私有云环境下主机安全漏洞高效检测

第54卷 第3期2021年3月通信技术Communications TechnologyVol.54 No.3Mar. 2021文献引用格式：章思宇，周育玲，刘楚彤.私有云环境下主机安全漏洞高效检测[J].通信技术，2021，54（3）：

Siyu,ZHOU Yuling,LIU ent Vulnerability Detection in Private Cloud[J].doi:10.3969/.1002-0802.2021.03.031Communications Technology,2021,54(3):727-731.私有云环境下主机安全漏洞高效检测章思宇，周育玲，刘楚彤（上海交通大学，上海 200240）*摘 要：云环境默认较强的网络隔离和访问控制提升了系统的安全性，也给漏洞扫描带来了挑战。通过对传统扫描流程的改造，将漏洞扫描系统与OpenStack私有云管理系统对接，利用浮动IP地址分配、安全组规则以及主机安全基线核查信息，引导扫描系统精准进行端口扫描和漏洞、弱口令检测。在具有数千云主机的真实私有云环境下的实验显示，改造后的方法可将开放端口检出数量提高14%，高危漏洞检出数量提升9.5%，充分发挥了云平台网络和安全策略集中管控的优势。关键词：云计算；私有云；漏洞扫描；网络安全中图分类号：TP393.08 文献标识码：A 文章编号：1002-0802(2021)-03-0727-05Efficient Vulnerability Detection in Private Cloud(Shanghai Jiao Tong University, Shanghai 200240, China)ZHANG Siyu, ZHOU Yuling, LIU ChutongAbstract:

Stricter network isolation and access control imposed by default in cloud computing environment

strengthens system security, and also brings challenges to vulnerability scanning. To improve the scanning

process, vulnerability scanner and OpenStack management system are better integrated. Floating IP

addresses, security group rules and server baseline assessment information are used to guide the scanner to

perform more accurate port scanning, vulnerability and weak password detection. Experiments in real-world

private cloud with thousands of virtual servers indicate that, the improved method detected 14% more open

ports and 9.5% more high-risk vulnerabilities, therefore fully leveraged the advantage of centralized network

and security policy enforcement in cloud ds:

cloud computing; private cloud; vulnerability scanning; network security0

引 言随着云计算技术的成熟和普及，越来越多的机构开始将传统数据中心的应用迁移至云环境下部署和运行。大型企业和高校通常会建设自己的私有云，以确保系统和数据安全可控。云环境下，主机和应用服务仍然面临操作系统、数据库、Web应用漏洞

和弱口令等各类安全风险，因此漏洞扫描仍是不可或缺的一项重要工作[1-2]。本文探讨云环境下网络结构和用户使用模式的改变对漏洞扫描带来的挑战和机遇，并以OpenStack为例，利用私有云集中化管理带来的优势，实现对云主机漏洞的精准和高效检测。* 收稿日期：2020-11-21;修回日期：2021-02-10 Received date:2020-11-21;Revised date:2021-02-10·727·

通信技术2021年1

传统漏洞扫描流程主机漏洞扫描的过程通常可分为“存活性扫描”“端口扫描”“服务识别”“漏洞检测”和“弱口令检测”5个阶段。对于需要扫描的大段IP地址，“存活性扫描”先通过ICMP ping和最常用的数十个TCP端口的扫描，快速判断各个IP地址上是否有存活的主机，从而大幅减少需要进行后续扫描的IP地址数量。如果主机不响应ICMP ping报文，且存活性扫描所使用的数十个最常用端口均未开放，则会被扫描器漏检，即使其他端口有开放的服务也不会被检测。漏洞扫描时也可跳过存活性扫描步骤，对扫描范围内所有IP地址都进行深入检测，但会浪费大量时间用于对未接入主机的空闲IP地址做深入扫描。“端口扫描”阶段对各个IP地址进行全面端口探查。通常，为了加快扫描速度，只根据扫描器内置的列表检查常见的数千个端口，也可要求扫描器对65 535个TCP端口全部进行扫描。对于扫描到开放的端口，“服务识别”阶段通过指纹技术判断其应用层协议，从而实现对运行在非默认端口上的服务漏洞和弱口令检测。“漏洞检测”和“弱口令检测”通常并行进行，前者利用一系列程序脚本检查开放的端口、服务是否存在已知漏洞[3]，后者利用扫描器预置的弱口令字典进行口令暴力猜解。更庞大的弱口令字典可提升弱口令检测能力，但也相应延长了检测时间。2

