SDN实战团分享(三十七):云上安全

编者按:本文系SDN实战团技术分享系列,我们希望通过SDNLAB提供的平台传播知识,传递价值,欢迎加入我们的行列。

嘉宾简介:
--------------------------------------------------------------------------------------------------
吴航:现就职于Palo Alto Networks,任职大客户部高级安全顾问;曾就职于Check Point, Juniper 15年的安全行业从业经验
--------------------------------------------------------------------------------------------------
大家晚上好,下面我们开始今天的话题,主题是:云上安全,在接下来的时间里,我会跟大家共享三部分个相关内容。

第一部分:公有云的终极防御课程

Gartner 魔力象限是用户调研厂商提供服务好坏的重要指标,亚马逊 AWS 跟微软 Azure,在 Gartner 针对提供“基础架构服务”的公有云运营商调研报告中占据了明显的领先地位。

因此 Palo Alto Networks 选择先在这两朵公有云上实现安全,并希望通过他们看到用户在公有云中的模型部署逻辑。在公有云和传统网络中进行部署最大的不同是公有云的底层基本上对用户而言是完全不透明的,这也就造成了他们在一些安全部署上的相对困难跟特性。

公有云中的安全采用责任分摊制原则,因此用户要对其上传到公有云中的数据安全负责。公有云不负责保障用户资料的安全性,它负责的是确保平台底层不被恶意软件入侵,因此当用户决定在公有云上进行部署时必须考虑的问题是:我的安全要怎样解决。

公有云面临的安全挑战

在公有云部署企业应用,默认的安全解决方案的短板是:没有可视性、安全运维需要大量人工介入、安全功能缺乏一致性。

那么难道这些厂商提供的公有云中完全没有安全吗?答案并不是,只是因为公有云必须保护好自己的底层,因此和传统数据中心不同的是用户不太有可能看到云里的基础架构。相对而言,他在提供安全工具上也相对较为简陋。其次公有云的安全由一个传统的四层模型提供,对于公有云来说只要确保禁止应用层跟层之间不该有的沟通就可以了。

但当 web 层被攻破时,后续发生的每一个行为其实是在以合法掩饰非法,从网络的角度看,此时用户无法看到这些攻击,因为攻击需要做的行为透过用户已经允许的沟通模式存在,因此也就需要更好的可见度。

很多用户在部署公有云时最担心的是公有云做不到与企业环境中一样的安全模型、安全等级,企业环境下可以任意挑选安全产品,但在公有云的环境中,要将这些产品串接起来的难度相对较大,并且在公有云中没有完整的与企业建模一样的工具。那么此时,对于很多部署混合云的用户来说,公有云就变成了一个所谓的后门,相比之下它的安全等级低于企业环境中数据中心的安全等级。黑客会更加容易的从该路径进入,随即对企业的数据中心造成威胁。

除此之外,很多用户在做全球云的部署时会考虑一个问题:有没有一套工具、一个平台能够让企业部署在全球的各个数据中心中的安全策略能够达到一致,同步下发。

Palo Alto Networks的应对之法


在AWS以及Azure两个平台中都有一个专属的安全解决方案,用户可以从平台的网络软件商城中寻找到。Palo Alto Networks在平台中的解决方案与用户企业环境中所使用的硬件系列所能做到的功能一模一样,控管模式也一模一样,都可以通过Panorama的平台做到策略的一致性,并统一下发。

首先,解决方案能够认知到用户在一个虚拟的数据中心中运行了哪些程序。其次,在 Azure 和 AWS 提供的基本防火墙之上能够更进一步的看到这些流量,看到这些已知未知的威胁正在透过数据中心的边界进行攻击,甚至能够通过整个日志的汇总显示出不同的攻击之间具有怎样的关联性。

不管是 AWS 或 Azure,Palo Alto Networks 都能提供与传统企业环境中一样的保护,并在这两个平台中与他们提供的管理平台、应用工具、运维模式做深度的结合。因此可以完全结合他们既有的管理平台,同时也能够使用 Palo Alto Networks 在企业环境里面提供的安全上的保护跟特性。

SaaS的安全防护不容小觑

目前SaaS被企业大量应用,因为它可以很好提供企业需要的服务,取代人工维护服务器,并且在SaaS环境中可以提供一定程度的克制性。但相对于商业上的便利,在很多环境之下,SaaS对于企业IT而言又是一个巨大的安全隐患。

