注:上述消息引自云頭條公眾號(hào)
雖說云計(jì)算依托大型數(shù)據(jù)中心���、規(guī)模化應(yīng)用和強(qiáng)大的運(yùn)維體系等優(yōu)勢環(huán)節(jié)����,讓云主機(jī)的可靠性遠(yuǎn)超傳統(tǒng)小型數(shù)據(jù)中心。但是云計(jì)算并不是世外桃源�,原本存在的安全問題在云上依然存在����,甚至問題的維度更多了——除了用戶主機(jī)端的安全問題��,支撐云計(jì)算底層的服務(wù)器硬件、網(wǎng)絡(luò)和存儲(chǔ)等環(huán)節(jié)����,在資源池化的模式下,帶來了更多安全上的問題�。
在云計(jì)算領(lǐng)域中有這樣的一個(gè)觀點(diǎn):目前的云計(jì)算環(huán)境��,有兩個(gè)典型的安全問題需要用戶重視。
第一個(gè)就是開源軟件漏洞���。和商業(yè)軟件不同����,開放源碼的軟件是由世界各地的程序員維護(hù)開發(fā)的���,雖然具有開放的平臺(tái)���,但是動(dòng)輒數(shù)十萬行的開放源代碼在用戶端部署應(yīng)用時(shí)容易被第三方利用���。相比傳統(tǒng)的商業(yè)軟件����,開源系統(tǒng)存在不可控的安全隱患。
第二個(gè)是傳統(tǒng)的木馬��、黑客程序���。雖然云主機(jī)提供了系統(tǒng)安裝鏡像,但是用戶在安裝和部署應(yīng)用環(huán)境時(shí)����,有可能安裝帶有后門的程序,前一陣爆出的基于某平臺(tái)開發(fā)環(huán)境的漏洞就是一個(gè)典型的案例。
安全對(duì)于用戶而言是頭等大事��,甚至在某種情況下是決定企業(yè)生死的命門�����。傳統(tǒng)數(shù)據(jù)中心雖然也會(huì)出現(xiàn)宕機(jī)����、崩潰、甚至丟失數(shù)據(jù)的問題�����,但是相比企業(yè)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄露,運(yùn)維能搞定的都不算大事��。
一����、云上安全的思考
單純的從技術(shù)分析——云主機(jī)本身是安全的,云存儲(chǔ)本身也是安全的��,因?yàn)樗鼈冊O(shè)計(jì)之初就是給用戶提供高性能��、高可用的計(jì)算/存儲(chǔ)環(huán)境��,只要在這兩個(gè)框架下滿足了用戶的需求�����,那么就可以認(rèn)為它是稱職的角色�。但是網(wǎng)絡(luò)做為連接資源池的重要通道��,面對(duì)的環(huán)境卻大不一樣了�。物理網(wǎng)絡(luò)時(shí)代用戶可以通過防火墻等設(shè)備來防護(hù)網(wǎng)絡(luò)安全問題�,可是在大規(guī)模的虛擬網(wǎng)絡(luò)時(shí)代���,用戶數(shù)據(jù)像洪水般奔騰在虛擬的環(huán)境中���,傳統(tǒng)的網(wǎng)絡(luò)保護(hù)手段難以保護(hù)大規(guī)模虛擬網(wǎng)絡(luò)下的安全����。
虛擬網(wǎng)絡(luò)同樣有兩個(gè)關(guān)鍵的安全問題。
第一�,云網(wǎng)絡(luò)環(huán)境大都缺乏東西向的安全防護(hù)。在大數(shù)據(jù)�����、大規(guī)模的分布式SDN虛擬環(huán)境下�����,此時(shí)依托物理核心交換機(jī)的傳統(tǒng)方案無法滿足安全控制的需要。在分布式SDN網(wǎng)絡(luò)中��,物理網(wǎng)關(guān)不在核心交換機(jī)上���,而是虛擬分散在各個(gè)SDN控制器中。此時(shí)虛擬主機(jī)的東西向流量并不經(jīng)過核心交換機(jī)�,傳統(tǒng)的IDS/IPS方案就難以發(fā)揮作用。
第二�,對(duì)接容器網(wǎng)絡(luò)缺乏標(biāo)準(zhǔn)。數(shù)據(jù)中心的網(wǎng)絡(luò)邊界下沉到虛擬化網(wǎng)絡(luò)中,傳統(tǒng)的安全產(chǎn)品無法探測云內(nèi)部的網(wǎng)絡(luò)流量��。邊界安全產(chǎn)品�,旁路安全產(chǎn)品��,甚至是插件式的軟件安全產(chǎn)品都需要深度改造�����。
與軟件定義網(wǎng)絡(luò)的安全體系同樣也分為兩部分�,一是云平臺(tái)自帶的,二是NFV方式。
二����、品高云平臺(tái)安全攻略
在品高SDN的體系中�����,引入了VPC安全域的概念����,虛擬網(wǎng)絡(luò)可以使用VPC實(shí)現(xiàn)多租戶間的網(wǎng)絡(luò)隔離�,并且多VPC(私有網(wǎng)絡(luò))環(huán)境下都能提供獨(dú)立的網(wǎng)絡(luò)功能�,支持各種網(wǎng)絡(luò)場景的落地需求。
品高云在VPC環(huán)境下�,為用戶提供了多樣化的安全功能:
IP與MAC綁定:虛擬機(jī)IP與MAC綁定,私自修改則引起網(wǎng)絡(luò)中斷���,防止IP盜用�、私接設(shè)備的等安全隱患���;
安全組:針對(duì)虛擬機(jī)的類似于虛擬防火墻的安全規(guī)則集合����,可以自定義虛擬機(jī)的訪問端口�����,實(shí)現(xiàn)虛擬機(jī)之間的安全訪問控制�����;
