混合云架構下的安全風險分析和安全解決方案建議
本文轉載自微信公眾號「新鈦云服」,作者王愛華 。轉載本文請聯系新鈦云服公眾號。
01.混合云架構下的安全風險分析
1. 混合云架構下的安全風險分析
企業混合云環境,一般包括一個或多個公有云廠商以及自建的私有云平臺,從信息安全風險管理角度來看,實施混合云涉及到IT基礎架構和應用架構的重大變更,因此需要重新進行風險評估。混合云環境下需要考慮到的安全風險包括:
- 公有云廠商及其安全服務的選擇
- 私有云安全防護能力建設
- 混合云環境下的服務器、容器、無服務器應用安全
- 混合云環境下的數據安全
- 統一的混合云安全管理和運營平臺
- 統一的混合云運維管理通道
- 混合云環境下的安全合規需求
云原生安全產品的選擇
1.1 公有云廠商及其安全服務的選擇
1) 公有云廠商是否具備合適的認證資質
認證資質體現了公有云服務商自身在信息安全管理、云平臺基礎架構管理、安全運維和運營、用戶個人信息保護、特定行業領域安全保障、災難恢復和業務連續性管理及法律合規風險等方面的服務能力。
如果企業上云業務涉及到用戶信用卡支付,則需要提供基礎架構服務的公有云廠商具備PCI DSS認證資質;如果企業上云業務需要通過國家等級保護認證,則需要需要提供基礎架構服務的公有云廠商具備不低于企業應用系統等保定級級別的網絡安全等級保護資質。因此企業需根據自身單位性質,行業要求,業務模式和具體安全需求選擇合適的公有云廠商。
公有云廠商申請的常見安全資質包括:ISO 20000(IT服務管理體系),ISO 27001認證(信息安全管理體系),ISO 22301(業務連續性管理),ISO 27017(云計算信息安全),ISO 27018(公有云個人身份信息安全防護),CSA STAR金牌認證(BSI+CSA云安全認證),ITSS(工信部云計算服務能力評估)(1級)網絡安全等級保護(3級,4級),可信云服務認證資質等。
一般來說,公有云廠商擁有的資質種類多少,某種程度上表明其對云平臺基礎建設和保障、用戶服務、信息安全和法律法規遵循性方面的重視,從而能夠為云租戶提供更好的運維和安全服務。
2) 公有云廠商是否能夠提供企業需要的安全服務項目
不同公有云廠商由于戰略目標和業務發展規劃不同,在信息安全理念、安全團隊、安全技術能力沉淀、安全軟硬件產品線等方面也存在差別,因此對外提供的安全產品和安全服務內容也會不一樣。如阿里云的IDaaS可以為混合云應用提供統一的身份認證和授權管理,騰訊云防病毒引擎服務可以對用戶上傳文件進行安全掃描等,但并非所有的公有云廠商均可提供類似的安全服務。
因此企業選擇公有云廠商之前,應預先通過公有云廠商網站對其能夠提供的安全產品和安全服務進行全面了解,并根據自身的業務安全風險、安全需求和安全技術經驗,初步規劃后續需要使用的安全產品和安全服務,對可能使用到的一些安全產品或安全服務內容存在疑問時,應積極和公有云廠商或其服務代理商進行深入溝通,比如支持的數據庫類型,是否提供網絡層的流量入侵檢測服務,是否提供虛擬化補丁服務,是否提供統一的安全管理平臺等,以便后續有需求時能夠確保選擇的公有云廠商可以提供需要的服務能力。
3) 公有云廠商安全服務協議和SLA是否滿足自身安全需求
上云企業應仔細檢查公有云廠商提供的各類安全服務協議和SLA內容,確認是否滿足自身的安全基線、安全檢查、安全審計、安全合規、事件處理、災難恢復時的服務要求。
1.2 私有云安全防護能力建設
1) 私有云產品選型
國內私有云解決方案包括商業性質的VMware vCloud Suite產品 ,以及基于開源云計算管理平臺Openstack進行二次開發的多家私有云廠商產品,如EaskStck,青云等。與此同時,不少公有云廠商也推出了自己的混合云解決方案,包括華為云Stack、阿里云Apsara Stack、騰訊云TCE、AWS Outposts、Azure Stack等,以幫助企業用戶解決私有云產品選型,并可通過一致的產品和服務控制臺統一管理企業混合云,同時進一步提升自己的公有云市場占比。
