云計(jì)算的安全問(wèn)題

2017-01-14 13:22:52 來(lái)源:三聯(lián)作者:佚名 人氣:1272 次閱讀 296 條評(píng)論

  1. 前言  云計(jì)算已經(jīng)是非?;鸨母拍盍?,涉及的服務(wù)也非常多,彈性計(jì)算服務(wù)、文件存儲(chǔ)服務(wù)、關(guān)系數(shù)據(jù)庫(kù)服務(wù)、key-value數(shù)據(jù)庫(kù)服務(wù)等等不勝枚舉。本文將簡(jiǎn)要闡述一下彈性計(jì)算服務(wù)的安全問(wèn)題,因?yàn)閺椥杂?jì)算是應(yīng)用得...

   1.  前言

  云計(jì)算已經(jīng)是非常火爆的概念了,涉及的服務(wù)也非常多,彈性計(jì)算服務(wù)、文件存儲(chǔ)服務(wù)、關(guān)系數(shù)據(jù)庫(kù)服務(wù)、key-value數(shù)據(jù)庫(kù)服務(wù)等等不勝枚舉。本文將簡(jiǎn)要闡述一下彈性計(jì)算服務(wù)的安全問(wèn)題,因?yàn)閺椥杂?jì)算是應(yīng)用得最普遍的云服務(wù),也是安全風(fēng)險(xiǎn)最大的云服務(wù)。

  由于許多東西涉及公司機(jī)密,技術(shù)細(xì)節(jié)、實(shí)現(xiàn)或者新的方向,本文中不進(jìn)行講解。有興趣的可以投一份簡(jiǎn)歷過(guò)來(lái),我們共同為云計(jì)算努力。

  2.  云計(jì)算帶來(lái)的新風(fēng)險(xiǎn)

  在云計(jì)算之前的時(shí)代,傳統(tǒng)IDC機(jī)房就面臨著許多的安全風(fēng)險(xiǎn)。然后這些問(wèn)題毫無(wú)遺漏的傳遞到了云計(jì)算時(shí)代,不僅如此,云計(jì)算獨(dú)有的運(yùn)作模式還帶來(lái)了更多新的問(wèn)題。

  2.1.  云內(nèi)部的攻擊

  l 安全域被打破

  在對(duì)外提供云計(jì)算業(yè)務(wù)之前,互聯(lián)網(wǎng)公司使用獨(dú)立的IDC機(jī)房,由邊界防火墻隔離成內(nèi)外兩塊。防火墻內(nèi)部屬于可信區(qū)域,自己獨(dú)占,外部屬于不可信區(qū)域,所有的攻擊者都在這里。安全人員只需要對(duì)這一道隔離墻加高、加厚即可保障安全,也可以在這道墻之后建立更多的墻形成縱深防御。

  但是在開(kāi)始提供云計(jì)算業(yè)務(wù)之后,這種簡(jiǎn)潔的內(nèi)外隔離的安全方案已經(jīng)行不通了。通過(guò)購(gòu)買(mǎi)云服務(wù)器,攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地,穿越了邊界防火墻。另外一方面,云計(jì)算內(nèi)部的資源不再是由某一家企業(yè)獨(dú)享,而是幾萬(wàn)、幾十萬(wàn)甚至更多的互相不認(rèn)識(shí)的企業(yè)所共有,當(dāng)然也包含一些懷有惡意的用戶。顯然,按照傳統(tǒng)的方式劃分安全域做隔離已經(jīng)行不通了,安全域被打破。

  l 新的攻擊方式

  傳統(tǒng)IDC時(shí)代攻擊者處于邊界防火墻外部,和企業(yè)服務(wù)器、路由器之間只有IP協(xié)議可達(dá),也就是說(shuō)攻擊者所能發(fā)起的攻擊,只能位于三層之上。

