纵深防御是网络安全的经典思想。然而,该思想在应用到云数据中心时存在一些挑战。一方面,攻击者和用户虚拟机共处同一云平台上,可以从数据中心内部发起攻击。另一方面,虚拟机之间攻击通信流不出物理服务器或物理网络边界,也就无法被传统防护措施所感知。为此,本文首先分析了传统纵深防御模型的不足,然后提出了一个支持虚拟网络的主动型纵深防御模型,进而基于该模型设计了一个云数据中心纵深防御架构,最后从合理性、实用性、先进性三个方面进行了评价。
前言
云计算是当前数据中心建设的热门技术,在资源利用率提升,资源管理效率提升和资源交付服务化体验方面都具有明显优势。然而,基于云计算构建的云数据中心作为提供网络接入、系统运行和数据存储服务的信息基础设施,同样面临各种安全风险,如网络渗透、拒绝服务、病毒传播等;传统防御架构主要针对物理环境设计,没有考虑虚拟化、多租户等技术带来的挑战。如攻击者和被攻击者同处于一个虚拟化平台上,传统网络安全防护设备无法感知同一服务器上的虚拟机间的通信流,也就不能实施攻击监控。
针对云数据中心的安全问题,相关研究工作主要围绕网络安全 、虚拟化安全 、数据安全,云平台可信、云服务可信 等具体层面展开,提出了许多新的思路和方案。
本文主要从防御架构的角度展开研究,重点关注云数据中心网络纵深防御架构问题。纵深防御是一种经典的安全防御思想,主要目的是通过多层次多方面的防护措施,降低攻击入侵系统直至获取数据的可能性。本文认为,纵深防御安全架构设计需要同时考虑用户的实际需求及信息系统所处的环境。对于云数据中心网络而言,完整的纵深防御体系不仅涉及物理网络安全,还涉及虚拟网络安全,以及不同用户业务系统所在的安全域级别的安全。
本文主要贡献包括:(1)对传统纵深防御模型进行了扩展和改进,提出了一个支持虚拟网络的主动型纵深防护模型;(2)设计了一个面向云数据中心网络的纵深防御架构。本文所提出的相关成果对云数据中心网络安全建设具有一定的参考意义。
纵深防御模型改进
1.1 IATF纵深防御分析
信息保障技术框架(Information Assurance Technical Framework,IATF)由美国国家安全局制定并发布,作为信息保障体系建设的技术指南。IATF 核心思想是纵深防御战略(defense indepth)(图 1)。
图 1 纵深防御战略
1.1.1 基本思想
(1)三要素:人、技术和操作(或”运行维护”)是信息保障的核心因素,人通过技术来进行操作,体现人在整个信息保障体系中的重要性,也说明了信息保障中三者不可分割的关系。
(2)多点防护
在信息系统相关的四个重要区域进行安全措施部署,包括网络基础设施、网络边界、计算环境和支撑性基础设施。其中,计算环境防护主要关注服务器和工作站安全。网络边界防护主要关注“区域”边界数据流监控。网络基础设施防护主要关注传输网络设施及通信安全。支撑性基础设施(如密钥管理基础设施KMI/ 公钥基础设施 PKI,检测与响应)主要用于安全管理,保障其他三个区域的网络安全机制运行。
(3)分层防护
根据网络的层次化体系结构,分层部署防护和检测措施,形成层次化的安全配置,增加攻击被检测的风险,提高攻击成本,降低其攻击成功的几率。
(4)分级防护
根据信息系统的重要性等级,采用相应安全强度的防护级别的防护措施配置,平衡成本和需求之间的关系。
1.1.2 优势
IATF 纵深防御战略最大优势是将复杂的信息系统环境安全保障问题化解为分层分区分级的安全防护,充分考虑了技术、经济等方面的因素,易于安全体系的建设实施。
1.1.3 不足
IATF 纵深防御战略核心意图是通过在信息系统不同位置和不同的层面部署防御性措施来实现反击的目的,但是该模型存在以下不足:
