一. 生态产业发展趋势Landscape
当前远程办公、云化应用等的日益发展和普及,云计算资源的规模增长迅速,同时业务变更周期更短,对云资源的管理和控制的性能和敏捷性要求日渐提高,因而云资源管理平台已成为云领域业务发展的基础。目前Openstack已经成为IaaS的事实标准,被众多商用的云平台底座。Kubernetes也成为云原生编排系统事实上标准。
无论是Openstack,还是Kubernetes,都是使用云计算的技术,将底层各类资源进行管理、控制和编排,因而从广义上来看,这些云计算系统在资源管理方面,包含了虚拟化层(虚拟机管理程序,Hypervisor)、云平台组件(Openstack和Kubernetes的各类组件)、物理资源(宿主机、物理网络等)和物理环境(机房中各类硬件设施)。
本文中,我们重点解析了云计算管理平台的安全能力,总体而言,其安全能力应当适应云资源管理平台的功能与安全需求。
首先,云资源平台的安全能力自身应该符合云的软件定义资源的原则,并进一步实现从虚拟化、容器化、到服务化的形式,与云的形与神都融为一体。
其次,云上应用和业务系统的安全受到普遍重视,我们会持续解析各类部署在云中的安全能力;但同时读者也应看到攻击者对于云平台管理面的攻击逐渐增加,另外,随着多云混合云场景越来越多的应用,给云平台的安全带来了更多安全风险,也增加安全防护难度。如不必要的暴露面、不一致的访问策略、泄露的访问凭证等,都可能造成管理平台失陷。作为云上应用安全的基础和前提,我们也应重视云计算平台的安全。
需要说明的是,过去的云原生的概念一般特指容器、云原生编排系统和微服务,以区别的虚拟机为代表的传统云概念。但现在随着云原生的演进,一些云厂商,如微软,将云原生的定义扩展为包含虚拟机、容器和微服务领域,并将资源进行统一管理。与此同时,在安全层面容器安全与虚拟机安全,也合并为云原生资源层安全,因而本文也可解读为云原生资源层安全能力的解析。
二. 云资源层安全能力发展方向
随着云平台商用、开源软件的日趋成熟,云平台自身框架的及安全风险会逐步降低,但是云平台集成了众多的第三方软件,软件生态复杂。这部分的安全风险却逐渐提升,需要采用安全手段进行全面评估,并且在统一的安全管理平台闭环管理。
大型机构处于业务的可用性等考虑,通常会把业务部署在多个不同云服务商的基础设施上。基于效率和效果的考虑,产生了对多个云上的基础设施做统一管理的需求,催生了多云管理产品的出现。同样地,客户对多云场景下的安全统一管理也有强烈的需求。
首先,多云的身份管理是至关重要的。事实上,如果客户在多云环境下使用不同平台的身份管理机制,而没有采用统一的鉴权机制,那么当不同云平台身份不一致时就可能出现攻击者在不同云中横向移动的风险,因而多云管理是云资源层安全能力的一个发展方向,其中多云身份管理。
此外,目前云计算技术的发展和应用迅速,云平台的生态空前繁荣,云中存放海量数据,虽然管理员或应用方可以通过访问凭证访问各类资源和数据,但从各类安全事件来看,大部分的云安全事件都是凭证泄露或权限错误配置造成的。当前云服务商缺乏有效的机制来可靠地控制用户在管理云平台控制台或访问资源时的身份访问权限,或者校验用户在资源访问的策略正确性和一致性,这就意味着组织可能在如何授予此类特权用户访问权限方面遇到了困难。用户的访问有很多次都包含过多的权限、过多特权或配置错误的情况,很多时候无法可靠地对这些用户的访问行为进行身份验证。这些风险在多云、混合云场景情况更为严重,应部署云身份防护方案、策略检查和安全审计方案来缓解此类风险。
三. 云资源层安全能力分类与介绍
云资源层安全包含了虚拟化层安全,云平台组件安全、物理资源安全、物理环境安全。
图1 云资源层安全的层次结构
资产发现能力在云场景的专项能力。通过云平台组件的API来发现云资产信息,提升传统资产发现能力面对云场景的虚拟化资产发现能力。
典型场景为,云资产发现能力对接Openstack和Kubernetes组件的API接口,获取云内部的资产信息,并统一纳入资产库管理。
需要说明的是云上资产的管理,必须是面向租户的。即针对不同的租户有其对应的资产视图。
图2 云资产发现