  但是對(duì)于云計(jì)算來(lái)說(shuō),情況發(fā)生了變化。在一個(gè)大二層網(wǎng)絡(luò)里面,攻擊者所控制的云服務(wù)器與云服務(wù)提供商的路由器二層相連,攻擊者可以在更低的層面對(duì)這些設(shè)備發(fā)動(dòng)攻擊,如基于ARP協(xié)議的攻擊,比如說(shuō)常見(jiàn)的ARP欺騙攻擊,甚至更底層的以太網(wǎng)頭部的偽造攻擊。

  關(guān)于以太網(wǎng)頭部的偽造攻擊,我曾經(jīng)遇到過(guò)一次。攻擊者發(fā)送的數(shù)據(jù)包非常小,僅僅包含以太網(wǎng)頭部共14個(gè)字節(jié),源和目的物理地址都是偽造的,上層協(xié)議類(lèi)型為2個(gè)字節(jié)的隨機(jī)數(shù)據(jù),并非常見(jiàn)的IP協(xié)議或者ARP協(xié)議,對(duì)交換機(jī)造成了一些不良影響。

  l  虛擬層穿透

  云計(jì)算時(shí)代,一臺(tái)宿主機(jī)上可能運(yùn)行著10臺(tái)虛擬機(jī),這些虛擬機(jī)可能屬于10個(gè)不通的用戶。從某種意義上說(shuō),這臺(tái)物理機(jī)的功能與傳統(tǒng)IDC時(shí)代的交換機(jī)相當(dāng),它就是一臺(tái)交換機(jī),承擔(dān)著這10臺(tái)虛擬機(jī)的所有流量交換。

  入侵了一臺(tái)宿主機(jī),其危害性與入侵了傳統(tǒng)時(shí)代的一個(gè)交換機(jī)新黨。但是與交換機(jī)相比,是這臺(tái)宿主機(jī)更容易被入侵還是交換機(jī)更容易被入侵?顯然是宿主機(jī)更容易入侵。

  首先,攻擊者的VM直接運(yùn)行在這臺(tái)宿主機(jī)的內(nèi)存里面,僅僅是使用一個(gè)虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層的漏洞,毫不費(fèi)力的就可以完成入侵,常見(jiàn)的虛擬化層軟件如xen、kvm都能找到類(lèi)似的安全漏洞。

  其次,交換機(jī)的系統(tǒng)比較簡(jiǎn)單,開(kāi)放的服務(wù)非常有限。而宿主機(jī)則是一臺(tái)標(biāo)準(zhǔn)的Linux服務(wù)器,運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù),可被攻擊者使用的通道也多得多。

  2.2.  大規(guī)模效應(yīng)

  l 傳統(tǒng)攻擊風(fēng)險(xiǎn)擴(kuò)大

  為了方便讓VM故障漂移以及其它原因,云計(jì)算網(wǎng)絡(luò)一般的都會(huì)基于大二層架構(gòu),甚至是跨越機(jī)房、跨越城市的大二層架構(gòu)。一個(gè)VLAN不再是傳統(tǒng)時(shí)代的200來(lái)臺(tái)服務(wù)器,數(shù)量會(huì)多達(dá)幾百臺(tái)、幾千臺(tái)。在大二層網(wǎng)絡(luò)內(nèi)部,二層數(shù)據(jù)交換依賴(lài)交換機(jī)的CAM表尋址。當(dāng)MAC地址的規(guī)模達(dá)到一定規(guī)模之后,甚至可能導(dǎo)致CAM表被撐爆。

  類(lèi)似的,ARP欺騙、以太網(wǎng)端口欺騙、ARP風(fēng)暴、NBNS風(fēng)暴等等二層內(nèi)部的攻擊手法,危害性都遠(yuǎn)遠(yuǎn)超過(guò)了它們?cè)趥鹘y(tǒng)時(shí)代的影響。

  l 攻擊頻率急劇增大

  由于用戶的多樣性以及規(guī)模巨大,遭受的攻擊頻率也是急劇增大。以阿里云現(xiàn)在的規(guī)模,平均每天遭受數(shù)百起起DDoS攻擊,其中50%的攻擊流量超過(guò)5GBit/s。針對(duì)WEB的攻擊以及密碼破解攻擊更是以?xún)|計(jì)算。

