你好,游客 登录 注册 发布搜索
背景:
阅读新闻

从工程化实施角度构建私有云安全防护体系

[日期:2015-07-24] 来源:CSDN  作者:黄晟 [字体: ]

  “互联网+”的持续深入,使得云计算、大数据、人工智能等新技术应用范围更加广泛。国家战略层面对安全的重视,使得安全在敏感性企业、行业企业、互联网等应用更加深入。这也是2015年安全千人大会频频举办的根本原因。

  7月9日,阿里巴巴+蚂蚁金服集团的2015阿里安全峰会

  7月17-18月,乌云白帽子安全大会

  8月18-23日,Xcon和Kcon

  9月29-30日,360主办的2015中国互联网安全大会

  为此,我们特别策划了8月份的安全选题,聚焦两个方向——“架构的安全设计”和“企业安全实践”,特邀数位专家深入分享。欢迎安全领域的朋友们投稿(guoxm@csdn.net,8月6日之前)。

  安全大牛,中油瑞飞公司信息安全高级技术总监黄晟(Joe)的《企业私有云安全防护实践与探索》是其中一篇。(PPT下载地址)作为其多年实战的总结, 紧贴企业私有云安全防护经验,对“纵深防御之塔防”进行了独特的解读和分析,其思想目前已获得国内主流安全圈的普遍认同。本文值得收藏。感谢炼石网络公众号的整理。

  以下为整理文章:

  全文摘要:

  以“塔防游戏”引入主题,不是简单地从交付视角去讨论云安全防护,而是从工程化角度出发,提出了接地气的私有云安全防护解决方案。

  结合在大型企业私有云安全防护体系建设工作的实践经验,分析了国内外云安全防护体系现状及使用情况,提出企业私有云安全防护在工程化实施方面面临的主要问题。

  以攻击者视觉分析了云安全威胁典型案例,讨论企业私有云在现阶段所面临的主要安全威胁,针对企业级私有云面临的紧迫风险与威胁,结合企业私有云计算的实现层技术特性与相关组件,提出适应于企业私有云应用现状的安全防护思路,分析伴随企业私有云工程实施阶段可同步落地的基础安全防护体系结构,并展望了企业及私有云安全体系的发展方向。

  

 

  听众最关心的四个问题。作为网络安全纵深防御和Design for Failure理念的追随者,Joe对“边界防御”和“银弹思维”持保留态度。大家也不妨先思考这个问题:你认为私有云安全最重要的“奇淫巧计”是什么?

  

 

  用影响力较广的CSA和NIST云计算模型切入正题。

  目前在云计算安全领域已经形成了若干个安全防护体系参考框架,其中最具代表性的云安全联盟CSA提出的可信云基础设施参考框架、云安全控制矩阵和云安全指南被中国与美国等多个国家用于参考指定云计算安全标准。美国国家标准与技术研究院NIST在2011年公布了《NIST云计算参考架构》,该模型也经常被用在云计算安全领域描述云计算防护体系。上述参考架构能够较好地指导高阶安全需求确定与建成后验收测试工作。但在细化安全需求并设计安全方案时,则遇到了较多问题,特别是在将安全需求与多层次的云计算架构体系结合时,会出现需求使用对象不明确货需求理解多义性的情况。

  

 

  经历了过去几年的酝酿,IaaS模式的私有云已经瓜熟蒂落,在各大企业纷纷落地。

  近几年,国内各大型企业纷纷启动探索云计算在企业及信息化环境中的应用,以安全性与可靠性顾虑为主要影响因素,加上对业务与数据失控等潜在成本的考虑,不少企业选择采用私有云方式建设云计算体系,尤其是一些信息系统规模大,信息化依赖度高的大型企业,大多数倾向采用企业级的私有云体系承载大型核心信息系统。

  

 

  从最终用户的交付视角看,IaaS私有云像是多彩的原野。而从建设者的工程化实施视角看,IaaS私有云底下有复杂的立体化结构,Joe用印度神话中的宇宙模型比喻这种复杂结构。

  企业对私有云要求有更多的掌控,与直接使用公有云不同,特别是在建设实施阶段,私有云企业用户需要从工程实施视角出发,关注规划、设计、建设、实施与推广使用的整个过程,不仅需要考虑如何使用云服务,还必须考虑并落实私有云建设和运维牵涉的所有细节。

  

 

  用放大镜看IaaS私有云,工程化细节太多了。

  以NIST云计算参考架构为例交付服务视觉屏蔽了所有的实施细节,能够清晰展现层次结构;而更关注实施细节的工程化实施角度梳理云计算体系,可以发现云计算平台存在着多层次迭代的依赖关系,而且底层管理平台大量使用通用软件开发,复杂度不低于一套小型信息系统。

  

 

  内网+多层边界防护是一个丰满的理想,但现实却是骨感的。因为攻击者有可能绕过网络和主机层的“马奇诺防线”,直接从Web应用层打进来。

  私有云的安全防护压力并不会因为在内网而消失。同时单一边界防护难以保证内网安全,即使是堆砌式“纵深防御”也难以实现“安全网神话”。

  

