云安全运维管理平台研发与产业化

云环境的漏洞扫描和安全配置管理4.3按提供的计算服务分4.3.1交付域安全管理技术云服务的成功提供和使用离不开应用交付和安全接入，对于云提供者来说，最大程度利用基础设施并减少运营时间和成本是成功的关键。云服务使用的管理和安全维护是云服务使用范围进一步扩大化的主要阻碍。交付域安全管理的目的就是提供了一种从使用者到“云”的安全控制机制，实现了对提供者交付点的服务有效扩展和控制，为用户提供了一个管理所有云服务产品组合的使用率、安全性和性能的控制点。其内容包括网关控制、会话安全管理、桌面虚拟化控制、应用虚拟化控制。网关控制网关控制是为用户提供了一个控制点，让用户能够很好地控制用户与“云”的连接以及“云”环境中和企业数据中心内应用访问的安全防护。相对于传统模式，云计算体系的层次多，内部关系复杂，因此需要根据新环境的要求研究综合的立体防御机制，并进一步推出适应市场需要的虚拟化综合安全网关产品。虚拟化综合安全网关是针对云计算复杂环境的综合防御系统，融合远程安全接入、安全访问控制、抗拒绝服务攻击、入侵防御、Web安全等技术，具备检测、分析、决策、响应相结合的联动防御能力，有效抵御来自物理硬件层、虚拟层、调度管理层、应用层等各个层次的威胁。对于企业来说，云服务能够提供许多业务优势，包括：作为测试环境，调整新企业应用的规模；针对业务关键流程，提供业务连续性保障和突发容量支持；针对限时性需求，提供经济有效的资源访问；或者充当应用的原生环境，实现“云”环境中最佳应用交付。当然，云服务也有其不足之处，首要之处就是潜在的流氓IT。在传统上，IT人员一般是充当应用和资源的“守门人”角色，有能力控制、监控和安全防护以法规遵从、保密和企业政策遵从为目的应用和资源使用。采用“云”服务，由于云环境具有共享硬件、多承租等特性，IT人员无法有效的实施安全监控，这可能给企业带来重大安全风险。而且，即便企业IT人员提供的云服务已经过验证，但仍有其缺点存在，它会将整个应用环境分成多个小部分，这就增加了以安全性和法规遵从性为目的的证书管理和政策访问、使用情况监控和可视性保持的复杂性。网关控制是通过提供一种网关控制接入控制器为企业用户提供云访问服务。员工可采用原有的企业证书登录安全的门户网站，接受对所有已有授权应用和资源的访问。通过单点登录去除通过不同位置、使用不同证书访问云服务的需求，改善了终端用户生产力和密码管理。网关控制还提供了一种与企业安全政策完全一致的云服务快速提供框架，让IT人员能够以一种及时的方式为企业工作人员提供所需的资源，减少了企业中流氓IT事件的发生。用户可采用所分配的企业证书登录安全门户网站。对于企业网络上的用户，IT人员可以选择启用或禁用用户的SSL加密；对于远程用户，IT人员要求所有连接均启用SSL加密。安全防护采用了双因素认证、基于身份的访问控制、应用级授权、全面审计以及一款集成化数据包检测防火墙，提供了对存储中数据和传输中数据的安全保护。所有应用程序的安全必须有所保障，它们的使用必须有因可循；所有用户，不论是本地的还是远程的，有线的还是无线的，必须先通过认证并确保安全后才可访问已授权应用。网关接入控制器不仅提供了一种从企业至“云”的网关，而且还为企业安全和生产力统一提供方式奠定了良好基础。目前通常的访问控制策略有三种：自主访问控制、强制访问控制和基于角色的访问控制。自主访问控制是根据访问者的身份和授权来决定访问模式。主体访问者对访问的控制有一定权利。但正是这种权利使得信息在移动过程中其访问权限关系会被改变。如用户A可以将其对客体目标O的访问权限传递给用户B，从而使不具备对O访问权限的B也可以访问O,这样做很容易产生安全漏洞，所以自主访问控制的安全级别很低。强制访问控制是将主体和客体分级，然后根据主体和客体的级别标记来决定访问模式，如可以分为绝密级、机密极、秘密级、无密级等。这样就可以利用上读/下写来保证数据完整性，利用下读/上写来保证数据的保密性，并且通过这种梯度安全标签实现信息的单向流通。但这种强制访问控制的实现工作量太大，管理不便。基于角色的访问控制，访问者的权限在访问过程中是变化的。有一组用户集和权限集，在特定的环境里，某一用户被分派一定的权限来访问网络资源；在另外一种环境里，这个用户又可以被分派不同的权限来访问另外的网络资源。这种方式更便于授权管理、角色划分、职责分担、目标分级和赋予最小特权，这也是本项目拟采用的基本访问控制策略。为了保证云接入的安全性的基础上实现云接入的可扩展性，本项目拟实现一个基于微内核架构的，具有构件动态生命周期管理的云接入安全框架。