  這種頻度的攻擊,給安全運(yùn)維帶來(lái)巨大的挑戰(zhàn)。

  2.3.  安全的責(zé)任走向廣義

  隨著更多的云用戶入住,云內(nèi)部署的應(yīng)用也更是五花八門(mén)。安全部門(mén)的需要負(fù)責(zé)的領(lǐng)域也逐漸擴(kuò)大,從開(kāi)始的保護(hù)企業(yè)內(nèi)部安全,逐漸走向更上層的業(yè)務(wù)風(fēng)險(xiǎn)。

  l 云計(jì)算資源的濫用

  云計(jì)算資源濫用主要包括兩個(gè)方面,一是使用外掛搶占免費(fèi)試用主機(jī),甚至惡意欠費(fèi),因?yàn)樵朴?jì)算的許多業(yè)務(wù)屬于后付費(fèi)業(yè)務(wù),惡意用戶可能使用虛假信息注冊(cè),不停的更換信息使用資源,導(dǎo)致云服務(wù)提供商產(chǎn)生資損。作為安全部門(mén),需要對(duì)這種行為進(jìn)行控制。

  另一方面,許多攻擊者也會(huì)租用云服務(wù)器,進(jìn)行垃圾郵件發(fā)送、攻擊掃描、欺詐釣魚(yú)之類(lèi)的活動(dòng),甚至用來(lái)做botnet的C&C。安全部門(mén)需要能準(zhǔn)確、實(shí)時(shí)的發(fā)現(xiàn)這種情況,并通過(guò)技術(shù)手段攔截。

  l 不良信息處理

  不良信息主要是指云服務(wù)器用戶提供一些色情、賭博之類(lèi)的服務(wù),云服務(wù)提供商需要能夠及時(shí)識(shí)別制止,防止帶來(lái)業(yè)務(wù)風(fēng)險(xiǎn)。

  3.  技術(shù)挑戰(zhàn)

  要解決上述的這些風(fēng)險(xiǎn),基于傳統(tǒng)的防御思路,需要在網(wǎng)絡(luò)中部署訪問(wèn)控制策略,實(shí)施流量監(jiān)控系統(tǒng)等等東西。但是對(duì)于云來(lái)說(shuō),實(shí)施這些東西會(huì)遇到巨大的挑戰(zhàn)。

  3.1.  失控的云

  傳統(tǒng)時(shí)代,所有的流量都會(huì)通過(guò)交換機(jī)進(jìn)行。通過(guò)netflow、snmp、ACL等手段可以做到足夠完善的流量監(jiān)控和訪問(wèn)控制策略。但是在云時(shí)代,不跨越宿主機(jī)的VM之間的流量在宿主機(jī)的內(nèi)存中直接交換完畢,網(wǎng)絡(luò)部門(mén)、安全部門(mén)無(wú)法查看、控制這些流量。

  為了解決云服務(wù)器被入侵的問(wèn)題,安全部門(mén)需要在服務(wù)器上部署各種安全產(chǎn)品,但是不幸的是在云計(jì)算時(shí)代,這些服務(wù)器的所有權(quán)并不歸屬云提供商,安全部門(mén)同樣沒(méi)有權(quán)限對(duì)這些機(jī)器進(jìn)行操作。

  也就是說(shuō),在云時(shí)代,安全部門(mén)只是隔靴搔癢的來(lái)解決安全問(wèn)題。

  3.2.  業(yè)務(wù)多樣化帶來(lái)防御復(fù)雜性

  傳統(tǒng)IDC時(shí)代,安全部門(mén)聯(lián)合網(wǎng)絡(luò)部門(mén)劃分一個(gè)一個(gè)的安全域,DNS服務(wù)器歸DNS區(qū)域,WEB服務(wù)器歸WEB區(qū)域,數(shù)據(jù)庫(kù)服務(wù)器歸數(shù)據(jù)庫(kù)區(qū)域,一切都井井有條。但是在云時(shí)代,數(shù)以十萬(wàn)計(jì)的用戶在幾十萬(wàn)的云服務(wù)器上,運(yùn)行著各種各樣的服務(wù)。他們的PV、QPS、響應(yīng)時(shí)間要求各不相同。

