总第14期
Attack and Defense    攻防
Attack and Defense    攻防
云计算环境下安全能力如何落地
文/杨洪起

当前,我国越来越多的企业和组织已经将自身业务系统迁移上云,开放的网络环境为云计算用户提供了强大的计算和存储能力。然而,伴随着云计算技术的飞速发展,其所面临的安全问题日益凸显,尤其在工业界和学术界引起了广泛关注。

云计算环境下用户的安全诉求

在云计算环境下用户普遍面临如下安全需求:

数据泄露:数据泄露是排在首位的安全威胁,分布式、开放的云计算服务加重了这种威胁。在多租户环境下,用户无法直接控制数据计算与存储的风险,因此有效保障云服务商自身内部的安全管理和职责分离体系、安全审计,避免云计算环境中多客户共存带来的潜在风险,都成为云计算环境下用户的重大安全考虑。

数据丢失:数据丢失的产生原因很多,譬如黑客故意删除或盗窃、内部人员操作失误、客观灾难(如火灾、洪水等)。由此造成的损失或带给用户的麻烦也是不可估量的。

数据劫持:账号或服务流量劫持已经成为了一个新的威胁。黑客在窃取了企业的登录信息后,进而就会窃取用户的服务资料,窃听相关活动或交易,甚至操纵数据、返回虚假信息。要抵御这种威胁,一方面用户需要保护并及时更新登录信息;另一方面云计算服务提供商需要采用高安全性的加密措施。

不安全接口:API接口是服务管理者或维护者对云服务进行配置、管理、协同和监控的接口。在开放云计算环境下,用户可以根据自身需求利用这些接口进行自主开发,虽然API接口优化了管理以及开发模式,但一定程度上增加了安全风险性。

拒绝服务攻击:分布式拒绝服务(DDoS)一直是互联网发展中的一大威胁。在云计算时代,DDoS攻击会剥夺正常用户访问资源的权利,加剧网络延迟,由此引起的服务停止一方面会降低用户的感知度,另一方面也会给以时间或磁盘空间付费的用户造成一定损失。

恶意内部人员:恶意内部人员的风险是安全策略中需要考虑的内容。由于用户数据虚拟化到云平台上,恶意的内部人员在拥有较高的访问权限情况下,可以轻而易举的获取用户数据,因此云服务提供商对于内部人员的管控也是十分重要的。

滥用云服务:大众化的云服务可以为任何人提供计算资源,因此也不能排除有些人会采用一些特殊手段来获取所需资源,如破解密码、发动分布式拒绝服务攻击、传播恶意软件、共享盗版软件等,这就需要云服务提供商对云计算服务进行规范化管理。

审查缺失:对于云服务使用者来说,需要审查云服务提供商的系统环境、相关能力以及相关风险。对于云服务提供商而言,则需要对云计算的相关技术、营运责任等进行相应审查,在完成风险的规避后,才能保证服务的可靠性。

共享隔离问题:云服务提供商将基础设施、平台和应用程序以灵活扩展的方式来交付服务,因此多租户的共享信息就需要采用一定的隔离技术来达到对风险的规避。

不同云计算服务场景的安全防护重点

如今,市场上的云有多种,包括公有云、私有云和混合云等,不同类型的云服务在安全上重点各有不同。

对于公有云使用者(云租户)来说,使用公有云最大的担忧是安全问题和数据所有权问题。传统模式下,客户的数据和业务系统都位于客户的数据中心,而在云计算环境中,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。

私有云可部署在企业数据中心的防火墙内,也可以将其部署在一个安全的主机托管场所。在私有云中应具有完整的安全体系,包括物理资源、虚拟化平台、系统安全、应用安全和用户访问安全,每个层次都应有相关的安全监控和控制,确保最终用户的应用运行稳定可靠。

混合云融合了公有云和私有云,出于安全考虑,企业更愿意将数据存放在私有云中,但同时又希望获得公有云的计算资源,在这种情况下混合云被越来越多的采用,这种个性化的解决方案达到了既省钱又安全的目的。

云安全防护能力落地实践

1.物理设施层。通过多对一技术来构建虚拟化资源池,包括网络资源池、计算资源池、存储资源池和安全资源池,资源池又可以通过一对多技术为不同的云租户提供资源调度服务,使得云租户可以通过网络方便的按需获取计算能力、存储空间和信息服务。