SaaS面临的安全挑战:

  • 数据当前位于企业边界之外
  • IT 不再控制数据共享的方式。
  • SaaS 将这些控制权交给了最终用户
  • 使用传统控制,查看数据流向或具有访问权限的人员虽然不是不可能,但也很难
  • 文件共享 SaaS 应用程序可充当很好的恶意软件分发系统

以上是我们第一部分的内容:公有云与SAAS安全

第二个话题:云数据中心安全一失足易成千古恨

一些小的QA:

Q1:先问一个简单的问题,你的手机里是否安装了各种聊天,支付,商务等等人们早已无法离开的应用程序,他们都放在哪里呢?
A1:他们都放在某个数据中心里。

Q2:问题升级,你心中的“云”是什么?
A2:这个......恩......通俗的讲,对于云最简单的理解就是一个不属于我的数据中心,但我可以把数据放在那里。

Q3:第三问,那么我们放在云中的数据究竟是否安全?
A3:不安全,各种钓鱼软件,恶意URL都对我们的数据虎视眈眈。

那么我们的数据中心如何远离这些攻击威胁?

企业数据中心是黑客们的主要目标,其安全风险管理变得日趋复杂。黑客的攻击行为已经从单纯的自我满足转变为了一种商务模式。并且随着时间的推移,新的攻击模式应运而生,例如勒索软件攻击。伴随着物联网的快速发展,这样的攻击模式会逐渐增多。2014年全年数据泄露事件大约1500件,全年丢失的数据总数约为10亿,平均每秒钟就有32条数据流失。2016年公开的泄露事件变少,但遗失的数据却越来越多,因为攻击模式的转变导致攻击成功后,获取的数据变得更多。

当前,这些数据大部分都存在于某些数据中心内部,所以数据中心的防护甚至云的防护就变得尤为重要。

你以为的安全其实并不安全

大多数人认为互联网网关部署了防火墙就可以保证数据中心的安全,其实这个认知是错误的,从目前的情况来看,越来越多的攻击是在数据中心内部产生的。因此在做安全等级设计时,越接近企业的数据库,越应该有高安全等级的防护。但是目前大部分企业做的最多的仍是互联网网关的防护,他们认为可视的部分是最容易遭受攻击的,然而在这种情况下,通常都会有很多未知的后门,这也就是数据中心安全越来越多的被谈及的原因。

数据中心发生变革,传统防护怎能跟上脚步

应用的环境在数据中心内部第一个发生变革,当它需要支持越来越多的用户时,由于传统的应用模型取决于服务器自身的能力,因此系统必须更改,例如增加更多的服务器。但这种方法到一定程度时就无法再继续使用,此时只有购买特别专属的大机器或是改变应用架构变成分布式这两种方法。

而这种方法造成数据中心的边界以及内部看到的流量都发生了很大变化。传统摆在单一服务器内部的组件,开始向外移动变成单一功能的分布式的应用架构,或是一个额外的服务器的功能群组。在这个模型中,传统大部分南北向的数据中心流开始移动到了数据中心内部。而此时如果互联网网关的防火墙无法有效的遏制住黑客的进攻,那么当黑客进入数据中心的边界之后,数据中心基本等同于零防护。

在下一代环境中企业无法假设环境安全,因为在过去的几年全球范围内发生的大型黑客事件中,并不是单纯的只从网络的角度进行进攻,随着终端一直在各个不同的环境下的暴露,传统的安全防护方式已经不再适用。企业需要考量在数据中心内部,在更多流量不可视的情况之下,如何提高可视度以强化企业的安全防护。

目前主流的 SDN / 网络虚拟化解决方案包括 VMware,Cisco ACI 以及 OpenStack/KVM。Palo Alto Networks 在这些不同的环境中都能够提供完整的安全解决方案,这也是 Palo Alto Networks 的职责所在。因此,对于企业而言,不需要担心根据 SDN / 网络虚拟化的不同而改变为不同的安全解决方案。

Panorama 是策略管理的核心所在,他并不接入安全的实施,但负责在企业的私有云、公有云、硬件软件等不同的环境中确保安全策略的一致性,同时还能够将这些设备整合起来进行监控,将其进行关联。

