2015年,云計算已不再是什么新興技術(shù)。Gartner于8月份發(fā)布的2015年新興技術(shù)炒作周期報告中,云計算類(lèi)目只剩下孤零零的“混合云”,即在Gartner的視野里,公有云、私有云等云計算形態(tài),都已經(jīng)步入了“穩定應用期”,尤其是公有云,即使是最為保守的客戶(hù),也已經(jīng)開(kāi)始考慮將部分業(yè)務(wù)放置于公有云之上。IDC更是預計2015年全球公有云市場(chǎng)規模將達700億美元,而中國市場(chǎng)年均復合增長(cháng)率將高達33.2%……但是,如火如荼的云遷移與云建設,是不是少了點(diǎn)兒什么動(dòng)手之前就應該注重分析的因素?
Bingo,你答對了!就是少了那項重中之重的安全因素——云安全。
小豆的云安全顧慮
2014,被認為是“泄密年”。據國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的《2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢報告》顯示,2014年中國通報的安全漏洞事件達9068起,較2013年增長(cháng)3倍。這些不斷爆出的各類(lèi)漏洞,不僅給網(wǎng)友財產(chǎn)和人身安全帶來(lái)巨大威脅,更讓中度或重度布設在公有云平臺上的企業(yè)隱含巨大品牌和運營(yíng)風(fēng)險。而步入2015,云安全事件更是接連不斷:宕機、斷網(wǎng)、泄數據……
這種種,在小豆,一個(gè)公有云上創(chuàng )業(yè)團隊技術(shù)負責人的眼里,都是讓他心有余悸的。雖然這些安全問(wèn)題已在IT內部存在多年,但是云,以及那種人們對于數據一旦放到防火墻外將失去控制的恐懼,再次凸顯了這些問(wèn)題。
顧慮起因
大概三四年前,小豆團隊為了快速建立業(yè)務(wù)能力,便把全部業(yè)務(wù)放置在公有云之上,算是比較早期的重度公有云用戶(hù)。在創(chuàng )業(yè)初期,公有云為小豆團隊帶來(lái)了不少便利,同時(shí)也帶來(lái)了一些困擾。印象最深刻的是某天半夜小豆收到的兩封重要通知郵件:
“尊敬的用戶(hù),經(jīng)檢測您的主機xxx存在惡意掃描,請您務(wù)必在12小時(shí)內處理,逾期未處理將關(guān)停主機。關(guān)停后必須重置全盤(pán)恢復初始狀態(tài)才能解封,請您務(wù)必重視。感謝您的配合。”?
“尊敬的用戶(hù)您好: 經(jīng)查詢(xún)您的云服務(wù)器xxx存在破壞或試圖破壞網(wǎng)絡(luò )安全的行為,懷疑已被肉雞。為了不影響您的服務(wù), 請參考以下處理方案xxx進(jìn)行操作, 12小時(shí)內未及時(shí)處理將導致云服務(wù)器關(guān)停。”
看到郵件說(shuō)如果不及時(shí)處理就會(huì )被重置系統,小豆趕緊爬起來(lái),先備份數據,把業(yè)務(wù)系統遷移到其他云服務(wù)器上,再排查是哪里出了問(wèn)題。原來(lái),云服務(wù)器默認都是使用密碼進(jìn)行登錄驗證,并且默認開(kāi)放root用戶(hù)的登錄權限,這種不安全的方式被忙碌的小豆他們忽略了。小豆他們本應像一般用戶(hù)一樣,申請云服務(wù)器后,將登錄方式修改為密鑰驗證,并關(guān)掉root用戶(hù)的登錄權限。但由于非常忙,未及時(shí)修改,竟然致使密碼被暴力破解,云服務(wù)器被掛了木馬,成了肉雞。
由于擔心木馬流竄到內網(wǎng)其他系統上去,小豆趕緊叫上同事一起排查手上全部的云服務(wù)器,忙到第二天晚上,才算告一段落。事后小豆他們吸取教訓,加強了安全建設,花了幾周的時(shí)間重新規劃了業(yè)務(wù)系統,梳理了一套安全規范,不單硬性規定所有云服務(wù)器必須使用密鑰認證,關(guān)閉root用戶(hù)登錄權限,而且會(huì )不定期的更新密鑰,重要的系統禁止遠程登錄到shell,只能登錄到特定的菜單執行預定義的幾個(gè)操作,核心系統更是使用了敲門(mén)端口(服務(wù)器默認關(guān)閉所有端口,只有在按一定順序和次數訪(fǎng)問(wèn)特定的端口序列的時(shí)候,才會(huì )打開(kāi)端口進(jìn)行key認證,而且端口序列也會(huì )定期更新,據說(shuō)這是密碼學(xué)里已知最安全的加密方法)。小豆他們開(kāi)發(fā)了一套安全加固腳本,所有新申請的云服務(wù)器都要運行這個(gè)腳本完成上述的安全設置,還專(zhuān)門(mén)開(kāi)發(fā)了一套用做密鑰管理和發(fā)放、菜單和端口序列生成的小系統。在此之后的很長(cháng)一段時(shí)間,小豆他們的系統再也沒(méi)出現過(guò)類(lèi)似的安全事件。
