2017-11-27 16:35:00
來源:
云安全概述Azure Stack 作為一款混合云產(chǎn)品,安全防護及安全的業(yè)務(wù)提供是必備基礎(chǔ)能力,本篇將從云安全的定義、Azure Stack 安全機制、Azure Stack 未提供的安全防護三方面,探究 Azure Stack 在安全層面所提供的技術(shù)保障以及需要加固的方方面面。云安全的定義早在 2008 年,當很多人還認為云計算還處于概念階段時,趨勢科技和瑞星等安全廠商紛紛宣布“云安全”計劃,在國內(nèi)云安全這一概念名詞由此誕生。“云安全”計劃的提出是為了應(yīng)對病毒的日益泛濫,做法是將病毒資料庫放在“云”端,讓“云”端對不安全鏈接直接判斷,阻止其進入用戶機器。云安全一詞在國內(nèi)大受殺毒廠商的追捧,其核心思想是利用大規(guī)模的云計算來抵御日益復(fù)雜多樣的黑客攻擊與病毒攻擊。在國外,安全軟件處于云端的做法,稱之為基于云的安全軟件 -“Cloud-Based Security” 或者安全即服務(wù) -“Security as a Service”。而本文所提及的云安全(Cloud Security), 是云計算安全性(cloud computing security)的簡稱,顧名思義,是關(guān)注云計算業(yè)務(wù)系統(tǒng)本身的安全性,其概念采用維基百科的解釋:通過部署一套廣泛的策略、技術(shù)與控制方法, 來保護數(shù)據(jù)、應(yīng)用程序、與云計算的基礎(chǔ)設(shè)施的安全性。云計算環(huán)境下的安全問題云計算的安全疑慮很多,每個建設(shè)環(huán)節(jié)都可能導(dǎo)致安全問題,包括物理機房環(huán)境、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)存儲等各方面的安全。除去機房環(huán)境,可以簡單歸結(jié)為以下幾個方面:身份認證:云計算服務(wù)商在對外提供服務(wù)的過程中,需要同時應(yīng)對多租戶的運行環(huán)境,保證不同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應(yīng)用程序和存儲資源。
數(shù)據(jù)保護:這是目前云計算用戶最為擔心的安全風險。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時,用戶本身對于自身數(shù)據(jù)在云中的安全風險并沒有實際的控制能力,數(shù)據(jù)安全完全依賴于服務(wù)商。
數(shù)據(jù)隱私:云計算環(huán)境存儲的用戶數(shù)據(jù),離不開管理員的操作和審核,如果缺乏足夠的安全防護,將可能導(dǎo)致用戶數(shù)據(jù)被云服務(wù)提供商竊取或無意泄露。
應(yīng)用程序安全:云服務(wù)提供商必須確保通過云所提供的應(yīng)用程序服務(wù)是安全的,外包或包的代碼必須通過測試與可用性的驗收程序。
Azure Stack 安全機制混合云 Azure Stack 場景中,在公共云供應(yīng)商或者 Azure Stack 供應(yīng)商和客戶之間有一條非常明顯的責任分界線。當一個 IaaS 客戶角色轉(zhuǎn)變成一個 PaaS 或 SaaS 客戶角色,其相應(yīng)的責任也會發(fā)生改變,一個 IaaS 層角色與 PaaS 層角色的責任是明顯不同的,比如我們管理一個運行在一臺自己管理的虛機上 SQL Server 的責任,與管理一個 Azure SQL 數(shù)據(jù)庫而不用管理運行該數(shù)據(jù)庫的虛機所面臨的責任是不一樣的。Azure Stack 的安全機制主要分為三個層面:硬件安全,平臺層安全,租戶層安全。
Azure Stack 擁有從物理層面到不同的 SaaS 服務(wù)層面的多種安全機制,以確保數(shù)據(jù)安全。在 Azure Stack 混合云環(huán)境中,客戶不能夠訪問虛擬機管理程序?qū)樱琍aaS/SaaS 服務(wù)提供商同樣不能訪問。硬件安全Azure Stack 平臺硬件層面的基本安全機制有安全啟動(Secure boot)和統(tǒng)一的可擴展固件接口(UEFI)。不同品牌的硬件提供商(Lenovo、Dell EMC、HPE 等)針對 Azure Stack 的硬件層都提供了自己強有力的硬件安全解決方案,有效地解決 Azure Stack 的硬件安全問題,等 Azure Stack 硬件 GA 后,我們會詳細地比較、分析、評價各廠商的硬件安全解決方案。平臺層安全Azure Stack 相對于微軟的公有云 Azure 是一個獨立的平臺,但安全管理方面有很大的相似性:Azure Stack 和 Azure 工程師沒有訪問客戶數(shù)據(jù)的默認權(quán)限,只在必要時,在監(jiān)督的條件下被授予訪問。