2) 如何構建私有云安全能力
企業自建私有云時,應同時考慮私有云平臺的自身安全性以及可以提供給云租戶的安全服務內容,私有云安全能力和私有云產品的最終選型緊密相關。
私有云安全體系建設包括整體網絡架構設計、安全硬件設備部署、服務器硬件安全加固(安全引導技術如TPM,UEFI等)、網絡設備安全、操作系統安全、通信安全、統一身份認證和授權、應用安全、中間件安全、存儲和數據安全、API安全等多方面內容。如使用原生openstack自建私有云,可參考https://docs.openstack.org/security-guide/進行安全檢查和安全加固,如使用第三方廠商的私有云解決方案,需要參考廠商提供的私有云平臺安全要求進行檢查和加固。
對于為租戶提供的安全服務,使用openstack構建的私有云,可考慮集成一些安全開源軟件(如pfsense,VeryNginx等)實現基本的防火墻和WAF安全服務。
傳統的國內外硬件安全廠商(如綠盟,山石網科等)也開始提供軟件化的安全產品和服務,通過軟件定義安全SDS架構,可以提供相應的API和openstack等私有云平臺進行集成,實現防火墻、負載均衡、入侵檢測、入侵防御、WAF等安全功能集中管控的同時,也可為租戶提供所需的安全服務。也有一些硬件安全廠商(如深信服,天融信等),通過超融合系統設備,直接在私有云環境中整合自身的各類安全產品,為租戶提供一體化安全服務。
相對而言更具競爭力的是那些推出混合云解決方案的公有云廠商,基于其自身公有云安全建設和安全服務經驗,也許可以為私有云租戶提供更加合適、可靠的安全產品和安全服務能力。
因此對于混合云環境下的私有云安全能力建設,企業需要在傳統安全廠商和公有云廠商的安全產品解決方案中做出艱難抉擇。
1.3 混合云環境下的服務器、容器、無服務器應用安全
混合云環境下,企業業務運行的支撐環境包括服務器、容器或無服務器應用(如AWS上基于事件驅動的Lambda函數),這些業務運行環境的安全是企業需要重點考慮的安全問題。Gartner在 17 年提出了云工作負載安全平臺CWPP (Cloud Workload Protection Platforms)的概念,主要就是致力于解決云環境下業務運行環境的安全性問題。根據產品聚焦的不同安全內容,CWPP產品又可細分為以下7類:
- 支持多種類型操作系統功能
- 漏洞掃描,配置和合規性功能
- 基于身份的細分,可見性和控制能力
- 應用程序控制/所需的狀態執行功能
- 服務器EDR,工作負載行為監控和威脅檢測/響應功能
- 容器和Kubernetes保護功能
- 無服務器保護功能
混合云環境下,企業應根據自身業務系統實際運行環境,如操作系統類型,是否使用容器,是否使用k8s,是否使用無服務器應用,是否有合規需求等,選擇合適的CWPP產品。此類產品包括青藤云、安全狗、阿里云等多家獨立安全廠商或公有云廠商產品。需要特別注意的是,選擇的CWPP產品是否支持或如何支持混合云方式部署,以便后續的統一管理和維護。
1.4 混合云環境下的數據安全
其實不管是混合云環境,還是傳統IDC環境,數據安全都是信息安全的重中之重。
混合云環境下,企業數據會同時在公有云和私有云中傳輸和存儲,從而增加了數據被監聽竊取或被篡改的風險。因此公有云廠商一般都會提供數據加密、密鑰管理、敏感數據發現、敏感數據脫敏、數據庫審計、數據庫防火墻等安全技術和安全服務以保護云租戶的數據安全。
另一方面,由于公有云廠商自身也會出現如服務器宕機或服務中斷事件,從而導致云租戶數據丟失的事件也有發生,所以實際操作過程中,大多數企業仍然傾向于劃分公有云環境和私有云環境為不同安全等級(或信任級別)的區域,公有云環境更多用于部署業務前端應用并按需擴展,業務敏感數據仍然選擇在企業可控的私有云環境進行存儲。
