注:上述消息引自云頭條公眾號
雖說云計算依托大型數(shù)據(jù)中心�、規(guī)?��;瘧煤蛷姶蟮倪\維體系等優(yōu)勢環(huán)節(jié)���,讓云主機的可靠性遠超傳統(tǒng)小型數(shù)據(jù)中心�����。但是云計算并不是世外桃源���,原本存在的安全問題在云上依然存在���,甚至問題的維度更多了——除了用戶主機端的安全問題,支撐云計算底層的服務器硬件����、網(wǎng)絡和存儲等環(huán)節(jié)����,在資源池化的模式下����,帶來了更多安全上的問題。
在云計算領域中有這樣的一個觀點:目前的云計算環(huán)境��,有兩個典型的安全問題需要用戶重視����。
第一個就是開源軟件漏洞。和商業(yè)軟件不同�����,開放源碼的軟件是由世界各地的程序員維護開發(fā)的����,雖然具有開放的平臺,但是動輒數(shù)十萬行的開放源代碼在用戶端部署應用時容易被第三方利用�����。相比傳統(tǒng)的商業(yè)軟件,開源系統(tǒng)存在不可控的安全隱患�����。
第二個是傳統(tǒng)的木馬��、黑客程序����。雖然云主機提供了系統(tǒng)安裝鏡像,但是用戶在安裝和部署應用環(huán)境時����,有可能安裝帶有后門的程序,前一陣爆出的基于某平臺開發(fā)環(huán)境的漏洞就是一個典型的案例�����。
安全對于用戶而言是頭等大事����,甚至在某種情況下是決定企業(yè)生死的命門��。傳統(tǒng)數(shù)據(jù)中心雖然也會出現(xiàn)宕機��、崩潰、甚至丟失數(shù)據(jù)的問題����,但是相比企業(yè)關鍵業(yè)務數(shù)據(jù)的泄露,運維能搞定的都不算大事��。
一�、云上安全的思考
單純的從技術分析——云主機本身是安全的,云存儲本身也是安全的��,因為它們設計之初就是給用戶提供高性能�����、高可用的計算/存儲環(huán)境���,只要在這兩個框架下滿足了用戶的需求�,那么就可以認為它是稱職的角色��。但是網(wǎng)絡做為連接資源池的重要通道��,面對的環(huán)境卻大不一樣了�。物理網(wǎng)絡時代用戶可以通過防火墻等設備來防護網(wǎng)絡安全問題,可是在大規(guī)模的虛擬網(wǎng)絡時代����,用戶數(shù)據(jù)像洪水般奔騰在虛擬的環(huán)境中���,傳統(tǒng)的網(wǎng)絡保護手段難以保護大規(guī)模虛擬網(wǎng)絡下的安全。
虛擬網(wǎng)絡同樣有兩個關鍵的安全問題�。
第一,云網(wǎng)絡環(huán)境大都缺乏東西向的安全防護����。在大數(shù)據(jù)、大規(guī)模的分布式SDN虛擬環(huán)境下��,此時依托物理核心交換機的傳統(tǒng)方案無法滿足安全控制的需要�。在分布式SDN網(wǎng)絡中,物理網(wǎng)關不在核心交換機上�����,而是虛擬分散在各個SDN控制器中�。此時虛擬主機的東西向流量并不經(jīng)過核心交換機,傳統(tǒng)的IDS/IPS方案就難以發(fā)揮作用��。
第二����,對接容器網(wǎng)絡缺乏標準。數(shù)據(jù)中心的網(wǎng)絡邊界下沉到虛擬化網(wǎng)絡中�����,傳統(tǒng)的安全產(chǎn)品無法探測云內部的網(wǎng)絡流量�����。邊界安全產(chǎn)品��,旁路安全產(chǎn)品��,甚至是插件式的軟件安全產(chǎn)品都需要深度改造��。
與軟件定義網(wǎng)絡的安全體系同樣也分為兩部分���,一是云平臺自帶的�����,二是NFV方式��。
二���、品高云平臺安全攻略
在品高SDN的體系中�,引入了VPC安全域的概念�,虛擬網(wǎng)絡可以使用VPC實現(xiàn)多租戶間的網(wǎng)絡隔離,并且多VPC(私有網(wǎng)絡)環(huán)境下都能提供獨立的網(wǎng)絡功能�,支持各種網(wǎng)絡場景的落地需求。
品高云在VPC環(huán)境下��,為用戶提供了多樣化的安全功能:
IP與MAC綁定:虛擬機IP與MAC綁定����,私自修改則引起網(wǎng)絡中斷,防止IP盜用���、私接設備的等安全隱患��;
安全組:針對虛擬機的類似于虛擬防火墻的安全規(guī)則集合�,可以自定義虛擬機的訪問端口��,實現(xiàn)虛擬機之間的安全訪問控制��;
