2019-《你的云安全吗》

智慧安全 2.0 你的云安全吗创新中心江国龙刘文懋关键词：云安全数据中心高危漏洞摘要：众所周知，在传统的数据中心中，安全防护通常是通过在安全域入口部署专用的安全设备来实现的，比如防火墙、NIDS、NIPS 等。那么在云计算这种新型的计算模式下，传统的“一劳永逸”的防护方案就不那么奏效了。 1. 概述 Hypervisor 漏洞从虚拟机逃逸到宿主机，那么攻击者就可能读到宿近年来，随着虚拟化技术的不断发展与完善，云计算得到了广主机上所有虚拟机的内存，进而控制这台宿主机上的所有虚拟机。泛的认可与接受，许多组织已经或者计划进行云平台建设。因此，一另一方面，在当前广泛为大家所接受的云平台中，它的虚拟化环大批云计算服务提供商也涌现了出来，包括知名的 Amazon AWS、境很少提供专门的安全防护机制或者部署专门的安全设备来防护租 Google GCE 以及 Microsoft Azure ；同时，国内也出现了像阿里云、户的资源。因此一旦攻击者对租户的计算、网络或者存储资源进行腾讯云、移动云、云杉网络等一批优秀的云服务提供商。攻击，无论是租户还是云平台，对此将无能为力。云平台的发展与普及加大了数据泄露和网络攻击的风险。一方众所周知，在传统的数据中心中，安全防护通常是通过在安全面，虚拟化系统本身就存在一定的安全威胁。比如，作为当今全域入口部署专用的安全设备来实现的，比如防火墙、IDS、IPS 等。球最大的商业和开源虚拟化系统，VMware 和 OpenStack 曾分别那么在云计算这种新型的计算模式下，传统的“一劳永逸”的防护方出现了 222 和 68 个漏洞，其中不乏高危漏洞。如果攻击者通过案就不那么奏效了。一方面，各租户的业务和流量存在很大的差异， 62 智慧安全 2.0 如果单纯的在入口进行安全防护，既难做到租户之间的区分，同时也会在一定程度上加大安全设备的负载，增大网络故障的风险。另一方面，云环境使得网络的边界变得不像物理数据中心那么清晰，很难进行固定安全域的划分，同时东西向流量又占据了很大比重，因此机房内部的流量攻击是传统入口部署方式防护不了的。 2. 云环境防护需求从传统数据中心的安全防护来看，通常安全设备所提供的防护能力，包括扫描类（比如系统漏扫、Web 漏扫、配置核查等）的安全服务和网关类（比如防火墙、入侵防御、入侵检测等）的安全服务。那么对于云计算等虚拟化环境下业务的安全防护，其防护需求是否发生了新的变化？虚拟化环境的安全防护又和传统数据中心的安全防图 1 虚拟化网络流量示意图护有什么区别？ 3. 云环境防护思路其实，无论是针对传统数据中心的安全防护还是基于云计算的上文提到，通常安全防护的服务包括扫描类和网关类两种，那虚拟化安全防护，业务对于安全防护的需求，在本质上并没有发生么如何在云环境中有效的应用这两种类型的安全防护，使我们的云变化。换句话说，安全防护的手段也没有发生实质性的变化。其不更安全呢？同之处在于虚拟化环境下，业务的流量更复杂，防护的方式更加的 3.1 扫描类防护多元化、复杂化。扫描类防护服务，其核心的问题在于，安全服务需要与被防护从大多数的云环境业务网络规划部署来看，用户在将其业务部对象网络可达。从这个角度来看，云上业务的扫描类安全防护可以署云化之后，其流量主要包括三个方面：（1）公网访问云平台内部业分为两类。一种是拥有外网访问权限的业务；另一种是外网无法访问务的流量，也就是通常所提到的南北向流量；（2）同一个租户不同的业务。子网之间的访问流量；（3）租户同一个子网不同虚拟主机之间的访问流量，也就是所说的东西向流量。因此，基于云环境的安全防护，拥有外网访问权限的业务，比如我们的 Web 服务器、邮件服务器等。对其进行扫描类安全防护通常比较简单，可以直接采用云端通常也基于这三种不同类型的流量进行应对。 63 智慧安全 2.0 后文中做更为详细的介绍。图 2 公网业务扫描防护示意图的扫描服务，比如绿盟云的极光自助扫描。用户只需按需的申请扫描图 3 扫描类服务应用示例应用，而无需购买、部署任何类别的扫描设备，就可以实现业务的 3.2 网关类服务安全扫描。而另一种业务类型，则是不允许外网访问的，仅允许业务集群中对于网关类的安全防护，如何有效的应对上述提到的三种不同的网络进行访问，比如数据库系统、ERP 系统等。这种类型业务的层面访问流量的防护，成为了云安全设计的重要参考依据。扫描类防护，其核心难点也就是如何保证扫描类安全设备如何与业对于第（1）种流量类型。这种南北向的流量防护，在安全防护务能够网络互通。通常可以采用两种方式来实现。（1）将虚拟化的部署时相对简单，通常可以参照传统数据中心的安全防护部署方式，安全设备实例与待防护系统部署在同一个虚拟的子网中，提供一个将安全设备部署在数据中心的入口，进行公网与内网之间的访问控专属的管理网络，供安全运维人员对扫描器进行操作控制；（2）基制等防护。