從云用戶小豆的顧慮解讀公有云安全策略
2015年,云計算已不再是什么新興技術。Gartner 于8月份發布的2015年新興技術炒作周期報告中,云計算類目只剩下孤零零的“混合云”,即在Gartner的視野里,公有云、私有云等云計算形態,都已經步入了“穩定應用期”,尤其是公有云,即使是最為保守的客戶,也已經開始考慮將部分業務放置于公有云之上。IDC更是預計2015年全球公有云市場規模將達700億美元,而中國市場年均復合增長率將高達33.2%……但是,如火如荼的云遷移與云建設,是不是少了點兒什么動手之前就應該注重分析的因素?
Bingo,你答對了!就是少了那項重中之重的安全因素——云安全。
小豆的云安全顧慮
2014,被認為是“泄密年”。據國家互聯網應急中心(CNCERT)發布的《2014年我國互聯網網絡安全態勢報告》顯示,2014年中國通報的安全漏洞事件達9068起,較2013年增長3倍。這些不斷爆出的各類漏洞,不僅給網友財產和人身安全帶來巨大威脅,更讓中度或重度布設在公有云平臺上的企業隱含巨大品牌和運營風險。而步入2015,云安全事件更是接連不斷:宕機、斷網、泄數據……
這種種,在小豆,一個公有云上創業團隊技術負責人的眼里,都是讓他心有余悸的。雖然這些安全問題已在IT內部存在多年,但是云,以及那種人們對于數據一旦放到防火墻外將失去控制的恐懼,再次凸顯了這些問題。
顧慮起因
大概三四年前,小豆團隊為了快速建立業務能力,便把全部業務放置在公有云之上,算是比較早期的重度公有云用戶。在創業初期,公有云為小豆團隊帶來了不少便利,同時也帶來了一些困擾。印象最深刻的是某天半夜小豆收到的兩封重要通知郵件:
“尊敬的用戶,經檢測您的主機xxx存在惡意掃描,請您務必在12小時內處理,逾期未處理將關停主機。關停后必須重置全盤恢復初始狀態才能解封,請您務必重視。感謝您的配合。”
“尊敬的用戶您好: 經查詢您的云服務器xxx存在破壞或試圖破壞網絡安全的行為,懷疑已被肉雞。為了不影響您的服務, 請參考以下處理方案xxx進行操作, 12小時內未及時處理將導致云服務器關停。”
看到郵件說如果不及時處理就會被重置系統,小豆趕緊爬起來,先備份數據,把業務系統遷移到其他云服務器上,再排查是哪里出了問題。原來,云服務器默認都是使用密碼進行登錄驗證,并且默認開放root用戶的登錄權限,這種不安全的方式被忙碌的小豆他們忽略了。小豆他們本應像一般用戶一樣,申請云服務器后,將登錄方式修改為密鑰驗證,并關掉root用戶的登錄權限。但由于非常忙,未及時修改,竟然致使密碼被暴力破解,云服務器被掛了木馬,成了肉雞。
由于擔心木馬流竄到內網其他系統上去,小豆趕緊叫上同事一起排查手上全部的云服務器,忙到第二天晚上,才算告一段落。事后小豆他們吸取教訓,加強了安全建設,花了幾周的時間重新規劃了業務系統,梳理了一套安全規范,不單硬性規定所有云服務器必須使用密鑰認證,關閉root用戶登錄權限,而且會不定期的更新密鑰,重要的系統禁止遠程登錄到shell,只能登錄到特定的菜單執行預定義的幾個操作,核心系統更是使用了敲門端口(服務器默認關閉所有端口,只有在按一定順序和次數訪問特定的端口序列的時候,才會打開端口進行key認證,而且端口序列也會定期更新,據說這是密碼學里已知最安全的加密方法)。小豆他們開發了一套安全加固腳本,所有新申請的云服務器都要運行這個腳本完成上述的安全設置,還專門開發了一套用做密鑰管理和發放、菜單和端口序列生成的小系統。在此之后的很長一段時間,小豆他們的系統再也沒出現過類似的安全事件。