  而安全方案又不可能有放之四海皆準(zhǔn)的萬(wàn)能藥,拿DDoS防御為例,CC攻擊

  最常見(jiàn)的防御方案為客戶端meta跳轉(zhuǎn)、302跳轉(zhuǎn)甚至驗(yàn)證碼。對(duì)于普通的以PC為主要客戶的網(wǎng)站來(lái)說(shuō),這么做沒(méi)有任何問(wèn)題。但是對(duì)于以手機(jī)APP為主要客戶的網(wǎng)站來(lái)說(shuō),這么做就是滅頂之災(zāi),手機(jī)APP由于訪問(wèn)的是WEB API接口,一般不會(huì)解析這種客戶端跳轉(zhuǎn),更不用說(shuō)填寫(xiě)驗(yàn)證碼了,將導(dǎo)致業(yè)務(wù)完全不可用。

  業(yè)務(wù)的這種復(fù)雜性,給安全防御帶來(lái)不小的挑戰(zhàn)。

  3.3.  隱私與監(jiān)控的平衡

  擔(dān)心隱私,擔(dān)心數(shù)據(jù)安全是目前上云的最大阻力,但是為了解決云計(jì)算資源濫用、個(gè)性化安全策略等許多問(wèn)題,都需要做流量監(jiān)控,可能引起用戶的擔(dān)憂。作為云計(jì)算安全的設(shè)計(jì)者,需要小心的把握兩者的平衡。

  4.  阿里云的解決方案

  在阿里云,安全部門(mén)是作為公司成立的第一批員工加入的,初期占公司總員工總數(shù)的10%以上。從一開(kāi)始,我們就將云的安全性作為首要問(wèn)題。2013年12月10日訊,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(簡(jiǎn)稱(chēng)BSI)宣布阿里云計(jì)算有限公司(簡(jiǎn)稱(chēng)阿里云)獲得全球首張?jiān)瓢踩珖?guó)際認(rèn)證金牌(CSA-STAR),這也是BSI向全球云服務(wù)商頒發(fā)的首張金牌。

  4.1.  分布式虛擬交換機(jī)

  為了解決云VM的網(wǎng)絡(luò)控制問(wèn)題,我們?cè)O(shè)計(jì)了一套分布式的虛擬交換機(jī),并提供WEB API供外部調(diào)用。分布式虛擬交換機(jī)部署在每一臺(tái)宿主機(jī)里面,與控制中心通信,上報(bào)、接收安全策略。它主要提供兩大功能:

  l 自動(dòng)遷移的安全組策略

  在云時(shí)代,不同的用戶共用同一段IP地址,基于IP地址已經(jīng)難以區(qū)分業(yè)務(wù)了。因此,我們使用用戶ID來(lái)做區(qū)分,基于用戶ID來(lái)實(shí)現(xiàn)安全域,實(shí)施安全策略。當(dāng)用戶的VM出現(xiàn)故障遷移到其它宿主機(jī)時(shí),這個(gè)VM的安全策略會(huì)自動(dòng)遷移過(guò)去。

  l 動(dòng)態(tài)綁定過(guò)濾

  我們借鑒思科的DAI技術(shù),實(shí)現(xiàn)了對(duì)數(shù)據(jù)包的動(dòng)態(tài)檢查,在VM發(fā)出的數(shù)據(jù)包出虛擬網(wǎng)卡之前做一次過(guò)濾,剔除偽造的報(bào)文。如偽造源IP地址的報(bào)文,偽造源MAC地址的報(bào)文??拷炊诉^(guò)濾,可以有效的減輕惡意流量對(duì)網(wǎng)絡(luò)造成的影響。