子網(wǎng)ACL:SDN針對子網(wǎng)的安全控制手段�����,可以自定義出入的允許和拒絕規(guī)則及優(yōu)先級,實現(xiàn)子網(wǎng)級別的安全訪問控制���;
子網(wǎng)分化:通過子網(wǎng)微分段的手段實現(xiàn)子網(wǎng)內IP之間的APR隔離,避免ARP嗅探引起的ARP攻擊����、ARP欺騙的行為;
隱藏式虛擬化網(wǎng)關:SDN構建的虛擬化隱藏網(wǎng)關����,避免因黑客攻破網(wǎng)關而引起的大范圍安全事件;
自定義路由:SDN支持自定義路由����,可將流量路由至防火墻接受檢測,實現(xiàn)流量過濾��;
彈性IP地址池:防止傳統(tǒng)NAT一對多方式引起的范圍式入侵行為�����,采用一對一的方式保證NAT轉換的安全性���;
物理網(wǎng)關對接:SDN對接物理網(wǎng)關�����,可在物理網(wǎng)關和機房疊加安全防護策略�;
VPC隱藏隔離:實現(xiàn)VPC內不同安全組間的網(wǎng)絡數(shù)據(jù)隔離,解決APR欺騙和攻擊的行為���;
VPC對等連接:實現(xiàn)跨VPC網(wǎng)絡內網(wǎng)數(shù)據(jù)通信的互聯(lián)服務�,避免跨VPC互通需求下需要外網(wǎng)或其他設備接入帶來的安全隱患��;
三���、云平臺NFV安全策略
安全是沒有上限的��,除了品高云自帶的安全架構外���,品高云采用了目前云計算領域中處理安全問題公認的有效手段—–NFV。支持耦合第三方安全廠商�,通過將不同安全的網(wǎng)絡能力采取編排的手段,變?yōu)樵浦械囊粋€網(wǎng)元�����,實現(xiàn)安全功能�,如此可以充分發(fā)揮不同安全廠商在邊界安全��、殺毒�、網(wǎng)絡分析、加密等領域的優(yōu)勢���,提供給云主機用戶更好的安全使用體驗�。
品高云NFV策略有以下四個安全優(yōu)勢:
01 | 可擴展的軟件定義網(wǎng)絡安全體系
軟件定義安全通過支持各種標準的網(wǎng)絡引流技術����,讓第三方可以在安全體系上接入自己的網(wǎng)絡安全技術,實現(xiàn)網(wǎng)絡安全功能與服務的疊加����,形成網(wǎng)絡安全生態(tài)體系。
02 | 東西南北向分離管控機制
東西流量通常是數(shù)據(jù)流量�,南北流量通常是業(yè)務流量����,用戶對它們的管理控制要求是不同的�����,因此需要區(qū)別對待���,實現(xiàn)分開監(jiān)控并使用不同的網(wǎng)絡策略進行管理和控制�����。
03 | 非插件式的全網(wǎng)漏洞掃描技術
通過對網(wǎng)絡的掃描����,網(wǎng)絡管理員能了解容器網(wǎng)絡的安全設置和運行的應用服務���,及時發(fā)現(xiàn)系統(tǒng)及應用的安全漏 洞���,能有效避免黑客攻擊行為,做到防患于未然�����。
04 | 網(wǎng)絡入侵蔓延回溯和控制技術
通過SDN網(wǎng)絡感知回溯技術,可以記錄從入侵開始�����,到入侵被發(fā)現(xiàn)的全過程網(wǎng)絡行為���,跟蹤與定位入侵的蔓延范圍���。通過網(wǎng)絡策略阻斷蔓延的受控制的容器節(jié)點��,防止入侵潛伏與二次攻擊���。
可以使用中這樣的比喻來說明云計算的安全目前需要的是什么:“云計算的安全需要大量的“朝陽群眾”��,群防群治�����,不能單純依靠負責安全的“警察”���,那樣的安全會出現(xiàn)各種意想不到的漏洞���。”
目前品高云已經(jīng)支持對接的邊界防護(包括WAF/IDS/IPS/數(shù)據(jù)庫審計等):山石網(wǎng)科�、啟明星辰、有云����、昂楷�;網(wǎng)絡分析:科來�;加密:安全狗;殺毒:360虛擬化安全���、趨勢���。未來還將逐步對接更多的安全廠商的產(chǎn)品���,提供給用戶更好更安全的云計算環(huán)境。
品高云支持的安全廠商產(chǎn)品(朝陽群眾)矩陣:
四、總結
品高云SDN的獨特架構為用戶提供了從硬件到虛擬層的全面安全防護��,相比開源環(huán)境和純商業(yè)化的云平臺��,依托品高SDN的云計算平臺可以提供用戶更好更安全的云計算生態(tài)���。
