浅谈基于IaaS公有云的中小型企业基础安全建设

背景

互联网数据中心(IDC)属于互联网基础设施范畴的一个细分领域。为企业、金融机构等提供一个存放服务器的空间场所,随着科技技术的发展,IDC也经历了一个又一个的里程碑,如下图是:摘自《美国数据中心建设发展历程分析情况》

从图中我们可以看到IDC发展由传统的自建IDC机房、租用或托管服务器的方式向虚拟化云IDC转型。过去的几年里,选择云IDC的中小型企业数不胜数,小B也曾经在几家企业中参与相关的安全建设。提到云IDC那么不得不提的就是现在云计算模式的不同带来的云IDC类型不同:
云计算平台本身提供三种类型的云服务:
  • IaaS(基础设施即服务):消费者通过Internet可以从完善的计算机基础设施获得服务,这类服务称为基础设施即服务,基于Internet的服务(如存储和数据库)是IaaS的一部分。

  • PaaS(平台即服务):PaaS提供了用户可以访问的完整或部分的应用程序开发。

  • SaaS(软件即服务):SaaS则提供了完整的可直接使用的应用程序,比如通过Internet管理企业资源。

同样的,在云服务的衍生下,我们还出现了:公有云、私有云、混合云等概念。在本篇文章中,我们主要探讨的是基于IaaS公有云的安全,因为IaaS是最贴近传统IDC这样的理念,它具有用户可访问的资源(主机、数据库等等)。
IaaS云的安全痛点
小B在参考了一些行业内的资料以及根据自身的实践,将云安全痛点分为了3类:
第一类是CSA云计算联盟定义的威胁分级种类;第二类就是根据云平台自身的属性所导致的安全⻛险;第三类是小B在从企业安全建设时遇到的痛点与难题。我们从这三类中不难看出主要的⻛险集中在:资产管理问题、网络攻击⻛险、数据安全管理、身份管理与访问控制、业务连续性管理、监管合规。
因为精力与时间,当然了主要问题是很多层面的安全⻛险小B没有接触过,所以下文就主要从企业安全建设的⻆度来谈:
凭证管理的痛点
对于凭证管理,小B主要列举了2类的痛点:第一类是比传统IDC更多的凭证类型,在传统IDC中我们更多的是使用服务器管理凭证,但是在云IDC中我们会新增两类凭证:
  • 云控制台访问凭证,此类凭证用于我们通过Internet访问云控制台,在这其中又存在两个小类:

    • 主账号:拥有其下所有资源和企业级分布式应用服务的所有操作权限。

    • 子账号:主账号通过创建子账号,避免用户间共享密钥,按需给子账号分配权限。

  • AccessKey:访问密钥AccessKey(AK)用于程序方式调用云服务API(主账号与子账号都有AccessKey)。

第二类痛点就是由于云IDC的非集中化导致的分散式凭证生命周期管理。多样化的凭证与凭证的分散性导致了我们难以集中化管理,也经常会导致凭证管理不当而出现的安全问题。
资产管理的痛点
  • 分散的地区:在使用传统IDC机房的时候,中小型企业可能只有1~3机房,但是我们在使用云IDC时面临的地域就会变得更多,上述提到的4种架构都会形成不同的地域IDC分布,给我们管理云资产带来不便。

  • 多样的类型:云上的产品的细分类给我们提供了使用便捷的同时也带来了资产管理的难题,多样的类型导致我们在进行管理的时候需要处理的数据源更多,不同数据源的字段、属性也不一致也会造成统一采集的困难。

  • 不同的维度:在这里需要提到的一个系统就是CMDB,可能对于很多企业来讲CMDB的维护都是做的很一般或者做不到资产的实时管理。这个问题在中小型企业就更为常⻅,他们可能都没有CMDB或者是非常简易的CMDB。并且运维与安全对于CMDB数据的细粒度要求是不一致的,很难将两者合二为一,更多的做法是各行其事,数据互补。最后在安全做黑盒的云资产管理时云平台自身会对黑盒的方式进行一些拦截从而造成一些资产收集的误报以及漏报,这些问题我们都会在下面的解决方案中提到。

访问控制的痛点
对于访问控制来说,它是基于前面两者痛点的延伸:其中主要是2类问题,第一类问题是从凭证层面的访问控制:
  • 云控制台有哪些用户可以访问?

