如今,在數據中心規劃和建設中,雲計算相關技術已幾乎成為"標配"。組織在享受雲紅利的同時,也有一個日益凸顯更不容忽視的問題:雲上數據安全。數據一旦洩露,甚至會演變成影響巨大的公共事件。而在雲計算技術體系中,虛擬化軟件棧作為底層核心技術,其安全性更尤為重要。目前,虛擬化軟件棧面臨著7種主要威脅:
1. 數據洩露和丟失
攻擊者竊取、修改、銷燬虛擬機內部數據
2. 系統後門、rootkits
攻擊者修改系統源代碼
3. 拒絕服務(DoS)
攻擊者租用虛擬機對該平臺上虛擬機實施DoS攻擊
4. 虛擬機鏡像威脅
攻擊者修改、替換鏡像
5. 運行時代碼、數據篡改
攻擊者通過緩衝區溢出、庫函數映射等實現對Hypervisor等代碼的注入和修改
6. 權限提升
破壞Hypervisor和虛擬機之間的隔離,使虛擬機代碼運行在Hypervisor特權級
7. 不可信的雲內部人員
雲內部人員權限過高,且不受防火牆和IDS限制
虛擬化軟件棧攻擊面和攻擊源
(朱民、塗碧波、孟丹,中國科學院,虛擬化軟件棧安全研究,計算機學報,2017年40卷第2期)
複雜多樣的安全威脅,必然需要多維度的防護體系來應對。作為浪潮雲海OS的基礎平臺,服務器虛擬化系統InCloud Sphere在數據保護和防禦機制方面,向來是全副武裝、有的放矢的:
InCloud Sphere完整性校驗:讓數據威脅無所遁形
完整性校驗的目的是通過探測或阻止威脅,保護可能遭受不同方式危害的數據的完整性和數據相關屬性的完整性。在虛擬化系統中,完整性主要包括系統本身的完整性,以及運行在虛擬化系統之上的虛擬機文件的完整性。
InCloud Sphere在系統完整性以及虛擬機完整性方面的執行和控制機制有其獨到的設計思路:首先,在主機初始化時,系統根據配置文件生成被校驗文件的基準數據庫,基準數據庫中加密保存各文件的唯一校驗值及文件屬性。然後,系統通過設定時間檢測目標文件的校驗值,與數據庫中初始校驗值對比,即可發現被更改文件。
系統完整性機制
另外,在對虛擬機的完整性保護方面,系統支持在虛擬機開關機時分別生成保護對象的特徵值,保護對象包括磁盤、快照以及虛擬機配置文件。
InCloud Sphere雙因子用戶鑑別機制:"Double Check"更穩妥
InCloud Sphere擁有結合USB-KEY和PIN碼的雙因子鑑別機制。用戶登錄時需要插入USB-KEY,輸入用戶名、密碼以及PIN碼,通過瀏覽器插件訪問USB-KEY中的PIN碼以及ID,由前臺比對用戶輸入的PIN碼與USB-KEY提供的是否一致。若一致,則將USB-KEY ID傳輸給後臺,後臺會比對數據庫記錄的ID與USB-KEY提供的是否一致,得到肯定答案後才允許訪問系統。
在鑑別信息的傳輸方面,管理入口採用加密通訊,對鑑別信息則採用二次加密;在鑑別信息的存儲方面,InCloud Sphere採用雙重加密機制;同時,InCloud Sphere具備從時間、IP、MAC三方面對管理員登錄進行限制的功能,全面加強對登錄路徑的安全防護。
InCloud Sphere強制訪問控制技術:為重要數據打造"金鐘罩"
InCloud Sphere具備基於標記的強制訪問控制技術。安全控制器是InCloud Sphere的強制訪問控制子系統,用於驗證虛擬機及宿主機對系統重要資源訪問的合法性,並記錄其訪問行為,防止重要數據被惡意破壞或非法訪問,可有效增強虛擬化軟件的安全性。其主要安全特性包括:
· 實施"三權分立"並增強身份認證
· 基於安全標記的資源強制訪問控制,實現各類角色的最小權限
· 重要進程及文件保護,防止非法中止和訪問重要文件
· 完善的安全日誌審計記錄及管理
安全控制器
基於安全控制器,InCloud Sphere實現了內核級的虛擬化主機強制訪問控制。安全控制器能夠旁路所有的文件訪問操作,從驅動層來達到為主客體進行安全標識判斷的目的,保障內核安全。
內核級的虛擬化主機強制訪問控制
國密SM4:數據加密保護,"算法"是關鍵
InCloud Sphere擁有基於國密SM4的關鍵數據加密保護策略。以虛擬磁盤文件保護為例,InCloud Sphere將虛擬磁盤文件保存為QCOW2格式,QCOW2格式包括一個header頭文件,兩級尋址表L1 & L2和數據存儲空間數據。InCloud Sphere通過深度定製libvirt和QEMU組件,實現了對關鍵數據的SM4加密,應用國密算法實現了對關鍵數據的保護。
QCOW2文件保護
2018年4月,浪潮發佈了全新的基於KVM的InCloud Sphere企業版,在虛擬機管理、監控告警、資源調度、業務安全等方面進行了全面升級,通過了斷電斷網(虛擬機遷移、克隆等業務過程中)多種突發情況等308項測試,憑藉在安全方面的卓越表現,並通過中國信息安全測評中心權威機構安全測評,成為名副其實的"安全擔當"。
中國信息安全測評中心證書
作為浪潮雲海OS的核心組件,定位於雲計算基礎平臺,InCloud Sphere將在安全加固、穩定可靠、開放生態三大核心競爭點上持續發力,為雲數據中心構築穩固的基石。
閱讀更多 浪潮圈 的文章
