根据企业对云计算服务的使用情况,云安全相关的主要场景可分为5大类,这里分别介绍比较有代表性的技术:
- 云计算安全
-
- 租用虚拟硬件资源(IaaS),提供对外业务或内部应用
- 使用云服务(PaaS或SaaS)构建内部应用
- 私有云
- 安全即服务
-
- 集成云服务解决业务和应用中的安全挑战
- 使用云服务替代传统安全设备和方案
云计算安全
- 租用虚拟硬件资源(IaaS)
租用云服务器等虚拟硬件资源是云计算服务的最基本模式,也是企业需要承担最多安全责任的模式。除了确认云上业务应用本身的安全性,企业在规划租用虚拟硬件资源时,应该从三个方面分别考察相关安全技术和产品:虚拟硬件基础设施、应用底层架构和对外业务保障。这里将分别介绍11种主要技术的相关情况:
- 虚拟硬件基础设施
企业选择租用云服务器等虚拟硬件基础设施时,首先需要关注CSP能够提供哪些安全相关功能和如何利用这些安全功能构建可靠的云上硬件环境,为企业的云上业务和数据提供基础性的安全保障。
安全组(Security Group)
技术介绍:安全组定义了一组网络访问规则,可视为虚拟防火墙,是实现云服务器间网络隔离的基本手段。云服务器加入一个安全组后,该安全组的所有网络访问规则都将应用于该云服务器;如果一个云服务器加入了多个安全组,应用于该服务器的网络访问规则将是各安全组的合集;同一安全组内的云服务器之间能够互相通信。
客户收益:在基础网络的设定下,CSP从统一的资源池中为客户提供云服务器,安全组能够帮助客户实现以单个云服务器为基础的网络隔离,并划分安全域。需要特别注意的是,如果使用基础网络设定,不同租户的云安全服务器在默认情况下是网络互通的。
使用建议:安全组应用于所有云服务器。企业在使用云服务器时应仔细规划安全组的设置和信任关系,以确保在满足业务互通需求的同时实现有效隔离。
虚拟私有云(Virtual Private Cloud,VPC)
技术介绍:VPC是指CSP在公有资源池中为客户划分出的私有网络区域。与企业内部的物理网络类似,VPC在提供公网地址(IP)作为访问接口的同时,内部可自定义私有IP地址段,并可继续为VPC内部的云服务器建立安全组。
客户收益:使用VPC时,企业在云上的网络架构与传统的物理网络基本一致,且同一租户的不同VPC之间也不能直接通信。企业也可以将内部或IDC的物理网络与VPC通过专线、VPN或GRE等直接连接以构建混合云业务。
使用建议:VPC能为企业的云上资源提供网络隔离,防止其他租户嗅探或攻击;同时,由于设定的固定网段等限制,也将影响网络架构的弹性扩展。企业需要妥善规划和管理网络,设置路由策略和访问控制规则,并根据业务需求及时作出调整。
微隔离(Microsegmentation)
技术介绍:微隔离技术将网络划分成多个小的功能分区,对各功能区设置细致的访问控制策略,并可以根据需要通过软件随时进行调整。微隔离的实现主要基于网络(VLAN、VPN、SDN/NFV)或平台(如hypervisor、操作系统、容器等)的固有特性,或者通过防火墙等第三方设备以及主机客户端实现。
客户收益:微隔离技术在网络分段和隔离的基础上增加虚拟化和自动化,实现了按应用和功能的业务逻辑对网络访问进行控制。由于网络访问规则与业务逻辑一致,攻击者能获得的攻击面较小,也难以利用系统漏洞进行渗透;同时,即使黑客突破防御边界,由于不同应用的业务逻辑不同,对一个区域的成功渗透也很难用作攻击其他区域或应用的跳板,黑客在内网渗透的难度将明显提高。
使用建议:建议企业了解相关技术和产品的发展,保持关注。如果部署使用,微隔离形成的分区应具有类似的功能,在业务流程上尽可能一致;跨分区的网络通信必须符合策略设置,且被记录;安全事件发生后,可疑分区将被迅速隔离。另外,除了应该仔细规划各分区的组成和跨分区通信规则,还应该注意避免过度分区影响正常业务。
