laaS云计算安全框架设计1 IaaS云计算功能架构说明：接入层：指提供给用户访问云系统或用于为其他服务提供调用接口的软硬件系统。

如Portal虚拟资源层：指虚拟机、虚拟存储设备、虚拟交换机、虚拟服务器等虚拟化的实体。

虚拟化平台层：指服务器虚拟化软件（如vmwareESXi ），存储虚拟化软件（??）, 网络虚拟化软件（?）硬件资源层：指各种服务器，存储设备及存储网络、网络设备及连接等资源。

管理层：指提供IaaS服务管理、系统运行管理及安全管理功能相关软硬件系统2 IaaS云计算安全风险2.1接入层风险会话控制和劫持：指web应用中的通信会话被攻击者控制劫持导致通信信息泄露或拒绝服务等问题。

尽管HTTP协议是无状态协议，但一些Web应用程序则依赖于会话状态，因此存在遭受会话控制和劫持风险。

API访问控制失效：指当外部实体访问接口层时，不能验证调用者的身份信息或者验证机制被旁路带来的问题。

弱密码攻击：指因为加密算法缺陷或新的密码分析技术的进步导致安全通信中所依赖的加密技术不再安全。

2.2 虚拟资源层风险虚拟机隔离失效：一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机，可能带来虚拟机信息泄露，拒绝服务等问题。

虚拟机逃逸：指攻击者获得Hypervisor 的访问权限，从而对其他虚拟机进行攻击。

若一个攻击者接入的主机运行多个虚拟机，它可以关闭Hypervisor ，最终导致这些虚拟机关闭。

虚拟机迁移安全失效：指当虚拟机进行动态迁移或通过文件复制等方式静态迁移时，如果迁移前后所在的主机平台的安全措施不一致，则可导致虚拟机陷入安全风险状态。

共享存储数据删除不彻底：指多租户模式下，不同用户共享同一物理存储资源，当一个用户所分配的物理存储资源被回收后，如果其上的数据没有彻底删除，那么就可能被非法恢复的风险。