(1)缺乏主动探知安全威胁的考虑。尽管各区域都部署安全检查和防御措施,但并没有主动地进行安全威胁检查和防御。随着攻击手段的演进,应对攻击的时效性成为一个安全架构的考虑重点。例如,现有的病毒检查和查杀措施主要基于既定病毒特征运行,但病毒特征可能不断变化,如果不及时主动地更新则会有新的中毒风险。
(2)各区域安全措施相对独立,缺乏统一的管理考虑。纵深防御架构模型将人作为核心要素进行考虑。技术和操作都需要人参与。随着整个信息系统安全体系演进,安全策略、技术、系统等更加复杂化。安全人员一旦发现潜在风险,需要对所有安全措施进行逐个配置,增加了管理复杂度。
(3)没有考虑虚拟网络的防御问题。该架构模型主要针对传统物理信息系统环境设计,没有考虑云数据中心虚拟化带来的虚拟网络特点。云数据中心资源共享模式下,攻击者直接和被攻击者在同一物理网络中,虚拟网络安全防护需求非常突出。虚拟网络运行在现有物理网络之上,具有网络边界弹性,生命周期短暂等动态性特点,这是传统纵深防御模型没有考虑的。
1.2 改进思路
本文针对该模型的不足提出以下改进:
1.2.1 引入安全态势感知措施,实现全网安全威胁主动探知
通过收集分布在不同区域的威胁情报信息,可以形成全网的安全态势;同时,利用大数据分析技术,可以发现潜在的安全威胁,避免未知攻击带来的威胁。例如,通过实时收集不同服务器的系统日志,可以发现计算环境中主机层面的系统运转状态,可以主动发现系统补丁、漏洞等更新情况。根据防火墙、入侵检测等边界防护系统的日志信息,则可以发现现网的安全攻击态势,为进一步的攻击预防提供建议。
1.2.2 引入集中安全管控措施,实现全网安全策略统一管理
通过实现对不同区域安全措施的集中化安全策略管理,降低不同安全系统的策略管理复杂度。同时,利用安全态势感知发现的未知威胁情报,安全人员可以及时更新安全策略,实现主动防御能力。
1.2.3 针对虚拟网络实施纵深防御措施部署
通过在虚拟网络基础设施、虚拟网络边界及虚拟计算环境增加相应安全措施,实现虚拟网络的纵深防护目标。例如,每个虚拟网络边界部署虚拟防火墙,从而可以保证进出虚拟网络的流量得到访问控制服务。
1.3 主动型纵深防御模型
根据改进思路,本文提出了一个信息系统的主动型纵深防御模型(图 2)。
图 2 主动型纵深防御模型
如图 2 所示,主动型纵深防御模型由基础防御技术体系、高级防御技术体系、人三方面因素构成。
(1)基础防御技术体系由物理网络基础设施、物理网络边界、物理计算环境、虚拟网络基础设施、虚拟网络边界、虚拟计算环境及支撑性基础设施七个方面的安全防护技术构成,用于构建基础纵深防御架构。
(2)高级防御技术体系包括安全态势感知和集中安全策略管控等技术。安全态势感知技术主要功能是收集来自不同区域的威胁情报信息,汇总的威胁情报再经过相应的大数据分析,形成全网的整体综合情报信息。集中安全策略管理技术的主要功能是实现对基础防御安全策略的统一管理,同时根据安全态势感知措施提供的综合态势信息,通过安全专家的判断或自动化安全策略生成机制,形成新的安全策略,最后下发给基础防御体系,实现主动防护能力。
(3)人是整个纵深防御体系中的关键元素,可以对被保护信息系统环境及所有安全措施进行操作。为确保主动纵深防御处理过程的准确性,降低误报或漏报概率,不管是基础防御技术体系还是高级防御技术体系都需要提供人工处理和技术自动化处理的双重措施,提升防御的有效性。
网络纵深防御架构设计
2.1 网络假设
本节给出主动型纵深防御模型在云数据中心网络防护架构方面的应用,假定网络描述如上(图 3):
图 3 云数据中心网络结构
假定云数据中心采用覆盖网络(overlay network)技术实现传输网络虚拟化,并提供虚拟私有云 VPC 服务。虚拟网络利用物理网络进行信息传输,物理网络只将虚拟网络中的传输内容统一作为物理网络负载对待,并不感知具体传输内容。假定云数据中心网络按如下方式划分安全域:
(1)物理网络基于 VLAN 或防火墙技术划分出多个物理子网,用于部署不同的业务,包括计算域、办公域、管理域;每个物理子网对应于一个安全域。
(2)虚拟网络基于 VPC 技术实现,每个租户对应一个 VPC 虚拟网络;每个租户的 VPC 基于 VLAN 或虚拟防火墙进一步划分为虚拟子网,用于部署不同租户的业务系统。每个虚拟子网对应于一个安全域。
2.2 网络威胁分析
云数据中心的网络威胁指对网络的保密性、完整性、可用性形成破坏攻击情况,包括网络被非法访问、路由协议漏洞被利用、病毒通过网络传播,敏感数据泄露等。以下从不同的角度对网络威胁进一步分析:
图 4 网络攻击示意
根据网络攻击发生的位置不同,云数据中心网络威胁可以分为两大类:一类是物理网络中的威胁,涉及物理网络边界、物理网络内部安全域边界以及同一安全域内的各种非法访问、入侵攻击、病毒传播等威胁。另一类是虚拟网络中的威胁,涉及虚拟网络边界、虚拟子网边界以及虚拟子网内部发生的各种非法访问、入侵攻击、病毒传播等威胁。
根据网络攻击所产生的威胁数据流动方向角度分析,可以将云数据中心的网络威胁流分为南北向攻击流(即进出数据中心数据流)和东西向攻击流(数据中心内部数据流)。不管哪种流向,攻击者的目的是能够通过网络最终到达目标系统所在的服务器或虚拟机。
图 4 所示,根据攻击者所处的位置不同,攻击者可以通过外部网络发起攻击,也可以在是数据中心内部实施攻击行为。并且,对于内部攻击而言,攻击者和受害者可能部署在同一安全域(物理子网、虚拟子网),也可能处于不同安全域(物理子网、虚拟子网)。因此,云数据中心网络防御架构必须同时考虑物理网络和虚拟网络,内部攻击和外部攻击。
2.3 网络纵深防御架构
根据云数据中心网络及威胁分析,结合主动型纵深防御模型思想,本节设计了一个云数据中心的网络纵深防御架构(图 5)。
图 5 云数据中心网络纵深防御架构
2.3.1 安全措施部署
云数据中心安全措施部署在两个方面。一是在数据中心物理网络和虚拟网络的不同区域部署防护措施,形成物理网络和虚拟网络全面覆盖的基础防御技术体系。另一个是在云安全中心部署安全态势感知和集中安全策略管理措施,实现对云数据中心安全态势感知和安全策略的集中化配置,达到主动防御目的。
2.3.2 网络纵深防御原理
通过层次化、纵深式的基础防御技术体系的部署,可以形成对内外部攻击威胁,物理网络和虚拟网络的全方位纵深防御能力。通过高级防御技术体系部署则可以提升整个防御体系的主动性。
(1)对于外部传输网络而言,针对网络内容窃听等攻击,通过外部传输网络的加密或建立 VPN 方式进行防护。对于内部传输网络也采用类似防护措施实施安全防护。
(2)对于物理网络而言,南北向攻击流量将依次经过外部传输网络、物理网络边界、物理子网边界以及服务器系统共四个层面的安全措施的处理。东西向攻击流量将依次经过服务器系统、物理子网边界的安全措施处理。
(3)对于虚拟网络而言,南北向攻击流量将依次经过外部传输网络,虚拟网络边界,虚拟子网边界以及服务器系统共四个层面的安全措施的处理。东西向攻击流量将依次经过服务器系统,虚拟子网边界的安全措施处理。
(4)主动防御方面,通过安全态势感知技术,主动收集物理网络和虚拟网络中各类安全措施提供的威胁情报信息(如攻击日志),通过态势分析形成整体安全态势,可以帮助安全人员发现潜在的安全风险,利用集中策略管理技术,安全人员可以为各区域安全措施配置新的安全策略,实施主动防御,提升整体安全防护能力。
2.4 网络纵深防御技术架构
为支持纵深防御架构实现,本节给出了云数据中心网络纵深防御架构对应技术架构(见图 6)。
图 6 云数据中心网络防御技术架构