一些傳統數據安全廠商(如美創,昂凱科技等)也已推出自己的混合云數據安全解決方案,涉及數據庫運維管理平臺,數據庫審計系統,數據庫脫敏系統,數據庫防火墻,數據庫加密系統等多種軟硬件產品。
對于企業信息安全或者是數據安全管理部門而言,混合云場景下的數據安全仍應遵循數據全生命周期安全管理理念,需要對公司各類數據進行梳理和分類分級,從數據生成和采集,數據傳輸,數據存儲,數據處理,數據交換,數據備份和恢復,數據銷毀整個生命周期進行風險評估,選擇和實施適合混合云場景的數據安全技術、數據安全產品和安全管理措施,從而真正保障企業數據安全的同時,也可以滿足企業需要遵循的各類數據安全標準、法律法規和行業合規要求。
1.5 統一的混合云安全管理和運營平臺
混合云架構下的信息安全運維和運營管理涉及到公有云和私有云環境中的多種安全產品和安全實現技術,從信息安全管理部門的運維和運營效率,以及安全管理的一致性體驗角度考慮,需要可以通過一個統一的安全管理平臺實現集中化管理。
如果選擇公有云廠商提供的私有云安全解決方案,廠商通常會提供統一的安全管理平臺實現對公有云和私有云安全設備和安全服務的集中管理。
對于一些安全產品線較為完善的硬件安全廠家(如綠盟,深信服等),也會推出基于自有安全設備的混合云安全解決方案。通過在公有云環境開辟一個單獨的安全管理區域,部署自有各類軟硬件安全產品來替換公有云廠商提供的防火墻、WAF、DDOS、堡壘機、入侵檢測設備、漏洞掃描系統、日志審計等安全服務,同時在私有云環境同樣部署一套類似環境,實現對自有安全產品的統一管理。此類解決方案通常實施成本較高,存在重復部署問題,同時安全防護能力依賴于廠商現有的安全軟硬件產品體系完善程度,不一定能夠真正滿足企業的實際安全需求。
如果選擇原生Openstack或基于openstack二次開發的私有云平臺,如需實現統一的混合云安全管理平臺,就會涉及公有云廠商安全服務API接入開發,所選硬件安全廠商提供的安全API接入開發,甚至需要硬件安全廠商的二次支持開發,目前來看,開發工作量和實現難度很大。
1.6 統一的混合云運維管理通道
對運維人員來說,混合云架構意味著需要在一個或多個公有云環境和私有云環境分別進行系統安裝、服務部署、應用發布及日常的更新維護工作。針對私有云環境進行運維時,需要登錄公司內部堡壘機進行操作,針對公有云環境進行運維時,需要登錄公有云廠商提供的管理平臺進行操作。同時對于公司安全管理部門來說,也需要在多點部署安全設備或安全工具,實現運維賬號和運維權限管理,用戶登錄和操作日志審計等方面的安全管理工作。
混合云環境下,運維或安全管理部門,可選擇一款多云管理平臺(如新鈦云服提供的TiOps多云管理平臺等),運維人員可以通過統一的平臺入口,實現多云資源(包括公有云、私有云、物理機和容器)管理、自動化運維、k8s管理、公有云成本管理、CMDB、監控告警等運維工作,同時實現用戶角色和權限管理、用戶登錄和操作審計及回放等安全功能。
1.7 混合云環境下的安全合規需求
不同類型的信息安全法律法規條款或安全合規認證內容,都是基于其關心的安全目標和定義的安全檢查對象,通過具有不同安全側重點和不同安全要求的多個檢查項,對信息系統及其支撐、運行環境進行安全檢查、測試和審計,以確認信息系統及其支撐運行環境中,采取的各類安全措施是否符合需要的安全要求。混合云環境的合規檢查對象,一般都會涉及公有云廠商基礎架構、公有云業務、私有云平臺和私有云業務。
比如混合云環境下的等保2.0合規認證,需要分別考慮公有云環境和私有云環境下的等保合規問題。對于公有云業務,首先要求作為提供基礎設施服務(云計算平臺)的公有云廠商,必須具備不低于應用系統等保定級級別的網絡安全等級保護資質,然后再對企業的公有云業務(云租戶信息系統)進行等保測評工作。對于自建私有云業務,也是首先需要對云計算平臺進行定級和測評,然后再對私有云用戶業務系統(云租戶信息系統)進行定級測評,同樣需要私有云平臺的安全保護等級不低于其所支撐的業務系統的最高等級。
