freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

企业网络安全最佳实践指南(四)
2022-08-09 13:41:08

欢迎关注原创公众号:

本系列文章共分为8篇,主要分享作者自身在企业网络安全建设和运维保障过程中的经验总结,包括网络安全管理、网络安全架构、网络安全技术以及安全实践等,力求全方位阐述企业在网路安全中的方方面面,为企业网络安全建设提供实践指南。

四、云安全

随着企业云计算平台的大规模落地建设和快速发展,云平台环境下如何进行网络安全建设已经成为企业网络安全和企业云计算中最为重要的内容之一。同时根据IDC权威统计,安全已经成为云计算所面临挑战中排首位,75%的用户在安全性上犹豫不决,如何进行云计算环境下网络安全建设,是每个上云企业必须要考虑的重要内容,甚至是企业上云的前提必要条件之一。由此凸显云安全在云计算中的重要性。

1604470134_5fa245764d86ab324d75e.png!small?1604470103723

既知云安全在云计算中的重要性,那么如何进行云安全的设计、架构和建设落地呢?首先,还是应该简单了解一下什么是企业云计算。

1、企业云计算

1.1、云计算简介

美国国家标准与技术研究所(NIST)2009年7月提出云计算定义,2011年9月NIST云计算定义被正式发布为SP800-145标准:云计算是一种模型,它可以实现随时随地,便捷的、随需应变的从可配置计算资源共享池中获得所需的资源(如网络、服务器、存储、应用及服务),资源能够快速供应并释放,使管理资源的工作量和服务提供商的交互减小至最低限度。

云计算由可配置的共享资源池组成,该资源池通过集成网络、服务器、存储、应用与服务等软硬件资源,通过软件定义的方式提供计算、存储、网络等资源服务。资源池具备自我管理的能力,用户只需要少量参与就可以方便快捷地按需获取资源。同时云计算提高了资源的可用性,具有5个基本特征、3种服务模式和4种部署模型:

5个基本特征:按需自助服务、广泛的网络访问、资源池、快速弹性、测量服务。

3种服务模型:云软件即服务(SaaS)、云平台即服务(PaaS)、云基础设施即服务(IaaS)。

4种部署模型:私有云、社区云、公共云、混合云。

比较典型的企业混合多云的部署架构如下所示:

1604470141_5fa2457d76887c6f56f73.png!small?1604470110894

该架构为中大型集团企业的混合多云平台架构。由四层组成:基础资源层、云计算层、云服务层和用户层,面向的对象主要有集团企业内部用户(分支机构)和外部用户等。基础资源层整合集团多数据中心建成的私有云、公有云和行业云资源(有些行业属性特别强的集团企业如银行、电力、民航等,一般都有上级监管单位或大型机构建设的专业云)形成统一的IT资源池,为上层提供资源服务;云计算层主要为云服务层的研发、运维等提供基础的云服务,以便进一步为上层云服务层提供简便易用的服务支撑;云服务层通过建设门户式服务的方式为用户提供自主、自助的服务。多种技术架构和模块但愿,多层次、多维度的组成集团云平台,为集团应用系统提供安全、稳定、高效的运行环境。

1.2、云计算的参与角色

要想做好云安全,除了了解云计算的技术架构外,还要剖析云计算的整个过程中的主要参与角色,因为按照网络安全法的要求,网络安全要权责到人,所以在了解云计算时,要熟悉整个云计算的参与人员、组织或团队,以便后面云安全参与者的权责划分。相比传统IT模式,云计算的参与角色在数量上进一步增加和范围上持续扩大(尤其是公有云环境),同时安全权责的界定也变得更加复杂。

按照GB/T 35279-2017《信息安全技术 云计算安全参考架构》的描述,实际上,在云计算的建设、管理、运营和使用的全过程中,主要有5类角色:云服务商、云服务客户、云审计者、云代理者和云基础网络运营者。每个角色由一个或多个实体(个人或组织)担任,针对不同的云计算服务模式和部署模式,提供不同的服务:

(1)云服务商是负责为云服务客户直接或间接提供服务的实体,云服务商的相关活动包括云服务资源的提供、部署、编排、运营、监控和管理等。

(2)云服务客户是为使用云资源同云服务商建立业务关系的参与方,云服务客户可以直接为用户使用云服务,云服务客户也可为保证用户使用云服务的运行稳定而提供服务计量、计费与资源购买等运营管理服务。

(3)云代理者是管理云服务使用、性能与交付的实体,并在云服务商与云服务客户之间进行协商。一般来说,云代理者提供三种服务:聚合、仲裁与中介。

(4)云审计者负责对云服务提供独立评估、审计,负责审计云服务的供应与使用。云审计通常覆盖运营、性能与安全,检查特定的审计准则是否得到满足。

(5)云基础网络运营者是云服务连接与传输的执行者,主要提供基础网络通信服务。

1604470149_5fa24585d5e0fb53777ec.png!small?1604470119270

对于云计算的参与人员,参考GB/T 35279-2017《信息安全技术 云计算安全参考架构》,可以更进一步分析,一般云平台的参与人员还可以这样划分:云平台建设者、云平台所有者、云平台运营者、云平台使用者、云平台监管审计者等。

(1)云平台建设者:建设云平台的组织机构,跟云平台所有者一起设计或是按照云平台所有者的设计进行云平台的建设。建设完成之后,交付至云平台所有者。

(2)云平台所有者:云平台的所有权拥有者,一般是云平台的发起人。可以参与云平台的设计、建设和运营,也可以委托第三方专业机构运营云平台。

(3)云平台运营者:运营云平台,运营包括两方面,运营和运维,有的时候,运维者不与运营者统一组织。

(4)云平台使用者:即云平台的客户。

(5)云平台监管审计者:即对云平台进行监管、审计的组织机构。在公有云环境,该监管设计者较为复杂,包括公有云厂商的监管审计部门和上级单位、公有云客户的监管审计部门和上级单位、国家监管机构等。

云部署模型

云平台建设者

云平台所有者

云平台运营者

云平台使用者

云平台监管审计者

私有云

集团企业IT部门或供应商

集团企业

集团企业或委托第三方机构

集团总部、分支机构、甚至包括集团的合作伙伴(为合作伙伴提供云服务时,有点类似行业云或公有云雏形的样子)

集团监管、审计部门、集团上级监管机构

公有云

公有云厂商

公有云厂商

公有云厂商或委托第三方机构

中小型企业或个人以及部分大型企业等

公有云厂商监管部门、国家监管机构(网警、网信办等)

行业云

行业组织机构、行业内大型企业组织等

行业组织机构

行业委员会或委托第三方机构

行业内各企业

行业监管机构、国家监管机构(网警、网信办等)

混合云

集团企业IT部门或供应商(混合云多以企业为单位,设计建立和实施)

集团企业+公有云厂商(租赁)+行业组织机构(租赁)

集团企业或委托第三方机构

集团总部、分支机构、甚至包括集团的合作伙伴(为合作伙伴提供云服务时,有点类似行业云或公有云雏形的样子)

集团监管、审计部门、集团上级监管机构

通过以上两个章节,可以较为全面概括的了解云计算以及云计算的重要参与者,这将为后面的云安全架构和建设提供前提概要。

2、企业云安全

2.1、云安全的风险与挑战

随着越来越多的用户将传统的业务系统迁移至云计算环境中,云安全面临的挑战也更加严峻,传统环境下的安全问题在云环境下仍然存在,如SQL注入、内部越权、数据泄露、数据篡改、网页篡改、漏洞攻击等,而云环境下又不断涌现一堆新的安全问题,如云安全边界的划分和防护、云安全防护系统的选择和部署、云安全检测、安全防御、云安全审计等。同时,云计算环境下的资源按需分配、弹性扩容、资源集中化等新型技术形态也给云安全技术带来挑战和技术革新。

不同机构组织和标准规范统计出的云安全的风险挑战如下:

(1)根据ENISA(欧洲网络与信息安全管理局)统计,云计算带来的13个主要云威胁和其影响程度如下:

1604470186_5fa245aa2c57f99217c34.png!small?1604470155646

(2)CSA(云安全联盟) Top 威胁

CSA Top 威胁

数据泄露

数据丢失

身份、凭证和访问管理不足

尽职调查不足

不安全的接口和应用程序编程接口

滥用和恶意使用云服务

系统漏洞

拒绝服务(DoS)

账户劫持

共享的技术漏洞

恶意的内部人员


高级持续性威胁


(3)GB/T 35279-2017《信息安全技术 云计算安全参考架构》

在GB/T 35279-2017中的附录A中详述了一下云计算的安全风险,主要包括以下内容:

① 云计算法律风险

② 政策和组织风险:可移植性风险(过度依赖风险)、可审查性风险(合规风险)

③ 云计算技术安全风险:数据泄露风险、隔离失败风险、应用程序接口风险、业务连续性风险、基础设施不可控风险、运营风险、恶意人员风险

结合实际及上述安全风险,提炼企业上云的关键安全诉求:业务连续不中断、运维全程可管控和数据保密不扩散。

1604470194_5fa245b22b297e326106a.png!small?1604470163636

基于企业上云的关键安全诉求,可以做如下总结,企业云安全的风险和挑战主要可以分为两个方面:云安全管理方面的风险和挑战、云安全攻击风险和挑战

(1)云安全管理风险和挑战

① 安全运维管理困难

传统环境下,大部分安全产品以硬件的形式交付给客户,安全产品也是采用分散管理的形式,而在云环境下,所有的资源虚拟化,云安全产品大部分以虚拟机的形式部署到云平台上,而不同的云租户对安全资源的需求个不相同,如何统一的分配、利用和管理云上的安全资源成为云安全的一个难题。

② 安全责任界定不清

传统模式下,信息系统通常遵照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清晰。在云计算模式下,云计算平台的管理和运行主体(云服务提供方)与云端信息系统及数据的责任主体(云租户)不同,相互之间的责任难以界定,服务模式的改变、部署模式的差异、云计算环境的复杂性都增加了界定云服务提供方与云租户之间责任的难度。

③ 需求不确定性问题

云环境下,云平台管理者在云平台建设初期一般不清楚各个云租户的业务规模,也不清楚各个租户的安全需求。因此管理者很难精确的判断采购的安全产品种类、安全产品数量和安全产品性能,安全建设规划困难。

④ 安全产品部署困难

随着租户业务慢慢迁移到云平台,由于不同的云租户对云安全的需求不同,如果采用为每个租户手动部署单一产品的方式为租户提供安全产品,会给云平台运维管理员的运维工作造成极大困扰,对运维人员的技术要求也大大提高。且传统的硬件已经无法部署到租户虚拟的网络,满足不了租户的安全需求。因此,如何解决云安全产品自动化部署、云安全产品按需分配问题成为云安全管理人员面临的巨大挑战。

(2)云安全攻击风险和挑战

①网络攻击问题

云环境下,云租户的业务都由云平台承载,而不法分子也会通过对云平台的攻击,对云租户的业务安全造成威胁。通常云环境下,存在以下威胁:

  • 业务高峰时段或遭遇DDoS攻击时的大流量导致网络拥堵或网络瘫痪。
  • 重要网段暴露导致来自外部的非法访问和入侵。
  • 单台虚拟机被入侵后对整片虚拟机进行的渗透攻击,并导致病毒等恶意行为在网络内传播蔓延。
  • 虚拟机之间进行的ARP攻击、嗅探。
  • 云内网络带宽的非法抢占。
  • 重要的网段、服务器被非法访问、端口扫描、入侵攻击。
  • 云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源。
  • 内部用户或内部网络的非法外联。
  • 内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等。

②主机攻击问题

云环境下,用户的业务都由云主机承载,云主机的安全问题将直接威胁到用户的整个业务系统的安全性,通常云环境下存在以下安全风险:

  • 服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问。
  • 对服务器、宿主机、虚拟机等进行操作管理时被窃听。
  • 同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露。
  • 服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵。
  • 虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足。

③应用安全威胁

云环境下,客户的云上应用面临各种安全问题:

  • Web 应用入侵、上传木马、上传webshell等攻击。
  • 网页被恶意篡改,展示敏感或不当内容。
  • 应用对外接口被利用,对云平台进行攻击。
  • 应用系统健康状况不明确。

④数据安全威胁

云环境下,客户的业务都是以数据的形式承载于云计算平台上,数据是云平台上最重要的资产。云上的数据安全通常存在以下风险:

  • 数据在传输过程中受到破坏而无法恢复。
  • 在虚拟环境传输的文件或者数据被监听。
  • 云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据。
  • 因各种原因或故障导致的数据不可用。
  • 敏感数据存储漂移导致的不可控。
  • 数据安全隔离不严格导致恶意用户可以访问其他用户数据。

2.2、云安全域传统安全相对比

详述了云安全的风险和挑战之后,与传统安全相比,又有哪些异同呢?可以以网络安全防护对象为切入点,从安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等5个层面进行对比分析。具体对比可参考如下:

网络层面

云计算环境防护对象

传统信息系统防护对象

安全物理环境

机房及基础设施

机房及基础设施

安全通信网络

网络通信设备,综合网管系统,网络架构,网络管理员,校验和密码设备,审计系统、云计算平台、云管理平台

网络通信设备,综合网管系统,网络架构,网络管理员,校验和密码设备,可信验证设备,集中审计系统

安全区域边界

网闸、防火墙、路由器、交换机和无线接入网关等边界访问控制设备,终端管理系统,网络拓扑,无线网络设备、虚拟化网络边界设备、虚拟机、宿主机

网闸、防火墙、路由器、交换机和无线接入网关等边界访问控制设备,终端管理系统,网络拓扑,无线网络设备

安全计算环境

操作系统、网络设备、安全设备、管理终端、移动终端、移动终端管理系统、网关节点设备、控制设备、业务应用系统、数据库、中间件、系统管理软件、配置数据和业务数据、云计算平台、虚拟机、虚拟机迁移记录、云管理平台、虚拟机镜像、快照、存储设备

操作系统、网络设备、安全设备、移动终端、移动终端管理系统、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件、系统管理软件、配置数据和业务数据

安全管理中心

系统管理系统,审计系统,网络架构,网络设备,云管理平台

系统管理系统,审计系统,网络架构,路由器、交换机、防护墙、安全管理系统

从上述对比可以发现,云安全实则为涵盖传统安全+虚拟化等云技术所引入的新的安全问题。

2.3 云安全架构

2.3.1 云安全参考标准

云安全可以参考的标准依据有很多,但常见的有:CSA云计算关键领域安全指南、网络安全等级保护(重点参考)、GB/T 35279-2017《信息安全技术 云计算安全参考架构》等系列等。

1604470207_5fa245bf56ddf15f5bc51.png!small?1604470176759

首先简介CSA云安全联盟发布的云计算关键领域安全指南。CSA云安全联盟旨在促进云计算领域内安全保障的最佳实践,并为寻求采用云计算模式的组织提供一个实用的、可执行的路线图。该指南汇总提炼了云安全的13个安全领域,这13个安全域分为两大类,治理(governance)和运行(operations)。治理域范畴很广,解决云计算环境的战略和策略问题,而运行域则更关注于战术性的安全考虑以及在架构内的实现。如下:

云计算关键领域安全指南 v4.0

D1:云计算概念和体系架构

D2:治理和企业风险管理--治理域

D3:法律问题、合同和电子举证--治理域

D4:合规和审计管理--治理域

D5:信息治理--治理域

D6:管理片面和业务连续性--运行域

D7:基础设施安全--运行域

D8:虚拟化和容器--运行域

D9:事件响应--运行域

D10:应用安全--运行域

D11:数据安全和加密--运行域

D12:身份、授权和访问管理--运行域

D13:安全即服务--运行域

D14:相关技术--运行域

CSA的云计算关键领域安全指南,不是本篇的重点,但是极具参考价值,有兴趣的同学可以下载阅读。关于云安全的参考,随着国内网络安全法的开展和等报2.0的落地实施,作为国内企业,网络安全等级保护中云安全的部分是我们的重要参考依据,也是进行云安全的重要标准指南。

