2015年,云計算已不再是什么新興技術(shù)。Gartner于8月份發(fā)布的2015年新興技術(shù)炒作周期報告中,云計算類目只剩下孤零零的“混合云”,即在Gartner的視野里,公有云、私有云等云計算形態(tài),都已經(jīng)步入了“穩(wěn)定應用期”,尤其是公有云,即使是最為保守的客戶,也已經(jīng)開始考慮將部分業(yè)務(wù)放置于公有云之上。IDC更是預計2015年全球公有云市場規(guī)模將達700億美元,而中國市場年均復合增長率將高達33.2%……但是,如火如荼的云遷移與云建設(shè),是不是少了點兒什么動手之前就應該注重分析的因素?
Bingo,你答對了!就是少了那項重中之重的安全因素——云安全。
小豆的云安全顧慮
2014,被認為是“泄密年”。據(jù)國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的《2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告》顯示,2014年中國通報的安全漏洞事件達9068起,較2013年增長3倍。這些不斷爆出的各類漏洞,不僅給網(wǎng)友財產(chǎn)和人身安全帶來巨大威脅,更讓中度或重度布設(shè)在公有云平臺上的企業(yè)隱含巨大品牌和運營風險。而步入2015,云安全事件更是接連不斷:宕機、斷網(wǎng)、泄數(shù)據(jù)……
這種種,在小豆,一個公有云上創(chuàng)業(yè)團隊技術(shù)負責人的眼里,都是讓他心有余悸的。雖然這些安全問題已在IT內(nèi)部存在多年,但是云,以及那種人們對于數(shù)據(jù)一旦放到防火墻外將失去控制的恐懼,再次凸顯了這些問題。
顧慮起因
大概三四年前,小豆團隊為了快速建立業(yè)務(wù)能力,便把全部業(yè)務(wù)放置在公有云之上,算是比較早期的重度公有云用戶。在創(chuàng)業(yè)初期,公有云為小豆團隊帶來了不少便利,同時也帶來了一些困擾。印象最深刻的是某天半夜小豆收到的兩封重要通知郵件:
“尊敬的用戶,經(jīng)檢測您的主機xxx存在惡意掃描,請您務(wù)必在12小時內(nèi)處理,逾期未處理將關(guān)停主機。關(guān)停后必須重置全盤恢復初始狀態(tài)才能解封,請您務(wù)必重視。感謝您的配合。”?
“尊敬的用戶您好: 經(jīng)查詢您的云服務(wù)器xxx存在破壞或試圖破壞網(wǎng)絡(luò)安全的行為,懷疑已被肉雞。為了不影響您的服務(wù), 請參考以下處理方案xxx進行操作, 12小時內(nèi)未及時處理將導致云服務(wù)器關(guān)停。”
看到郵件說如果不及時處理就會被重置系統(tǒng),小豆趕緊爬起來,先備份數(shù)據(jù),把業(yè)務(wù)系統(tǒng)遷移到其他云服務(wù)器上,再排查是哪里出了問題。原來,云服務(wù)器默認都是使用密碼進行登錄驗證,并且默認開放root用戶的登錄權(quán)限,這種不安全的方式被忙碌的小豆他們忽略了。小豆他們本應像一般用戶一樣,申請云服務(wù)器后,將登錄方式修改為密鑰驗證,并關(guān)掉root用戶的登錄權(quán)限。但由于非常忙,未及時修改,竟然致使密碼被暴力破解,云服務(wù)器被掛了木馬,成了肉雞。
由于擔心木馬流竄到內(nèi)網(wǎng)其他系統(tǒng)上去,小豆趕緊叫上同事一起排查手上全部的云服務(wù)器,忙到第二天晚上,才算告一段落。事后小豆他們吸取教訓,加強了安全建設(shè),花了幾周的時間重新規(guī)劃了業(yè)務(wù)系統(tǒng),梳理了一套安全規(guī)范,不單硬性規(guī)定所有云服務(wù)器必須使用密鑰認證,關(guān)閉root用戶登錄權(quán)限,而且會不定期的更新密鑰,重要的系統(tǒng)禁止遠程登錄到shell,只能登錄到特定的菜單執(zhí)行預定義的幾個操作,核心系統(tǒng)更是使用了敲門端口(服務(wù)器默認關(guān)閉所有端口,只有在按一定順序和次數(shù)訪問特定的端口序列的時候,才會打開端口進行key認證,而且端口序列也會定期更新,據(jù)說這是密碼學里已知最安全的加密方法)。小豆他們開發(fā)了一套安全加固腳本,所有新申請的云服務(wù)器都要運行這個腳本完成上述的安全設(shè)置,還專門開發(fā)了一套用做密鑰管理和發(fā)放、菜單和端口序列生成的小系統(tǒng)。在此之后的很長一段時間,小豆他們的系統(tǒng)再也沒出現(xiàn)過類似的安全事件。