  4.2. 基于數(shù)據(jù)分析的云盾系統(tǒng)

  基于數(shù)據(jù)分析的個(gè)性化安全,與監(jiān)控惡意行為類(lèi)似。我們統(tǒng)計(jì)并繪制每個(gè)云服務(wù)器的 BPS、PPS、QPS時(shí)間曲線圖,掌握最終用戶的訪問(wèn)規(guī)律。根據(jù)User-Agent、源IP地址歸屬分析移動(dòng)APP、PC的訪問(wèn)分布?;谶@些統(tǒng)計(jì)數(shù)據(jù),我們定制每個(gè)云VM的WAF防御策略,DDoS防御觸發(fā)閾值、清洗閾值等,這就是阿里云的云盾系統(tǒng)。

  其次,由于前文描述過(guò)的大規(guī)模的原因,我們的云盾系統(tǒng)每天可以捕獲大量的惡意IP地址,包括WEB攻擊行為、DDoS攻擊行為、密碼破解行為、惡意注冊(cè)行為等等。我們的安全系統(tǒng)將這些IP地址作為統(tǒng)一的資源庫(kù)提供,所有的安全產(chǎn)品進(jìn)行聯(lián)動(dòng),在攻擊者對(duì)某個(gè)VM進(jìn)行攻擊之前就完成了防御。

云計(jì)算的安全問(wèn)題 三聯(lián)

  由于有了這些數(shù)據(jù)的整合,阿里云的云盾形成一個(gè)完整的體系,在各個(gè)不同的層面形成防御,組建戰(zhàn)略縱深。各個(gè)子產(chǎn)品的數(shù)據(jù)打通,互相協(xié)助,一同進(jìn)化,保護(hù)著云平臺(tái)的安全。

  4.3.  宏觀分析統(tǒng)計(jì)

  鑒于隱私的考慮,我們不對(duì)應(yīng)用層數(shù)據(jù)做監(jiān)控,而是通過(guò)對(duì)五元組之類(lèi)的數(shù)據(jù)做宏觀統(tǒng)計(jì),發(fā)現(xiàn)惡意用戶對(duì)云主機(jī)的濫用。

圖2

  如上圖是一個(gè)典型的端口掃描之后做密碼掃描的例子。凌晨1點(diǎn)到9點(diǎn)之間,云VM在最外做端口掃描,因?yàn)樵S多主機(jī)不存活,導(dǎo)致出流量遠(yuǎn)大于進(jìn)流量,而且具備非常典型的攻擊特征,他只嘗試訪問(wèn)大量IP地址的22、、1433、3389端口。在上午10點(diǎn)半左右,進(jìn)的流量開(kāi)始大起來(lái),而且目的端口不變,目的IP是前面IP地址的子集。這說(shuō)明,攻擊者已經(jīng)提取了開(kāi)放服務(wù)的主機(jī),在進(jìn)行密碼掃描了。

  使用這種方式,我們避免了侵犯隱私,又能夠?qū)崿F(xiàn)對(duì)惡意行為的偵測(cè)。

  5.  總結(jié)

  就我個(gè)人的理解,云的安全不會(huì)是由云服務(wù)提供商一家來(lái)做,一定是將網(wǎng)絡(luò)開(kāi)放出來(lái)由眾多的安全服務(wù)廠商提供自己的產(chǎn)品,為形形色色的用戶提供個(gè)性化、定制化的產(chǎn)品和服務(wù)。

您可能感興趣的文章

相關(guān)文章

  • IBM欲用機(jī)器學(xué)習(xí)和云計(jì)算尋找外星人 可實(shí)現(xiàn)嗎?

    IBM欲用機(jī)器學(xué)習(xí)和云計(jì)算尋找外星人 可實(shí)現(xiàn)嗎?