私有云主机漏洞精准扫描2.1

云环境网络特点在云环境下，用户通常可以自助创建云主机、配置网络和防火墙规则，无需云平台管理员介入。在OpenStack及许多其他常用云计算平台的典型配置下，用户新创建的云主机默认只接入一个私有网络，只能和当前租户、当前私有网络下的其他云主机通信。要允许云主机访问互联网，或对外提供服务，必须在私有网络和公共网络之间添加一个路由器，并申请一个公网IP地址（或称为“浮动IP地址”）关联到云主机或路由器上[4]。云主机与外界的通信受到“安全组”的保护。安全组由一系列端口白名单规则构成。云平台默认的安全组规则通常放行云主机对外的访问（云主机访问互联网），而对内的访问（外网访问云主机）728·只放行ICMP和SSH（TCP 22端口）等个别协议。用户如需开放如Web、FTP等其他服务，需专门添加安全组规则放行相应的TCP/UDP端口[5]。相较传统的数据中心网络管理模式，云环境下租户云主机私有网络的隔离，以及必须主动添加公网路由器、公网IP地址和安全组规则才能对外提供服务的设计，提高了云主机默认情况下的安全性，实现了网络的精细化管理。2.2

活跃地址和端口的精准定位由于云环境网络隔离和访问控制的加强，云主机默认暴露的端口数量大幅减少，尤其大多数Windows主机开放的TCP 135、139、445端口不被云平台默认安全组放行，使得漏洞扫描对主机存活性判断变更不够准确，容易遗漏需要检测的IP地址。为了解决这一问题，需要对传统漏洞扫描流程进行改造，将漏洞扫描系统与云平台管理系统进行对接，利用云平台集中管理的网络状态和配置信息帮助扫描器精准、高效地定位活跃地址和端口。一方面，调取云平台浮动IP分配信息，以取代漏洞扫描系统的“存活性扫描”功能。以OpenStack云平台为例，Neutron组件管理了云平台的虚拟网络设施[6]。Neutron将网络配置和状态信息保存在MySQL数据库中，其中floatingips表存储了已分配的浮动IP地址，包括IP地址（floating_ip_address）、所属项目（project_id）、关联的设备端口（fixed_port_id）及当前的状态（status）等字段。从该表中取状态为“ACTIVE”（活跃）的浮动IP地址直接进入“端口扫描”步骤。另一方面，分析用户安全组规则的设置，提取通过安全组放行的TCP端口列表，引导扫描器有针对性地进行端口扫描。OpenStack Neutron的安全组规则保存在securitygrouprules表中，包括所属的安全组（security_group_id）、方向（direction）、二层协议（ethertype）、三层协议（protocol）和端口号范围（port_range_min、port_range_max）等字段。securitygroupportbindings表建立了安全组（security_group_id）与设备端口（port_id）的关联关系，结合浮动IP与设备端口的关联关系，可列举各个浮动IP上的详细安全组规则。多个不同的设备端口可使用同一个安全组。从securitygrouprules表中取方向为“ingress”（入方向）和三层协议为TCP的安全组规则，将放行的端口号范围作为漏洞扫描系统“端口扫描”的目标端口范围。·

第54卷章思宇，周育玲，刘楚彤：私有云环境下主机安全漏洞高效检测第3期2.3

弱口令字典的强化部分云平台为用户提供主机安全管理的增值服务模块，用户可在云主机操作系统内安装管理代理（Agent）实现病毒扫描、入侵检测以及安全配置基线核查[7]。该模块可提供一定的漏洞检测能力，但不能取代通过网络的主动漏洞扫描，因为其在主机上的检查无法充分考虑外部网络结构和防护策略，同时支持检查的应用服务种类也较为有限。尽管如此，它在主机操作系统内部采集的信息如主机名、系统账号名称等信息，对引导漏洞扫描系统精准地进行“弱口令检测”有显著的意义，尤其是可提高SSH和Windows远程桌面弱口令猜解的速度和成功率。因此，从云平台主机安全模块的管理系统中导出进行基线核查时发现的所有系统账户名称，用于扩充和强化漏洞扫描系统的用户名字典。2.4

