新闻报道

联系我们

  • 联系人:北京炼石网络技术有限公司
  • 电话:010-88459460
  • 地址:北京市海淀区北三环西路32号楼7层0710-1
  • 邮编:100097

您现在的位置: 新闻报道»CGLab技术文章

从工程化实施角度构建私有云安全防护体系

浏览:605   日期: 2015-06-12

从“塔防游戏到私有云安全防护的工程化实施,且听黄晟解读纵深防御在企业私有云的落地实践。


第七届中国云计算大会在上周顺利举行,中油瑞飞公司信息安全高级技术总监黄晟分享了题为《企业私有云安全防护实践与探索》的主题演讲,打响了塔防在企业私有云的第一枪,令现场听众耳目一新、深有共鸣。这篇演讲结合黄晟在企业私有云的安全防护实践,紧贴地气,直击靶心,对塔防做了独到的诠释。特别指出的是,黄晟最早提出的纵深防御之塔防思想,目前已被国内主流安全圈普遍认同。



【转自会刊】黄晟以塔防游戏引入主题,不是简单地从交付视角去讨论云安全防护,而是从工程化角度出发,提出了接地气的私有云安全防护解决方案。黄晟基于他在大型企业私有云安全防护体系建设工作的实践经验,分析了国内外云安全防护体系现状及使用情况,提出企业私有云安全防护在工程化实施方面面临的主要问题。以攻击者视觉分析了云安全威胁典型案例,讨论企业私有云在现阶段所面临的主要安全威胁,针对企业级私有云面临的紧迫风险与威胁,结合企业私有云计算的实现层技术特性与相关组件,提出适应于企业私有云应用现状的安全防护思路,分析伴随企业私有云工程实施阶段可同步落地的基础安全防护体系结构,并展望了企业及私有云安全体系的发展方向。如下是黄晟的演讲稿全文:





【小编笔记】先把听众可能最关心的几个问题抛出来,红色字体突出了作者是网络安全纵深防御和Design for Failure理念的追随者,而对边界防御银弹思维持保留态度。读者也不妨先思考这个问题:你认为私有云安全最重要的奇淫巧计是什么?





【小编笔记】用影响力较广的CSANIST云计算模型切入正题。

目前在云计算安全领域已经形成了若干个安全防护体系参考框架,其中最具代表性的云安全联盟CSA提出的可信云基础设施参考框架、云安全控制矩阵和云安全指南被中国与美国等多个国家用于参考指定云计算安全标准。美国国家标准与技术研究院NIST2011年公布了《NIST云计算参考架构》,该模型也经常被用在云计算安全领域描述云计算防护体系。上述参考架构能够较好地指导高阶安全需求确定与建成后验收测试工作。但在细化安全需求并设计安全方案时,则遇到了较多问题,特别是在将安全需求与多层次的云计算架构体系结合时,会出现需求使用对象不明确货需求理解多义性的情况。



【小编笔记】经历了过去几年的酝酿,IaaS模式的私有云已经瓜熟蒂落,在各大企业纷纷落地。

近几年,国内各大型企业纷纷启动探索云计算在企业及信息化环境中的应用,以安全性与可靠性顾虑为主要影响因素,加上对业务与数据失控等潜在成本的考虑,不少企业选择采用私有云方式建设云计算体系,尤其是一些信息系统规模大,信息化依赖度高的大型企业,大多数倾向采用企业级的私有云体系承载大型核心信息系统。




【小编笔记】从最终用户的交付视角看,IaaS私有云像是多彩的原野。而从建设者的工程化实施视角看,IaaS私有云底下有复杂的立体化结构,作者用印度神话中的宇宙模型比喻这种复杂结构。


企业对私有云要求有更多的掌控,与直接使用公有云不同,特别是在建设实施阶段,私有云企业用户需要从工程实施视角出发,关注规划、设计、建设、实施与推广使用的整个过程,不仅需要考虑如何使用云服务,还必须考虑并落实私有云建设和运维牵涉的所有细节。




【小编笔记】用放大镜看IaaS私有云,工程化细节太多了。


NIST云计算参考架构为例交付服务视觉屏蔽了所有的实施细节,能够清晰展现层次结构;而更关注实施细节的工程化实施角度梳理云计算体系,可以发现云计算平台存在着多层次迭代的依赖关系,而且底层管理平台大量使用通用软件开发,复杂度不低于一套小型信息系统。





【小编笔记】内网+多层边界防护是一个丰满的理想,但现实却是骨感的。因为攻击者有可能绕过网络和主机层的马奇诺防线,直接从Web应用层打进来。


私有云的安全防护压力并不会因为在内网而消失。同时单一边界防护难以保证内网安全,即使是堆砌式纵深防御也难以实现安全网神话



【小编笔记】实事求是的讲,云计算引入了更多的攻击面(Attack Surface)