小豆說(shuō):“如果云平臺能預制這樣一套系統就好了。雖然沒(méi)有及時(shí)修改認證方式,是我們工作的疏忽,怪不得云平臺,但是用公有云不就是圖個(gè)方便,如果云平臺能預制這樣一套系統,那用起來(lái)多省心。或者云平臺在發(fā)現云服務(wù)器有異常行為的時(shí)候,能夠將云服務(wù)器的網(wǎng)絡(luò )隔離掉,避免進(jìn)一步的破壞,也是個(gè)可以接受的處理方式。簡(jiǎn)單粗暴的讓用戶(hù)限期整改,逾期就重置系統,這樣真是不太合適。”
尋找云安全解決方案
目前公有云在DDoS防護、防DNS劫持檢測、網(wǎng)站安全防護上已經(jīng)做了很多工作,也做了異地登錄告警、異常行為檢測、常見(jiàn)配置錯誤檢查等實(shí)用小功能,但是云平臺的安全,和傳統的數據中心有很大的不同,這些功能還遠不足以解決云平臺的安全問(wèn)題。
除了常見(jiàn)的外網(wǎng)攻擊,云平臺因為多個(gè)租戶(hù)共享同一組資源,物理上的可信邊界被打破,威脅也可能來(lái)自相鄰的租戶(hù),傳統的網(wǎng)絡(luò )邊界防護技術(shù)已經(jīng)難以應對,一旦外網(wǎng)的安全邊界被突破(如云盾),整個(gè)云平臺都可能會(huì )被直搗黃龍。所以近幾年興起了所謂的縱深防御技術(shù),意圖在多個(gè)層面解決云平臺的安全問(wèn)題。今年Google更是啟動(dòng)了BeyondCorp計劃,目的是取消內外網(wǎng)之別,不再依賴(lài)外圍防火墻等安全設備的保護,就是因為一旦外圍防護的某一個(gè)點(diǎn)被突破,內網(wǎng)就很可能變得和外網(wǎng)一樣危險,而現代企業(yè)越來(lái)越多的采用移動(dòng)技術(shù)和云技術(shù),內外網(wǎng)的邊界越來(lái)越模糊,所以不如一視同仁,不再區分內外網(wǎng),而是用一致的安全技術(shù)去對待整個(gè)網(wǎng)絡(luò )里的每一臺主機。
普元的云安全解決方案
那么云平臺的安全問(wèn)題,該如何解決呢?答案是:安全問(wèn)題永遠是“魔高一尺、道高一丈”,只能改善,無(wú)法一勞永逸的徹底解決,但是接入認證方面的改進(jìn),應該是解決安全問(wèn)題時(shí)投入產(chǎn)出比較高的一個(gè)途徑。云平臺上的業(yè)務(wù)系統建設,應該嚴格控制客戶(hù)端或瀏覽器到業(yè)務(wù)系統的認證關(guān)系,并強化業(yè)務(wù)系統之間的訪(fǎng)問(wèn)認證,所有的客戶(hù)端或瀏覽器訪(fǎng)問(wèn),都應該經(jīng)過(guò)統一的認證服務(wù)器、通過(guò)證書(shū)進(jìn)行驗證,訪(fǎng)問(wèn)權限通過(guò)策略引擎統一管理,不同用戶(hù)在不同的時(shí)間和位置、通過(guò)不同的設備、訪(fǎng)問(wèn)不同的資源,所擁有的權限應該有所差異,而不是基于傳統的靜態(tài)權限配置,業(yè)務(wù)系統之間也應該采用類(lèi)似的安全策略。本質(zhì)上是信任關(guān)系從網(wǎng)絡(luò )層面下降到設備和系統層面,不再依賴(lài)外圍的網(wǎng)絡(luò )防護,總體思路和Google的BeyondCorp計劃類(lèi)似。
多年來(lái),國內領(lǐng)先的軟件基礎平臺與解決方案提供商普元在幫助客戶(hù)建設私有云的同時(shí),還提供基于公有云的企業(yè)應用平臺 EOS Cloud,通過(guò)EOS Cloud,私有云和公有云可以得到連通,從而形成混合云,而在所有的云計算解決方案之中,都貫徹了普元的云安全理念,為企業(yè)應用提供良好的安全基礎服務(wù),為云平臺上的所有系統提供統一的安全策略,管理好每一個(gè)業(yè)務(wù)系統、每一個(gè)云服務(wù)器的入口,在最大程度上杜絕安全事故的發(fā)生。
近期,普元還推出了《建立安全可靠、高效智能的云數據中心》這一云計算白皮書(shū),通過(guò)多年公有云、私有云、混合云成功實(shí)施經(jīng)驗,跨越災備云、社區云、電商云等多領(lǐng)域,對企業(yè)如何建立安全可靠、高效智能的云數據中心給出建議。經(jīng)過(guò)一系列實(shí)踐與總結,圍繞業(yè)務(wù)、流程、技術(shù)相輔相成的建設思路,普元總結出“五級規劃和八大流程”兩個(gè)維度來(lái)幫助企業(yè)推進(jìn)云數據中心建設,形成最終安全可靠的云數據中心邏輯架構。
另?yè)私猓谠瓢踩珜用妫琌ASIS(結構化信息標準促進(jìn)組織)還專(zhuān)門(mén)成立了云身份技術(shù)委員會(huì )(IDCloud TC)以解決由云計算身份管理帶來(lái)的安全挑戰,這里的“身份”,不僅僅是“人”的身份,也應該是“設備”和“系統”的身份。普元多位云技術(shù)專(zhuān)家擔任該委員會(huì )核心成員。