類似地,混合云環境下的應用系統如果計劃申請PIC-DSS認證、需要滿足歐盟GDPR數據保護條例等合規或法律要求時,也是需要提供基礎架構服務的公有云廠商具備相應的PCI-DSS認證資質、符合GDRP合規要求,同時對私有云基礎架構(云計算平臺)和用戶業務系統(包括公有云和私有云上的云租戶信息系統)進行對應的合規性檢測。
因此混合云環境下,企業需要根據自身合規需要,選擇具有對應資質的公有云廠商,同時根據不同合規檢查項,對自建私有云平臺進行安全自查、安全加固或安全整改,以確保私有云平臺和運行的用戶業務系統符合合規要求。
1.8 云安全產品的選擇
混合云環境下,許多傳統的安全理念、安全產品和安全解決方案已經不再適合,或者說是不能有效解決混合云環境下產生的各類安全風險問題。與此同時,業界對云安全的研究,也促進了不少新的,更加適合云環境的安全理念、安全模型、云原生安全產品和針對性的混合云安全解決方案,比如gartner推薦的多種安全技術,包括多云管理平臺,云工作保護平臺(CWPP),云訪問安全代理(CASB),云安全配置管理(CSPM),零信任安全解決方案(SDP)等等。
對于計劃或已經采用混合云架構的企業安全管理、安全技術人員,特別是安全架構師而言,需要不斷跟進最前沿的云安全技術,熟悉不同的云安全產品功能和特性,以及水平參差不齊的混合云安全解決方案,同時結合企業自身的業務特性、安全目標和實際風險情況,進行測試并謹慎選擇合適的云安全服務、云安全產品或混合云安全解決方案,這同樣是一件具有很大挑戰性和很高風險的任務。
02.混合云安全解決方案建議
考慮到混合云環境下安全服務、安全技術、安全產品、安全平臺、安全合規等安全風險的復雜性,建議企業在規劃、構建和實施混合云架構時,可以使用第三方云服務商的安全咨詢服務(如新鈦云服等),從專業角度幫助企業了解不同公有云廠商、公有云產品和服務、私有云平臺選型、私有云安全能力建設以及不同混合云安全解決方案的優缺點、適用場景、實施成本等,以減少混合云選型、落地實施及后續運維運營管理等多方面的安全問題。
合理的混合云安全解決方案,仍然應該遵循最基本的安全建設理念,即合理的安全規劃,分階段進行實施,關注和防范重點風險。從實際項目經驗來看,我們建議混合云安全解決方案大體可以分四個階段進行實施:
第一階段:混合云安全架構調研、測試、規劃和實施。包括公有云服務商及公有云安全服務的測試和選型,私有云平臺選型、私有云安全解決方案的測試和選型,統一的混合云安全管理平臺等;
第二階段: 混合云架構下的基礎安全防范和服務能力建設。一般需要包括FW、WAF、CWPP、數據庫審計服務或產品、多云管理平臺等,以至少覆蓋網絡層安全、主機/容器安全、應用層安全、數據安全和運維通道的安全管理,從而構建基本的縱深安全防范體系;
圖一:混合云基礎安全/加強安全防范和服務能力
第三階段:根據企業自身業務特性,加強重點風險防范能力。如針對游戲業務的抗DDOS服務、基于SDK的安全解決方案,針對電商行業的風控平臺和數據安全解決方案等,需要重點考慮。
第四階段:適合企業混合云具體應用特性的安全強化,日常安全運維運營及安全合規工作。如針對SaaS業務的CASB產品,對高安全要求應用考慮實施SDP解決方案,敏感數據自動發現和動態脫敏,統一的安全中心和合規工作等。
信息安全本身就是一個不斷進化的動態過程,不可能一蹴而就,也不存在百分百的安全保障。如何科學的構建和管理混合云安全,需要更多的風險評估、安全管理、安全研究、安全運營、安全開發等多方經驗的總結和交流,也非常歡迎各位就混合云安全涉及到的方方面面多多交流!
