攻击导致虚拟化传输出现故障。从一个虚拟机中试图连接和登录另一个虚拟机的Guest OS，而这两个虚拟机之间没有正常业务通信需求。如果虚拟化网络提供了二者间连接的通路，则攻击者可利用Guest OS系统漏洞或弱认证导致该虚拟机被非法入侵。攻击者从一个虚拟机中尝试连接另一个虚拟机中的App可能导致App被非法连接和访问。攻击者通过在合法运行的Guest OS中加载恶意软件或非法软件病毒，威胁Guest OS的正常运行，并可伪造/篡改系统软件、读取/恢复新分配的存储资源和内存资源原始内容。Cloud OS给新虚拟机分配存储资源和内存资源时，这些存储资源中可能残存有上一位使用者的信息，新的虚拟机用户可能会读取或恢复原始存储数据导致用户信息泄露。Cloud OS对外连接需求会对外暴露虚拟路由器IP地址，可能从DC外部攻击虚拟路由器外部IP地址导致路由协议被攻击或转发能力受到DDOS攻击。

1.2 虚拟基础设施管理面安全威胁

虚拟基础设施管理面是由为维护虚拟基础设施由维护人员通过外部管理终端与虚拟基础设施的管理接口之间建立的连接通道、通道内传输的数据以及负责对传输数据进行处理的功能模块所构成的平面。虚拟基础设施管理面的安全威胁与攻击场景如图2所示。

图2 虚拟基础设施业务面安全威胁与攻击场景

攻击者在DC外部连接到MANO（或Local OM）或通过用户虚拟机连接管理虚拟机，使用非法获取的MANO或Local OM的管理员账号登录，对OpenStack Controller进行非法管理操作。攻击者在管理网络中远程攻击Host OS，提供被解登录账号或利用系统漏洞非法入侵Host OS。攻击者获取Host OS管理员登录凭证在主机近端登录Host OS，对Host OS进行非法操作并获取用户数据，造成用户数据泄露。攻击者在用户虚拟机中或管理网络中连接虚拟路由器管理接口非法登录管理接口对虚拟路由器进行非法操作。攻击者在用户虚拟机中或管理网络中非法连接VNC Proxy对VM进行非法控制。攻击者在用户虚拟机中或管理网络中连接并攻击OpenStack Controller非法进行虚拟资源的申请与管理。攻击者在用户虚拟机中或管理网络中非法登录VNC Server，通过VNC Server非法控制VM。攻击者在用户虚拟机中或管理网络中伪造OpenStack Controller，向OpenStack Agent发送伪造消息从而非法控制虚拟化资源。

2 虚拟基础设施安全策略

虚拟基础设施是指运行在物理基础设施上的虚拟化平台，其为虚拟化网元的运行提供所需要的计算资源存储资源和网络资源，包括Host OS、Cloud OS、Guest OS（VM）。本文针对虚拟基础设施安全风险提出了相应的安全策略，并在贯穿于网络中的关键交互点、上下层级之间构建了立体结构的安全架构，确保了电信云网络基础设施及通信网元的安全运营，满足了用户面、平台、网络、系统、虚拟化等维度的安全需求。

2.1 虚拟化网络安全

两个虚拟机之间可能存在某些通信需求，可以在两个虚拟机之间的访问通路上进行数据包端口隔离，如在虚拟路由上采用ACL进行端口白名单过滤，但仅限这些通信端口可被访问，除此之外的端口访问则在两个虚拟机之间隔离。同时，Host OS在VM内的端口上实现了ACL规则的自动生成与自动部署，降低了网络被入侵的风险。虚拟传输设备业务面支持一些必要的路由协议和ARP，这些协议需要支持防攻击能力。防攻击能力包含3个方面：防畸形报文攻击、防拒绝服务攻击、防伪造对端。虚拟网络中的虚拟传输设备具有管理接口，需要支持用户管理、登录认证、操作鉴权、日志记录等操作。需要对可访问虚拟传输设备的通道进行限制，仅允许合法的主机进入这个通道。管理端口需要具有防协议攻击能力，包括防畸形报文攻击，防拒绝服务攻击。虚拟网络中有多种管理面需要从维护网络中连接访问，如管理虚拟机、虚拟传输设备管理端口、NFV管理端口，为避免这些管理端口直接暴露在DC外部，优先部署堡垒机。管理人员需要先登录到堡垒，通过堡垒机上跳转到需要访问的管理端口。

2.2 虚拟化存储安全

分配给虚拟机使用的虚拟化存储资源需要进行访问控制和隔离，确保只有存储资源归属的虚拟机才可以访问该虚拟化存储资源。存储在虚拟化存储资源中的数据只能专属于归属虚拟机，其他人员不能将数据导出到虚拟网络外，系统需要提供检测机制，禁止在Host空间中将虚拟磁盘中的数据复制、导出到系统外。将虚拟化存储资源与虚拟机特征绑定并加密，确保即使通过其他手段获取到其他虚拟机的存储资源也无法正确读取该存储资源中的数据。通过分域管理，能够精准、快捷地对电信云中的每个区域模块进行有效部署和控制。