小豆說:“如果云平臺能預制這樣一套系統就好了。雖然沒有及時修改認證方式,是我們工作的疏忽,怪不得云平臺,但是用公有云不就是圖個方便,如果云平臺能預制這樣一套系統,那用起來多省心。或者云平臺在發現云服務器有異常行為的時候,能夠將云服務器的網絡隔離掉,避免進一步的破壞,也是個可以接受的處理方式。簡單粗暴的讓用戶限期整改,逾期就重置系統,這樣真是不太合適。”
尋找云安全解決方案
目前公有云在DDoS防護、防DNS劫持檢測、網站安全防護上已經做了很多工作,也做了異地登錄告警、異常行為檢測、常見配置錯誤檢查等實用小功能,但是云平臺的安全,和傳統的數據中心有很大的不同,這些功能還遠不足以解決云平臺的安全問題。
除了常見的外網攻擊,云平臺因為多個租戶共享同一組資源,物理上的可信邊界被打破,威脅也可能來自相鄰的租戶,傳統的網絡邊界防護技術已經難以應對,一旦外網的安全邊界被突破(如云盾),整個云平臺都可能會被直搗黃龍。所以近幾年興起了所謂的縱深防御技術,意圖在多個層面解決云平臺的安全問題。今年Google更是啟動了BeyondCorp計劃,目的是取消內外網之別,不再依賴外圍防火墻等安全設備的保護,就是因為一旦外圍防護的某一個點被突破,內網就很可能變得和外網一樣危險,而現代企業越來越多的采用移動技術和云技術,內外網的邊界越來越模糊,所以不如一視同仁,不再區分內外網,而是用一致的安全技術去對待整個網絡里的每一臺主機。
普元的云安全解決方案
那么云平臺的安全問題,該如何解決呢?答案是:安全問題永遠是“魔高一尺、道高一丈”,只能改善,無法一勞永逸的徹底解決,但是接入認證方面的改進,應該是解決安全問題時投入產出比較高的一個途徑。云平臺上的業務系統建設,應該嚴格控制客戶端或瀏覽器到業務系統的認證關系,并強化業務系統之間的訪問認證,所有的客戶端或瀏覽器訪問,都應該經過統一的認證服務器、通過證書進行驗證,訪問權限通過策略引擎統一管理,不同用戶在不同的時間和位置、通過不同的設備、訪問不同的資源,所擁有的權限應該有所差異,而不是基于傳統的靜態權限配置,業務系統之間也應該采用類似的安全策略。本質上是信任關系從網絡層面下降到設備和系統層面,不再依賴外圍的網絡防護,總體思路和Google的BeyondCorp計劃類似。
多年來,國內領先的軟件基礎平臺與解決方案提供商普元在幫助客戶建設私有云的同時,還提供基于公有云的企業應用平臺 EOS Cloud,通過EOS Cloud,私有云和公有云可以得到連通,從而形成混合云,而在所有的云計算解決方案之中,都貫徹了普元的云安全理念,為企業應用提供良好的安全基礎服務,為云平臺上的所有系統提供統一的安全策略,管理好每一個業務系統、每一個云服務器的入口,在最大程度上杜絕安全事故的發生。
近期,普元還推出了《建立安全可靠、高效智能的云數據中心》這一云計算白皮書,通過多年公有云、私有云、混合云成功實施經驗,跨越災備云、社區云、電商云等多領域,對企業如何建立安全可靠、高效智能的云數據中心給出建議。經過一系列實踐與總結,圍繞業務、流程、技術相輔相成的建設思路,普元總結出“五級規劃和八大流程”兩個維度來幫助企業推進云數據中心建設,形成最終安全可靠的云數據中心邏輯架構。
另據了解,在云安全層面,OASIS(結構化信息標準促進組織)還專門成立了云身份技術委員會(IDCloud TC)以解決由云計算身份管理帶來的安全挑戰,這里的“身份”,不僅僅是“人”的身份,也應該是“設備”和“系統”的身份。普元多位云技術專家擔任該委員會核心成員。