    • 主账号是否存在共享使用?(有多少企业是所有运维直接共用主账号进行管理)

    • 子账号是否存在共享使用?(云控制台用户是否将自己的账号共享给其他用户)

    • 子账号是否有⻆色权限以外的权限?

    • 灰度账号是否处于活跃状态?(离职员工的账号是否及时清理)

    • AccessKey是否拥有过高的权限?

    • ............

  • 服务器资源哪些用户可以访问?

    • 谁拥有服务器上的特权账户?

    • 统一单点登录以外的账号?

第二类的痛点是网络层面的访问控制:在这一类问题中云控制台本身就是针对互联网开放的,我们需要做好的就是凭证管理,其次就是云资产的访问控制
  • 云资产对互联网或办公网络的访问控制策略(RDS是否允许互联网直接访问?核心服务器是否允许互联网直接访问?)

  • 不同类型云资产之间的访问控制策略(RDS对ECS的访问控制策略)

  • 相同类型不同属性云资产的访问控制策略(生产环境与测试环境的访问控制)

当然了访问控制的痛点远远不止我这里列举的这些,还有很多企业在安全建设时都会遇到不同的安全痛点。
流量采集的痛点
因为云IDC边界淡化失去了传统意义上的统一入口或出口,我们无法在对出入口的流量进行镜像或汇聚处理,导致安全建设中失去了一张王牌。
其他安全痛点
  • 胡乱的资产分组:生产与测试处于同一VPC;

  • 成吨的网络攻击:由于云IDC的开放性,所以每天会面临成吨的访问控制扫描、漏洞扫描、Web扫描等;

  • 分散的补丁管理:如果企业没有统一资产管理系统或者服务器未使用域环境,那么我们在安装补丁时也会遇到麻烦;

IaaS云的基础安全建设
在知道了⻛险之后,我们就需要进行安全防护了,本文没有涉及数据、应用与业务层面的安全防护方案。云安全自身是一个大的安全话题,也不是一篇文章就能够写完的。
购买云产品
小B在这里只是列举了应对上述提出的安全问题的云产品,当然我这里也只选择了一家云服务商的产品,并且可能还忽略了一些产品,所以大家只参考一下即可。
对于购买产品,小B这里有一点想分享的经验:云产品更多是普遍适用性的,可能在不同企业中使用相同产品达到的效果也是不一致的。
其次就是购买产品是需要money的,加之本文的前提是中小型企业,这样的企业很可能就是无安全人员或者1~3个人的安全部。如果企业无安全人员,小B的建议是别折腾,能买一些重要的产品再好好运营一些也是OK,包括小B在图中提到的也不是每一项都要钱。如果是1~3个人安全部,企业愿意花钱与无安全团队的做法建议是一致的,不愿意花钱可以选择折腾一些开源产品,小B在博客上也提到过很多相关的安全产品(https://bloodzer0.github.io/ossa/
最后就是产品也好,开源工具也罢都是需要我们去不断运营和优化的。工具是死的人是活的,我们需要做的就是将工具发挥出它最大的价值。
解决凭证管理难题
在解决凭证管理这个问题上,小B经历了3个阶段:第一个阶段是没有任何辅助,只能通过主账号来梳理凭证并且通过一些IT流程来进行管理;第二个阶段是利用云API进行自动化的凭证管理;第三个阶段就是实现集中化的凭证管理。在这里小B主要提一下后两个阶段:
利用云API实现凭证管理
在这一个部分小B主要是通过代码来实现3个方向上的凭证管理:
  1. 通过内部通讯工具的接口获取用户原始数据,并且采集通讯工具中的用户属性;

  2. 利用云API管理云控制台账户,根据用户属性决定是否需要创建或删除云控制台账户;