虚拟机镜像文件非法访问和篡改：指虚拟机镜像文件在没有所有者授权下非法复制，修改等风险。

2.3 虚拟化平台层风险虚拟化平台完整性篡改：指虚拟化软件被攻击者注入恶意代码或进行篡改导致系统进入不安全状态。

管理接口非法访问：指虚拟化软件面向管理员的访问接口没有设置访问控制措施或因为软件缺陷利用，攻击者访问管理接口将直接影响这个虚拟化平台的安全。

如Xen 用XenCenter 管理其虚拟机，这些控制台可能会引起一些新的缺陷，例如跨站脚本攻击、SQL 入侵等。

资源分配拒绝服务：指在虚拟化环境下，CPU 、内存等资源是虚拟机和宿主机共享的，如果虚拟机发起DoS 攻击以获取宿主机上所有的资源，可能造成主机拒绝服务。

2.4 硬件资源层风险主机及网络拒绝服务：指提供服务的物理主机和网络设备不能为其他访问者提供正常的服务。

服务器非法访问：指服务器因为缺乏访问控制或认证机制被非法用户登录或使用其资源。

存储硬件设备失效导致的数据丢失：指因为设备自身质量问题导致数据丢失。

设备非法接入网络：指网络缺乏必要的设备监控机制，不能发现或阻止未经事先登记或注册的设备接入网络，给网络带来安全隐患。

服务器病毒感染：指服务器因为病毒库未更新或防御不当导致感染病毒，影响服务器的正常运行。

服务器节点失效：指服务器因为自身设备故障或软件系统漏洞导致不能正常服务。

2.5 物理安全风险自然灾害：指地震、火灾等具有强破坏力的情况。

数据中心非法进出：指人员可以随意进出带来的风险，如设备失窃。

数据中心辅助设施失效：指提供数据中心动力的系统的失效带来的风险，如供电设备失效导致服务器宕机数据丢失等问题。

2.6 其他风险服务商绑定：指因为服务商没有采用标准的技术导致当用户从一家服务商将业务迁移到另一家服务商时，存在迁移困难的风险。

服务计费失效:指云服务计费测量系统因为被攻击导致服务计费工作失效。

合规审计失效：指云环境下的合规审计工作变动困难。

如可能存在一家云服务商同时还租用其他云服务商的服务，这种业务下的合格审计工作显然更加复杂。

动态系统的监控失效：指因为云系统的动态特点，传统的监控技术存在不足而导致的风险。

如同一主机上的虚拟机间流量无法用传统的技术来监控。

多用户身份及访问控制失效：指云环境下，用户的身份及访问管理问题变得更加困难，传统方法可能不在适用于云环境下。

3 IaaS 云计算安全框架3$云计H渠构喪甲[ ... 云沖n賢全疵鑒构:MT変彳扭咄-«^0^API IT】若辛it 平台翰集杵楫"栽资遵斥衣节硕件务孫E安全畫it襦悅井I 涉旳化丽冠丽］眉丽石体V*倉呷漕04”AKllffJSK古K：打«卜its A4aw巒掃・n»m*c 1| WMIVK*HIMp-*UW>«*«=*吊砂備安辛护左全KAJS 安全虛拟就*甘屋安全吏甲性妄全星阳IaaS云计算安全框架3.1接入层安全3.1.1 web 安全云服务是一种基于 Web 的服务模式，同时相关管理工作也通过 Web 方式来管理。

因此， web 安全包括 Web 应用系统本身的安全和 web 内容安全。

一是利用 Web 应用漏洞（如 SQL 注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞）获取用户信息、损害应用程序，以及得到 Web 服务器的控制权限等；二是内容安全，即利用漏洞篡改网页内容，植入恶意代码，传播不正当内容等一系列问题。

主要安全风险：弱密码攻击、会话控制和劫持、权限提升、网页内容篡改等。

主要安全措施：针对Web 应用漏洞，应注重Web 应用系统的全生命周期的安全管理，针对系统生命周期不同阶段的特点采用不同的方法提高应用系统的安全性。

Web 应用可采取网页过滤、反间谍软件、邮件过滤、网页防篡改、Web 应用防火墙等防护措施，同时加强安全配置，如定期检查中间件版本及补丁安装情况，账户及口令策略设置，定期检查系统日志和异常安全事件等等。

3.1.2 API 安全API 安全主要指IaaS 作为云资源，除了可以直接为用户所使用外，也可以被PaaS 云服务商所使用。

因此，在进行服务调用对API 的验证成为一个关注的问题。

主要安全措施: 对API 签名，确保只对合法的调用者使用。

3.2 虚拟资源层安全虚拟资源层安全指资源被虚拟化为虚拟资源的安全风险。

主要安全风险：虚拟机隔离失效，虚拟机逃逸、资源分配拒绝服务等。

主要安全措施：虚拟机的安全隔离及访问控制、虚拟交换机、虚拟防火墙、虚拟镜像文件的加密存储、存储空间的负载均衡、冗余保护、虚拟机的备份恢复等。

3.3 虚拟化平台层安全虚拟化平台层安全指虚拟化相关软件的安全风险，各种虚拟化软件引入了新的攻击界面，如服务器虚拟化软件的Hypervisor 和其它管理模块。

主要安全风险: hypervisor 层的软件篡改、管理接口非法访问、资源分配拒绝服务等。

主要安全措施：基于可信计算技术实施对虚拟化平台层的完整性保护，引入访问控制机制确保管理接口的安全性，引入身份认证技术确保其他管理模块的安全3.4 硬件资源层安全3.4.1 服务器安全服务器安全主要指云计算系统中的主机服务器、维护终端在内的所有计算机设备在操作系统和数据库的层面安全性。

