支持拟态防御功能的云组件技术要求和测试方法

4YD/IXXXX-202X支持拟态防御功能的云组件技术要求和测试方法本文件规定了支持拟态防御功能的云组件的技术要求和测试方法，对支持拟态防御功能的云组件在功能、性能、安全性等方面提出具体技术要求，并提出对应的测试方法。本文件适用于支持拟态防御功能的云组件系统的研制、生产、认证和实际环境部署2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。YD/T1878-2020支持拟态防御功能设备总体技术指南3术语和定义YD/T1878-2020界定的以及下列术语和定义适用于本文件。运行在云环境下的云服务组件，能够为云上应用提供特定的功能，例如微服务网关、云存储、资源调度工具等。支持拟态防御功能的云组件cloudpluginsupportedmimicarchitecture在云环境下为云应用提供拟态防御功能的服务插件，其根据租户请求生成拟态云服务，同时将用户服务请求发送至多个异构的云服务执行体进行处理，并对各响应结果进行拟态裁决后反馈给用户，同时根据裁决结果对异常云服务执行体进行动态调度、清洗下列缩略语适用于本文件。HTTP超文本传输协议HyperTextTransferProtocolHTTPS超文本传输安全协议HyperTextTransferProtocoloverSecurSocketLayer输入输出网际互连协议传输控制协议UDP用户数据报协议UserDatagamProtocol6-—输入代理对业务侧I0数据流进行接管，与用户建立连接，托管用户会话请求，并将会话请求复制分发转给应用执行体：——将来自裁决器的会话响应发送给用户：——输入代理应按照“极简”原则设计，尽量降低攻击表面： 应以日志的形式记录故障、程序错误等信息，信息能够通过数据库、Svslog或者RESTful方式输出到本地或远端日志服务器。6.2拟态裁决器要求拟态裁决器要求应包括：-—接收代理的上行会话数据，接应用执行体的下行响应数据：-—应在用户请求会话中添加内部标识，并能够对应用执行体返回的带标识的响应消息进行标识解析：-—应对云应用执行体返回的响应按照裁决策略进行裁决：-裁决策略应支持大数表决、带权重表决，可选择支持但不限于基于历史可信度的大数表决、快速表决、滑动窗口表决等裁决策略：-—支持将裁决生成的异常信息封装发送给负反馈控制器-—裁决器应支持高可靠设计，如主备模式、冗余模式等-—应以日志的形式记录裁决异常、故障等信息，信息能够通过数据库、SYSL0G或者RESTful方式输出到本地或远端日志服务器。6.3负反馈控制器要求负反馈控制器要求应包括：——接收裁决器上报的裁决异常事件，根据特定调度策略，向云管理平台发出调度指令；-—负反馈控制器应支持对单个执行体、多个执行体或某一应用的所有执行体触发调度指令——应以日志的形式记录故障、程序错误等信息，信息能够通过数据库、SYSL0G或者RESTful方式输出到本地或远端日志服务器。6.4与其它安全机制的联动要求其他安全机制联动要求应包括——拟态云组件支持与云中部客的其它安全机制联动，拟态云组件生成的裁决日志信息应作为威胁情报提供给威胁分析平台； 态云组件应支持与成胁分析平台的联动，接收来白威胁分析平台或其它安全机制的成胁情报作为执行体清洗、重置等依据。6.5拟态可靠性要求拟态云组件应满足故障恢复、业务高可用等可靠性要求6.6日志记录要求拟态云组件的日志接口主要用于针对入侵事件、攻击事件产生的异常告警数据的输出。异常告警信息至少应至少包含以下内容：-—裁决设备序列号——告警发生时间信息——异常类型-—告警云服务执行体编号-—告警事件详细信息 各个组件均应记录运行状态、异常情况等日志信息。7拟态云组件性能要求7.1用户会话托管连接数型，分别表示为N和N。相关计算依据和参考阈值参见附录A。7.2附加处理时延附加处理时廷T,是指采用拟态机制后，在统计意义上引入的裁决平均时延、会话转发平均时延等。相关计算依据和参考阀值参见附录A8拟态云组件安全要求拟态云组件部署的拟态云服务应当能够抵御所支持的安攻击。8.2差模注入情况安全要求差模注入情况是指攻击者利用漏洞/后门对单个云服务执行体进行攻击，使其正常响应发生变化。差模情况下，拟态云组件应具备100%的防护能力，逃逸次数为0次，且用户无感。