Azure Stack 和 Azure 平臺管理員只將客戶數(shù)據(jù)用于跟客戶簽訂的承包服務(wù),如故障排除和改進的功能,如保護免受惡意軟件兼容。
在 Azure Stack 中,作為一個服務(wù)提供商只能訪問管理門戶 admin portal,可通過并僅能通過管理門戶或者管理 API 創(chuàng)建用戶訂閱,管理 Azure Stack 架構(gòu),監(jiān)控平臺健康狀態(tài),查看審計日志信息,但沒有權(quán)限查看正常用戶的數(shù)據(jù)與業(yè)務(wù)。Azure Stack 實現(xiàn)平臺的安全,主要基于兩個安全原則:Assume breach
Hardened by default
“Assume breach”原則基于“Assume breach”安全原則,如果平臺檢測到任何黑客攻擊行為,不僅可以有效阻斷,還可以有效限定被攻擊的范圍,減少被攻擊損失。如果一個 Azure Stack 組件被黑客攻破,也不會導(dǎo)致整個平臺癱瘓,有效保證其他組件的安全。通常,管理員角色最易受到攻擊,Azure Stack 通過一個預(yù)定義的約束管理經(jīng)驗?zāi)P停WC如果一個管理員證書被攻破,攻擊者只能訪問該管理員被限制訪問的組件。為了實現(xiàn) Azure Stack 平臺的安全,微軟制定了多種安全機制:1、約束管理,Azure Stack 提供了非常精細的,基于角色的訪問控制最低權(quán)限賬戶 ,用于不同服務(wù)的服務(wù)賬戶只擁有最低的權(quán)限;
只能通過管理門戶或管理 API 進行平臺管理;
刪除了任何面向客戶的域管理員賬戶;
不存在任何超級用戶。
2、鎖定基礎(chǔ)設(shè)施啟用應(yīng)用程序白名單,只有經(jīng)過微軟或 Azure Stack OEM 簽名的應(yīng)用才能運行,未簽名或第三方簽名的應(yīng)用一概不允許運行;
默認的最小通信特權(quán),Azure Stack 內(nèi)部的功能組件只能與特定的目的組件交換數(shù)據(jù);
啟用網(wǎng)絡(luò)訪問控制 ACL,防護墻默認規(guī)則阻斷一切網(wǎng)絡(luò)訪問,除非是必要的。 ACL 不只存在于 VM 和虛擬網(wǎng)絡(luò)層面,有效屏蔽網(wǎng)絡(luò)風險,可參考如下網(wǎng)絡(luò)訪問控制模型:
3、為了提高檢測能力,Azure Stack 啟用每個基礎(chǔ)架構(gòu)組件的安全和審計日志,可以監(jiān)控任何入侵。4、隔離 host,杜絕 Azure Stack 賬戶直接訪問底層 host。微軟與 OEM 廠商提供 host 的全生命周期的管理,提供不影響用戶業(yè)務(wù)及數(shù)據(jù)的加固服務(wù),比如提供固件、驅(qū)動、操作系統(tǒng)補丁升級等服務(wù)。“Hardened by default”原則Azure Stack 默認啟用許多安全控制機制,比如:1、靜態(tài)數(shù)據(jù)加密,Azure Stack 所有的存儲都應(yīng)用 BitLocker 加密,同時提供三備份機制。2、基礎(chǔ)架構(gòu)組件之間,采用強身份驗證。3、基于 Security Compliance Manager,在底層操作系統(tǒng)上使用預(yù)定義安全模板。4、在底層操作系統(tǒng),禁用傳統(tǒng)舊協(xié)議,比如 SMB1,NTLMv1,MS-CHAPv2,Digest。5、應(yīng)用 Windows Server 2016 的安全功能憑證保護 ,所有域密碼采用基于虛擬化的安全隔離,保證只有特定有權(quán)限的系統(tǒng)軟件可以訪問。
代碼完整性 ,憑證保護的一個功能,確保只有通過代碼完整性檢查的代碼才能得到執(zhí)行。
反惡意軟件 ,使用 Windows Defender 加固支持平臺的底層虛擬機上。
使用 Server Core,以減少被攻擊面并限制使用某些功能。
租戶層安全上一章節(jié),我們介紹了平臺層的安全機制,相對租戶層不可見的平臺層安全機制,Azure Stack 對租戶層用戶也提供了多種安全機制。資源管理器 ARM 本身有一個 Role-Based Access 模型,用來定義一個用戶可以訪問訂閱、資源組。其中,ARM 內(nèi)部的訪問能夠使用默認定義角色或者自定義角色。下圖描述了 Azure Stack 基于角色的訪問控制模型 (參照微軟官方 Azure RBAC):