【小编笔记】知名安全软件OpenSSL网站失陷,缘由是沙虫破土而出


2013年12月,信息安全开源项目OpenSSL的网站被黑客侵入主页,OpenSSL的网站托管在一家虚拟主机服务提供商,与其他客户共享物理服务器,此次攻击并没有直接攻陷OpenSSL的网站虚拟主机服务器,而是通过虚拟主机服务器的不安全口令直接控制了虚拟化管理控制台,并通过虚拟化管理控制台操作篡改了OpenSSL的网站服务器内容。从攻击者角度来看,除了目标服务器自身操作系统与应用系统之外,云计算体系的虚拟化、虚拟化管理与资源调度管理组件提供了更多的攻击面。



【小编笔记】细看云计算并非仙女下凡,仍然是由很的传统软硬件技术构建起来。因此云安全也离不开传统防护手段,不能寄希望于所谓云安全之十大奇淫巧计



【小编笔记】又一个高大上的云被攻陷的例子,攻击者先通过传统手法拿下云中的上帝空间,进而可以对租户空间发起不对称攻击


2012年的Defcon信息安全技术大会上,一位信息安全研究人员做了题为《如何在60秒内入侵VMWare vCenter服务器》的报告,他发现vCenter 4.1 Update 1版本所采用的Jetty应用服务器在一个已知的目录遍历漏洞,通过利用该漏洞能够获得服务器的任意文件。这个例子进一步说明了云计算体系的组件存在诸多攻击面,由于各种技术和管理原因,很多已知漏洞或配置错误可能依然存在于云计算体系的底层组件中,从而成为可能导致整体云计算体系被全面入侵和控制的严重隐患。



【小编笔记】先用传统攻击手段SSRF拿下AWS大脑接口,巧妙的绕过了限速链路的马奇诺防线


2015Blackhat大会上,一位信息安全研究人员通过服务端请求伪造,获取了亚马逊云服务器元数据并控制云服务器管理接口,利用快照转移访问渠道盗取数据,打破了后台运维通过限速链路来保护数据的幻想。



【小编笔记】虚拟机逃逸并非传说,离你我并不遥远。如果虚拟机一旦逃逸,同时云管理平台又没有防护后手,犹如千里之外的攻击者通过虫洞对你触手可及。



【小编笔记】云安全和云业务并非对立关系、而是融合关系。云安全是为了保证云的正常运行,而云安全威胁会去破坏云的正常运行。忽略云安全的云业务会成为沙丘城堡、岌岌可危。






【小编笔记】结合之前几个传统攻击手法拿下的云安全事件,作者认为当下的云安全,面向工程化实施的云安全基础防护特别关键,而又往往容易被忽视。



【小编笔记】为马上要展开的基础防护工作定义一个可行的目标:云平台的安全,期望达到和传统物理机模式同等安全程度。



【小编笔记】远看千岛湖鬼斧神工,但从水下再看千岛湖,真相是群山被水淹没,是不是脑洞大开。云安全框架先从水下入手。



【小编笔记】耐心分析私有云的水下构造,在建设之初就把纵深防御之塔防作为重要指导思想,Build Security In的业务架构师才是好孩子。



【小编笔记】建议读者先打上几局塔防游戏,在排山倒海的攻击中亲身感受所谓防御成功是什么?你的布阵有多么重要?

(答案:哪里都是防不住的,但通过有效的布阵打一场有利于自己的消耗战,在游戏的关卡条件下耗死对手即为防御成功。)



【小编笔记】回到私有云建设,我们也来积极布阵。



【小编笔记】假如虚拟机被攻击者逃逸,防护后手怎么建?



【小编笔记】全面解构IaaS私有云的水下世界,非常之复杂。



【小编笔记】逐项庖丁解牛,网络部分包括云管理网络、虚拟化管理专网、交付服务网络。



【小编笔记】存储部分也非常复杂。



【小编笔记】作者参与的IaaS私有云安全项目案例,整个基础防护体系被分解为9个层面及领域,合计36项防护要点。



【小编笔记】如此多的防护要点和细节,实施团队从何下手?就像宜家的自组装家具手册一样,安全防护施工手册很重要。



【小编笔记】STIG是一个不错的防护要点施工手册。



【小编笔记】根据私有云实际情况,对安全指南进行梳理裁剪非常有必要。


【小编笔记】技术之外,管理也很重要。



【小编笔记】一个实施模板示例,细节决定成败。



【小编笔记】云的自动化运维会带来新的安全问题,需要精心设计这部分的安全防护。



【小编笔记】基于塔防思想的身份认证体系,也是一个重点。



【小编笔记】针对开源/自由软件,要有特别的纵深覆盖手段。



【小编笔记】安全预算不多能玩塔防吗?

(答案:穷人也可以玩塔防





【小编笔记】脚踏实地,一步一步来。



【小编笔记】最后作者分析了云安全的几个前瞻方向。



完整slide链接: http://pan.baidu.com/s/1kTAE1gj 密码: 2392