8.3N-1模注入情况安全要求N-1模注入情况是指攻击者利用漏洞/后门同时对多个云服务执行体进行攻击，使其正常响应发生变化。N-1模情况下，拟态云组件能使输出响应无法长期被算改，系统应当标定解脱恢复时间tw-1,系统元服务功能与信息恢复至正常的时间不超过tM-18.4N模注入情况安全要求N模注入情况是指攻击者利用漏洞/后门同时对多个云服务执行体进行攻击，使其N模情况下，拟态云组件能使输出响应无法长期被篡改，系统应当标定解脱恢复时间ty,系统元服务功能与信息恢复至正常的时间不超过ty.9拟态云组件功能测试本章规定了拟态云组件的功能测试，包括输入代理、拟态裁决器和负反馈控制器相关功能的测试。拟态云组件测试环境如图2所示。系统主要包括两个测试点：测试点1从业务面对输入代理和拟态裁决器的相关功能进行测试，测试点2从管理面对负反馈控制其的相关功能进行测试测试点1测试点1拟态云业务面数据流管理面数据流测试点2图2拟态云组件测试环境图9.3输入代理转发测试步骤1:通过业务口向输入代理发送测试请求信息(例如HTTP请求，HTTPS请求)云服务执行体；9.4拟态裁决器功能测试预置条件：拟态云组件运行正常，已成功部测试步骤；步骤1;通过业务网络发送恶意访问请求或者通过控制某一个执行体修改其步骤2:通过管理员权限查看裁决异常上报信拟态裁决器功能正常，恶意请求不影响拟态裁决，拟态裁决器能够发现响应异常的预置条件：拟态云组件运行正常，已成功部步骤1:通过负反馈控制器设置某个云服务是否开启动态轮换；步骤2:以管理员权限持续观察在线执行体是否发生动态轮换；预置条件；拟态云组件运行正常，拟态云服务镜像已存在于云步骤1:租户通过界面或RESTfulAPI创建所需的拟态云服务：预置条件：拟态云组件正常运行，已成功部步骤1:用户对在线的拟态云服务进行访问，分预期结果；预置条件：拟态云组件正常运行，已成功部步骤2:等待一段时间(自定义的定时轮换周期),再次查看在线拟态云服务执行体信息；步骤3:通过控制某一个执行体修改其响应信息；步骤4:负反馈控制器接收到拟态裁决器上报的异常信息后决策云服务步骤5:以管理员权限观察拟态云服务执行体信息；预置条件；拟态云组件正常运行，已成功部步骤1:通过管理员权限查看在线拟态云服步骤2;通过配置使该拟态云服务以非拟态方式运行，再次查看在线拟态云服务执行体信息；步骤3;再次配置使该拟态云服务恢复拟态运行，再次查看在线拟态云服务执行体信息：拟态云服务在拟态状态运行时，有N个执行体在线同时提供服务；在非拟态方式运预置条件：拟态云组件运行正常，己成功部步骤1:通过控制一个执行体，篡改执行体步骤1:基于测试例4,创建新的拟态云服步骤1;使用测试仪通过业务口向拟态云组件发送压测负载(TCP会话);步骤2;调整压测参数配置，继续压测；步骤4:通过业务口向云应用拟态化组件发送压测负载(UDP会话);步骤5;重复步骤2-3。测试步骤；步骤1:使用测试仪通过业务口向代理发送测试请求信息；步骤2:通过管理员权限分别查看日志中记录的裁决时延、会话转发时廷等，并记录；步骤3;多次重复步骤1-2,;11拟态云组件安全测试本章规定了针对拟态云组件的安全测试内容，包括对拟态云组件部署的拟态云服务的差模测试、N-1模测试和N模测试11.2拟态云服务差模测试预置条件；拟态云组件运行正常，己成功部步骤2:持续访问该云服务，观察正常服务是否受到影响，并观察步骤3:等到系统恢复正常，多次重复上述步骤；1.拟态云组件将会告警该异常，并对该异常执行预置条件；拟态云组件正常运行，已成功部步骤2:持续访问该云服务，观察正常服务是否受到影响，并观察1.该拟态云服务应在解脱恢复时间tw-i内迅速恢复正常；2.N-1个被算改的执行体将被轮换下线；11.4拟态云服务N模测试预置条件：拟态云组件正常运行，已成功部步骤1;选择该云服务下全部N个运行中的执行体，通过旁路控制该N个执行体，步骤2;持续访问该云服务，观察正常服务是否受到影响，并观察系统运行状态；(资料性)性能指标计算依据和参考阈值A.1拟态云组件用户会话托管连接数对于拟态云组件用户会话托管连接数，其主要计算依据如下：拟态云组件能够代理的用户最大会话数，包括TCP会话和UDP会话两种类型考虑到拟态云组件的不同实现方式，N和N在技术要求中不设硬性规定，但应在设备提供时明