软件定义边界(Software-Defined Perimeter ,SDP)
技术介绍:SDP架构也称“黑云”,使企业对外隐藏内部的网络和应用,并使用策略控制对内部网络的接入和内部应用的访问,主要由SDP控制器和SDP主机组成。SDP控制器分析连接请求以及发起方和接收方的各种信息,基于设定的策略判断是否接受或发起连接;SDP主机控制数据通路,收集连接的相关信息,并根据SDP控制器的判断接受或发起连接。
客户收益:随着各种云服务和移动设备的广泛使用,传统上用于划定安全区的网络边界越来越难以清晰定义;同时,黑客获得传统安全区内设备的控制权也变得容易和常见。通过严格控制对内部网络的接入和应用访问,SDP帮助企业有效隐藏信息并缩小攻击面。
使用建议:随着用户来源和应用部署方式越来越多样,SDP的作用和好处将更为突出,企业的IT和安全人员应保持关注,并在条件允许的情况下开始试验性部署。
云资源管理和监控
技术介绍:云资源监控和管理平台(应用或服务)为企业呈现云服务器的CPU、内存、磁盘和网络等云资源的利用率,以及存储等各项云服务的负载和性能,对异常的消耗和中断等做出告警,并提供相关报表以供进一步分析,有些厂商还能提供优化建议,降低在云资源上的支出。
客户收益:云资源监控和管理平台能够帮助企业监控云资源的使用情况,保障业务运行,并为企业优化云资源配置提供建议,提高云资源利用率并降低成本。
使用建议:根据云上业务的重要程度,企业应尽量对云资源的使用进行专门的监控和管理,以保证业务的平稳运行。
- 应用底层架构
基于安全的云上硬件环境,企业在部署业务应用前,需要设计和搭建应用底层架构。与传统硬件环境相比,在云上搭建应用底层架构更便捷,也更灵活,并能利用新技术进一步提高可靠性和安全性。
不可变基础设施(immutable infrastructure)
技术介绍:不可变基础设施是指采用云计算(或虚拟化)构建系统的基础设施时,部件实例如服务器和容器等在正式上线时被设置为“只读”(read-only);如果需要对这些实例作出改动,只能使用新的实例替换旧的示例。由此,不可变基础设施通常与一次性部件(disposable component)同时存在。
客户收益:不可变基础设施充分利用了云计算的优势,也只能在纯的云计算环境下使用,且要求系统的部署和运行高度自动化。采用不可变基础设施,除了简化系统运营并提高效率,也能显著提高系统的可靠性并在遇到故障时及时回滚;同时,由于不能对线上的系统部件进行任何改动,不可变基础设施也能够更好地抵御黑客的攻击和渗透。
使用建议:不可变基础设施对运维部门有较高的技术要求,推荐有能力的企业进行试验性部署。
容器安全
技术介绍:容器技术能够实现对单个应用的标准封装,从而简化应用的分发和部署。容器安全主要包括两部分:部署系统的安全性包括对镜像文件(image)的扫描及验证和对仓库(repository)的识别和确认等;运行系统的安全性包括应用容器之间的隔离和容器中应用的权限控制。
客户收益:容器安全技术的使用能够提高容器系统的可靠性,也能够强化应用系统的安全,促进企业基于云计算平台构建完整的基础设施。
使用建议:企业在使用容器技术时应给予容器安全足够的重视,及时了解相关技术和产品的发展,并在有条件时部署。
虚拟机备份
技术介绍:虚拟机备份技术直接利用虚拟化平台提供的API对虚拟机(云服务器)镜像进行备份和恢复,而不依赖于主机上安装客户端软件。与传统的客户端备份软件相比,虚拟机备份技术不占用虚机本身的CPU和内存等资源,对虚拟机上运行的业务影响较小。
客户收益:虚拟机备份技术用于保护和恢复重要业务的虚拟机及其中存储的企业数据,使业务系统在异常中断后能迅速恢复运行。与传统的应用、磁盘和数据备份技术相比,虚机备份技术更易于操作和管理,恢复业务应用的效率更高。
