近年来,随着虚拟化技术的不断发展与完善,云计算得到了广泛的认可与接受,许多组织已经或者计划进行云平台建设。因此,一大批云计算服务提供商也涌现了出来,包括知名的Amazon AWS、Google GCE以及MicrosoftAzure;同时,国内也出现了像阿里云、腾讯云、移动云、云杉网络等一批优秀的云服务提供商。
概述
云平台的发展与普及加大了数据泄露和网络攻击的风险。一方面,虚拟化系统本身就存在一定的安全威胁。比如,作为当前全球最大的商业和开源虚拟化系统,VMware和OpenStack曾分别出现了222和68个漏洞,其中不乏高危漏洞。如果攻击者通过Hypervisor漏洞从虚拟机逃逸到宿主机,那么攻击者就可能读到宿主机上所有虚拟机的内存,进而控制这台宿主机上的所有虚拟机。
另一方面,在当前广泛为大家所接受的云平台中,它的虚拟化环境很少提供专门的安全防护机制或者部署专门的安全设备来防护租户的资源。因此一旦攻击者对租户的计算、网络或者存储资源进行攻击,无论是租户还是云平台,对此将无能为力。
众所周知,在传统的数据中心中,安全防护通常是通过在安全域入口部署专用的安全设备来实现的,比如防火墙、IDS、IPS等。那么在云计算这种新型的计算模式下,传统的"一劳永逸"的防护方案就不那么奏效了。一方面,各租户的业务和流量存在很大的差异,如果单纯的在入口进行安全防护,既难做到租户之间的区分,同时也会在一定程度上加大安全设备的负载,增大网络故障的风险。另一方面,云环境使得网络的边界变得不像物理数据中心那么清晰,很难进行固定安全域的划分,同时东西向流量又占据了很大比重,因此机房内部的流量攻击是传统入口部署方式防护不了的。
云环境防护需求
从传统数据中心的安全防护来看,通常安全设备所提供的防护能力,包括扫描类(比如系统漏扫、Web漏扫、配置核查等)的安全服务和网关类(比如防火墙、入侵防御、入侵检测等)的安全服务。那么对于云计算等虚拟化环境下业务的安全防护,其防护需求是否发生了新的变化?虚拟化环境的安全防护又和传统数据中心的安全防护有什么区别?
其实,无论是针对传统数据中心的安全防护还是基于云计算的虚拟化安全防护,业务对于安全防护的需求,在本质上并没有发生变化。换句话说,安全防护的手段也没有发生实质性的变化。其不同之处在于虚拟化环境下,业务的流量更复杂,防护的方式更加的多元化、复杂化。
从大多数的云环境业务网络部署规划来看,用户在将其业务部署云化之后,其流量主要包括三个方面:
(1)公网访问云平台内部业务的流量,也就是通常所提到的南北向流量;
(2)同一个租户不同子网之间的访问流量;
(3)租户同一个子网不同虚拟主机之间的访问流量,也就是所说的东西向流量。因此,基于云环境的安全防护,通常也基于这三种不同类型流量进行应对。
图1 虚拟化网络流量示意图
云环境防护思路
上文提到,通常安全防护的服务包括扫描类和网关类两种,那么如何在云环境中有效的应用这两种类型的安全防护,使我们的云更安全呢?
扫描类服务
扫描类防护服务,其核心的问题在于,安全服务需要与被防护对象网络可达。从这个角度来看,云上业务的扫描类安全防护可以分为两类。一种是拥有外网访问权限的业务;另一种是外网无法访问的业务。
拥有外网访问权限的业务,比如我们的Web服务器、邮件服务器等。对其进行扫描类安全防护通常比较简单,可以直接采用云端的扫描服务,比如绿盟云的极光自助扫描。用户只需按需的申请扫描应用,而无需购买、部署任何类别的扫描设备,就可以实现业务的安全扫描。
图2 公网业务扫描防护示意图
而另一种业务类型,则是不允许外网访问的,仅允许业务集群中的网络进行访问,比如数据库系统、ERP系统等。这种类型业务的扫描类防护,其核心难点也就是如何保证扫描类安全设备如何与业务能够网络互通。通常可以采用两种方式来实现。
(1)将虚拟化的安全设备实例与待防护系统部署在同一个虚拟的子网中,提供一个专属的管理网络,供安全运维人员对扫描器进行操作控制;
(2)基于云平台内的虚拟网络,利用VLAN、隧道或SDN技术,将部署在云上业务的网络与扫描器的网络实现互通。关于这一点,将在后文中做更为详细的介绍。
图3 扫描类服务应用示例
网关类服务
对于网关类的安全防护,如何有效的应对上述提到的三种不同层面访问流量的防护,成为了云安全设计的重要参考依据。
对于第(1)种流量类型。这种南北向的流量防护,在安全防护部署时相对简单,通常可以参照传统数据中心的安全防护部署方式,将安全设备部署在数据中心的入口,进行公网与内网之间的访问控制等防护。这里的安全设备既可以是传统的"硬件盒子",也可以是虚拟化的安全设备虚拟机。
对于第(2)种和第(3)种流量类型,也就是东西向流量,传统的硬件盒子设备很难部署进用户的云平台内部,因此其对于东西向流量的防护显得有些吃力。通常东西向的流量防护有两种思路:一种是把安全设备放进云平台进行防护;另一种则是把云平台内部的业务流量导出来,经过安全设备的清洗后,再回注到云平台。
针对第一种防护思路,可以采用NFV的方式,将传统的安全设备进行虚拟化,把硬件盒子虚拟化为软件的安全设备虚机,将其与用