这里的安全设备既可以是传统的“硬件盒子”，也可以是于云平台内的虚拟网络，利用 VLAN/VXLAN 或 SDN 技术，将部虚拟化的安全设备虚拟机。署在云上业务的网络与扫描器的网络实现互通。关于这一点，将在对于第（2）种和第（3）种流量类型，也就是东西向流量，传统 64 智慧安全 2.0 的硬件盒子设备很难部署进用户的云平台内部，因此其对于东西向关类的安全防护，都可以采用独立于云平台的安全资源池技术来进流量的防护显得有些吃力。通常东西向的流量防护有两种思路：一行实现。这种池化的安全服务方式，我们将其称作一朵弹性的安全云。种是把安全设备放进云平台进行防护；另一种则是把云平台内部的安全云分布式的部署在用户云平台所在的每一个数据中心内部，业务流量导出来，经过安全设备的清洗后，再回注到云平台。实现安全防护的就近选择。这种弹性的安全云其好处主要在于：针对第一种防护思路，可以采用 NFV 的方式，将传统的安全设（1）流量处理灵活。用户既可以实现南北向流量的安全防护，备进行虚拟化，把硬件盒子虚拟化为软件的安全设备虚机，将其与又可以实现东西向流量的防护。用户云平台内的业务统一部署在云平台中，通过云平台的网络规划，实现业务流量东西向的防护；（2）与云平台解耦。安全设备的形态既可以是传统的硬件盒子，也可以是虚拟化的安全设备实例。设备部署不依赖于云平台，并且可针对第二种防护思路，可以实现为安全资源池化的方式，将传以集成众多厂商设备，共同组成这朵安全云。统的硬件安全设备或者虚拟化的安全设备，组织成安全资源池，将（3）弹性扩充和收缩。由于安全云内部拥有众多的虚拟化安全用户云平台内的流量通过一定的技术手段，牵引到安全资源池内，安设备实例，因此，可以根据用户防护任务的压力大小，动态的实现全资源池完成对其进行的安全防护之后，将流量再回注给云平台。安全云朵的扩张与收缩。既满足的防护需求，同时又可以做到绿色上述两种思路各有其利弊，很难说哪种方式更好，第一种思路环保。将安全设备部署在了用户业务网络内部，与传统的部署方式很像，（4）负载均衡与高可用。弹性的安全云根据各安全设备负载大小，实现起来相对简单。但是其存在的问题在于，传统的硬件安全设备动态的对安全防护任务分布进行负载均衡，保证每一项防护任务的盒子无法继续使用，而且安全设备的虚拟化镜像也要对各种各样的防护性能和防护效果。同时还可以据此实现防护服务的高可用。云平台进行适配，方案落地难度大，实现代价较大。而第二种思路，（5）安全服务编排。由于用户流量的安全防护均在安全云内进行，则有效的利用了传统的硬件安全设备，并且其部署方式也与云平台进因此可以针对不同的流量特性，对其进行自动化的服务编排，实现行充分的解耦，降低了方案部署落地的难度。但是它存在的问题是，多种安全防护的智能组合，使得防护更加精准与安全。如何高效的将云平台内的流量进行动态的牵引，并且准确的进行回那么如何将安全云与用户的业务云进行整合联动，成为了这朵注。安全云存在价值的关键之所在。近年来，SDN 技术快速的发展与成 4. 弹性安全云熟，尤其是在云网络的管理和应用上，更是越来越普遍。SDN 的这种控制与转发相分离的网络架构，使得云平台内网络流量的管理变从上文的描述可以看出，无论是对于扫描类的安全防护还是网 65 智慧安全 2.0 可以参考《软件定义安全 SDN/NFV 新型网络的安全揭秘》。这是我们研究团队历时一年，出版的国内第一本关于软件定义安全的书籍，全书深入剖析了基于 SDN 和 NFV 这种新型网络所面临的安全问题，以及如何有效的应用 SDN/NFV 技术来进行解决。同时根据我们的学术积累以及客户反馈，深入的分析了学术界和工业界当前在软件定义安全上所进行的探索与实践。希望通过我们的工作，能够让您更加清晰的知道如何使自己云上的业务变得更加安全。图 4 弹性安全云示意图得更加的灵活。那么依托 SDN 这种天然的优势，可以动态的将待防护流量牵引到安全云，安全云对其进行清洗完毕后，会将流量再送回至 SDN 网络，保证业务的正常运行。如果云平台的网络没有 SDN，那安全云的防护方式是不是就不可用了呢。答案当然是否定的。如果没有 SDN，我们可以在云平台部署一个专属的引流代理，根据用户特定的防护需求，通过 VLAN 等方式将其流量牵引至安全云上进行防护。甚至可以将这个引流代理预先部署在用户云平台上每一个虚拟机内。 5. 总结随着虚拟化技术的日臻完善，云计算已经在各行各业得到了众多的应用，政务云、金融云、电信云等如雨后春笋般不断地涌现。那么如何保证云上业务的安全，成为了当前亟需解决的重要问题。本文从安全防护的角度出发，简要介绍了一些云上业务安全防护的思路，但是终究还是不能完全覆盖。如果您需要深入了解这方面的信息， 66