|
多云環(huán)境下安全面臨的概念性及技術(shù)性挑戰(zhàn)
時(shí)至今日�����,81%的公司企業(yè)與多家云服務(wù)提供商(CSP)合作�����。
采用多云戰(zhàn)略的原因各不相同:可能是想在另一個(gè)云平臺(tái)上創(chuàng)建災(zāi)難恢復(fù)(DR)�,或者按最適宜的云服務(wù)來平衡工作負(fù)載,也可能是公司并購的產(chǎn)物�����。無論多云環(huán)境是如何引入的�, 保護(hù)多云平臺(tái)的安全始終是擺在公司企業(yè)面前的一大挑戰(zhàn)��。
云供應(yīng)商爭先恐后地補(bǔ)齊自己的功能短板�,并努力在產(chǎn)品上出新出彩��,以求吸引并留住客戶�����。他們的安全服務(wù)發(fā)展很快��,能跨不同安全領(lǐng)域提供強(qiáng)大的安全功能��,但安全功能的實(shí)現(xiàn)方式卻多種多樣��。有些服務(wù)可能看起來差不多��,但細(xì)微的差異也能導(dǎo)致安全問題和配置錯(cuò)誤�。
多云部署中安全公司會(huì)面臨哪些挑戰(zhàn)呢?
1. 不同供應(yīng)商引入不同賬戶模式
第一個(gè)挑戰(zhàn)就出現(xiàn)在部署之初:每個(gè)云供應(yīng)商都有自己的一套獨(dú)特的賬戶管理模式�����。安全公司常需將資源匹配給云供應(yīng)商的客戶�。為此,他們必須理解需應(yīng)用的正確權(quán)限模式。使用多個(gè)異構(gòu)CSP的情況下���,此項(xiàng)任務(wù)就頗具挑戰(zhàn)性了��。
AWS模式基于云賬戶�,可以將賬戶分配給某個(gè)公司����,讓用戶來指定的計(jì)費(fèi)和策略繼承。GCP基于項(xiàng)目�。任何GCP資源都必須屬于某個(gè)項(xiàng)目�����。項(xiàng)目放置在目錄中�����,支持多級(jí)目錄�����。
Azure基于訂閱��,一個(gè)賬戶可以包含多個(gè)訂閱�����。Azure資源被分組為資源組,按訂閱管理�����。雖然這些不同的概念相互關(guān)聯(lián)����,但還是存在可以影響到安全的細(xì)微差別。要理解資源層級(jí)�,就需知道該應(yīng)用哪種安全模型。
2. 控制不同平臺(tái)上的安全組
IT工程師積累了數(shù)十年的私有網(wǎng)絡(luò)經(jīng)驗(yàn)��。但雖然實(shí)體域控制器(DC)中他們控制從電纜到應(yīng)用的一切東西�,在云環(huán)境下,卻是亞馬遜�����、微軟和谷歌控制著物理層��,并創(chuàng)建了運(yùn)行在虛擬網(wǎng)絡(luò)上的不同服務(wù)����。云解決方案使用的路由模型不同于DC所用的�����,不同云解決方案使用的模型也各不相同���。DC的網(wǎng)絡(luò)防火墻嵌入到基礎(chǔ)設(shè)施即安全組(SG)里,而SG之間各有不同��。
AWS SG 包含入站和出站流量規(guī)則�,都是些“允許”規(guī)則,作為白名單起到流量放行作用�。用戶可以將多個(gè)SG接入每個(gè)彈性計(jì)算云(EC2)實(shí)例(實(shí)際上是彈性網(wǎng)絡(luò)接口(ENI)),每個(gè)安全組的規(guī)則被有效聚合�����,創(chuàng)建出一整套規(guī)則�����。SG可被應(yīng)用到不同實(shí)體��,包括實(shí)例或負(fù)載平衡器之類的托管服務(wù)����。