应用程序可见性也是解决方案的一大特点,在图形化界面中,可以看到正在进行的应用,甚至是正在进行沟通的 IP,以及 IP 的地域。

安全逻辑是利用白名单,网络分段阻止横向的移动

  • 应用程序和数据受白名单策略保护
  • 控制应用程序对应用程序/子网对子网流量并且
  • 阻止恶意软件;入站(南北向)和横向(东西向)
  • 基于需求/凭据的用户授权访问

在云端服务数据中心内,因应前端服务用量而来的资源动态配置是非常频繁且实时的,因此虚拟机的变化 (新增、移除、迁移)是极为常见的情形,针对这样的需求,提供动态地址对象 (Dynamic Object) 及丰富 XML API 接口,让安全管理能与虚拟化平台管理系统自动地协同工作,实时了解虚拟机器的变化,并随之调整安全策略,让安全防护无缝接轨,减轻管理负担,一切都能自动完成。

数据中心防护的核心理念:零信任模型

以上是第二部分内容

第三部分 对云大佬的专访分享

“莫愁前路无知己,天下谁人不识君”,很荣幸 Palo Alto Networks 能够邀请到全球大腕们前来做客。我们将针对云安全现状以及发展趋势进行探讨,首先来看看做客现场的嘉宾阵容

CSA:云安全挑战

Rene Bonvanie :在我所到之处,安全专家们都会问我同样的问题,云能够颠覆一切吗?它会改变我们对安全的看法吗?他改变了谁的责任呢?现在我告诉大家,答案是不能、不会和没有。你仍然需要负责,你仍然能进行控制,并且仍然会陷入圈套,接下来有请我们的第一位嘉宾:Jim Reavis。首先我们来说说什么是云?你对云有怎样的看法?

Jim Reavis:我认为云技术是一次变革,云不是单纯的事物,它是计算和管理数据以及管理用户的一种新方式,基本上从我们作为服务器购买的计算机到全球计算使用程序,你可以根据需要获得尽可能多的计算。在过去的商业领域中,只有少数人能够实际承担的起所有权方面的计算,并确定下一步行动。而现在,世界上任何人都可以拥有一个想法,通过云的力量,将这个想法变成现实。当我们在2009年创办云安全联盟时,人们更乐于尝试新的应用程序,云优先就这样诞生了。其意思是任何企业在使用其他任何类型的系统构建企业应用程序之前都会先考虑云,所以这就是我们所期望的未来的物联网设备,所有类型事物都将在某种程度上使用云作为中央组织系统。


Rene Bonvanie :如此所说,云优先是一种非常主流的趋势,那么你认为还有哪些趋势,与如何使用云有关?

Jim Reavis:首先,从安全的角度上来看,大多数人的需求是数据的可视性,只有切实看到才能真正确保数据的安全。我们必须要思考的问题是如何让用户放心的,开放实体控制,转而通过虚拟控制来实现。其次,如果我们从全球视角思考当今的这些开发成果,就会发现合规性问题已经成为了一个公众关注的热点问题,我们如何才能解决欧洲在合规性方面的疑虑呢?我们如何应对 HIPPA、PCI DSS 等数据保护指令?从这一层面上看,问题也相当复杂。而关于云技术方面的进展则较为迅速,我们借鉴自动化,人工智能等规避风险的方式,让安全专家们能够从实际的角度真正的去思考,在没有此前实体控制的情况下,如何在云中重新构建适合的安全策略,从而切实确保云中各终端的安全。

Rene Bonvanie :是的,现在 Palo Alto Networks 已经明显地观察到,人们在开始使用云技术并寻求云安全性时也具有相似的趋势。大家对合规性还是心存疑虑,还在担心有关规模化责任和网络化的问题。从前这些可能是个体问题,而现在他们变成了共同面临的问题。

Jim Reavis:对于共性问题的解决方案,我们真正需要的是一个独立可靠的信息安全产业,提供数据保护的单一虚拟管理平台,适用于多种不同云系统和多种不同端点的通用策略实施方案。

接下来是对Microsoft Azure Networking产品管理部副总裁 Yousef Khalidi Microsoft 创始人之一的专访

Microsoft  Azure:全方位云服务

Rene Bonvanie :今天我们也非常荣幸邀请到了来自 Microsoft Azure 的 Yousef Khalidi ,那么我对 Yousef 的问题是:大家很期待 Microsoft 参与以及加入基础架构,那么你观察到了云的哪些趋势,Microsoft 针对这些趋势做了哪些工作来帮助广大用户使用云技术?