  3. 与内部的跳板机打通,根据用户属性决定是否需要创建登录或删除资产访问账户;

在这里小B还额外做了一件事情,就是监控互联网的部分平台,查看是否有公司的凭证信息泄露,主要是GitHub、码云与网盘。
集中化的凭证管理
在前一阶段的基础之上,小B完善了凭证管理体系,还是以内部通讯工具中用户属性作为源数据,并且实现统一账户管理(基于FreeIPA)与统一单点登录,最后将统一账户管理接入跳板机(JumpServer)与单点登录接入云控制台:
解决资产管理难题
资产管理小B也分为了几步走,但是本文提到的最后一步是小B还未实现的;
  1. 黑盒资产管理:以扫描的形式发现资产(masscan+nmap+nessus等),通过将扫描结果进行数据处理后入库然后以CMDB的形式展示。但是在这个阶段中会由于云平台的拦截产生误报与漏报,所以这里的资产管理数据我们还需要更进一步的处理。

  2. 白盒资产管理(利用云API),之前小B也分析过对应的文章:

    https://bloodzer0.github.io/ossa/other-security-branch/asset-management/asset-acquisition/

  3. 利用主机入侵检测Agent采集数据,不论是前面的黑盒方式或利用API的方式,我们获取到的数据在细粒度上都达不到安全后期的要求,所以利用主机入侵检测的Agent可以获取更详细的信息,但是由于这个层面需要对底层开发有着足够深厚的了解,这也是小B未实现的原因。但是小B也实践过开源的主机入侵检测系统(OSSEC)采集信息完善安全的CMDB,效果也是很不错的。

解决访问控制问题
访问控制是一个很大的话题,涉及的面也是多种多样的,小B可能一句两句也讲不清楚,但是会尽力把实践过的内容给大家讲清楚:
  1. 制定访问控制策略与管理流程:访问控制难题不仅仅是一个通过技术就能解决的,首先我们需要制定好访问控制策略,在制定策略之前我们需要梳理我们的主体(使用者)与客体(资源),在评估主体的需求后制定出策略,访问控制策略一定要依据最小权限原则。制定好策略只是一个起始点,后期策略的管理也至关重要,在这其中小B是通过以IT流程的形式进行策略变更管理。

  2. 制定好策略以后我们需要实现策略控制,在这里对于凭证的访问控制,主要是通过云控制台管理进行。对于资产的管理主要是利用安全组来实现的,安全组可能并不具备攻击防护能力,但是具备良好的访问控制策略。在安全组实现访问控制的时候,会遇到一个大坑,就是当我们的IDC数量越来越多时,我们管理就会变的更加困难。所以如果前期就有这样的安全意识是最好的,后期就会需要我们逐一的去调整已有的策略。

  3. 定期审计访问控制策略是否合理,这里提一点的就是,我们的策略审计最好是以实践的方式进行审计。通过将审计策略拉取到本地(API是可以拉取的,云控制台也可以导出)然后根据策略的内容去实践策略是否有效。

其他安全痛点
每个企业在使用云都会遇到不同的安全难点,一千个读者就有一千个哈姆雷特,安全也是如此,希望大家一起讨论云安全建设。

■ Over ■

(0)

相关推荐

  • 资产管理在网络安全运营中的应用与实践

    目前大部分单位都无法准确地说出需要保护的资产数量,互联网暴露面很难梳理清楚,出现安全事件后无法第一时间定为到责任人,这些可以说是当前大部分组织的资产管理现状. 互联网暴露面收敛.安全漏洞修复与验证.威 ...

  • 访问控制安全管理策略

    访问控制管理是为了防止信息及信息(资产)系统未经授权的访问,信息系统包括各种应用系统.操作平台.数据库.中间件.网络设备.安全系统和设备等. 01. 访问控制业务需求 访问授权与控制是对访问信息资源的 ...

  • 安全运营漫谈03:CIS Controls中关于资产管理都有哪些条款

    在CIS Controls(V7.1)中20个控制域中,有7个域共计19个控制项涉及到了资产管理相关内容,通篇读读这些条款还是能发现一些有价值的信息. 其实提到「资产」每个人的理解不一样,在安全领域指 ...

