云安全的思考及展望
云是一個火熱的話題,對于一個新的概念,大量的軟件產(chǎn)品和方案也隨之而來。有的企業(yè)在評估云帶來的好處;有的企業(yè)在研發(fā)自有的特色云;甚至有的企業(yè)已經(jīng)開始品嘗螃蟹的味道。但從一個多年關(guān)注安全領(lǐng)域研究的從業(yè)者角度來看,目前的云充滿了各種風(fēng)險(xiǎn),在整個架構(gòu)上有著獨(dú)有的脆弱性。
那么,在我的眼中,云究竟是什么呢?隨著科技的發(fā)展,計(jì)算機(jī)性能的提高與網(wǎng)絡(luò)的普及,物理計(jì)算機(jī)本身和相互之間的邏輯化變得十分有活力,無論是VM(虛擬機(jī))技術(shù)還是云技術(shù)都是把物理設(shè)備邏輯化的一種表現(xiàn)形式。只不過VM(虛擬機(jī))是把外延縮小,云是把外延放大,我們可以把云看作一臺邏輯上獨(dú)立的大型計(jì)算機(jī)。有安全從業(yè)經(jīng)驗(yàn)的朋友可能會有這樣的認(rèn)識,調(diào)試病毒的時(shí)候我們需要在VM(虛擬機(jī))里進(jìn)行,這樣就不會影響整個系統(tǒng)。也就是說當(dāng)外延縮小時(shí),安全性可以得到保障。但是外延放大的云有什么安全保障呢?目前的云沒有一個標(biāo)準(zhǔn)的安全接口規(guī)范,每一家提供商都是自己定義的連接接口。這種情況實(shí)際上就帶來了非常大的安全隱患,也為將來云與云之間的交互帶來了不便。
由于沒有一個標(biāo)準(zhǔn)化的接口定義,導(dǎo)致現(xiàn)有云產(chǎn)業(yè)的無序發(fā)展。就像一個單細(xì)胞生物進(jìn)化到多細(xì)胞生物一樣,會有很復(fù)雜的演變過程和大量的拋棄分支。我相信大部分的問題是由于最初的安全定義不夠強(qiáng)壯,造成后續(xù)的代碼框架無法修改,或者修改的代價(jià)太大,不如重頭再來。我們以實(shí)際例子來看云的脆弱性:
1、終端安全問題
云的端接口是分發(fā)給客戶使用的也是最容易被得到分析的。以殺毒云為例,如果攻擊者通過分析病毒樣本提交的交互接口,直接利用自寫程序在多個計(jì)算機(jī)同時(shí)提交大量的樣本文件,那么殺毒云會不會死掉?即使服務(wù)器足夠強(qiáng)壯,可以抵御攻擊,那么海量的病毒樣本又該如何處理?
2、云節(jié)點(diǎn)間的安全問題
大部分的云節(jié)點(diǎn)之間都是基于一種簡單信任機(jī)制。以某網(wǎng)絡(luò)交易提供商為例,由于每個節(jié)點(diǎn)之間的完全信任關(guān)系,只要攻破其中的一個節(jié)點(diǎn),就相當(dāng)于完全控制了整個云。攻擊方案可以通過嗅探節(jié)點(diǎn)間的通訊,偽造新節(jié)點(diǎn)的加入達(dá)到控制的目的。攻擊的手段還有很多,僅此一斑,可見節(jié)點(diǎn)間安全帶來的嚴(yán)峻挑戰(zhàn)。
3、云與云之間的安全問題
集團(tuán)內(nèi)應(yīng)用云和存儲云的連接、私有云和私有云的連接、私有云和公有云的連接、即時(shí)服務(wù)云和計(jì)算云的連接等等一系列連接的安全協(xié)議和規(guī)范都存在問題。入侵應(yīng)用云后,模擬應(yīng)用云給存儲云重放某些封包會不會存儲錯亂,私有云和私有云之間如何信任,私有云和公有云的連接怎么才能保障安全等等。
以上的一些攻擊構(gòu)想都充分說明云安全的接口定義已經(jīng)迫在眉睫了。
目前整個軟件行業(yè)都存在一個安全概念的缺失問題。在我看來做任何軟件的應(yīng)用開發(fā),首先在應(yīng)用分析的基礎(chǔ)上建立一個安全框架,然后在這個安全的框架下進(jìn)行開發(fā),而不是為了只是完成客戶的功能需求,單純?yōu)榱斯δ芏鳦ode。這涉及到整個軟件產(chǎn)業(yè)的基礎(chǔ)構(gòu)架問題,這里不再贅述。我們還是回到云安全的問題上。首先分析云安全的基礎(chǔ)元素。按云的核心構(gòu)成部分可以分為云的節(jié)點(diǎn)、云的接入端、云的邊界點(diǎn)(內(nèi)邊界、外邊界);按照云的類型分為即時(shí)應(yīng)用云(前端服務(wù)云、中臺服務(wù)云、存儲云)、運(yùn)算云;將來可能會有主云、從云、中心云、輔助云、邊界云等等功能分化的云。
那么我們先看一下最簡單的安全接入問題,就是端的安全。首先接入的??要通過身份驗(yàn)證才可以接入以確保可信性、防抵賴性、唯一性。數(shù)據(jù)傳輸走加密信道,解碼進(jìn)行必要的長度檢查和特殊字符過濾。當(dāng)出現(xiàn)惡意接入或惡意攻擊可定位、可阻斷時(shí),交互的協(xié)議可使用類似vpn隧道的建立過程。云節(jié)點(diǎn)的節(jié)點(diǎn)間通訊除了上面的端的安全性可用外,要增加必要的互信等級定義(全信任、服務(wù)信任、應(yīng)用信任等),通訊內(nèi)置可信標(biāo)識(證書或硬件)接收端定義可使用協(xié)議種類標(biāo)識。確保在限定的節(jié)點(diǎn),發(fā)出限定的內(nèi)容,同時(shí)過濾不可信的或惡意構(gòu)造的數(shù)據(jù)包。云邊界的安全接口可以綜合上面提到的安全方案,但是要注意將交互定義明確化,區(qū)分內(nèi)邊界和外邊界的安全級別定義的不同。特殊需要注意的是,因?yàn)閼?yīng)用云和運(yùn)算云實(shí)時(shí)性和信任程度的不同,運(yùn)算云可以使用更復(fù)雜的算法和安全認(rèn)證技術(shù),例如rsa2048的5次疊加握手,確保信道安全可靠不被攔截篡改。
當(dāng)大規(guī)模云化網(wǎng)絡(luò)的實(shí)現(xiàn)完成后,就如同多細(xì)胞到功能分化的普通生物最后到人類一樣,開始功能專長化發(fā)展。最后組成由中心化的核心智能云調(diào)配各種特殊功能的專屬子云資源,當(dāng)然這里面涉及到的云間信任、云間管理、云間協(xié)作等等一系列問題,留給專家組自行完善和討論吧。我這里先展望一下,也為云安全預(yù)敲一下警鐘。希望軟件業(yè)以后有概念性的東西出來,先建立安全框架再進(jìn)行產(chǎn)業(yè)化,衷心的希望中國企業(yè)能夠聯(lián)合起來搶先制定云的安全接口標(biāo)準(zhǔn),我們一起以“一流企業(yè)做標(biāo)準(zhǔn)”這句話共勉吧。
【編輯推薦】