    我們知道,隨著科技的進(jìn)步,科學(xué)家們開(kāi)始使用機(jī)器人和云計(jì)算技術(shù)協(xié)助解決研究課題上的問(wèn)題。但是,上一周的深度學(xué)習(xí)計(jì)算環(huán)境和自主機(jī)器學(xué)習(xí)會(huì)議上,有科學(xué)家表示現(xiàn)在我們可以使用云計(jì)算和機(jī)器人尋找外星人。不過(guò),對(duì)于發(fā)現(xiàn)外星人,有一部分科學(xué)家是持有消極的態(tài)度,他們認(rèn)為如果外星人比地球人還要文明的話,很容易會(huì)引起地球被外星人控制的局面。所以,就算目前使用云計(jì)算尋找外星人的方法是可行的,但實(shí)施起來(lái)將會(huì)面臨一部分人反對(duì)。...

    新奇物 2016-12-16 4494
  • 云計(jì)算:亞馬遜的救心丸 騰訊的雞肋 阿里的王牌

    云計(jì)算:亞馬遜的救心丸 騰訊的雞肋 阿里的王牌

      阿里剛剛發(fā)布的2017財(cái)年第二季度,業(yè)績(jī)很漂亮?! ∈杖胪仍鲩L(zhǎng)55%,達(dá)342.92億元;當(dāng)季經(jīng)調(diào)整利潤(rùn)同比增長(zhǎng)42%至145.93億元;自由現(xiàn)金流高達(dá)...

    互聯(lián)網(wǎng) 2016-11-03 830
  • 亞馬遜反擊甲骨文:你數(shù)據(jù)做假 云計(jì)算我仍是老大

    亞馬遜反擊甲骨文:你數(shù)據(jù)做假 云計(jì)算我仍是老大

    近日,亞馬遜網(wǎng)絡(luò)服務(wù)CEO安迪?杰希(AndyJassy)就甲骨文擠對(duì)亞馬遜云服務(wù)一事做出回應(yīng)。上個(gè)月,甲骨文首席技術(shù)官拉里?埃里森(LarryEllison)在主題演講中稱(chēng),亞馬遜云計(jì)算很落后,不值一提。...

    互聯(lián)網(wǎng) 2016-10-15 803
  • 人工智能會(huì)是云計(jì)算白熱化競(jìng)爭(zhēng)的終結(jié)者嗎?

    人工智能會(huì)是云計(jì)算白熱化競(jìng)爭(zhēng)的終結(jié)者嗎?

    日前,知名市場(chǎng)調(diào)研機(jī)構(gòu)Gartner發(fā)布了2016年第二季度云服務(wù)市場(chǎng)的調(diào)研報(bào)告,亞馬遜AWS獨(dú)占31%的市場(chǎng)份額,微軟、IBM、谷歌等合計(jì)23%的市場(chǎng)占有...

    資訊 2016-08-26 716
  • 云計(jì)算存在的安全問(wèn)題及相應(yīng)七條罪狀

    云計(jì)算存在的安全問(wèn)題及相應(yīng)七條罪狀

    云安全聯(lián)盟與惠普公司共同列出了云計(jì)算的七宗罪,主要是基于對(duì)29家企業(yè)、技術(shù)供應(yīng)商和咨詢(xún)公司的調(diào)查結(jié)果而得出的結(jié)論。1)數(shù)據(jù)丟失/泄漏:云計(jì)算中對(duì)數(shù)據(jù)的安全控制力度并不是十分理想,API訪問(wèn)權(quán)限控制以及密鑰生...

  • 阿里郵箱百萬(wàn)企業(yè)用戶背后:有云計(jì)算加持

    阿里郵箱百萬(wàn)企業(yè)用戶背后:有云計(jì)算加持

    “當(dāng)你拿到一款新手機(jī),頭三個(gè)要安裝的APP一定有和郵箱相關(guān)的。我們已經(jīng)離不開(kāi)郵箱,但在過(guò)去的40多年里,郵箱的功能基本沒(méi)有變。”6月...

    資訊 2016-06-24 850 阿里郵箱