2.租户业务系统层。主要是通过虚拟化技术为租户提供业务系统的部署和运行服务。下面以单个租户的业务系统为例来介绍某行业云计算环境的安全防护(参见图1),内网区域主要承载组织所属核心业务服务器的部署和运行;外网区域主要为社会公众提供新型的业务服务和资讯,以及电子邮件的收发等功能;外联区域主要用于与合作单位的互连互通。

3.互联网边界安全防护。采取专业的互联网安全产品(包括防DDoS、入侵防御、网站安全防护等功能模块组成)保护互联网入口。

4.云计算南北流量安全防护。云计算南北向流量安全防护说明如下:根据目的地址匹配将流量引入指定vFW(openflow/策略路由);根据目的地址匹配将流量引入指定vIPS(Openflow/策略路由);根据目的地址匹配将流量引入指定vLB(Openflow/策略路由);根据目的地址匹配将流量引回核心交换(Openflow/策略路由);根据目的地址匹配,将流量封装对应的VxLAN隧道,发往目的VM所在VTEP;剥离VxLAN封装,将原始报文发送给目的VM处理。

5.云计算东西向流量安全防护。云计算东西向流量安全防护说明如下:控制器根据业务模板创建服务链策略;VCFC下发服务链策略;vSwitch封装业务链VxLAN报文头:“VxLAN ID + 服务链 ID”,将报文发送给首业务节点;尾业务节点处理完成后删除业务链封装,根据用户报文的目的地址找到最终VTEP的IP地址,将报文发送给目的主机所在的VTEP;接入VTEP根据VxLAN内层目的IP送至目的VM。

6.远程接入安全防护。对于云外部需要通过外部网络访问该云内部业务区域的移动办公用户,区域内部署认证授权系统,VPN接入网关等,为远程办公用户提供可信的安全接入和加密访问。

7.云计算租户网络隔离。租户模型和OpenStack逻辑概念对应关系:vRouter对应OpenStack内的vRouter,代表逻辑三层网关/网络;vNet对应OpenStack内的Network,代表逻辑二层网络;Subnet对应OpenStack内的Subnet,代表某个子网网段;每个vNet对应一个VxLAN,vNet内多个Subnet代表该VxLAN覆盖多个子网网段。具体隔离措施如下:L2层面(接入),使用 VxLAN ID 来提供租户隔离;对于标准租户(Standard Tenant),使用vRouter实现在路由层面的租户隔离,每个租户使用单独的vRouter;对于VPC类租户(Virtual Private Cloud Tenant), 使用 VRF实现在路由层面的租户隔离,每个VPC类租户使用单独的VRF;除非明确配置,数据中心内不允许跨租户的流量访问(即租户间互访流量建议通过广域互通);网络服务隔离,为每个租户提供单独的FW、IPS、LB及NAT等服务。

8.租户业务内网区安全防护。本区域主要承载各租户迁移的业务系统,由于不同租户业务系统需要根据不同的安全级别进行防护,所以在本区域内,需要将对外的业务按租户分为二级业务和三级业务区域,若租户同时拥有二级业务和三级业务,应确保两套业务系统分属不同的VxLAN/VLAN。

9.租户业务外网区安全防护。本业务区主要提供外部的一般访问,包括门户网站和互联网对外服务,由于云内部需要根据不同的安全级别进行防护,所以在本区域内,需要将对外的业务按租户分为二级区域和三级区域,若租户同时拥有二级业务和三级业务,应确保两套业务系统分属不同的Vxlan/Vlan。

10.不同业务区域之间的隔离。租户业务内网区域和外网业务区域之间通过虚拟防火墙或跨域数据交换系统对云计算资源进行安全隔离,内部信息系统不分配公网IP,因此无法从公网访问内部应用。互联网应用分配公网IP,可以从公网发起访问;租户内网业务区域与外联区域通过虚拟防火墙进行隔离。

11.虚拟机的安全迁移。对虚拟资源统一配置和调度,包括云主机的生命周期管理、云主机镜像文件管理。云主机管理组件提供开放接口,便于上层云服务层进行虚拟资源的调用。支持随需自适应的弹性计算,能实现业务突发时云主机自动迁移、扩展和负载均衡,以及业务空闲时资源自动回收;支持云主机之间流量的可视和可控,云主机迁移时保持对应网络策略自动跟随迁移。

结束语

无论是云计算服务提供商、云计算服务用户、还是第三方安全机构或厂商,都应持续关注新兴攻击技术和防护措施的演进趋势,明确来自多方面的安全需求,利用现有的、成熟的安全控制措施,结合云计算的特点和新技术进行综合考虑和设计,以满足风险管理要求、合规性要求,保障和促进我国云计算业务的安全发展和运行。

分享到
关闭