关于绿盟科技

智慧安全2.0

【平台】你的云安全吗?

时间:2017-01-14 来源: 作者: 打印 字号:T|T

1.   概述

近年来,随着虚拟化技术的不断发展与完善,云计算得到了广泛的认可与接受,许多组织已经或者计划进行云平台建设。因此,一大批云计算服务提供商也涌现了出来,包括知名的Amazon
AWS
Google GCE以及Microsoft Azure;同时,国内也出现了像阿里云、腾讯云、移动云、云杉网络等一批优秀的云服务提供商。

云平台的发展与普及加大了数据泄露和网络攻击的风险。一方面,虚拟化系统本身就存在一定的安全威胁。比如,作为当今全球最大的商业和开源虚拟化系统,VMwareOpenStack曾分别出现了22268个漏洞,其中不乏高危漏洞。如果攻击者通过Hypervisor漏洞从虚拟机逃逸到宿主机,那么攻击者就可能读到宿主机上所有虚拟机的内存,进而控制这台宿主机上的所有虚拟机。

另一方面,在当前广泛为大家所接受的云平台中,它的虚拟化环境很少提供专门的安全防护机制或者部署专门的安全设备来防护租户的资源。因此一旦攻击者对租户的计算、网络或者存储资源进行攻击,无论是租户还是云平台,对此将无能为力。

众所周知,在传统的数据中心中,安全防护通常是通过在安全域入口部署专用的安全设备来实现的,比如防火墙、IDSIPS等。那么在云计算这种新型的计算模式下,传统的“一劳永逸”的防护方案就不那么奏效了。一方面,各租户的业务和流量存在很大的差异,如果单纯的在入口进行安全防护,既难做到租户之间的区分,同时也会在一定程度上加大安全设备的负载,增大网络故障的风险。另一方面,云环境使得网络的边界变得不像物理数据中心那么清晰,很难进行固定安全域的划分,同时东西向流量又占据了很大比重,因此机房内部的流量攻击是传统入口部署方式防护不了的。

2.云环境防护需求

 

从传统数据中心的安全防护来看,通常安全设备所提供的防护能力,包括扫描类(比如系统漏扫、Web漏扫、配置核查等)的安全服务和网关类(比如防火墙、入侵防御、入侵检测等)的安全服务。那么对于云计算等虚拟化环境下业务的安全防护,其防护需求是否发生了新的变化?虚拟化环境的安全防护又和传统数据中心的安全防护有什么区别?

其实,无论是针对传统数据中心的安全防护还是基于云计算的虚拟化安全防护,业务对于安全防护的需求,在本质上并没有发生变化。换句话说,安全防护的手段也没有发生实质性的变化。其不同之处在于虚拟化环境下,业务的流量更复杂,防护的方式更加的多元化、复杂化。

从大多数的云环境业务网络规划部署来看,用户在将其业务部署云化之后,其流量主要包括三个方面:(1)公网访问云平台内部业务的流量,也就是通常所提到的南北向流量;(2)同一个租户不同子网之间的访问流量;(3)租户同一个子网不同虚拟主机之间的访问流量,也就是所说的东西向流量。因此,基于云环境的安全防护,通常也基于这三种不同类型的流量进行应对。


 

1 虚拟化网络流量示意图

 

3.  云环境防护思路

 

上文提到,通常安全防护的服务包括扫描类和网关类两种,那么如何在云环境中有效的应用这两种类型的安全防护,使我们的云更安全呢?

3.1  扫描类防护

扫描类防护服务,其核心的问题在于,安全服务需要与被防护对象网络可达。从这个角度来看,云上业务的扫描类安全防护可以分为两类。一种是拥有外网访问权限的业务;另一种是外网无法访问的业务。

拥有外网访问权限的业务,比如我们的Web服务器、邮件服务器等。对其进行扫描类安全防护通常比较简单,可以直接采用云端的扫描服务,比如绿盟云的极光自助扫描。用户只需按需的申请扫描应用,而无需购买、部署任何类别的扫描设备,就可以实现业务的安全扫描。

 

2 公网业务扫描防护示意图

 

而另一种业务类型,则是不允许外网访问的,仅允许业务集群中的网络进行访问,比如数据库系统、ERP系统等。这种类型业务的扫描类防护,其核心难点也就是如何保证扫描类安全设备如何与业务能够网络互通。通常可以采用两种方式来实现。(1)将虚拟化的安全设备实例与待防护系统部署在同一个虚拟的子网中,提供一个专属的管理网络,供安全运维人员对扫描器进行操作控制;(2)基于云平台内的虚拟网络,利用VLAN/VXLANSDN技术,将部署在云上业务的网络与扫描器的网络实现互通。关于这一点,将在后文中做更为详细的介绍。

 


3 扫描类服务应用示例


3.2网关类服务

对于网关类的安全防护,如何有效的应对上述提到的三种不同层面访问流量的防护,成为了云安全设计的重要参考依据。

对于第(1)种流量类型。这种南北向的流量防护,在安全防护部署时相对简单,通常可以参照传统数据中心的安全防护部署方式,将安全设备部署在数据中心的入口,进行公网与内网之间的访问控制等防护。这里的安全设备既可以是传统的“硬件盒子”,也可以是虚拟化的安全设备虚拟机。