云数据中心网络纵深防御技术架构由基础防御技术体系和高级防御技术体系两部分构成。其中,基础防御技术体系由网络及基础设施安全、网络边界安全、计算环境安全及支撑性基础设施四个方面构成,高级防御技术体系由安全态势感知和集中安全策略管理技术构成。
(1)网络及基础设施安全包括云数据中心外部传输网络安全及内部传输网络安全。外部传输网络安全用于实现传输数据安全保密性、完整性、不可否性。云数据中心内部传输网络安全用于实现数据中心内部不同安全域(物理子网)之间数据传递过程的安全保密性、完整性、不可否性。对应的措施有 VPN、通信加密、抗 DOS 等。
(2)网络边界安全涉及物理网络边界、物理子网边界及虚拟网络边界,虚拟子网边界四类边界的安全防护,确保边界授权访问,确保进出安全域边界的流量得到监控和检测。
(3)计算环境安全则主要考虑物理服务器安全及虚拟机安全,主要防护措施包括身份认证、入侵检测、病毒查杀等。
(4)高级防御技术体系主要由安全态势感知技术和集中安全策略管理技术构成,形成数据中心整体安全态势感知,帮助安全人员发现未知风险和威胁,进而通过集中安全策略管理功能更新对应的安全措施和安全策略,提升数据中心的主动防御能力和整体防护能力。
网络纵深防御架构分析
本文提出的云数据中心网络防护架构、可以从以下三个方面进行评价。
3.1 合理性
云数据中心除了物理网络外,还有运行在物理网络之上的虚拟网络。虚拟网络中的通信流量及边界安全是传统静态物理网络防护架构不能有效发挥作用的根本原因。本文提出的网络纵深防御架构不仅考虑了传统网络架构中的物理网络安全防护,同时也考虑了虚拟网络中的纵深防御需求。在安全架构设计时,从攻击流的角度分析了潜在的网络内外部安全威胁,并在攻击流可能途径的位置实施层次化防护,从而解决了网络虚拟化带来的传统网络安全架构不适应问题,减小了恶意流量到达最终攻击目标的风险。
3.2 实用性
安全防御架构目的是为了进一步的安全体系建设提供设计蓝图。本文提出的网络防御架构借鉴了 IATF 中纵深防御中的多点防御和多层次防御设计理念,这些理念已经经过了长期的实践检验,得到了比较广泛的社会认可。同时,本文提出的主动网络防御所采用的技术也是业界典型防护措施,在具体实现上可以基于已有的技术措施进行部署,不需要额外投入成本。因此,所提出的纵深防御架构可直接用于具体安全体系落地建设指导。
3.3 先进性
网络架构设计不仅要考虑单个技术手段先进性,还需要考虑整体防御能力。本文提出的网络防御架构,在传统纵深防御思想基础上,引入了安全态势感知和集中化安全策略管理机制。通过安全态势感知机制,可以对不同区域和层次的安全情报进行收集和分析,形成对整个数据中心的安全状态感知能力。基于态势感知结果,可以帮助安全人员主动探测未知威胁,并通过集中化的安全策略管理机制,更高效地实施安全防护策略的配置,最终提升整个纵深防御体系防御水平。
结语
安全架构设计是整个信息安全体系建设的重要内容。针对云数据中心网络变化带来的传统安全防护挑战,本文从防御架构的角度对传统纵深防御模型进行分析和改进,提出了一个主动型的纵深防御模型,设计了云数据中心的网络纵深防御架构,从三方面说明本文所提出的网络纵深防御架构的特点。新架构通过引入高级安全态势感知及集中安全策略管理技术实现了安全防御体系的主动性。新架构不仅考虑了传统物理数据中心纵深防御设计,同时对云环境虚拟化的动态网络纵深防御给出了解决思路。下一步工作是完善该架构细节,对主动防御过程及实现机制进一步研究,同时对多数据中心的纵深防御展开研究。
(为便于排版,已省去原文注释)
作者
耿延军,硕士,工程师,主要研究方向为网络安全。
王俊,硕士,高级工程师,主要研究方向为网络技术。
周红亮,硕士,工程师,主要研究方向为网络技术。
(本文选自《信息安全与通信保密》2019年第七期)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。