小豆說:“如果云平臺能預制這樣一套系統(tǒng)就好了。雖然沒有及時修改認證方式,是我們工作的疏忽,怪不得云平臺,但是用公有云不就是圖個方便,如果云平臺能預制這樣一套系統(tǒng),那用起來多省心。或者云平臺在發(fā)現(xiàn)云服務(wù)器有異常行為的時候,能夠?qū)⒃品⻊?wù)器的網(wǎng)絡(luò)隔離掉,避免進一步的破壞,也是個可以接受的處理方式。簡單粗暴的讓用戶限期整改,逾期就重置系統(tǒng),這樣真是不太合適。”
尋找云安全解決方案
目前公有云在DDoS防護、防DNS劫持檢測、網(wǎng)站安全防護上已經(jīng)做了很多工作,也做了異地登錄告警、異常行為檢測、常見配置錯誤檢查等實用小功能,但是云平臺的安全,和傳統(tǒng)的數(shù)據(jù)中心有很大的不同,這些功能還遠不足以解決云平臺的安全問題。
除了常見的外網(wǎng)攻擊,云平臺因為多個租戶共享同一組資源,物理上的可信邊界被打破,威脅也可能來自相鄰的租戶,傳統(tǒng)的網(wǎng)絡(luò)邊界防護技術(shù)已經(jīng)難以應對,一旦外網(wǎng)的安全邊界被突破(如云盾),整個云平臺都可能會被直搗黃龍。所以近幾年興起了所謂的縱深防御技術(shù),意圖在多個層面解決云平臺的安全問題。今年Google更是啟動了BeyondCorp計劃,目的是取消內(nèi)外網(wǎng)之別,不再依賴外圍防火墻等安全設(shè)備的保護,就是因為一旦外圍防護的某一個點被突破,內(nèi)網(wǎng)就很可能變得和外網(wǎng)一樣危險,而現(xiàn)代企業(yè)越來越多的采用移動技術(shù)和云技術(shù),內(nèi)外網(wǎng)的邊界越來越模糊,所以不如一視同仁,不再區(qū)分內(nèi)外網(wǎng),而是用一致的安全技術(shù)去對待整個網(wǎng)絡(luò)里的每一臺主機。
普元的云安全解決方案
那么云平臺的安全問題,該如何解決呢?答案是:安全問題永遠是“魔高一尺、道高一丈”,只能改善,無法一勞永逸的徹底解決,但是接入認證方面的改進,應該是解決安全問題時投入產(chǎn)出比較高的一個途徑。云平臺上的業(yè)務(wù)系統(tǒng)建設(shè),應該嚴格控制客戶端或瀏覽器到業(yè)務(wù)系統(tǒng)的認證關(guān)系,并強化業(yè)務(wù)系統(tǒng)之間的訪問認證,所有的客戶端或瀏覽器訪問,都應該經(jīng)過統(tǒng)一的認證服務(wù)器、通過證書進行驗證,訪問權(quán)限通過策略引擎統(tǒng)一管理,不同用戶在不同的時間和位置、通過不同的設(shè)備、訪問不同的資源,所擁有的權(quán)限應該有所差異,而不是基于傳統(tǒng)的靜態(tài)權(quán)限配置,業(yè)務(wù)系統(tǒng)之間也應該采用類似的安全策略。本質(zhì)上是信任關(guān)系從網(wǎng)絡(luò)層面下降到設(shè)備和系統(tǒng)層面,不再依賴外圍的網(wǎng)絡(luò)防護,總體思路和Google的BeyondCorp計劃類似。
多年來,國內(nèi)領(lǐng)先的軟件基礎(chǔ)平臺與解決方案提供商普元在幫助客戶建設(shè)私有云的同時,還提供基于公有云的企業(yè)應用平臺 EOS Cloud,通過EOS Cloud,私有云和公有云可以得到連通,從而形成混合云,而在所有的云計算解決方案之中,都貫徹了普元的云安全理念,為企業(yè)應用提供良好的安全基礎(chǔ)服務(wù),為云平臺上的所有系統(tǒng)提供統(tǒng)一的安全策略,管理好每一個業(yè)務(wù)系統(tǒng)、每一個云服務(wù)器的入口,在最大程度上杜絕安全事故的發(fā)生。
近期,普元還推出了《建立安全可靠、高效智能的云數(shù)據(jù)中心》這一云計算白皮書,通過多年公有云、私有云、混合云成功實施經(jīng)驗,跨越災備云、社區(qū)云、電商云等多領(lǐng)域,對企業(yè)如何建立安全可靠、高效智能的云數(shù)據(jù)中心給出建議。經(jīng)過一系列實踐與總結(jié),圍繞業(yè)務(wù)、流程、技術(shù)相輔相成的建設(shè)思路,普元總結(jié)出“五級規(guī)劃和八大流程”兩個維度來幫助企業(yè)推進云數(shù)據(jù)中心建設(shè),形成最終安全可靠的云數(shù)據(jù)中心邏輯架構(gòu)。
另據(jù)了解,在云安全層面,OASIS(結(jié)構(gòu)化信息標準促進組織)還專門成立了云身份技術(shù)委員會(IDCloud TC)以解決由云計算身份管理帶來的安全挑戰(zhàn),這里的“身份”,不僅僅是“人”的身份,也應該是“設(shè)備”和“系統(tǒng)”的身份。普元多位云技術(shù)專家擔任該委員會核心成員。