主要安全风险：（1）操作系统的安全问题主要体现在操作系统本身的缺陷带来的不安全因素，如访问控制、身份认证、系统漏洞、操作系统的安全配置问题、病毒对操作系统的威胁等方面，（2 ）数据库的安全性主要体现在安全补丁、账户口令、角色权限、日志和审计、参数设置等方面。

（3）主机系统作为云计算平台海量信息存储、传输、应用处理的基础设施，数量众多，资产价值高，面临的安全风险极大，其自身安全性可能影响整个云计算系统的安全。

（4）维护终端作为一种比较分散的资源，长期以来面临病毒、蠕虫、木马、恶意代码攻击，难以进行集中有效的安全管理。

不安全的终端可能成为一个被动的攻击源，对整个系统构成威胁。

主要防护措施:包括身份认证、访问控制、主机安全审计、HIDS 、主机防病毒系统等，全面发现主机系统和数据库在安全配置、安全管理、安全防护措施等方面的漏洞和安全隐患。

应定期查看维护终端的版本及安全补丁安装情况，检查账户及口令策略，防止出现使用系统默认账户或弱口令等情况的发生，应注意及时升级防病毒、防木马软件的病毒、木马库。

另外，需要定期查看日志，避免异常安全事件及违规操作的发生。

3.4.2 存储安全存储安全主要指提供存储资源的物理设施及存储网络，确保存储资源的可用性，可靠性等目标。

主要安全风险：存储硬件失效、共享存储网络拒绝服务等。

主要安全措施：存储设备冗余设置、存储网络访问控制、存储网络监控等。

3.4.3 网络安全网络安全主要指网络架构、网络设备、安全设备方面的安全性，主要体现网络拓扑安全、安全域的划分及边界防护、网络资源的访问控制、远程接入的安全，路由系统的安全、入侵检测的手段、网络设施防病毒等方面。

主要安全风险：设备非法接入网络、网络拒绝服务、关键设备中毒等问题。

主要安全措施：划分安全域、实施安全边界防护、部署防火墙、IPS/IDS ，部署Dos 、DDoS 攻击防御系统、网络安全审计系统、防病毒网关、强身份认证等。

3.5 物理安全物理安全是整个云计算系统安全的前提，主要包括物理设备的安全、网络环境的安全等，以保护云计算系统免受各种自然及人为的破坏。

主要安全风险：自然灾害风险等引起云计算系统设备和线路不可用、数据中心管理不严引起的设备失窃风险等。

主要安全措施：引入安防措施，如视频监控系统, 辅助设施采用冗余设置，增加安保人员队伍。

3.6 支撑性安全基础3.6.1 数据安全数据安全指数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

数据安全风险贯穿于数据的创建、存储、使用、共享、归档、销毁等阶段。

数据安全措施：（1）通过虚拟化层实现虚拟机间存储访问隔离；（2 ）通过设置虚拟环境下的逻辑边界安全访问控制策略，实现虚拟机、虚拟机组间的数据访问控制；（3 ）通过对重要的数据信息在上传、存储前进行加密处理来保障数据存储的安全；（4 ）通过采用采用数据加密、VPN 等技术保障用户数据及维护管理信息的网络传输安全；（5）通过存储资源重分配之前进行完整的数据擦除实现剩余信息的安全；（6 ）通过支持文件级完整和增量备份, 映像级恢复和单个文件的恢复等方式保障数据的有效备份与迅速恢复。

3.6.2 身份认证及访问管理IAM 管理涉及自动化管理账号、用户自助式服务、认证、访问控制、单点登录、权职分离、数据保护、特权用户管理、数据防丢失保护措施与合规报告等方面。

云环境下的身份认证及访问管理面临如下挑战：（1 ）企业拥有多套应用系统，分别属于不同的部门或业务系统。

这些系统有各自独立的IAM 系统，管理起来更加复杂。

（2 ）各独立IAM 系统分别管理其所属的系统资源，为系统的用户分配权限。