（1） 支持标准IPSECVPN和SSLVPN；支持基于标准IKE协商的VPN通信隧道，支持多种IKE认证方式，如预共享密钥、数字证书，支持IKE扩展认证，如Radius认证等，支持3DES、DES、AES等算法，支持标准MD5、SHA-1认证算法，支持隧道的NAT穿越，支持隧道内的QoS。（2） 考虑到云计算终端多样性和基础架构的异构型，拟展开虚拟专用网（VPN）适用性方面的研究，通过总体设计，分类处理的原则来支持多种客户端操作系统、浏览器以及多种设备类型。（3） 针对目前虚拟专用网（VPN）大都只支持Web代理应用的不足，拟开展虚拟专用网（VPN）对应用多样性的支持，主要采用应用转换和IPTunnel技术，实现了对目前所有网络层以上各种静态或者动态端n应用的完全支持，包括：网上邻居、文件共享，远程桌面、FTP、oUTLooK，SQL，LotusNOTES、SYBASE、ORACLE，CITRIX等各种应用。（4） 基于关联分析的角色访问权限控制的研究，提供了细致到每个URL和不同应用的权限划分，通过给不同用户设置不同角色来分配访问授权。基于角色的访问限制为企业网络提供了较强的安全性，同时，针对资源权限的灵活控制，使管理员对访问权限控制的更改能第一时间生效，保证资源访问安全。（5） 集成企业级状态防火墙方面的研究，拟采用基于连接状态检查的检测方法，即“状态检测”方法。该方法将同一连接的所有包作为一个整体的数据流看待，通过匹配规则表与连接状态表的相关约束，达到对数据包的源地址、目标地址、协议类型、源端口，目标端以及网络接口等数据包进行控制的目标。研究基于状态检测表追踪连接会话状态的判定机制，即结合前后分组里的关系进行综合判断，决定是否允许该数据包通过。另外，内置防火墙支持透明、路由、混合3种工作模式；支持双向NAT、静态路由和基于源（和目的）地址的策略路由；支持带宽控制和时间控制；支持基于接口的安全策略；支持黑名单、ARP绑定、webURL过滤、关键字过滤等功能。（6） 云安全审计关键技术的研究，拟采用基于日志分析的方法，用户可根据日志记录查询和跟踪云数据流向。研究日志级别的分类和度量标准，如：紧急、报警、错误、调试等。同时，管理员可按照饼图、柱状图、曲线图等多种显示方式对服务的被访问次数、被拒绝次数、用户的登录次数、告警次数等进行直观显示。会话安全管理传统意义上的会话管理是为了实现NAT、ASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能。此功能把传输层报文之间的交互关系抽象为会话，并根据发起方或响应方的报文信息对会话进行状态更新和超时老化。会话管理支持多个业务特性分别对同一个业务报文进行处理，实现的主要功能包括：报文到会话的快速匹配；传输层协议状态的管理；报文应用层协议类型的识别；支持会话按照协议状态或应用层协议类型进行老化；支持指定会话维持永久连接；会话的传输层协议报文校验和检查；为需要进行端口协商的应用层协议提供特殊的报文匹配；支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配。会话管理主要基于传输层协议对报文进行检测。其实质是通过检测传输层协议信息（即通用TCP协议和UDP协议）来对连接的状态进行跟踪，并对所有连接的状态信息进行统一维护和管理。会话管理作为基础特性，只是实现连接跟踪，模块本身并不阻止潜在的攻击报文通过。在云计算环境中，恶意攻击者能够跟踪会话状态、窃取会话凭证和监测会话ID，达到对系统进行攻击的目的。因此，提供一种会话安全管理机制对于保障系统和数据安全、防止未经授权的访问和数据泄露有着十分重要的意义。会话安全管理实现的内容包括：a） 支持TCP、UDP、ICMP、RawIP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间。b） 支持应用层协议的端口映射，允许为应用层协议自定义对应的非通用端口号，同时可以根据应用层协议设置不同会话超时时间。c） 支持TCP、UDP、ICMP报文的校验和检查。在校验和检查失败的情况下，不进行会话的匹配或创建，而是由基于会话管理的其他业务来处理。d） 支持ICMP差错报文的映射，可以根据ICMP差错报文的内层报文查找原始的会话。另外，由于差错报文都是由于某主机出错后产生的，因而可以加速该原始会话的超时老化。e） 支持应用层协议（如FTP等协议）的控制通道和动态数据通道的会话管理。f） 实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域，以便阻止恶意的入侵。