使用建议:使用虚拟机备份技术将简化备份和恢复意外中断的业务,推荐企业在有条件时为承担关键业务和数据的虚拟机(云服务器)提供连续备份,制定业务连续性计划,并按要求进行演练。
- 对外服务保障
企业提供对外业务时,将面临各种网络攻击和黑客入侵。除了在应用的设计、开发和部署时严格执行相关的安全策略、标准和规则,企业还应该考虑采用专门的安全技术,加强对应用的保护。
主机防护
技术介绍:主机防护技术用于帮助企业加固云服务器主机系统软件,通常包括漏洞扫描、补丁管理、入侵检测和配置管理等等。通过及时发现并修补系统漏洞、实时检测和阻断可能的入侵、自动检查系统配置、提示存在的问题并给出建议等措施,主机防护技术能显著提高主机的安全性。
客户收益:业务主机被黑客入侵大多是由于未能及时修补已经公开披露的系统漏洞,或在管理上过于松懈而缺少必要防范。主机防护技术可以有效提高运维效率,建立安全基线,并及时对攻击行为作出反应。
使用建议:云主机防护能有效提高云服务器抵御黑客入侵的能力,企业提供对外业务的云服务器应注意采用。除了直接采用各CSP提供的主机防护产品,企业还需要谨慎评估可能存在的问题和威胁,在必要时加强相关防护。另一方面,使用主机防护技术和产品的同时,主机管理员仍然需要密切关注系统的状态和可能受到的入侵,以便及时反应,最大限度地降低损失。
Web应用防火墙(Web Application Firewall,WAF)
技术介绍:云WAF是指以云计算服务方式提供的WAF功能。WAF通常采用反向代理技术,通过检查和过滤HTTP/S流量的内容,保护指定Web应用,帮助网站抵御各种攻击,保证企业的业务和数据安全。除了防御SQL注入和XSS(cross-site scripting,跨站脚本)等常见的Web攻击(OWASP Top 10),有些云WAF还提供网页防篡改等功能。
客户收益:为了入侵企业网站,黑客会不断寻找并利用Web应用中的实现漏洞和设计缺陷。WAF为企业网站提供一道外围防护,可以有效阻止黑客进行信息收集、攻击渗透、破坏业务和偷取数据,并能在事故发生后迅速恢复。与传统的WAF设备(包括虚拟设备)或软件相比,云WAF的部署更简单:企业管理员只需要在线填写网站域名等基本配置,而不用关注网络结构和部署位置等信息,即可迅速为网站提供保护。随着越来越多的企业网站部署到云服务器上,云WAF也获得了广泛的应用。
使用建议:云WAF可以为企业网站提供基本的安全保障,特别是当网站部署在云服务器上时,应该尽量同时购买云WAF服务。另一方面,虽然在厂商提供的默认配置下云WAF能够帮助企业网站抵御常见的网络攻击,企业管理员还是应该根据网站的Web应用和系统业务等情况,认真优化云WAF的相关安全配置。
云抗DDoS(Distributed Denial-of-Service)
技术介绍:云抗DDoS是指以云服务方式提供对DDoS攻击的防护。除了基于特征识别算法拦阻攻击流量,云抗DDoS还普遍采用代换接入IP的方案:所有公网流量先接入厂商的资源池入口IP,经过清洗后再转发至企业网站服务器的真实IP。根据厂商资源池的配置,代换接入IP方案目前已能够抵御Tb/s级的DDoS攻击。
客户收益:DDoS攻击是商业网站面临的一个主要威胁,云抗DDoS服务帮助企业有效地抵御攻击,保持站点稳定和业务正常运行。与传统抗DDoS设备相比,云抗DDoS部署更简单快捷,且可以按需采用,使用成本大大降低;同时,云抗DDoS能够处理的攻击流量也远大于传统抗DDoS设备。
使用建议:如果用户对企业网站提供的业务有较高的可用性要求,或者企业面临较强的竞争,应考虑使用云抗DDoS服务。除了IaaS厂商提供的免费服务,企业购买云抗DDoS服务时需要平衡DDoS攻击可能造成的损失和云抗DDoS的成本。