1604470215_5fa245c782ac9f79f814f.png!small?1604470185003

相比等保1.0,等保2.0在1.0的基础上,进一步完善修订基础要求,同时增加云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工控系统安全扩展要求和大数据安全扩展要求等。其中云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。

1604470219_5fa245cbcffb6ae367fb1.png!small?1604470189247

实际上,在《信息安全技术 网络安全等级保护定级指南》中,云平台如何进行定级,已经给明指导性原则:

(1)责任主体一分为二:云服务商、云租户均需独立定级备案。

(2)云平台按照其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。

(3)国家关键信息基础设施(重要云计算平台)的安全保护等级应 不低于第三级(例如政务云、工业云等,金融云需要达到四级)。

(4)对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

实际上,经过等报2.0,对于云计算平台的权责界定已经非常明确,责任分离,分别定级,并且各自进行备案。云平台的定级对象主要是数据中心、硬件资源、操作系统和虚拟机Hyper层面、云辅助管理平台等;租户或是用户定级的对象为虚拟机、应用等。

1604470225_5fa245d1a8c21e690a60f.png!small?1604470197144

定级指南也明示了定级流程、什么情况下定什么级别等内容。

定级流程:确定定级对象、自主定级、专家评审、主管部门审批、公安机关审核。

定级参考:

1604470229_5fa245d569f97b05cc745.png!small?1604470198892

对于云业务场景下,有一些必须满足的原则性要求,具体如下:

(1)应确保云计算基础设施位于中国境内,云计算平台不承载高于其安全保护等级的业务应用系统。

(2)应确保云服务数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定。

(3)云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。

2.3.2 云安全权责划分

在等保云计算安全扩展要求、CSA云计算关键领域安全指南、GB/T 35279-2017《信息安全技术 云计算安全参考架构》等多种不同的法律、法规和标准参考文档中,都明确了云安全的参与者中各自的权责划分,这也是符合云计算复杂参与者这一特点的。

在GB/T的安全参考架构中,根据云安全的参与者,定了不同参与者的不同安全建设内容和责任界定。

1604470234_5fa245da8358b3ddce408.png!small?1604470203930

在GB/T31167--2014中描述了云服务商和云服务客户在不同服务模式下的安全控制范围,如下图所示,云服务客户实施安全组件的责任在IaaS服务中较大,在PaaS服务中降低,在SaaS服务中最小,而云服务商与云代理者共同负责实施的安全组件,责任从IaaS、PaaS到SaaS分别增多。这在CSA的D1中的1.2的部分也可以看到相应的描述:

云安全和合规性包含了一个安全团队在当前应当负责的所有职责。虽然延续了所有传统安全领域,但是其风险、角色和职责的性质,以及控制点的实施时常有着巨大的变化。

虽然云安全和合规性的总体范围没有变化,但是任何一个云服务参与者都应当承担起相应的职责。可以这样想:云计算是一种共享技术模式,不同的组织通常会承担实施和管理不同部分的责任。因此,安全职责也由不同的组织分担,所有的组织都包含在其中。

这通常被称为共享责任模型,它是依赖于特定的云提供商和功能/产品,服务模型和部署模型的责任矩阵。

从宏观上讲,安全职责是与任何角色对于架构堆栈的控制程度相对应的: 

软件即服务:云服务提供商负责几乎所有的安全性,因为云消费者只能访问和管理其使用的应用程序,并且无法更改应用程序。例如,SaaS 提供商负责周边安全,日志/监控/审计和应用安全性,而消费者可能只能够管理授权和权利。

平台即服务:云服务提供商负责平台的安全性,而消费者负责他们在平台上所部署的应用,包括所有安全配置。因此两者职责几乎是平均分配的。例如,使用一个数据库作为服务时,提供商管理基本的安全,修复和核心配置,而云消费者则对其他负责,包括数据库要使用的安全功能,管理账户,甚至是身份验证方法。

基础设施即服务:类似 PaaS,云服务提供商负责基本的安全,而云消费者负责他们建立在该基础设施上的其它安全,不同于 PaaS,IaaS 的消费者承担更多的责任。例如,IaaS 的提供商将可能监视他们的网络边界所受到的攻击,但消费者在服务商提供的工具基础上,全权负责如何定义和实现自己的虚拟网络安全。