桌面虚拟化控制桌面虚拟化是指将计算机的桌面进行虚拟化，以达到桌面使用的安全性和灵活性。桌面虚拟化是支持企业级实现桌面系统的远程动态访问与数据中心统一托管的技术，可以运行用户通过瘦客户端在任何地点，任何时间访问在网络上的专属的个人桌面系统。以托管服务的形式交付桌面可以创建更加灵活的IT基础架构，从而可以帮助企业更迅速地响应市场变化和机遇。更快和更加一致地将应用程序和桌面部署到更多类型的客户端，从而在提高服务级别的同时降低成本。延长旧版应用程序的使用寿命，并通过应用程序虚拟化来消除安装冲突。对于远程办公室和分支机构，将您的桌面移到云中，并在任何需要的地点以托管服务的形式交付它们，同时保持所需的控制力和安全性。在桌面虚拟化中存在的主要安全问题包括域管理和准入控制问题。随着桌面虚拟化的引入，每个用户至少多了两个操作系统实例（瘦客户机和虚拟桌面），即需要登录到瘦客户机，同时虚拟桌面也必须加入域才能够正常工作。云计算环境中虚拟桌面端运行在数据中心，而瘦客户端接入设备则可以运行在不同的地域，因而位于不同的局域网中，所以需要VPN等关键技术支持。1）隧道技术企业网内一个局域网的数据透明的穿过公用网到达另一个局域网，虚拟专用网采用了一种称之为隧道（Tunneling）的技术。作为VPN关键技术中最为重要的一项，隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。利用它可在一条广域链路上，从数据源到目的节点之间建立一条隧道。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装，然后通过隧道发送。新的帧头提供路由信息，从而使封装的负载数据能够通过互联网络传递，到达目的节点，然后进行解封，获得原始数据包。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。隧道所使用的传输网络可以是任何类型的公共互联网络。隧道技术包含了数据封装、传输和解包在内的全过程。如果将加密技术引入隧道协议，即数据包经加密后按隧道协议进行封装，沿隧道传输，就可以确保其安全性，从而在一条不安全的共享链路上建立一条能确保数据安全的有效通道，达到延伸网络的目的。通过隧道的建立，可实现：将数据流强制送到特定的地址、隐藏私有的网络地址、在IP网上传递非IP数据包和提供数据安全支持。目前常用的安全隧道技术有：点对点隧道协议PPTP、二层隧道协议L2TP以及IP安全协议IPSec,出于对安全性和可扩展性等方面的综合考虑，本云平台将采用目前主流的IPSec技术。用户认证技术用户认证技术(UserAuthenticationTechnology)是指在隧道连接正式开始之前确认用户的身份，以便系统进一步实施资源访问控制或用户授权(Authorization)o认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长度可变的长报文通过函数变换，映射为一段长度固定的短报文即摘要。由于HASH函数的特性，使得要找到两个不同的报文具有相同的摘要是非常困难的。该特性使得摘要技术在VPN中有两个用途，即验证数据的完整性以及用户认证。常用的HASH函数有MD5，SHA-1等。在IPSecVPN中缺省的认证算法HMAC-MD5和HAC-SHA1oHMAC表示“散列信息认证码(HashedMessageAuthenticationCode)”。MD5是"消息摘要5(MessageDigest5)”算法，SHAI是"安全散列算法(SecureHashAlgorithmVersion1)"。HMAC连续两次应用同一种传统的基于密钥的消息校验码，第一次利用密钥对数据加密，第二次是对上次的输出结果加密。根据所使用的基本的消息校验码的不同，对这种算法可有不同的称号，如：HMAC-MD5和HMAC-SHA等。HMAC-MD5和HMAC-SH是MD5和SHA的HMAC变体，比MD5和SHA更为强壮，HMAC-MD5生的摘要长度为128位，而HMAC-SHA产生的摘要长度为160位。由于用户认证技术相对成熟，将采用现有的技术进行集成。数据加密技术当数据包传递时，数据加密技术用来隐藏数据包。如果数据包通过不安全的Internet，那么即使已经建立了用户认证，VPN也不完全是安全的。因为如果没有加密的话，普通的嗅探技术也能捕获数据包，甚至更改信息流。所以在隧道的发送端，认证用户要先加密，再传送数据；在接收端，认证用户后再解密。同时，大多数的隧道协议没有指出使用哪种加密和认证技术，这使得在加密和认证技术上存在着许