漏洞通知的自动化云环境下用户可自助申请、释放浮动IP地址的特性，使得IP地址的动态性明显增强。浮动IP地址的分配具有随机性，相邻的IP地址可归属不同的用户，同一个用户获取的浮动IP地址则通常又是离散的，同时已释放的浮动IP地址可被其他用户再次获取使用。这一特点给漏洞的持续跟踪和通知处置带来困难。为了减少人工查询、派发的工作量，还需改造现有的漏洞通知处置系统[8]，使其实时对接浮动IP分配和云平台用户数据库，自动将扫描发现的漏洞分发、通知到浮动IP的管理者。OpenStack Neutron的floatingips表记录了各浮动IP所属的项目（project_id），而项目和用户账号的管理由OpenStack的Keystone组件负责。在Keystone的数据库中，project表记录了项目基本信息，user表记录了用户基本信息，用户的Email地址等保存在extra字段的JSON字符串中。assignment表建立了用户与项目的关系，包括用户（actor_id）在项目（target_id）里的角（role_id）。role_id对应的角名称保存在role表中。对于扫描器发现存在漏洞的浮动IP地址，到其所属的项目，然后通过Keystone列举该项目的所有管理和成员用户（角名称为“admin”或“member”），由漏洞通知处置系统自动将漏洞信息发送至其邮箱。2.5

扫描流程改造小结通过上述工作对传统漏洞扫描流程的改造，使漏洞扫描系统更适应私有云环境的网络特点和使用模式。流程改造和数据对接结构总结如图1所示。通过对接OpenStack Neutron的浮动IP地址状态和安全组规则信息，替代了传统漏洞扫描的“存活性扫描”模块，并为“端口扫描”模块提供精准的端口范围以提高扫描效率。利用云平台主机安全模块采集的信息扩充“弱口令检测”所使用的用户名字典。将Keystone和Neutron数据库关联，提供浮动IP地址的用户联系信息，支撑漏洞通知的自动

发送。图1 私有云主机漏洞扫描流程改造3

效果评估本文以上海交通大学建设运营的jCloud私有云平台为例，对上述改造后的漏洞扫描流程进行实验验证。jCloud交大云平台以OpenStack为基础，叠加了一系列增强和扩展功能，其中网络和用户身份仍基于OpenStack Neutron和Keystone。云平台提供的主机安全模块为腾讯天眼云镜，实验对接的漏洞扫描系统为绿盟远程安全评估系统。3.1

数据对接分析jCloud交大云平台上，用户共创建了超过3 500个云主机，云平台网络共配置有132个C的浮动IP地址（共3.37万个）可供用户申请使用。Neutron数据库的floatingips表中记录了已分配的3 189个浮动IP地址，其中“ACTIVE”状态的浮动IP地址为2 099个。Neutron数据库securitygrouprules表中存储了安·729·

通信技术2021年全组规则共计87 640条。通过与活跃状态的浮动IP关联，当前生效的安全组规则为19 707条，其中入方向（ingress）的规则15 586条。2 099个浮动IP地址中，放行ICMP协议为1 717个（81.8%）。通过对规则的分析和归并，安全组放行的TCP端口共计1 355个，其中放行IP地址数量最多的TCP端口列举如表1所示。表1 安全组规则放行TCP端口统计端口号80224433 3898 0803 3065 9018 0815 43221默认应用HTTPSSHHTTPSRDPHTTPMySQLVNCHTTPPostgreSQLFTP地址占比/%77.474.673.766.718.811.35.24.74.44.2口。此外，主机安全模块的基线核查数据总共提供了108条系统账户名信息，扩充到扫描系统的用户名字典中。3.2

漏洞扫描效果分析利用漏洞扫描系统分别按照传统扫描流程及改造后扫描流程对云主机进行漏洞扫描，对比扫描耗时和漏洞发现数量，结果总结如表2所示。两种扫描流程总耗时差异不大，均在12 h左右。值得说明的是，在传统扫描流程下启用存活性扫描，且端口扫描范围是扫描器内置的2 002个常用端口，若不进行存活性扫描且对全部65 535个TCP端口进行扫描，耗时将达7天以上。在传统扫描流程下，经过存活性扫描，共