Azure網(wǎng)絡(luò)安全組(NSG)和谷歌彈性計(jì)算云(GCP) SG 提供的體驗(yàn)更近似經(jīng)典防火墻,擁有允許和禁止兩張規(guī)則列表����。規(guī)則的順序很重要:高優(yōu)先級(jí)規(guī)則控制著流量是允許還是禁止的決策權(quán)。Azure只允許一臺(tái)虛擬機(jī)有一個(gè)NSG�,而NSG也可應(yīng)用到連接虛擬機(jī)的子網(wǎng)或網(wǎng)絡(luò)接口(NIC)上。GCP安全組基于標(biāo)簽�,允許將規(guī)則附加到虛擬機(jī)之類資產(chǎn)上。創(chuàng)建網(wǎng)絡(luò)時(shí)需得考慮到實(shí)現(xiàn)正確模型的需求��。Azure中規(guī)則優(yōu)先級(jí)設(shè)置錯(cuò)誤���,可能導(dǎo)致流量被誤允許��。AWS中的虛擬機(jī)若被指派了多個(gè)安全組�����,原始SG拒絕掉的流量就有可能被誤允許���。主要與AWS打交道的工程師可以修改拒絕優(yōu)先規(guī)則并阻止對(duì)服務(wù)的訪問(或者,在不應(yīng)該暴露服務(wù)的情況下將其暴露到互聯(lián)網(wǎng)上)���。配置安全需要清醒的頭腦���,總在不同部署中間切換的IT工程師就很容易出錯(cuò)���。
3. 云中虛擬網(wǎng)絡(luò)的行為模式不同
進(jìn)一步深入到網(wǎng)絡(luò)層。AWS虛擬專用云(VPC)子網(wǎng)可以是私有的���,也可以是公共的���;連接互聯(lián)網(wǎng)網(wǎng)關(guān)(IGW)就是公共的。只有公共子網(wǎng)允許自身部署的資源訪問互聯(lián)網(wǎng)��。Azure VNet 沒有私有或公共子網(wǎng)�����;連接VNet的資源默認(rèn)可以訪問互聯(lián)網(wǎng)��。習(xí)慣了AWS的工程師依賴AWS來阻止實(shí)例訪問互聯(lián)網(wǎng)��。但在Azure上創(chuàng)建DR站點(diǎn)時(shí)���,工程師就得顯式阻止互聯(lián)網(wǎng)訪問了����。上下文切換問題可能是有危險(xiǎn)的����。
AWS組網(wǎng)中的另一個(gè)問題與網(wǎng)絡(luò)訪問控制(NACL)有關(guān)。NACL檢測(cè)流量出入子網(wǎng)情況��,運(yùn)行在子網(wǎng)層級(jí)�����,而SG運(yùn)行在虛擬機(jī)層級(jí)(實(shí)際上是彈性網(wǎng)絡(luò)接口層)���。NACL是無狀態(tài)的���,也就是說幾百年入站流量被允許了,其響應(yīng)也未必就自動(dòng)允許——除非子網(wǎng)規(guī)則中顯示允許����。AWS提供的下列圖表闡明了跨不同安全層的流量流。
Azure和GCP不采用NACL的概念���,于是從這些平臺(tái)遷移到AWS的工程師常常搞不清楚為什么SG中明明允許了的流量還會(huì)被封堵了��。
一些建議 以上例子還只是多云解決方案帶給我們的真實(shí)體驗(yàn)與挑戰(zhàn)當(dāng)中的一小部分��。成為一個(gè)云平臺(tái)的專家就需要很多時(shí)間的磨練����,在多云環(huán)境下工作就更困難更容易出錯(cuò)了。為減小風(fēng)險(xiǎn)����,可以遵循以下建議: 自動(dòng)化過程。人工改動(dòng)容易出錯(cuò)����;自動(dòng)化可以減少出錯(cuò)概率。 采購跨云系統(tǒng)�。提供不同云平臺(tái)上的抽象和類似體驗(yàn)的解決方案,可以消除上下文切換的問題��。 采納改動(dòng)審核機(jī)制�。
|
