一.雲基礎設施概述
在雲計算中,基礎設施有兩個大層面
匯聚在一起用來構建雲的基礎資源,這層用於構建雲資源池的原始的、物理的和邏輯的計算(處理器,內存等),網絡和存儲資源
由雲用戶管理的虛擬/抽象的基礎設施,例如各個雲平臺中的服務器基礎設施等,這層是從資源池中使用的計算、網絡和存儲資產,例如,由雲用戶定義和管理的虛擬網絡的安全性
二.保護虛擬網絡
2.1 雲網絡虛擬化
每一個雲廠商利用某種形式的虛擬網絡來抽象物理網絡並創建網絡資源池,阿里雲具有相關專業網絡VPC的,如果作為雲提供商或者私有云管理者,出於操作和安全的原因,將雲的網絡進行物理隔離是非常重要的。
2.2 雲計算中常見的網絡虛擬化
VLAN (虛擬局域網) 利用現有的網絡技術在大多數網絡硬件實現,但其本身並不適用大規模虛擬化或者安全性,不應該作為一個網絡隔離的有效的安全控制手段來考慮
SDN (軟件定義網絡)在頂部的一個更完整的網絡硬件抽象層,SDN將網絡控制平面從數據平面解耦,使得用戶擺脫傳統局域網的侷限性,對網絡進行抽象
SDN特點: 1.提供有效的安全隔離邊界 2.提供軟件定義的任意IP範圍 3.更好的擴展現有的網絡 4.SDN的安全優勢 5.隔離更容易,不受物理硬件的限制,構建出儘可能多的隔離網絡 6.SDN防火牆(安全組)可用於比基本硬件的防火牆更靈活標準的資產,不受物理拓撲限制 7.與雲平臺的編排層相結合,使用傳統的硬件或基於主機的方法,可以使用較 少的管理開銷實現非常動態和粒度化的組合和策略 8. 默認拒絕通常是起點
2.3 微分段和軟件定義的邊界
微分段 微分段利用虛擬網絡拓撲來運行更多、更小, 更加孤立的網絡,而不用增加額外的硬件成本 利用此功能,如果攻擊者破壞單個系統,這將大 大降低爆炸半徑。攻擊者不能再利用此立足點擴展整個數 據中心
軟件定義的邊界雲安全聯盟軟件定義邊界工作組開發了 一種模型和規範,它結合了設備和用戶身份驗證,動態地提供對資源的網絡訪問和增強安全性
SDP三個組件
1.連接資產的 SDP 客戶機
2.SDP 控制器,用於驗證和授權 SDP 客戶機並配置與 SDP 網關的連接
3.SDP 網關,終止 SDP 客戶機網絡流量,在與 SDP 控制器通信時強制執行策略。
2.4 監控和過濾
如果兩個虛擬機位於相同的物理機器上,則沒有理由將機箱內的網絡流量路由到網絡之上,他們可以直接通訊,並且在網絡上(或附加在路由器/交換機硬件)的監控和過濾 工具永遠看不到流量。
解決辦法: (1)可以將流量路由到同一硬件(包含網絡安全產品的虛擬機版本)上 的虛擬網絡監控或過濾工具。 (2)將流量橋接道網絡,或路由到相同虛擬網絡的 網絡設施上
雲平臺/提供商可能不支持直接訪問網絡監控。由於複雜性和成本,公有云提供商 很少允許客戶進行全面數據包網絡監控
2.5 提供者 & 消費者的責任
雲提供商責任
雲提供商要負責建立安全的網絡基礎設施並正確配置。隔離和獨立網絡流量, 以防止租戶訪問其他用戶的流量,這是絕對最高優先級的安全性。這是任何多租戶網 絡最基礎的安全控制。
雲用戶責任
雲消費者主要負責合理配置虛擬網絡的部署,尤其是虛擬防火牆。雲消費者負責管理器暴露控制正確權限管理及配置。當虛擬防火牆和/ 或監控不滿足安全需求時,雲消費者可能需要用虛擬安全設備或主機安全代理進行補償
2.6雲提供商或私有云的其他注意事項
雲提供商
供應商必須維護物理/傳統網絡的核心安全性,平臺在其之上構建。保持多租戶環境的分區和隔離是絕對必要的。供應商必須向雲用戶暴露安全控制措施,以便他們能夠正確配置和管理其網絡 安全性。負責實現保護環境的邊界安全,但最大限度地減少對客戶負 載的影響確保當實例被釋放回到虛擬機管理程序時,任何潛在的敏感信息是被擦除了,以確保當磁盤空間被重新分配後信息不能夠被另一個客戶讀取
三. 雲計算與負載安全