对于第(2)种和第(3)种流量类型,也就是东西向流量,传统的硬件盒子设备很难部署进用户的云平台内部,因此其对于东西向流量的防护显得有些吃力。通常东西向的流量防护有两种思路:一种是把安全设备放进云平台进行防护;另一种则是把云平台内部的业务流量导出来,经过安全设备的清洗后,再回注到云平台。

针对第一种防护思路,可以采用NFV的方式,将传统的安全设备进行虚拟化,把硬件盒子虚拟化为软件的安全设备虚机,将其与用户云平台内的业务统一部署在云平台中,通过云平台的网络规划,实现业务流量东西向的防护;

针对第二种防护思路,可以实现为安全资源池化的方式,将传统的硬件安全设备或者虚拟化的安全设备,组织成安全资源池,将用户云平台内的流量通过一定的技术手段,牵引到安全资源池内,安全资源池完成对其进行的安全防护之后,将流量再回注给云平台。

上述两种思路各有其利弊,很难说哪种方式更好,第一种思路将安全设备部署在了用户业务网络内部,与传统的部署方式很像,实现起来相对简单。但是其存在的问题在于,传统的硬件安全设备盒子无法继续使用,而且安全设备的虚拟化镜像也要对各种各样的云平台进行适配,方案落地难度大,实现代价较大。而第二种思路,则有效的利用了传统的硬件安全设备,并且其部署方式也与云平台进行充分的解耦,降低了方案部署落地的难度。但是它存在的问题是,如何高效的将云平台内的流量进行动态的牵引,并且准确的进行回注。

4.  弹性安全云

从上文的描述可以看出,无论是对于扫描类的安全防护还是网关类的安全防护,都可以采用独立于云平台的安全资源池技术来进行实现。这种池化的安全服务方式,我们将其称作一朵弹性的安全云。

安全云分布式的部署在用户云平台所在的每一个数据中心内部,实现安全防护的就近选择。这种弹性的安全云其好处主要在于:

1   流量处理灵活。用户既可以实现南北向流量的安全防护,又可以实现东西向流量的防护。

2   与云平台解耦。安全设备的形态既可以是传统的硬件盒子,也可以是虚拟化的安全设备实例。设备部署不依赖于云平台,并且可以集成众多厂商设备,共同组成这朵安全云。

3   弹性扩充和收缩。由于安全云内部拥有众多的虚拟化安全设备实例,因此,可以根据用户防护任务的压力大小,动态的实现安全云朵的扩张与收缩。既满足的防护需求,同时又可以做到绿色环保。

4   负载均衡与高可用。弹性的安全云根据各安全设备负载大小,动态的对安全防护任务分布进行负载均衡,保证每一项防护任务的防护性能和防护效果。同时还可以据此实现防护服务的高可用。

5   安全服务编排。由于用户流量的安全防护均在安全云内进行,因此可以针对不同的流量特性,对其进行自动化的服务编排,实现多种安全防护的智能组合,使得防护更加精准与安全。


 


4 弹性安全云示意图

 

那么如何将安全云与用户的业务云进行整合联动,成为了这朵安全云存在价值的关键之所在。近年来,SDN技术快速的发展与成熟,尤其是在云网络的管理和应用上,更是越来越普遍。SDN的这种控制与转发相分离的网络架构,使得云平台内网络流量的管理变得更加的灵活。那么依托SDN这种天然的优势,可以动态的将待防护流量牵引到安全云,安全云对其进行清洗完毕后,会将流量再送回至SDN网络,保证业务的正常运行。

如果云平台的网络没有SDN,那安全云的防护方式是不是就不可用了呢。答案当然是否定的。如果没有SDN,我们可以在云平台部署一个专属的引流代理,根据用户特定的防护需求,通过VLAN等方式将其流量牵引至安全云上进行防护。甚至可以将这个引流代理预先部署在用户云平台上每一个虚拟机内。

5.总结

随着虚拟化技术的日臻完善,云计算已经在各行各业得到了众多的应用,政务云、金融云、电信云等如雨后春笋般不断地涌现。那么如何保证云上业务的安全,成为了当前亟需解决的重要问题。本文从安全防护的角度出发,简要介绍了一些云上业务安全防护的思路,但是终究还是不能完全覆盖。如果您需要深入了解这方面的信息,可以参考《软件定义安全SDN/NFV新型网络的安全揭秘》。

这是我们研究团队历时一年,出版的国内第一本关于软件定义安全的书籍,全书深入剖析了基于SDNNFV这种新型网络所面临的安全问题,以及如何有效的应用SDN/NFV技术来进行解决。同时根据我们的学术积累以及客户反馈,深入的分析了学术界和工业界当前在软件定义安全上所进行的探索与实践。希望通过我们的工作,能够让您更加清晰的知道如何使自己云上的业务变得更加安全。