从云用户小豆的顾虑解读公有云安全策略
2015年,云计算已不再是什么新兴技术。Gartner 于8月份发布的2015年新兴技术炒作周期报告中,云计算类目只剩下孤零零的“混合云”,即在Gartner的视野里,公有云、私有云等云计算形态,都已经步入了“稳定应用期”,尤其是公有云,即使是最为保守的客户,也已经开始考虑将部分业务放置于公有云之上。IDC更是预计2015年全球公有云市场规模将达700亿美元,而中国市场年均复合增长率将高达33.2%……但是,如火如荼的云迁移与云建设,是不是少了点儿什么动手之前就应该注重分析的因素?
Bingo,你答对了!就是少了那项重中之重的安全因素——云安全。
小豆的云安全顾虑
2014,被认为是“泄密年”。据国家互联网应急中心(CNCERT)发布的《2014年我国互联网网络安全态势报告》显示,2014年中国通报的安全漏洞事件达9068起,较2013年增长3倍。这些不断爆出的各类漏洞,不仅给网友财产和人身安全带来巨大威胁,更让中度或重度布设在公有云平台上的企业隐含巨大品牌和运营风险。而步入2015,云安全事件更是接连不断:宕机、断网、泄数据……
这种种,在小豆,一个公有云上创业团队技术负责人的眼里,都是让他心有余悸的。虽然这些安全问题已在IT内部存在多年,但是云,以及那种人们对于数据一旦放到防火墙外将失去控制的恐惧,再次凸显了这些问题。
顾虑起因
大概三四年前,小豆团队为了快速建立业务能力,便把全部业务放置在公有云之上,算是比较早期的重度公有云用户。在创业初期,公有云为小豆团队带来了不少便利,同时也带来了一些困扰。印象最深刻的是某天半夜小豆收到的两封重要通知邮件:
“尊敬的用户,经检测您的主机xxx存在恶意扫描,请您务必在12小时内处理,逾期未处理将关停主机。关停后必须重置全盘恢复初始状态才能解封,请您务必重视。感谢您的配合。”
“尊敬的用户您好: 经查询您的云服务器xxx存在破坏或试图破坏网络安全的行为,怀疑已被肉鸡。为了不影响您的服务, 请参考以下处理方案xxx进行操作, 12小时内未及时处理将导致云服务器关停。”
看到邮件说如果不及时处理就会被重置系统,小豆赶紧爬起来,先备份数据,把业务系统迁移到其他云服务器上,再排查是哪里出了问题。原来,云服务器默认都是使用密码进行登录验证,并且默认开放root用户的登录权限,这种不安全的方式被忙碌的小豆他们忽略了。小豆他们本应像一般用户一样,申请云服务器后,将登录方式修改为密钥验证,并关掉root用户的登录权限。但由于非常忙,未及时修改,竟然致使密码被暴力破解,云服务器被挂了木马,成了肉鸡。
由于担心木马流窜到内网其他系统上去,小豆赶紧叫上同事一起排查手上全部的云服务器,忙到第二天晚上,才算告一段落。事后小豆他们吸取教训,加强了安全建设,花了几周的时间重新规划了业务系统,梳理了一套安全规范,不单硬性规定所有云服务器必须使用密钥认证,关闭root用户登录权限,而且会不定期的更新密钥,重要的系统禁止远程登录到shell,只能登录到特定的菜单执行预定义的几个操作,核心系统更是使用了敲门端口(服务器默认关闭所有端口,只有在按一定顺序和次数访问特定的端口序列的时候,才会打开端口进行key认证,而且端口序列也会定期更新,据说这是密码学里已知最安全的加密方法)。小豆他们开发了一套安全加固脚本,所有新申请的云服务器都要运行这个脚本完成上述的安全设置,还专门开发了一套用做密钥管理和发放、菜单和端口序列生成的小系统。在此之后的很长一段时间,小豆他们的系统再也没出现过类似的安全事件。
小豆说:“如果云平台能预制这样一套系统就好了。虽然没有及时修改认证方式,是我们工作的疏忽,怪不得云平台,但是用公有云不就是图个方便,如果云平台能预制这样一套系统,那用起来多省心。或者云平台在发现云服务器有异常行为的时候,能够将云服务器的网络隔离掉,避免进一步的破坏,也是个可以接受的处理方式。简单粗暴的让用户限期整改,逾期就重置系统,这样真是不太合适。”
寻找云安全解决方案
目前公有云在DDoS防护、防DNS劫持检测、网站安全防护上已经做了很多工作,也做了异地登录告警、异常行为检测、常见配置错误检查等实用小功能,但是云平台的安全,和传统的数据中心有很大的不同,这些功能还远不足以解决云平台的安全问题。
除了常见的外网攻击,云平台因为多个租户共享同一组资源,物理上的可信边界被打破,威胁也可能来自相邻的租户,传统的网络边界防护技术已经难以应对,一旦外网的安全边界被突破(如云盾),整个云平台都可能会被直捣黄龙。所以近几年兴起了所谓的纵深防御技术,意图在多个层面解决云平台的安全问题。今年Google更是启动了BeyondCorp计划,目的是取消内外网之别,不再依赖外围防火墙等安全设备的保护,就是因为一旦外围防护的某一个点被突破,内网就很可能变得和外网一样危险,而现代企业越来越多的采用移动技术和云技术,内外网的边界越来越模糊,所以不如一视同仁,不再区分内外网,而是用一致的安全技术去对待整个网络里的每一台主机。
普元的云安全解决方案
那么云平台的安全问题,该如何解决呢?答案是:安全问题永远是“魔高一尺、道高一丈”,只能改善,无法一劳永逸的彻底解决,但是接入认证方面的改进,应该是解决安全问题时投入产出比较高的一个途径。云平台上的业务系统建设,应该严格控制客户端或浏览器到业务系统的认证关系,并强化业务系统之间的访问认证,所有的客户端或浏览器访问,都应该经过统一的认证服务器、通过证书进行验证,访问权限通过策略引擎统一管理,不同用户在不同的时间和位置、通过不同的设备、访问不同的资源,所拥有的权限应该有所差异,而不是基于传统的静态权限配置,业务系统之间也应该采用类似的安全策略。本质上是信任关系从网络层面下降到设备和系统层面,不再依赖外围的网络防护,总体思路和Google的BeyondCorp计划类似。
多年来,国内领先的软件基础平台与解决方案提供商普元在帮助客户建设私有云的同时,还提供基于公有云的企业应用平台 EOS Cloud,通过EOS Cloud,私有云和公有云可以得到连通,从而形成混合云,而在所有的云计算解决方案之中,都贯彻了普元的云安全理念,为企业应用提供良好的安全基础服务,为云平台上的所有系统提供统一的安全策略,管理好每一个业务系统、每一个云服务器的入口,在最大程度上杜绝安全事故的发生。