2.3 虚拟化计算安全

云计算有SaaS、PaaS、IaaS三大服务模式，它们的应用都将面临一个特别的挑战。为提供高效率的AES、RSA等密码算法计算，需要在虚拟化环境中提供密码算法协处理器实现快速的密码运算。为提供可信的信任根存储环境，在虚拟化环境中需要对底层的可信环境芯片的处理能力进行虚拟化，使虚拟化平台可以使用底层的可信环境，实现安全启动、安全存储。对Cloud OS发起的任何虚拟化资源请求都需要进行身份认证、访问控制。在虚拟化环境中需要对底层硬件提供的密码协处理器芯片或密码板卡的处理能力进行虚拟化并提供给上层应用使用。系续提供常用密码算法的共用基础模块（Common Building Block，CBB），CBB调用虚拟层提供的由拟化密码算法协处理器接口，实现高效密码运算。

2.4 Guest OS安全

Guest OS作为虚拟化平台上的基础部件，需要进行系统最小化裁剪和系统部件安全加固，以确保操作系统中只保留业务运行需要的系统组件，并且需要对保留的系统部件的运行参数进行安全配置。Guest OS的运行环境趋于开放，其运行的应用软件来源多，存在引入病毒的风险。系统提供安全启动机制，每次虚拟机需要重启时，虚拟机对系统加载的软件逐级进行程序完整性校验启动加载过程是从BOIS到操作系统，再到应用软件。系统提供进程白名单机制，制定NFV网元中的合法进程列表，系统定期对运行的进程进行快照，通过对比快照和合法进程列表，检测系统中是否存在非法进程，如果发现异常进程，则通过告警通知管理员。要在Guest OS中安装运行防病毒软件，对系统中的进程活动、文件传输进行病毒扫描和查杀。在Guest OS中加载的任何软件都应该通过合法性校验，可采用数字签名方式来校验虚拟机中应用软件的合法性。

2.5 Host OS安全

Host OS通过近端登录进行维护并拥有各种服务与应用系统。系统需要提供统一的账号管理，通过创建账号、分配恰当的权限完成用户账号管理。系统中的账号应尽量采用统一的管理入口，避免多套账号同时存在的情况，如FTP账号和系统管理员账号应当统一。通过物理主机的物理接口进入Host OS管理入口。对这些管理入口的访问需要进行身份认证，只有拥有合法身份的访问才允许进行下一步的操作。管理人员登录系统后对系统中任何资源的访问都需要进行鉴权，只有被授权的资源才被允许访问。重要的系统执行文件需要进行合法性校验，防止被非法篡改。校验应当在系统启动过程中或启动后进行，在系统启动后需要定期校验，如果发现文件被篡改，则应及时给管理员发送告警。Host OS需要进行最小化裁剪，仅保留业务需要的系统部件，被保留的系统部件要进行安全参数配置确保系统运行在合适的安全状态下。Host OS中提供了登录到操作系统的入口和账号，通过这些账号登录到系统的任何管理操作都需要记录日志，用于事后审计，这些日志要在系统中保留足够时间。系统中存在各种用途的虚拟机，根据虚拟机的不同用途在系统中应当分配不同的进程权限，并实现权限最小化，避免用户虚拟机被攻击后进而获得较高的系统控制权限。

3 结束语

据IDC报告，超过74%的用户认为安全问题是限制云计算发展的主要问题。随着5G、大数据、人工智能、国密算法的快速发展及应用，国家对电信云基础设施的安全技术措施也会持续演进。网络是云计算基础设施、云管理策略、云数据业务、读者云阅读服务的承载平台。对于运营商电信云网络平台，通常根据业务内容将DC划分为多个安全等级区域，每个区域都通过防火墙隔离开，业务用户不能直接访问高安全等级区，必须通过不同区域内的特定服务器实现跳转访问。在安全区域中还可以再次按照业务对当前域进一步划分与隔离。运营商的网络业务分为运维域、网关域、控制域、数据域，由不同业务类型汇聚为不同的域，每个域之间以防火墙隔离，确保相互之间只能进行授权访问。在多厂家共同部署的环境中，对于单个域，还需要考虑主机隔离。目前云计算服务平台常用认证协议为安全套接字层认证协议SAP。在同一个主机内，如果需要进一步隔离，可考虑VM、Hypervisor，甚至CPU、存储、网络等的安全隔离方案。为提升系统防攻击的能力，应对操作系统、容器、数据库等进行安全加固，对管理、信令和数据平面做好安全隔离，以及安全监控和审计等一系列安全加固措施，提升防攻击检测和响应能力。苗春雨等人提出采用5G网络切片技术和成熟的云化、虚拟化隔离措施，如物理隔离、VM资源隔离、虚拟可扩展局域网、VPN和虚拟防火墙等，实施精准、灵活的切片隔离，保证在不同租户之间进行CPU、存储以及I/0资源的有效隔离。华为技术有限公司提出采用MEC技术将云数据中心的计算能力部分转移到核心网的边缘。MEC充分利用了已有的云化、虚拟化安全技术，加强了第三方的认证授权管理和用户数据保护，构建了边缘网络安全。MEC安全域需要根据业务和部署进行严格划分，当在MEC上部署第三方应用时，需要进行软件、资源、系统、APP的安全隔离与安全保护。

参考文献略。

作者简介：

黄晓燕（1989-），女，广西南宁人，工程师，学士，现就职于四川公众项目咨询管理有限公司，研究方向为5G、云计算、物联网及网络安全。

刘 畅（1990-），男，四川成都人，工程师，学士，现就职于四川公众项目咨询管理有限公司，研究方向为5G、云计算、物联网及网络安全（本文通讯作者）。

宋仕斌（1976-），男，四川成都人，高级工程师，学士，现就职于四川公众项目咨询管理有限公司，研究方向为云计算、物联网及网络安全。

来源 | 《自动化博览》2023年12月刊

声明：本文来自控制网，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。