软件定义安全的架构可成为对抗日益频繁安全事件的利器,但在云计算环境中存在诸多落地困难的问题,基于安全资源池的安全云方案可较好地解决软件定义的云安全解决方案在云计算中心部署的问题,并能提供弹性、按需和敏捷的安全服务。
软件定义:下一代的安全防护体系
随着近年来网络欺诈、恶意勒索、高级威胁、拒绝服务等越来越多的安全事件出现在我们的面前,大家纷纷意识到信息安全的本质是人与人的对抗,利益与利益的冲突。中国的黑产市场已达千亿规模,从业人员已超150 万,而国内信息安全市场大约为200 亿人民币左右,单个大型的信息安全公司的人数不过千余人,要覆盖的大客户却达万家。可见与黑产交锋,非协同不能与之对抗,结合各家的威胁情报知识库和专家调查机制,才能及时发现并阻止高级威胁;非软件定义无以实现运营规模化,借助百万规模的客户侧感知器获得无死角的实时安全状态,转换为云端的态势情报,进而利用自动化的安全运营基础设施,实现快速安全策略推送,完成自适应安全中的终极"预测"一环。
自从Gartner 提出了软件定义安全,这个概念已被越来越多的安全从业者所接受。与SDN 类似,将控制逻辑与数据处理分离,提供高效的防护、检测、响应和预警机制。绿盟科技也在一年前开始了软件定义安全SDS 的产品化之路,下图就是去年发布智慧安全2.0时的软件定义安全架构全景图。
图1 绿盟科技软件定义安全体系
在安全控制平台侧,ESPC V7 在设计伊始就贯彻了分布式、自动化等理念,形成安全控制平台的产品,结合BSA,可实现安全控制和数据分析的综合性平台;在安全设备侧,RSAS、NF、WAF、IPS、ADS等产品也提供了一系列RESTful 的应用接口,可执行自动配置、安全策略下发和日志报表上传等功能;在安全应用侧,也开发了如下一代威胁防护平台NTGP、态势感知,以及与云杉合作开发的Web 安全防护等应用。
云安全的银弹?
我们曾提到,产品从应用、控制和数据三个层面共同实现软件定义的安全防护体系,可与实际部署的IT 环境松耦合,以较小的定制成本完成集成。目前绿盟科技完成了图中众多云平台和SDN 网络的对接。
借助SDN 和服务链的先进技术,我们可以实现对任意方向的流量进行按需的防护,如图2中,在入侵防护和Web 安全防护的应用中,通过SDN 控制器的流量调度,可将物理节点内部的虚拟机VM1 的流量经过虚拟的IPS 和虚拟WAF,处理之后再发送到VM2。
图2 使用服务链和SDN 技术可实现对虚拟机的按需防护
一切看起来很美好,是不是这个架构会成为云安全防护的银弹,一举解决云平台内部流量不可见、防护不可控的难题呢?就目前我们的实践中来看,SDS 虽然解决了安全体系中控制与数据平面的解耦,以及安全体系控制平面与云平台的计算、存储控制的解耦合,但是不能解决安全体系中数据平面与云平台数据平面的解耦合,也不能解决安全控制平面与云平台网络控制的解耦合。
之所以说不能解决安全体系中数据平面与云平台数据平面的解耦合,是因为如果利用云平台的应用接口管理安全设备生命周期,就势必要让虚拟化的安全设备适配不同的云平台Hypervisor,如主流的ESXi、KVM 和Xen,以及基于以上并经过各种厂商定制化的Hypervisor,包括驱动适配、应用接口开发、虚拟机各项配置等,其中定制开发的成本是非常昂贵的。
例如,VMWare有使用虚拟交换机的原生模式,也有使用NSX 的SDN 方案,Openstack 就更多了,传统一些的CSP(Cloud Service Provider,云服务商)使用网络虚拟化组件Neutron 的方案,激进一些的CSP 使用DragonFlow、OpenDove 等与Neutron 集成的SDN方案,还有一些厂商自成一体,集成自家的网络虚拟化和SDN 的方案,使得安全厂商要花大量的精力制定和实施相应的适配方案。
这两个问题造成的结果就是,安全厂商往往缺乏一种统一的部署模式,而是需要一家一家地去谈集成方案,做定制需求,经过一定开发周期后进行测试,边际成本非常高。
安全资源池
云计算的本质是将各种计算、存储和网络变成了一个个资源池,并对外提供相应的能力,所以用户并不关心阿里云上的虚拟机到底在哪个物理位置。那么我们同样可以借鉴这样的思想,在云计算中心部署一个标准的专有安全区域,在这个区域内,我们可以创建虚拟的安全设备,也可以利用现有的硬件安全设备,在这些设备的基础之上,构建一个个具有不同能力的安全资源池。
那么我们的安全控制平台,就可以利用这些池化的能力,提供诸如入侵防护、访问控制、Web 防护等安全功能。
图3 各种形态的设备组成安全资源池
当然,安全控制平台要利用好这些资源,自身也应具备很多分布式、弹性的机制,如高可用、失效恢复、负载均衡和可扩展性等。同时安全控制平台可以在安全区域内部,利用SDN 和NFV 技术实现服务链功能,完成多种复合的安全功能。
例如我们可以在数据中心的入口,部署一个由若干物理安全节点组成的安全资源池,处理南北向流量,如图4 所示。流量一到数据中心就进入了资源?p>阅读更多内容
没有评论:
发表评论