構建安全雲計算平台
經過近10年的發展,雲計算技術已經深入應用到各個領域,包括軍隊、政府、企業、遊戲、醫療、金融等行業。應用雲計算技術可以有效解決傳統IT技術面臨的投資成本過高、運維工作量大、辦公不靈活、數據安全無法保障等問題。
但是,雲計算的普遍應用也帶來了很多的安全問題,主要包括:
1. 安全責任邊界界定不清
傳統環境中網路邊界十分明確,安全責任的界定可以通過運維合同中的條款進行規定,一般遵循誰主管誰負責、誰運行誰負責的原則,信息安全責任相對清楚。但在雲計算環境下,不同的服務和部署模式增加了雲租戶和雲平台交互的複雜性,同時增加了雲上信息系統與雲計算平台的安全責任界定難度。隨著雲計算技術和應用的不斷發展,伴隨著業務需要,客戶需要定製化的、完全可控的安全服務,實時了解掌握自身業務系統運行的安全狀態,並根據自身需要和安全風險調整安全策略。同時,安全責任方面的要求也在網路安全等級保護等相關國家標準中明確提出。
2. 數據缺乏安全有效的監管措施
雲計算環境下,雲租戶業務系統、運營數據等都存放於雲端,用戶對業務系統和運營數據失去了直接的物理控制。如何保證雲租戶業務和數據的安全可靠?如何發現對業務和數據的非法訪問或惡意破壞?如何對雲服務商運維人員非授權訪問用戶數據的行為進行監督和震懾?都是當前雲平台租戶非常重視的問題。
3. 虛擬化帶來的安全難題
對於傳統的數據中心,通過電纜、光纜可以將安全設備直接接入到物理網路中對信息系統形成安全防護。雲計算平台通過引入虛擬化技術形成網路、計算和存儲資源池,有效提高了資源利用率。但網路的虛擬化導致傳統的安全設備被旁路,網路流量可以不經過物理鏈路在虛擬機之間直接傳遞,安全設備完全失去了作用。
面對這些用戶非常關心的雲平台安全問題,我們從實踐出發,形成了針對性的安全設計思路:
1.一平台兩門戶的運維架構
一平台兩門戶即在統一的平台上分別設計相互獨立的(雲服務商)運維門戶和租戶門戶(如下圖所示)。雲服務商通過運維門戶管理雲平台安全資源,從網路、主機、應用、數據等方面全面管理雲平台安全;雲租戶通過租戶門戶將資源池安全能力包裝成租戶所需的安全服務提供給租戶使用。最終使雲租戶和雲服務商對責任邊界形成清晰的定義和物理的劃分。
2.數據資源保護
數據資源防護的基本設計思路是構建入侵防護、資料庫審計和數據防竊密三位一體的安全防護架構。
★數據入侵防護
數據入侵防護主要通過部署資料庫安全網關來實現。資料庫安全網關邏輯上串聯部署在資料庫之前,通過多層次、多手段的安全防護、形成對SQL注入、資料庫漏洞攻擊、拖庫等黑客行為和內部違規使用數據資源的行為的檢測和阻斷。
★資料庫審計
資料庫審計系統邏輯上旁路部署在資料庫核心網路節點上,對所有資料庫操作進行完整審計,記錄包括每個操作的用戶、時間、操作命令、操作對象等,為安全事件的追溯、回放提供依據。
★數據防竊密
數據防竊密主要加密演算法來實現,主要包括存儲加解密和傳輸加解密。存儲加解密對關係型資料庫的核心數據進行透明加密,防止核心數據竊密;同時實現存儲空間的數據自動加密,為用戶的重要數據提供多租戶安全隔離。傳輸加解密採用數據交換平台的加解密演算法,對各用戶之間數據傳輸、交換提供加密防護。
3.安全能力資源池化
安全能力資源池化的核心思想是將安全設備虛擬化,並以資源池方式供安全管理平台按需調用,形成與雲平台資源池的全面融合。通過安全資源池還可以實現雲平台內部東西向流量的安全防護,通過引流、分流的方式,將虛擬機的流量接入安全節點,進行處置後在被發送到目的地。
一個典型的部署了安全機制的雲計算平台案例
如下圖所示:
案例背景:
某軍工單位基於OpenStack、KVM自建雲平台,計劃為內部客戶提供雲計算服務。當前,用戶已搭好網路、存儲、計算資源池,目前需要一定的虛擬化安全服務能力,來完善自己的雲服務供應商的服務能力。
解決方案:
綠盟科技圍繞安全防護需求,向客戶提供了系列化的虛擬化安全設備。用戶通過雲安全集中管理系統,對虛擬化安全設備進行集中授權管控,實現對租戶的虛擬化設備進行證書發放、收回,實現雲服務供應商的角色。主要包括:
★虛擬化防火牆:
實現東西向、南北向流量的全面防護以及細緻的訪問控制,幫助用戶實現L2-L7的全面安全防護服務。
★虛擬化入侵檢測系統:
實現虛擬化環境下的入侵檢測與防護,應用管理,流量管理以及抗拒絕服務等功能。可發現深層攻擊、進行數據泄露檢測、具備高準確度告警,能夠適應各種複雜環境。
★虛擬化漏洞掃描系統:
幫助用戶對自身資產進行全面的信息系統脆弱性核查,快速定位安全風險,結合安全管理制度,及時對檢查出的風險進行修復,使用戶自身安全水平達到一定的高度。
★虛擬化Web應用防火牆系統:
為用戶緩解OWASP Top10風險。對於 應用層DDoS、網站敏感信息泄露、Web Service安全均有成熟的防護能力。
方案亮點:
通過安全設備虛擬化,可以方便地實現安全能力資源池化,並與採用虛擬化技術的雲計算平台有效融合。雲服務商通過平台運維門戶,實現對安全資源池的調度和管理,同時按需為租戶提供服務化的安全資源。租戶通過平台租戶門戶實現對訂購安全服務的直接配置和管理,形成滿足自身需求的安全能力。最終,無論是雲服務商和雲租戶都建立起既相互獨立又充分協作的安全防禦機制,為雲平台和雲上應用提供有效的網路安全防護。
當前,雲計算技術也在快速發展和演進,雲計算平台的體系結構也在不斷變化,綠盟科技也在持續跟蹤、研究新的技術應用情況及存在的問題,並結合雲平台體系結構的實際情況,對安全保障體系不斷地改進和完善,將新的安全產品提供給我們的用戶。
NSFOCUS 巨人背後的安全專家
綠盟科技行業BG第一業務本部