Yousef Khalidi :大家可能都知道,Azure 是规模最大的公共云之一,我们提供开放式的平台,超过1/3的虚机。Azure 拥有规模最大,功能最强大的合规基础综合,各项认证俱备。我们在全球范围内拥有38个 Azure 服务区,并构建了连接所有这些服务区的全球网络。此外,我们还提供私有介入渠道,我们的客户还可以在全球各地与我们连接,还可以绕过互联网,采用多点连接,这需要与我们的高端基础架构相结合。客户可以选择在公共云中运行,或使用 Azure 静态技术,在企业预制私有云中运行,这样一来,从企业预制版到通过公共接入或是私有接入的公共路由,我们实现了全方位的服务。

Rene Bonvanie :请问 Jim,在拥有免费的原生安全产品的情况下,是否有必要在公共云中使用第三方安全产品?为什么?

Jim Reavis:大型云提供商在安全方面做得很好,并实施了不少举措。一直以来大家都在预测,安全即将成为行业某部分的附属功能,但这一预测从未实现。安全问题中涉及到技巧与技术太过复杂,恶意分子总在伺机而动,因此必须营造一个充满活力的安全产业。具体就云服务而言也是这样,很多企业目前所使用的云服务少则几百种,多则甚至几千种,他们都希望实现安全方面的一致性,只有具备独立的安全功能,配备各种类型的解决方案,才能安全的进行云管理。

接下来是对Amazon Web Services 市场部副总裁 Dave McCann的专访

AWS:共担责任模型,守护云安全
Rene Bonvanie :下面有请另一位演讲嘉宾,AWS Dave McCann。现在世界上最大的政府企业已经在 AWS 中部署了他们的应用程序和数据,请问他们关注的内容是哪些?

Dave McCann:在当今世界,创新的速度正在史无前例的加快,而且充满变革性。他们期待实现云技术安全的提供创新和敏捷性,并希望利用新的功能,使其能够替换世界各地的软件。

Jim Reavis:Dave,从安全角度来看,如果你考虑到种类如此繁多的客户群体,就会发现这真的是一个严峻的挑战,而具备这一共担责任模型显然十分重要。那么在使用共担的安全模型方面,我们将面临哪些挑战?

Dave McCann:答案也很明显,安全是第一要务。我们必须保护客户的数据以及系统,我们所涉及的产品及共担责任模型能够很好的与我们的客户相契合。在共担责任模型中,AWS 从主机向下进行管理,因此在二级或更低级别的计算机存储网络层以及主机上,我们肩负起这一责任。我们将其包装为功能集,从而实现与业务的分离。显然,现在的数据访客应用程序和产品都必须由客户管理。正因如此,通过 Palo Alto Networks 等战略合作伙伴提供的一系列云优化功能,使客户能够进行控制或通过数以千计的咨询合作伙伴与各种规模的客户合作,让客户能够控制上层,而不必担心下层,这就是 AWS 的共担责任模型。

以上是第三部分内容的分享,今天三部分内容都已分享完毕,希望对大家有所帮助。谢谢

Q&A

Q:数据的私密性一般是客户还是云厂商的责任和措施?
A客户自己。云服务提供商只负责基础架构的安全以及平台的安全,所以需要客户选择第三方厂商来提供数据私秘性安全保障。

Q:起点怎么办,我的私钥如何安全地传到云端
A:靠应用自己安全机制,或者通过vpn做成混合云,比如aws 和您的物理数据中心建立vpn 是比较常见的方式

Q:在多个应用中需要使应用执行同一组安全规则,怎么实现安全规则的统一呢!
A:统一的策略管理,比如在NSX的环境里,可以同步security group的信息,在防火墙等安全虚拟设备里真对时时同步过来的Security Group来设置安全策略

--------------------------------------------------------------------------
SDN实战团微信群由Brocade中国区CTO张宇峰领衔组织创立,携手SDN Lab以及海内外SDN/NFV/云计算产学研生态系统相关领域实战技术牛,每周都会组织定向的技术及业界动态分享,欢迎感兴趣的同学加微信:eigenswing,进群参与,您有想听的话题可以给我们留言。


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/18779.html
分享到:
相关文章
条评论

登录后才可以评论

SDNLAB君 发表于17-03-30
1