  • CCERT月报|将数据纳入安全管理首要目标

    近期有人在暗网中叫卖大量12306网站的用户账号及身份信息,通过公开的信息查证这些被泄漏的信息均出自真实有效的账号,随后12306官方声明这些账号信息可能是通过一些其他的第三方途径(如各类抢票软件)泄 ...

  • 网络安全资产管理相关内容的扩展补充与拾遗

    关于资产管理的话题,已经写了<不同资产管理系统之间的对比与关系>.<为什么传统资产管理无法满足安全运营的需求>.<资产管理在安全运营中应该发挥什么样的作用>.< ...

  • 一图说:数据安全分类分级

    一句话说数据治理的小专题进行了四期了,讲了数据治理.数据标准.数据资产.数据架构,秉承深度思考.专业探讨的定位,希望能够用第一性原理的视角和方法来审视数据治理的基本概念,穿透"相" ...

  • 【优秀成果】浅谈基于地理核心素养视角下的研学旅行——以哈尔滨市为例

    摘要:地理核心素养作为地理课程教育的核心目标,从多个方面对地理教学工作提出了具体的标准和要求,为地理教学工作提供了更加清晰的指导和方向.研学旅行作为课堂的拓展与延伸,通过让师生实地观察,应用实践,参与 ...

  • 浅谈基于模型的系统工程(MBSE)技术

    MBSE 概念‍ 国际系统工程学会(INCOSE)在<系统工程2020年愿景>中,给出MBSE技术的定义:基于模型的系统工程是对系统工程活动中建模方法应用的正式认同,以使建模方法支持系统要 ...

  • 浅谈基于FormsAuthentication的认证

    一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到 Session中存储的用户基本信息,查看比较他有没有登录和能否 ...

  • 干货 | 浅谈基于模型的工艺评审

    摘要 市场激烈竞争不但要求企业提供物美价廉的产品,而且要不断提高质量.降低成本.竞争能力的本质是技术能力和管理水平的竞争.现代产品的构造和功能越来越复杂,在保证产品性能.质量要求的前提下,如何降低制造 ...

  • 浅谈基于发展学生核心素养的校本课程中传统文化的合理传承

    摘 要:国家课程.地方课程.校本课程的三级课程管理方式为传统文化进课堂提供了可能,优秀传统文化在发展学生核心素养方面的有着积极的作用.传统文化校本课程的开展是需要经历精心选材.科学实施的. 关键词:德 ...

  • 作业改善软件,ECRS工时分析软件浅谈SOP的重要性,为何当代企业要完善SOP?

    企业在快速发展的同时急需新鲜血液补充进来,但随之而来的人员日常培训也成了最大的问题.可能会面临员工的知识面参差不齐,个性差别明显问题. 可能会面临培训缺乏专职培训人员.培训周期长.而就是专业的培训人员 ...

  • 影调与色调是摄影的灵魂,浅谈手机摄影后期作品的影调色调的基础常识

    摄影杂谈 原创:一亩田的摄影生活记录 灵魂:指依附于人体的精神或者心灵之意,比喻起关键和主导作用的因素.很多摄影师把影调和色调当作作品的灵魂看待,是因为通过丰富的影调表达摄影师的内心情绪和心灵之意. ...

  • 浅谈新三级医院评审标准下医学检验科的建设

    医学检验科一直以来都是各级医院必不可少的科室,在临床诊断.治疗和预防,提升医院整体的医疗水平,促进医院的发展等方面发挥着越来越重要的作用.随着卫生部<三级综合医院评审标准实施细则>(以下简 ...

  • 浅谈中国新变局下的伟大企业

    说到中国耳熟能详的公司,我想大部分人想到的都是腾讯.阿里.华为这些平时经常听到的.这些当然都是非常伟大的公司,它们改变了我们的生活方式,促进了社会的发展.但我今天想说说的是2021年中国在新变局下将会 ...