Sanallaştırma Güvenlik Tehditlerine Yanıt Verme: Inspur InCloud Sphere Plays Gerçekten Gerçekten
Günümüzde veri merkezlerinin planlanması ve inşasında bulut bilişimle ilgili teknolojiler neredeyse "standart" hale gelmiştir. Kuruluşlar bulut temettülerinden yararlanırken, giderek daha belirgin hale gelen ve göz ardı edilemeyecek bir sorun var: bulutta veri güvenliği. Veriler bir kez sızdırıldığında, büyük etkisi olan halka açık bir etkinliğe bile dönüşecek. Bulut bilişim teknolojisi sisteminde, sanallaştırma yazılım yığınının altında yatan temel teknoloji olarak güvenliği daha önemlidir. Şu anda sanallaştırma yazılımı yığını yedi büyük tehditle karşı karşıyadır:
1. Veri Sızıntısı ve Kaybı
Saldırganlar sanal makinenin dahili verilerini çalar, değiştirir ve yok eder
2. Sistem arka kapıları, rootkit'ler
Saldırgan, sistem kaynak kodunu değiştirir
3. Hizmet Reddi (DoS)
Saldırgan, platformdaki sanal makineye DoS saldırısı uygulamak için bir sanal makine kiralar.
4. Sanal makine görüntüsü tehdidi
Saldırgan görüntüyü değiştirir ve değiştirir
5. Çalışma zamanı kodu ve veri değişikliği
Saldırganlar, Hypervisor ve diğer kodları arabellek taşması, kitaplık işlev eşlemesi vb. Yoluyla enjekte edebilir ve değiştirebilir
6. Ayrıcalık yükseltme
Hiper Yönetici ile sanal makine arasındaki yalıtımı kırın ve sanal makine kodunun Hiper Yönetici ayrıcalık düzeyinde çalışmasını sağlayın
7. Güvenilmeyen bulut çalışanları
Bulut dahili personelinin çok yüksek izinleri var ve güvenlik duvarları ve IDS tarafından kısıtlanmıyor
Şekil 1. Sanallaştırma yazılımı yığınının saldırı yüzeyi ve kaynağı
(Zhu Min, Tu Bibo, Meng Dan, Chinese Academy of Sciences, Virtualization Software Stack Security Research, Chinese Journal of Computers, Cilt 40, Sayı 2, 2017)
Karmaşık ve çeşitli güvenlik tehditleri, bunlarla başa çıkmak için kaçınılmaz olarak çok boyutlu bir koruma sistemi gerektirir. Inspur Yunhai OS'nin temel platformu olarak, sunucu sanallaştırma sistemi InCloud Sphere, veri koruma ve savunma mekanizmaları açısından her zaman tamamen silahlanmış ve hedeflenmiştir:
Tehdit
Önlem Veri sızıntısı ve kaybı Sistem arka kapıları, rootkit'ler Hizmet reddi Sanal makine görüntüsü tehdidi Çalışma zamanı kodu ve veri kurcalama Ayrıcalık yükseltme Güvenilmeyen bulut çalışanları
Bütünlük denetimi
Kullanıcı doğrulama
Giriş kontrolu
Veri koruması
InCloud Sphere Bütünlük kontrolü: veri tehditlerini görünmez yapın
Bütünlük doğrulamasının amacı, tehditleri tespit ederek veya önleyerek farklı şekillerde tehlikeye atılabilecek verilerin bütünlüğünü ve veriyle ilgili özniteliklerin bütünlüğünü korumaktır. Sanallaştırılmış bir sistemde bütünlük, esas olarak sistemin kendisinin bütünlüğünü ve sanallaştırılmış sistemde çalışan sanal makine dosyalarının bütünlüğünü içerir.
InCloud Spherein sistem bütünlüğü ve sanal makine bütünlüğü açısından yürütme ve kontrol mekanizmasının kendine özgü tasarım fikirleri vardır: Birincisi, ana bilgisayar başlatıldığında, sistem, yapılandırma dosyasına göre doğrulanan dosyaların karşılaştırmalı veritabanını oluşturur ve karşılaştırma veritabanı şifrelenip depolanır. Dosyanın benzersiz kontrol değeri ve dosya öznitelikleri. Daha sonra, sistem belirlenen süre boyunca hedef dosyanın kontrol değerini kontrol eder ve değiştirilen dosyayı bulmak için veritabanındaki ilk kontrol değeri ile karşılaştırır.
Şekil 2. Sistem bütünlüğü mekanizması
Ayrıca, sanal makineler için bütünlük koruması açısından, sistem, sanal makineler açılıp kapatıldığında korumalı nesnelerin karakteristik değerlerinin üretilmesini destekler.Korumalı nesneler arasında diskler, anlık görüntüler ve sanal makine yapılandırma dosyaları bulunur.