在 Azure Stack 租戶層所采用的一些安全策略:Azure Stack 的資源策略,用于增強 ARM 傳統(tǒng)的訪問規(guī)則,如允許用戶只提供一定類型的虛擬機或強制標記某一個對象。
網(wǎng)絡(luò)安全組,Azure Stack 網(wǎng)絡(luò)的防火墻訪問規(guī)則,控制網(wǎng)絡(luò)、虛機的訪問。
虛擬網(wǎng)絡(luò)層 ,作為 Azure Stack 的軟件定義網(wǎng)絡(luò)解決方案,有效地杜絕傳統(tǒng)的 2 層攻擊。
TLS/SSL,默認情況下,所有的平臺服務(wù)和 API 都應(yīng)用 TLS /SSL 保證安全。
支持互聯(lián)網(wǎng)安全協(xié)議 IPsec。
Azure Key Vault,幫助你輕松管理云應(yīng)用和服務(wù)的加密密鑰。
Azure Stack 未提供的安全防護Azure Stack 本身提供了用戶身份認證、權(quán)限的租戶隔離和虛擬化資源共享業(yè)務(wù)安全問題的解決方案,但是對于用戶應(yīng)用數(shù)據(jù)的安全問題則有賴于用戶自己解決,這其中包括如下三個方面:1) 客戶虛擬機和應(yīng)用集群的統(tǒng)一、自動化管理,比如大數(shù)據(jù)集群管控。2) 客戶數(shù)據(jù)的自動備份、保護機制,比如數(shù)據(jù)脫敏,數(shù)據(jù)防泄漏等。3) 客戶虛擬機和客戶網(wǎng)絡(luò)的安全防護,比如更符合客戶習慣的身份認證與訪問控制,惡意軟件防護,防火墻等。針對 Azure Stack 未提供的用戶應(yīng)用、數(shù)據(jù)方面的安全問題,技術(shù)層面需要 CMP 和系列安全防護融合的綜合解決方案。通過 CMP 可以實現(xiàn)客戶虛擬機和應(yīng)用集群的統(tǒng)一、自動化管理和客戶數(shù)據(jù)的自動備份和保護,而客戶虛擬機和網(wǎng)絡(luò)的安全防護則需要通過專業(yè)的安全防護解決方案來解決。針對混合云,一個專業(yè)的安全解決方案,可以提供私有云和公有云統(tǒng)一的安全管理平臺,保護 IT 環(huán)境免遭數(shù)據(jù)泄露和業(yè)務(wù)中斷,降低運營成本,獲得如下六個方面的功能防護:1) 入侵檢測:通過屏蔽已知漏洞,主動防御各種已知和零時差 攻擊
檢查所有傳入和傳出流量中是否存在協(xié)議偏差、 策略違規(guī)或帶攻擊跡象的內(nèi)容
虛擬修補幫助確保符合 PCI DSS、HIPAA 等主要 法規(guī)
抵御 SQL 注入、跨站點腳本以及其他 Web 應(yīng)用 程序漏洞
對訪問網(wǎng)絡(luò)的應(yīng)用程序加強監(jiān)視或控制。
2) 防惡意軟件:確保工作負載免受惡意軟件攻擊
隔離惡意軟件,保護實例免受復(fù)雜攻擊 (包括勒索軟件)
把可疑對象提交給亞信安全 TM 深度發(fā)現(xiàn) TM 分析 器,以供進行沙盒分析
3) 防火墻,雙向有狀態(tài)防火墻,兼容各類主流協(xié)議。通過創(chuàng)建防火墻邊界來阻止攻擊,可減少攻擊面
限制為只能通過必要的端口和協(xié)議進行通信
集中管理服務(wù)器防火墻策略,包括用于常見服務(wù)
4)Web 信譽,對百萬計的 web 站點評級分類,訪問低信譽網(wǎng)站時主動提醒。
5) 完整性監(jiān)控,保護系統(tǒng)文件和注冊表,阻止對系統(tǒng)關(guān)鍵資源的更改。監(jiān)控和跟蹤系統(tǒng)更改,并實時報告惡意和意外更改
利用事件標記自動復(fù)制類似事件的操作
6) 日志審查,智能提取日志中的安全事件。收集操作系統(tǒng)和應(yīng)用程序日志,并分析其中的可疑行為、安全事件和管理事件
通過識別重要安全事件確保滿足合規(guī)性要求 (PCI DSS)
將事件轉(zhuǎn)發(fā)到 SIEM 系統(tǒng)或集中的日志記錄服務(wù)器,以進行關(guān)聯(lián)、報告及歸檔阿
擬態(tài)分布式文件存儲設(shè)備云計算在軍隊信息化建設(shè)中的應(yīng)用在線學習室產(chǎn)品選型論:PC還是云桌面?---“軍事職業(yè)教育”在線學習室建設(shè)思考與分析【信服博士談存儲】海量非結(jié)構(gòu)化數(shù)據(jù)存儲中的小對象合并技術(shù)銀河麒麟云平臺軟件大數(shù)據(jù)技術(shù),發(fā)展趨勢如何?突破性能極限,阿里云神龍最新解讀弱電機房綜合布線如何設(shè)計與施工?數(shù)據(jù)中心可視化運維管理系統(tǒng)大數(shù)據(jù)引發(fā)混合云井噴 四大場景與三大技術(shù)