1 945个IP地址被认为存活，小于Neutron报告的ACTIVE状态的浮动IP地址数量2 099个。经过端口扫描，传统流程共发现了1 284个IP地址上共计3 013个开放的TCP端口，而改进后的流程共发现1 472个IP地址上共计3 441个开放的TCP端口。可见，改进后流程发现的开放服务的主机数和TCP端口数分别提高了14.6%和14.2%。此外，改进后流程报告的高危漏洞数7 854个也比传统流程的7 169个增加了9.5%，弱口令检出数也从3个增加到6个。实验结果显示，通过扫描流程的改进，系统在相近的时间内，可在私有云环境下发现更多的开放TCP服务端口和高危漏洞，提升了漏洞和弱口令检测能力。通过上述对接，将传统扫描流程下需对3.37万个IP地址进行存活性扫描的工作取代，直接为扫描系统提供2 099个准确的活跃IP地址目标，地址范围减小93.7%。端口扫描阶段也只需对1 355个安全组放行的TCP端口进行扫描，相比于扫描全部65 535端口扫描减少了97.9%的开销。与漏洞扫描系统内置的2 002个常用端口列表相比，安全组放行的1 355个端口仅297个在该列表中，如果只根据该列表扫描，将遗漏许多云主机开放的端对比项目标地址范围目标端口范围存活性扫描存活地址数扫描时长/h开放服务主机数开放TCP端口数高危漏洞数弱口令数表2 漏洞扫描效果对比传统扫描流程33 7922 002是1 94512.21 2843 0137 1693改造后流程2 0991 355否2 09912.71 4723 4417 85464

结 语针对私有云特点对主机漏洞扫描流程进行改造，实现了漏洞扫描系统与OpenStack云管理系统的对接，充分发挥了云平台网络资源和安全策略集中管控的优势，并利用浮动IP地址分配、设备端口状态、安全组规则以及主机安全基线核查信息，引导漏洞扫描系统精确地进行端口扫描和漏洞、弱口令检测。实验结果显示，改造后的扫描方法可将TCP服务端口发现数量和高危漏洞检出数量分别提升14%和9.5%。·730·

第54卷章思宇，周育玲，刘楚彤：私有云环境下主机安全漏洞高效检测第3期参考文献：[1] Kumar R,Goyal Cloud Security Requirements,Threats,Vulnerabilities and Countermeasures:A Survey[J].[2]

Computer Science Review,2019(33):os K,Magoutis K,Papoutsakis M,et al.A Survey

[3]

Cloud-Based Web Applications[J].Array,2019(3): Vulnerability Assessment Tools and Databases for

Evaluation

Holm H,Sommestad T,Almroth J,et al.A Quantitative

[4]

Management & Computer Security,2011,19(4): Vulnerability Scanning[J].Information

of

Del Piccolo V,Amamou A,Haddadou K,et al.A Survey

Data

Network

Centers[J].IEEE

Isolation Solutions

Communications

for Multi-Tenant

Tutorials,2016,18(4):s &

[5] Jin C,Srivastava A,Zhang Z tanding Security

Group Usage in a Public IaaS Cloud[C]//IEEE INFOCOM

on Computer Communications,2016.2016-The 35th Annual IEEE International Conference

[6] Rosado

Architecture[C]//Proceedings of the 18th International

T,Bernardino Overview of Openstack

[7] Mishra

Database Engineering & Applications Symposium,ion Techniques in Cloud Environment:A Survey[J].P,Pilli E S,Varadharajan V,et ion

l of Network and Computer Applications,2017(77):

[8] 章思宇平台[J].,华中科技大学学报姜开达.Vul Tracker(自然科学版漏洞管理与自动化跟踪),2016,44(11):

Siyu,JIANG Tracker Platform for

Vulnerability Management and Automatic Tracking[J].Technology (Natural Science Edition),2016,44(11):l of Huazhong University of Science and

作者简介：章思宇（1989—），男，硕士，工程师，主要研究方向为网络安全和DNS域名系统；周育玲（1985—），女，硕士，实验师，主要研究方向为云计算；刘楚彤（1998—），男，硕士，主要研究方向为网络空间安全。·731·