子網(wǎng)ACL:SDN針對(duì)子網(wǎng)的安全控制手段,可以自定義出入的允許和拒絕規(guī)則及優(yōu)先級(jí)�,實(shí)現(xiàn)子網(wǎng)級(jí)別的安全訪問控制;
子網(wǎng)分化:通過子網(wǎng)微分段的手段實(shí)現(xiàn)子網(wǎng)內(nèi)IP之間的APR隔離�����,避免ARP嗅探引起的ARP攻擊�、ARP欺騙的行為���;
隱藏式虛擬化網(wǎng)關(guān):SDN構(gòu)建的虛擬化隱藏網(wǎng)關(guān)���,避免因黑客攻破網(wǎng)關(guān)而引起的大范圍安全事件�;
自定義路由:SDN支持自定義路由,可將流量路由至防火墻接受檢測��,實(shí)現(xiàn)流量過濾�����;
彈性IP地址池:防止傳統(tǒng)NAT一對(duì)多方式引起的范圍式入侵行為�����,采用一對(duì)一的方式保證NAT轉(zhuǎn)換的安全性;
物理網(wǎng)關(guān)對(duì)接:SDN對(duì)接物理網(wǎng)關(guān)�����,可在物理網(wǎng)關(guān)和機(jī)房疊加安全防護(hù)策略��;
VPC隱藏隔離:實(shí)現(xiàn)VPC內(nèi)不同安全組間的網(wǎng)絡(luò)數(shù)據(jù)隔離,解決APR欺騙和攻擊的行為����;
VPC對(duì)等連接:實(shí)現(xiàn)跨VPC網(wǎng)絡(luò)內(nèi)網(wǎng)數(shù)據(jù)通信的互聯(lián)服務(wù),避免跨VPC互通需求下需要外網(wǎng)或其他設(shè)備接入帶來的安全隱患��;
三�、云平臺(tái)NFV安全策略
安全是沒有上限的,除了品高云自帶的安全架構(gòu)外�,品高云采用了目前云計(jì)算領(lǐng)域中處理安全問題公認(rèn)的有效手段—–NFV���。支持耦合第三方安全廠商���,通過將不同安全的網(wǎng)絡(luò)能力采取編排的手段�����,變?yōu)樵浦械囊粋€(gè)網(wǎng)元����,實(shí)現(xiàn)安全功能�����,如此可以充分發(fā)揮不同安全廠商在邊界安全�����、殺毒、網(wǎng)絡(luò)分析��、加密等領(lǐng)域的優(yōu)勢�,提供給云主機(jī)用戶更好的安全使用體驗(yàn)���。
品高云NFV策略有以下四個(gè)安全優(yōu)勢:
01 | 可擴(kuò)展的軟件定義網(wǎng)絡(luò)安全體系
軟件定義安全通過支持各種標(biāo)準(zhǔn)的網(wǎng)絡(luò)引流技術(shù)��,讓第三方可以在安全體系上接入自己的網(wǎng)絡(luò)安全技術(shù)����,實(shí)現(xiàn)網(wǎng)絡(luò)安全功能與服務(wù)的疊加���,形成網(wǎng)絡(luò)安全生態(tài)體系�。
02 | 東西南北向分離管控機(jī)制
東西流量通常是數(shù)據(jù)流量��,南北流量通常是業(yè)務(wù)流量��,用戶對(duì)它們的管理控制要求是不同的����,因此需要區(qū)別對(duì)待,實(shí)現(xiàn)分開監(jiān)控并使用不同的網(wǎng)絡(luò)策略進(jìn)行管理和控制���。
03 | 非插件式的全網(wǎng)漏洞掃描技術(shù)
通過對(duì)網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員能了解容器網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)����,及時(shí)發(fā)現(xiàn)系統(tǒng)及應(yīng)用的安全漏 洞��,能有效避免黑客攻擊行為����,做到防患于未然。
04 | 網(wǎng)絡(luò)入侵蔓延回溯和控制技術(shù)
通過SDN網(wǎng)絡(luò)感知回溯技術(shù)�����,可以記錄從入侵開始�����,到入侵被發(fā)現(xiàn)的全過程網(wǎng)絡(luò)行為,跟蹤與定位入侵的蔓延范圍�����。通過網(wǎng)絡(luò)策略阻斷蔓延的受控制的容器節(jié)點(diǎn)�,防止入侵潛伏與二次攻擊。
可以使用中這樣的比喻來說明云計(jì)算的安全目前需要的是什么:“云計(jì)算的安全需要大量的“朝陽群眾”���,群防群治����,不能單純依靠負(fù)責(zé)安全的“警察”���,那樣的安全會(huì)出現(xiàn)各種意想不到的漏洞���。”
目前品高云已經(jīng)支持對(duì)接的邊界防護(hù)(包括WAF/IDS/IPS/數(shù)據(jù)庫審計(jì)等):山石網(wǎng)科�、啟明星辰、有云�����、昂楷��;網(wǎng)絡(luò)分析:科來���;加密:安全狗�����;殺毒:360虛擬化安全�����、趨勢。未來還將逐步對(duì)接更多的安全廠商的產(chǎn)品���,提供給用戶更好更安全的云計(jì)算環(huán)境����。
品高云支持的安全廠商產(chǎn)品(朝陽群眾)矩陣:
四�����、總結(jié)
品高云SDN的獨(dú)特架構(gòu)為用戶提供了從硬件到虛擬層的全面安全防護(hù)�����,相比開源環(huán)境和純商業(yè)化的云平臺(tái)����,依托品高SDN的云計(jì)算平臺(tái)可以提供用戶更好更安全的云計(jì)算生態(tài)。