1604470244_5fa245e46f88e3560e313.png!small?1604470213905

继续回到云计算安全参架构中关于云平台不同参与角色的不同分工,基于角色的分层,不同角色的安全组件及子组件参考如下:

1604470249_5fa245e90229406e03e60.png!small?1604470218560



云服务客户

安全云服务管理

业务支持安全需求;
服务提供与配置安全需求;
可移植性与互操作性安全需求;
安全组织支持;

安全云服务协同

安全功能层

云服务商

安全云服务协同

安全部署与服务层;
安全资源抽象与控制层(硬件与设施)-仅主服务商;
安全物理资源层(硬件与设施)-仅主服务商;

安全云服务管理

安全供应与配置;
安全可移植性与互操作性;
安全业务支持;

云代理者

安全云服务协同-仅技术代理者

安全服务层

安全服务聚合

安全聚合与配置(技术方面的配合)-仅技术代理者;
安全可移植性与互操作性(技术方面的配合)-仅技术代理者;

安全云服务管理

安全供应与配置-仅技术代理者;
安全可移植性与互操作性-仅技术代理者;
安全业务支持;

安全服务中介

安全供应与配置

安全服务仲裁

安全供应与配置

云审计者

安全审计环境

-

云基础网络运营者

安全传输支持

安全可移植性与互操作性

更加详细的描述请进一步参考GB/T 35279-2017《信息安全技术 云计算安全参考架构》。

2.3.3 云安全等保要求

等保对云平台以及云平台上的租户和业务都给出了较为详细、明确的要求,从网络安全的5个层面对比分析,具体整理如下:

层面

云平台安全要求

云上租户或业务安全要求


物理和环境

机房及相关设施



安全通信网络

安全等级高于云上业务等级、自主设置安全策略的能力、虚拟网络动态可视

虚拟网络隔离、业务传输安全、边界防护、自服务能力、


安全区域边界

虚拟化网络边界访问控制、边界入侵防范、虚拟机间异常流量监控、远程特权命令审计

虚机访问控制、VPC网络访问控制、恶意代码防范、运维审计、日志管理、资源监控等


安全计算环境

管理人员身份验证与分权、安全审计、虚机健康保护与告警、镜像与快照完整性校验与防篡改、重要业务系统操作系统加固等、迁移数据完整性校验、数据加密迁移、备份数据存储位置可查询、租户间数据隔离存储、剩余信息保护

管理人员身份验证与分权、云租户授权、恶意代码防范、运维审计、身份鉴别、访问控制、安全审计、资源控制、数据加密,数据备份、个人信息保护



安全管理中心

管理与业务流量分离、资源统一调度、云服务商和云服务客户的职责划分

云服务商和云服务客户的职责划分


实际上,理清安全治理层次,划清安全责任界限,是云安全的重要建设及应对思路。相比传统安全,云平台和云用户/租户之间的安全界定,是云安全的第一步,否则安全边界的混淆,在网络安全大环境和网络安全法律法规日益严苛的情况下,云平台的运营必将因安全而受限。

1604470266_5fa245fa76da00b48ff7f.png!small?1604470235857

2.3.4 云安全参考架构

参考不同厂商(奇安信、华为、安恒、深信服、山石等)不同的云安全架构设计方案、各类云厂商的安全方案以及自身经验,完成云安全体系架构,具体如下:

1604470271_5fa245ff277d5e5cdecb0.png!small?1604470240611

整个云安全的体系架构主要突出以下几点:

  • 云安全虽然有别于传统安全,但是传统安全设备依然在云安全中发挥着重要作用,尤其是在私有云的场景下。在私有云场景中,将安全设备虚拟化(需要安全设备支持)部署,形成安全资源池,供云平台虚拟机和网络设备安全调用。故在云环境中,云安全设备及云安全与服务器、网络、存储等共同组成安全的计算环境,形成统一的计算、存储、网络、安全四大资源池,供上层应用进行调用。
  • 云环境下的云安全,着重在于云安全管理平台CSMP的建设。云安全管理平台主要在安全硬件资源的基础上,对安全资源池化,形成服务化的云安全服务。安全资源池化中的安全资源有:防火墙、防病毒、VPN、入侵防御、WEB防护、数据保护、云安全等等。将硬件资源虚拟化形成安全资源池,向上提供三个方面的防护:东西向安全防护、南北向安全防护和主机安全防护。基于安全资源池化和三个方向的防护,形成虚拟安全服务:vFW(虚拟防火墙)、vVPN(虚拟VPN)、vIPS、vWAF、vDBA(虚拟数据库防护、数据库审计)、vJH(虚拟堡垒机vJumpHost)等。同时基于安全资源池化和安全服务化,形成以用户、租户、平台为单位的安全态势感知。基于云平台安全服务(含云安全态势感知)和第三方云安全服务(网站检测、威胁情报、Ddos清洗、网站防篡改、网站防护等)共建云安全管理平台保障云平台的安全。
  • 云安全管理平台CSMP和云管理平台CMP之间如何进行交互和联系?CSMP安全防护的对象是CMP中的应用和数据,那怎么进行防护呢?实际上有两个关键点:引流交换机+安全agent。通过引流交换机接入到CMP的核心交换机和分支交换机,将云平台的流量镜像拷贝或是引流至CSMP中(注意:镜像拷贝更多适用于安全监测,类似于传统安全的旁路部署,引流则适用于安全阻断的情况,类似于传统安全的设备串联),通过部署在云平台虚拟机上的agent进行安全管理和控制,提供本机安全防护、东西向安全防护与隔离、南北向安全防护与阻断等。
  • 在用户层,云安全管理平台CSMP为不同的用户提供安全自主自助服务,包括安全组件管理(组件选择组合、组件连接等)、安全策略配置(安全组、组件安全策略等)、云端资源管理、安全资源可视计量等。

3、云安全总结

云安全的架构设计和建设与云平台的建设密切相关,云安全建设的最佳实践应为:同步设计、同步实施、同步测试、同步运行和运营。同时,云安全建设也是一个比较复杂的系统性工程,需要结合实际业务需求和云平台,本着经济实用、技术前瞻、科学规划等原则,设计和建成可弹性伸缩、可兼容传统和多云的安全架构,任重而道远,需要不断的与安全厂商、云平台厂商等深入沟通交流。

借此,结合自身实际经验,呼吁云安全相关机构或产业联盟,尽快制定云安全技术标准,同时也呼吁网络安全厂商在进行安全产品研发时,以开放的思维和心态进行产品设计和研发,既要做到兼容本厂商下其他安全产品,也要尽量兼容其他安全厂商的安全产品或是提供开放的API接口。因为在云安全实施过程中,面临最大的问题、同时也是最难解决的问题、解决成本最高的问题,那就是:品牌绑定。一个安全厂商的安全设备只能兼容部分该厂商旗下的其他安全设备,提供的安全开发接口、安全日志等也不标准,在对接不同安全厂商的不同安全设备时,工作量巨大,甚至有的安全设备只适用于自有虚拟化平台或交换机的情况。同时,云安全技术标准的设定,还要考虑网络设备、云平台、虚拟化等标准,共同制定出兼顾不同计算设备、存储设备、网络设备和安全设备的云安全标准体系,为企业云安全的建设进一步降低成本,提高安全性。在软件定义一切的时代,软件定义安全的前提是可自主编程,没有友好的兼容性和开发性的安全设备又如何软件定义,成为云平台的一员呢?

--------------------------------------------------------

作者简介:
战学超(Jan) ,某航空公司运维经理,高级架构师。曾任职于NEC软件、海尔集团。拥有丰富系统运维、系统架构经验,熟悉企业运维管理、系统架构、数据库架构、数据平台搭建、虚拟化、混合云部署及管理、自动化运维以及企业网络安全等。

1604470339_5fa24643e157d519fd8e9.png!small?1604470309357

本文作者:, 转载请注明来自FreeBuf.COM

# 系统安全 # 数据安全 # 企业安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