InCloud Sphere İki faktörlü kullanıcı kimlik doğrulama mekanizması: "Çifte Kontrol" daha güvenlidir
InCloud Sphere, USB-KEY ve PIN kodunu birleştiren iki faktörlü bir kimlik doğrulama mekanizmasına sahiptir. Kullanıcının oturum açarken USB-KEY'i takması, kullanıcı adını, şifreyi ve PIN kodunu girmesi ve tarayıcı eklentisi aracılığıyla USB-KEY'deki PIN kodu ve kimliğine erişmesi gerekir. Ön büro, kullanıcı tarafından girilen PIN kodunun USB-KEY tarafından sağlananla tutarlı olup olmadığını kontrol edecektir. . Tutarlılarsa, USB-ANAHTAR KİMLİĞİ arka plana aktarılacaktır ve arka plan, veri tabanında kaydedilen kimliğin USB-KEY tarafından sağlananla tutarlı olup olmadığını karşılaştıracak ve olumlu bir cevap alındıktan sonra sisteme erişime izin verilecektir.
Kimlik doğrulama bilgilerinin iletiminde, yönetim girişi şifrelenmiş iletişimi benimser ve kimlik doğrulama bilgileri ikincil şifrelemeyi benimser; kimlik doğrulama bilgilerinin depolanmasında InCloud Sphere çift şifreleme mekanizmasını benimser; aynı zamanda InCloud Sphere'in üç yönü vardır: IP ve MAC. Yönetici girişini kısıtlama işlevi, oturum açma yolunun güvenlik korumasını kapsamlı bir şekilde güçlendirir.
InCloud Sphere Zorunlu erişim kontrol teknolojisi: önemli veriler için "altın çan" oluşturmak için
InCloud Sphere, markaya dayalı zorunlu erişim kontrol teknolojisine sahiptir. Güvenlik denetleyicisi, InCloud Sphere'in zorunlu erişim kontrol alt sistemidir.Sanal makinelerin ve ana makinelerin önemli sistem kaynaklarına erişiminin meşruiyetini doğrulamak ve önemli verilerin kötü amaçla yok edilmesini veya yasa dışı olarak erişilmesini önlemek için erişim davranışlarını kaydetmek için kullanılır; Yazılımın güvenliği. Başlıca güvenlik özellikleri şunları içerir:
"Kuvvetler ayrılığını" uygulayın ve kimliği geliştirin
Çeşitli roller için minimum izinleri elde etmek için güvenlik etiketlerine dayalı kaynaklar için zorunlu erişim kontrolü
Yasadışı askıya alma ve önemli dosyalara erişimi önlemek için önemli süreç ve dosya koruması
Eksiksiz güvenlik günlüğü denetim kayıtları ve yönetimi
Şekil 3. Güvenlik denetleyicisi
Güvenlik denetleyicisine bağlı olarak InCloud Sphere, çekirdek düzeyinde sanallaştırılmış ana bilgisayar zorunlu erişim denetimini uygular. Güvenlik denetleyicisi, öznenin ve nesnenin güvenlik kimliğini belirleme amacına ulaşmak ve çekirdeğin güvenliğini sağlamak için sürücü katmanından tüm dosya erişim işlemlerini atlayabilir.
Şekil 4. Çekirdek düzeyinde sanallaştırılmış ana bilgisayar zorunlu erişim denetimi
Ulusal gizli SM4: veri şifreleme koruması, "algoritma" anahtardır
InCloud Sphere, ulusal gizli SM4'e dayalı bir anahtar veri şifreleme koruma stratejisine sahiptir. Örnek olarak sanal disk dosya korumasını ele alan InCloud Sphere, sanal disk dosyalarını QCOW2 formatında kaydeder.QCOW2 formatı bir başlık dosyası, iki seviyeli adresleme tablosu L1 L2 ve veri depolama alanı verilerini içerir. InCloud Sphere, libvirt ve QEMU bileşenlerinin derinlemesine özelleştirilmesi yoluyla anahtar verilerin SM4 şifrelemesini gerçekleştirdi ve anahtar verilerin korunmasını gerçekleştirmek için ulusal gizli algoritma uyguladı.
Şekil 5. QCOW2 dosya koruması
Nisan 2018'de Inspur, sanal makine yönetimi, izleme alarmları, kaynak planlaması, iş güvenliği vb. Açısından tamamen yükseltilmiş ve elektrik kesintisinden (sanal makine geçişi, klonlama) geçen yeni bir KVM tabanlı InCloud Sphere Enterprise Edition'ı piyasaya sürdü. İş süreci vb. Sırasında) çeşitli acil durumlar ve diğer 308 testler, mükemmel güvenlik performansına dayanarak ve Çin Bilgi Güvenliği Değerlendirme Merkezi'nin yetkili kuruluşu tarafından güvenlik değerlendirmesinden geçerek gerçek bir "güvenlik sorumluluğu" haline geldi.
Şekil 6. Çin Bilgi Güvenliği Değerlendirme Merkezi Sertifikası
Inspur Yunhai OS'nin temel bileşeni olan ve temel bulut bilişim platformu olarak konumlandırılan InCloud Sphere, bulut veri merkezi için sağlam bir köşe taşı oluşturmak için güvenlik güçlendirme, kararlılık ve güvenilirlik ve açık ekoloji olmak üzere üç temel rekabet noktası üzerinde çaba göstermeye devam edecek.