云平台的功能种类繁多,这样也造成云平台的组件增多以及配置增多,现在对云服务的攻击基本都利用了客户对云疏于管理、配置不当等错误。因此,云用户急需对(尤其是跨多云环境下的)IaaS和PaaS云安全配置的正确性与合规性进行全面、自动化地识别、评估和修复。Gartner也提出了云安全态势管理(Cloud Security Posture Management,CSPM )的概念,关注识别云上的错误配置问题和合规风险,不断监测云上基础设施在安全政策执行。
云平台组件的配置安全基线核查功能,解决因为错误配置带来的安全风险。通过读取云平台组件配置文件内容,并与业界最佳实践(如CIS Benchmark)相对比,给出配置风险情况以及修复建议。
典型场景为,云平台组件配置核查能力通过对云平台组件的扫描获取配置文件,然后与配置核查基线进行对比,并给出偏差低以及整改建议。
图3 云组件配置核查
云上的各类云产品和客户部署的业务系统会产生各类日志,企业合规及安全运营等都需要在一个地方能集中的查看和分析日志。云平台组件日志功能,一方面可以有助于运营人员通过日志分析发现潜在的安全风险,并进一步可以对攻击行为进行溯源和取证。
日志审计能力在云场景的专项能力。对于云平台组件的产生的日志进行统一收集、范式化管理,并支持产生告警和报表。实现云平台组件日志的异构日志进行集中采集、统一管理、存储、统计分析的一体化产品,可协助用户满足等保合规要求、高效统一管理资产日志,并为安全事件的事后取证提供依据。包含:
1. 日志管理功能
-
支持异构日志的统一范式化处理
-
支持原始日志、范式化日志的存储,可自定义存储周期
-
支持日志查询方式、便捷的日志分析操作
-
支持多种日志存储扩展方案
2. 事件告警
-
支持自定义事件规则、丰富的内置事件规则
-
支持事件的查询、统计、分析展示等
-
支持自定义事件告警规则以及告警通知方式
3. 报表管理
-
支持实时报表、定时报表、周期性任务报表等方式
典型场景为,云平台组件日志审计能力对云平台IaaS、PaaS组件进行日志接入,并产生告警和报表。
图4 云组件日志审计
主要指容器镜像资源的合规。云原生平台应用容器部署需要依靠镜像库中上有海量的容器镜像,容器镜像的安全性(包含:恶意代码、漏洞、敏感信息等)是云应用安全的基础。
云资源合规检查主要指云场景所使用的资源(镜像)进行多维度的扫描检查,包含:软件漏洞、敏感词、弱口令、恶意代码、违规软件等。确保相关资源在使用前,其中的安全风险就能被评估和发现。
典型场景为,云资源合规检查能力通过加载多种检测库,实现对容器云本地镜像和私公有镜像库中的镜像综合风险评估,并可以以报告的形式进行统计展示。
图5 云资源合规检测
云平台组件本质上也是应用,为组件外部提供API或WEB访问方式。这也就必然要面临应用安全风险的挑战,所以应该为云平台组件实施应用事前漏洞评估,以及事中应用安全防护。
对云平台组件进行应用漏洞评估扫描,并对应用漏洞进行修复和管理。
用户访问云平台组件时要经过应用安全能力的防护,其中包含WEB安全和API安全,详见 “服务层安全”的“应用安全”章节。
云平台组件身份安全是指以最小权限为原则,云平台对主体身份进行鉴权,并授权主体访问云计算实体。
主体需要具有身份才能访问云计算实体(云服务/云资源),该身份有两种类型:
-
人类身份:任何访问云的人。如,用户、管理员等。
-
非人类身份:代表人类访问云的任何非人类实体。如,服务、设备、基础设施 (SDI)、人工智能等。
云平台授权客体的主要类型是云资源和云服务:
-
云资源:如文件、虚拟机 (VM) 、服务器、无服务器、容器。
-
云服务:如数据库、存储桶、应用程序、网络服务。
云平台授权:云计算平台在确定主体身份后,授权其可以访问哪些云资源和云服务 。
典型场景如下:
图6 云组件身份安全
在云身份管理领域,Gartner将云基础设施权限管理(Cloud Infrastructure Entitlements Management,CIEM)定义为一种软件即服务(SaaS)解决方案,用于通过监控和控制权限来管理云访问。通过CIEM实现云身份权限的生命周期管理,以提供跨云部署的最小权限的可扩展实施。该框架允许组织管理和监控跨多云环境的所有身份的能力,包含:
-
帐户和权限发现:根据云上活动提供云身份及其权限的精细可见性。
-