負載概念
負載作為一個處理單元,可以在虛擬機、容器或者其他的抽象中。負載始終運行 在處理器上並佔用內存。 對於雲提供商來說,維持每一個運行在硬件棧上的雲負載及其硬件的完整性都是非常關鍵的
3.1 計算抽象類型
計算抽象類型,每一個都有不同程度的隔離性
虛擬機虛擬機是最廣為人知的計算抽象形式,所有的 IaaS 提供商都可以提供。威脅挑戰:虛擬機有遭到內存攻擊的可能性,但由於軟硬件的不斷改進使得隔離逐步加強, 現在變得越來越難。在現在的 hypervisor 上運行的虛擬機通常受到了有效的安全 控制,並且針對虛擬機和安全運行環境的硬件隔離不斷增強也將會不斷提升這些 控制能力。
容器容器是運行在操作系統上的代碼執行環境(目前),共享並充分利用操作 系統的資源。威脅挑戰:容器提供了 一個受限的代碼運行環境,只允許代碼訪問容器的配置定義的進程和功能。由於 容器的平臺依賴性,其隔離功能不會與平臺產生差異。容器也隨著不同的管理系 統、底層操作系統和容器技術而快速發展。
基於平臺的負載 基於平臺的負載是一個更加複雜的類別,其運行在除虛擬機和容器之外的共享的平臺上,如運行在共享數據 庫平臺上的邏輯/過程。威脅挑戰:平臺提供商需要對其隔離性和安全性負全部責任,儘管提供商可能 公開某些安全選項和控件。
無服務器計算 無服務器是一個廣泛的類別,主要是指雲用戶不需要管理任何底 層硬件或虛擬機的場景,只需要訪問公開的功能。威脅挑戰:從安全角度上看,無服務器只不過是一個包含容器和基於平臺 負載的組合項,由雲提供商管理所有的底層,包括基礎的安全功能和控制項。
3.2 雲對負載安全的改變
所有的處理器和內存幾乎都始終要運行多個負載,負載經常來自不同的租戶。多 個租戶很可能共享同一個物理計算節點,不同的物理棧上會有一系列的隔離能力。維持負載的隔離應該是雲提供商的首要的責任之一。 儘管有的平臺支持指定負載運行在特定的硬件池或通用位置來提供可用性、合規性和其他需求,但是不管使用哪種部署模型,雲用戶都很少能夠控制負載的物理的運 行位置。
3.3 負載安全監控和日誌的變化
安全日誌/監控在雲計算中更加複雜
日誌中的IP地址並並一定反應一個特定的工作流,因為多個虛擬機可能在一段時間內共享相同的IP地址,而一切負載,如容器和無服務器負載可能根本沒有可識別的IP地址
雲具有更快的變化速度,日誌也需要在外部更快地被卸載和收集。
日誌的機構需要考慮雲存儲和網絡消耗
四. 管理平面安全
管理平臺安全
管理平面是傳統基礎架構和雲計算之間唯一最重大的安全差異
管理平面控制和配置元結構,也是元結構本身的一部分,相當於管理平臺及配置API,也都是API應用程序的一部分雲管理平面負責管理資源池中的資產,雲消費者負責配置他們的資產和部署到雲端的資產
訪問管理平面
管理平臺通常是通過 API 和 Web 控制檯來實現。應用程序接口允許對雲的可編 程式管理。它們是將雲 的組件保持在一起並實現其編排的粘合劑。
保障管理平面的安全(安全建議)
確保 API 網關和 Web 控制檯具有足夠的外圍安全性 使用強認證和多因素認證
嚴格控制主賬戶持有人/root 賬戶憑證並考慮雙重授權訪問
與您的提供者建立多個賬戶將有助於賬戶粒度和限制危害範圍(使用 IaaS 和 PaaS)
使用獨立的超管和日常管理員賬戶,而不是 root/主賬戶持有人的憑據。
堅持使用最小特權賬戶訪問元結構
可能的情況下強制使用多因素身份驗證
五.業務連續性和容災
責任模型
像安全和合規一樣,業務連續性和災難恢復(BC/DR)是雙方共擔的責任。雲提 供方應管理其職責內的方面,雲客戶也應承擔雲服務如何使用和管理的最終責任。
混沌工程
混沌工程通常用於幫助構建彈性雲部署,因為所有的雲都是基於API的,所以混沌工程使用工具來選擇性的降低雲的某一部分,以持續測試業務連續性