 

  实事求是的讲,云计算引入了更多的攻击面(Attack Surface)。

  

 

  知名安全软件OpenSSL网站失陷,缘由是“沙虫破土而出”。

  2013年12月,信息安全开源项目OpenSSL的网站被黑客侵入主页,OpenSSL的网站托管在一家虚拟主机服务提供商,与其他客户共享物理服务器,此次攻击并没有直接攻陷OpenSSL的网站虚拟主机服务器,而是通过虚拟主机服务器的“不安全口令”直接控制了虚拟化管理控制台,并通过虚拟化管理控制台操作篡改了OpenSSL的网站服务器内容。从攻击者角度来看,除了目标服务器自身操作系统与应用系统之外,云计算体系的虚拟化、虚拟化管理与资源调度管理组件提供了更多的攻击面。

  

 

  细看云计算并非仙女下凡,仍然是由很“土”的传统软硬件技术构建起来。因此云安全也离不开传统防护手段,不能寄希望于所谓“云安全之十大奇淫巧计”。

  

 

  攻击者先通过传统手法拿下云中的“上帝空间”,进而可以对“租户空间”发起“不对称攻击”。

  在2012年的Defcon信息安全技术大会上,一位信息安全研究人员做了题为《如何在60秒内入侵VMWare vCenter服务器》的报告,他发现vCenter 4.1 Update 1版本所采用的Jetty应用服务器在一个已知的目录遍历漏洞,通过利用该漏洞能够获得服务器的任意文件。这个例子进一步说明了云计算体系的组件存在诸多攻击面,由于各种技术和管理原因,很多已知漏洞或配置错误可能依然存在于云计算体系的底层组件中,从而成为可能导致整体云计算体系被全面入侵和控制的严重隐患。

  

 

  先用传统攻击手段SSRF拿下AWS的“大脑接口”,巧妙的绕过了限速链路的“马奇诺防线”。

  在2015年Blackhat大会上,一位信息安全研究人员通过服务端请求伪造,获取了亚马逊云服务器元数据并控制云服务器管理接口,利用快照转移访问渠道盗取数据,打破了后台运维通过限速链路来保护数据的幻想。

  

 

  虚拟机逃逸并非传说,离你我并不遥远。如果虚拟机一旦逃逸,同时云管理平台又没有“防护后手”,犹如千里之外的攻击者通过虫洞对你触手可及。

  

 

  云安全和云业务并非对立关系、而是融合关系。云安全是为了保证云的正常运行,而云安全威胁会去破坏云的正常运行。忽略云安全的云业务会成为“沙丘城堡”、岌岌可危。

  

 

  结合之前几个传统攻击手法拿下的云安全事件,Joe认为当下的云安全,面向工程化实施的云安全基础防护特别关键,而又往往容易被忽视。

  

 

  为马上要展开的基础防护工作定义一个可行的目标:云平台的安全,期望达到和传统物理机模式同等安全程度。

  

 

  远看千岛湖鬼斧神工,但从水下再看千岛湖,真相是群山被水淹没,是不是脑洞大开。云安全框架先从“水下”入手。

  

 

  分析私有云的“水下”构造,在建设之初就把“纵深防御之塔防”作为重要指导思想,Build Security In的业务架构师才是好孩子。

  

 

  建议读者先打上几局“塔防”游戏,在排山倒海的攻击中亲身感受所谓“防御成功”是什么?你的布阵有多么重要?

  (答案:哪里都是防不住的,但通过有效的布阵打一场有利于自己的消耗战,在游戏的关卡条件下“耗死对手”即为“防御成功”。)

  

 

  回到私有云建设,也需要积极布阵。

  

 

  假如虚拟机被攻击者逃逸,防护后手怎么建?

  

 

  全面解构IaaS私有云的“水下”世界,非常之复杂。

  

 

  逐项庖丁解牛,网络部分包括云管理网络、虚拟化管理专网、交付服务网络。

  

 

  存储部分也非常复杂。

  

 

  参与的IaaS私有云安全项目案例,整个基础防护体系被分解为9个层面及领域,合计36项防护要点。

  

 

  如此多的防护要点和细节,实施团队从何下手?就像宜家的自组装家具手册一样,安全防护施工手册很重要。

  

 

  STIG是一个不错的防护要点施工手册。

  

 

  根据私有云实际情况,对安全指南进行梳理裁剪非常有必要。

  

 

  技术之外,管理也很重要。

  

 

  一个实施模板示例,细节决定成败。

  

 

  云的自动化运维会带来新的安全问题,需要精心设计这部分的安全防护。

  

 

  基于塔防思想的身份认证体系,也是一个重点。

  

 

  针对开源/自由软件,要有特别的纵深覆盖手段。

  

 

  安全预算不多能玩“塔防”吗?(答案:穷人也可以玩“塔防”)

  

  脚踏实地,一步一步来。

收藏 推荐 打印 | 录入:574107552 | 阅读:
相关新闻      
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款