权限优化:通过最小权限原则实施严格的访问控制。最小权限原则 (POLP) 一种网络安全概念,它将用户帐户的访问权限限制为仅完成其工作要求所必需的权限。通过特权访问应用这种严格的访问控制有助于组织最大限度地减少他们的攻击面和暴露于云泄漏、数据泄露、内部威胁和其他网络威胁的风险。POLP 是零信任网络访问 (ZTNA)的关键元素。
-
跨云权限关联:实现跨云部署的权限策略的一致性。
-
权限可视化:将数据点集中到简洁、可操作的见解中,使安全和 DevOps 团队能够有效地监控云安全状况和用户对云资源的访问。
-
安全响应:识别与访问权限相关的风险,例如过多的权限,并在检测到威胁时向安全和 DevOps 团队提供警报和自动响应。
在云计算中,虚拟化技术为虚拟机或容器提供了共享物理资源的能力,物理资源能够被高效率的使用,又实现了不同业务资源的隔离。但这也带来了安全问题,系统漏洞以及错误的软件配置,可能被攻击者利用并导致业务资源的隔离性可能被破坏,导致虚拟机逃逸、容器逃逸以及资源耗尽型攻击。 为了确保虚拟化环境中的安全。
通常情况下,基本的资源隔离机制由Hypervisor或操作系统内核来提供,前者通常基于进程的隔离性,后者通常基于Namespaces机制和Cgroups机制。在此之上,云计算管理平台应能够对虚拟机管理程序、容器管理程序和编排平台等进行配置核查,发现不安全的配置项,并按照规范进行配置加固。
需要能够及时发现虚拟化管理程序及底层基础设施的安全漏洞,提供漏洞告警信息或修复建议,确保漏洞的及时修复。
虚拟机管理程序在整个虚拟化架构的安全性中起着重要作用,因为它可以管理用户负载和 guest(访客)操作系统,创建新的 guest操作系统映像并控制硬件资源。管理 guest 操作系统和硬件资源等操作的安全含义意味着,应该将对虚拟机管理程序的访问限制为只有经过授权的云管理员才能访问。否则,云终端用户可能会从云服务提供商那里获取 VM,并安装恶意 guest操作系统,从而通过获得对其他 VM 的未授权访问并更改其内存而破坏虚拟机管理 程序。此外,在虚拟机中获得较低访问权限的攻击者可能会通过破坏 虚拟机管理程序内的硬件资源分配,将其访问权限提升到更高级别。因此,保护虚拟机管理程序免受未经授权的访问对于 IaaS 服务的安 全性至关重要。
包括宿主机安全和云基础网络安全,这部分能力包含传统安全领域的“宿主机安全”和“主机网络安全”,以及加密、可信计算等,一般由云厂商来保障,此处不做详细论述。
包括灾备、防火、防盗窃和防破坏、防水和防潮、防静电、电磁防护、电力供应、防雷击、防震,与传统的物理安全差异不大,一般由云厂商数据中心团队来保障,此处不做详细叙述。
四. 云资源层安全能力的预测
云计算平台的管理面服务组件(如Kubernetes API Server),以及云计算租户的虚拟机端口、服务、微服务对外开放,如非必要互联网暴露则会出现极大的安全隐患,造成攻击者入侵、数据泄露等后果。云资源层一个未来的趋势是通过云计算平台的接口提供资产发现和管理能力,实现对云上的网络空间测绘、资产、攻击面的自动发现,并最终提供完善的外部攻击面管理(External attack surface management,Easm)。
此外,如第二章所述,随着客户重要业务上云、多云使用场景广泛落地,以及云提供的服务和资源的多样性,客户对于云资源和服务的动态安全访问和统一管理越来越重要,零信任接入是未来异构环境下接入访问云资源的大趋势。
最后,云上安全事件曝光数量逐年上升,而云安全的独立化、专业化也是一个趋势,由安全厂商建立统一的云安全运营中心,提供云端安全运营服务(融合MSSP与MDR)。一方面将安全资源管理与其他云计算资源管理集成,使得客户通过同一个视图看到云中的各种管理和运营;另一方面将一个客户的多朵云、云上云下的安全资源集中管理、运营,并进行自动化、高效的服务交付。
五. 总结
通过上述4个层级的安全能力的部署和运营,覆盖了云平台组件安全、虚拟化层安全、物理资源安全、物理环境安全,能够全面、纵深的保障云资源平台自身的安全,为服务层的安全提供了基础保障。
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我
原文始发于微信公众号(绿盟科技研究通讯):云资源层安全能力解析