云计算的安全,是个大事

每隔一段时间,云计算领域就会出现泄露或者安全相关的新闻,似乎只要是云服务商,都有安全相关的问题,于是乎,公有云的安全问题在这个时候总会被拿出来点评一番。

注:上述消息引自云头条公众号

虽说云计算依托大型数据中心、规模化应用和强大的运维体系等优势环节,让云主机的可靠性远超传统小型数据中心。但是云计算并不是世外桃源,原本存在的安全问题在云上依然存在,甚至问题的维度更多了——除了用户主机端的安全问题,支撑云计算底层的服务器硬件、网络和存储等环节,在资源池化的模式下,带来了更多安全上的问题。

在云计算领域中有这样的一个观点:目前的云计算环境,有两个典型的安全问题需要用户重视。

第一个就是开源软件漏洞。和商业软件不同,开放源码的软件是由世界各地的程序员维护开发的,虽然具有开放的平台,但是动辄数十万行的开放源代码在用户端部署应用时容易被第三方利用。相比传统的商业软件,开源系统存在不可控的安全隐患。

第二个是传统的木马、黑客程序。虽然云主机提供了系统安装镜像,但是用户在安装和部署应用环境时,有可能安装带有后门的程序,前一阵爆出的基于某平台开发环境的漏洞就是一个典型的案例。

安全对于用户而言是头等大事,甚至在某种情况下是决定企业生死的命门。传统数据中心虽然也会出现宕机、崩溃、甚至丢失数据的问题,但是相比企业关键业务数据的泄露,运维能搞定的都不算大事。

一、云上安全的思考

单纯的从技术分析——云主机本身是安全的,云存储本身也是安全的,因为它们设计之初就是给用户提供高性能、高可用的计算/存储环境,只要在这两个框架下满足了用户的需求,那么就可以认为它是称职的角色。但是网络做为连接资源池的重要通道,面对的环境却大不一样了。物理网络时代用户可以通过防火墙等设备来防护网络安全问题,可是在大规模的虚拟网络时代,用户数据像洪水般奔腾在虚拟的环境中,传统的网络保护手段难以保护大规模虚拟网络下的安全。

虚拟网络同样有两个关键的安全问题。

第一,云网络环境大都缺乏东西向的安全防护。在大数据、大规模的分布式SDN虚拟环境下,此时依托物理核心交换机的传统方案无法满足安全控制的需要。在分布式SDN网络中,物理网关不在核心交换机上,而是虚拟分散在各个SDN控制器中。此时虚拟主机的东西向流量并不经过核心交换机,传统的IDS/IPS方案就难以发挥作用。

第二,对接容器网络缺乏标准。数据中心的网络边界下沉到虚拟化网络中,传统的安全产品无法探测云内部的网络流量。边界安全产品,旁路安全产品,甚至是插件式的软件安全产品都需要深度改造。

与软件定义网络的安全体系同样也分为两部分,一是云平台自带的,二是NFV方式。

二、品高云平台安全攻略

在品高SDN的体系中,引入了VPC安全域的概念,虚拟网络可以使用VPC实现多租户间的网络隔离,并且多VPC(私有网络)环境下都能提供独立的网络功能,支持各种网络场景的落地需求。

品高云在VPC环境下,为用户提供了多样化的安全功能:

IP与MAC绑定:虚拟机IP与MAC绑定,私自修改则引起网络中断,防止IP盗用、私接设备的等安全隐患;

安全组:针对虚拟机的类似于虚拟防火墙的安全规则集合,可以自定义虚拟机的访问端口,实现虚拟机之间的安全访问控制;

子网ACL:SDN针对子网的安全控制手段,可以自定义出入的允许和拒绝规则及优先级,实现子网级别的安全访问控制;

子网分化:通过子网微分段的手段实现子网内IP之间的APR隔离,避免ARP嗅探引起的ARP攻击、ARP欺骗的行为;

隐藏式虚拟化网关:SDN构建的虚拟化隐藏网关,避免因黑客攻破网关而引起的大范围安全事件;

自定义路由:SDN支持自定义路由,可将流量路由至防火墙接受检测,实现流量过滤;

弹性IP地址池:防止传统NAT一对多方式引起的范围式入侵行为,采用一对一的方式保证NAT转换的安全性;

物理网关对接:SDN对接物理网关,可在物理网关和机房叠加安全防护策略;

VPC隐藏隔离:实现VPC内不同安全组间的网络数据隔离,解决APR欺骗和攻击的行为;

VPC对等连接:实现跨VPC网络内网数据通信的互联服务,避免跨VPC互通需求下需要外网或其他设备接入带来的安全隐患;

三、云平台NFV安全策略

安全是没有上限的,除了品高云自带的安全架构外,品高云采用了目前云计算领域中处理安全问题公认的有效手段—–NFV。支持耦合第三方安全厂商,通过将不同安全的网络能力采取编排的手段,变为云中的一个网元,实现安全功能,如此可以充分发挥不同安全厂商在边界安全、杀毒、网络分析、加密等领域的优势,提供给云主机用户更好的安全使用体验。

品高云NFV策略有以下四个安全优势:

01 | 可扩展的软件定义网络安全体系

软件定义安全通过支持各种标准的网络引流技术,让第三方可以在安全体系上接入自己的网络安全技术,实现网络安全功能与服务的叠加,形成网络安全生态体系。

02 | 东西南北向分离管控机制

东西流量通常是数据流量,南北流量通常是业务流量,用户对它们的管理控制要求是不同的,因此需要区别对待,实现分开监控并使用不同的网络策略进行管理和控制。

03 | 非插件式的全网漏洞扫描技术

通过对网络的扫描,网络管理员能了解容器网络的安全设置和运行的应用服务,及时发现系统及应用的安全漏 洞,能有效避免黑客攻击行为,做到防患于未然。

04 | 网络入侵蔓延回溯和控制技术

通过SDN网络感知回溯技术,可以记录从入侵开始,到入侵被发现的全过程网络行为,跟踪与定位入侵的蔓延范围。通过网络策略阻断蔓延的受控制的容器节点,防止入侵潜伏与二次攻击。

可以使用中这样的比喻来说明云计算的安全目前需要的是什么:“云计算的安全需要大量的“朝阳群众”,群防群治,不能单纯依靠负责安全的“警察”,那样的安全会出现各种意想不到的漏洞。”

目前品高云已经支持对接的边界防护(包括WAF/IDS/IPS/数据库审计等):山石网科、启明星辰、有云、昂楷;网络分析:科来;加密:安全狗;杀毒:360虚拟化安全、趋势。未来还将逐步对接更多的安全厂商的产品,提供给用户更好更安全的云计算环境。

品高云支持的安全厂商产品(朝阳群众)矩阵:

四、总结

品高云SDN的独特架构为用户提供了从硬件到虚拟层的全面安全防护,相比开源环境和纯商业化的云平台,依托品高SDN的云计算平台可以提供用户更好更安全的云计算生态。