前言:
在数字化浪潮下,企业纷纷进行转型,采用云计算技术,“上云”成为趋势。
然而,“上云”在给企业带来诸多好处的同时,也带来新的安全风险。有人说,相比传统 IDC,云环境更安全;也有人说,云没有本地 IDC 更安全。无论观点是否对错,云环境的安全确实是每一个“上云企业”必须考虑的重点。现在,云安全问题不断出现,比如云平台错误配置、数据泄露等。
对企业来说,在云环境下如何进行安全建设?对此,InfoQ 记者专门采访猎豹移动安全总监林鹏。如下为采访原文:
InfoQ:云计算在中国不断发展,“上云”成为大势所趋。请问,企业上云一般会遇到哪些安全挑战和安全问题?
林鹏:
第一个是监管方面,即数据上的一些问题;第二个是传统企业上云,面临的边界问题。其中,这个边界问题比较严重。传统上,企业使用 IDC,这个是本地环境,可能一条或几条专线直接通到 IDC,管理等比较容易,我们对边界好控制。上云的话,这个边界问题就变得越来越模糊。这是一个主要问题。
还有一个问题是,比如说主机的管控,需格外花费心思。尤其是流量采集的问题,以前的 IDC,可能基本上很简单的一条流量镜向,就能把所有流量采集过来,然后进行分析。因为,流量这个东西对安全来说比较重要。
但如果是上云,尤其是像多云情况,其实对流量的采集是一个比较大的问题。在其他公司,也会存在一个类似的问题。
infoQ:近几年,这些安全问题中最重要的哪个方面?
林鹏:
对我个人而言,我认为还是流量采集的问题比较严重。我对主流几家云服务商(包括腾讯云、AWS)都咨询过,这个问题基本上无解。
除非是像腾讯那种黑石专用服务器可能把流量收集起来。其他的话,再收集自己公司的流量同时,可能也会把别人的流量也收集进来,那网络层面很难做到区分。而对我们来说,这个流量收集不过来,可能会牵涉到后续的很多风险,无法做攻击的识别和攻击的防护,因此,第一道防线也是我认为最重要的防线就失效了。
InfoQ:流量采集方面,多云环境是不是可能会遇到更大的问题?比如,我只用一个云,或者我用 AWS、Azure 和阿里云,情况会变更复杂吗?
林鹏:
可以这么说。不过,单一云环境也不一定是非常好。这种单一的云,是看单区域还是多区域。
举个例子,我们使用腾讯云,在国内用的最多就是腾讯云。这样就有北京的腾讯云、上海的腾讯云,广州的腾讯云,如果是这个情况,相当于一个国家三个 IDC。这样流量统一采集也很比较麻烦,牵涉到费用问题,咨询过腾讯,例如从北京到广州,服务器之间的流量也要额外收费。所以,如果是云,在业务允许的情况下,尽量还是部署在单区域比较好(其他区域可以用于异地备份/多活)。
InfoQ:你们对流量采集的这个难题有哪些应对方式
林鹏:
我们尝试了几种方案,从分布式接收数据包,到 PACEKTBEAT。最终使用了 PACKETBEAT 这套方案。我们要采用这个方案,不像是传统的情况,我们可能只要交换机做一个镜像,在交换机上做一个镜像就行了。只要考虑这个交换机的这个性能,而且一般来说,核心交换机的处理能力都比较强。
但如果在云环境,我们想收集流量就必须把 Agent 部署到本地服务器上。本地服务器需要考虑这个 Agent 的性能会对主机产生多少影响。甚至有时候,网络流量会产生的一些费用也需要在我们这个考虑范围内。
InfoQ:目前,云上主机的安全技术都有哪些?
林鹏:
作为云用户来说,云上主机安全技术,还是传统那些,但我觉得核心技术,是 HIDS 的技术和 SOC。
HIDS,全称Host-based Intrusion Detection System,即基于主机型入侵检测系统。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态行为以及整个计算机系统的状态。
InfoQ:企业上云,从非核心业务到核心业务,整个云安全的环境建设有什么样的思路?
林鹏:
首先从资产识别方面,资产识别相当于了解自己公司的云这个范围有多大。尤其是边界模糊、IP 地址不固定的情况下,更应该明确自己公司的这个资产边界是什么情况。
从这个角度出发,做先期的规划,规划好护城河范围,再采用不同的技术手段与控制手段,例如是否采用 WAF、HIDS、规划内部与外部的访问端口等等。
InfoQ:以猎豹移动为例,您入职猎豹移动后怎么进行公司云安全的环境建设?
林鹏:
刚开始走了一点弯路。第一次接触云,我也有点“懵圈”,不知道怎么入手。刚开始以传统的 IDC 思维去做这个流量采集,有点难,后来转成了从资产识别入手。
首先,我们先确定我们的边界是什么,收集一下,并认为要一些资产的清单。
然后再去看哪些资产暴露于外,哪些资产是我们内部。我们先去对这些方面进行整理,目前也在持续做这方面的事情。在做这个同时,我们其次部署了各种 Agent,像流量采集的 Agent、HIDS 等等。
我们还做了一些其他的访问控制,比如缩紧之前做的比较宽泛的一些访问控制策略等等,另外对重要端口的一些识别,也做了相应的限制,其他方面跟传统安全建设就一样了,包括漏洞收集、基于流量、HIDS 等等数据源建立各种监控报警平台,日常漏洞挖掘,应急响应等等。
InfoQ:从酷 6、当当到万达和猎豹移动,你经历了中国安全产业的发展,您是如何理解云安全的?
林鹏:
云计算确实能给企业带来很多好处与便利,但是云给安全带来较大的考验,比如流量采集、访问、边界等方面。传统上,我们可以自己控制我们的边界,比如对外我只需规范一下端口。
但是对云来说,除了考虑 80 和 443 端口,我们还要考虑一些访问的问题、资产识别的问题。
而且,很多公司都是从 IDC 上云,以前 IDC 的安全问题都没有解决,上了云还要面对云的这些问题,确实存在更大的风险了。
InfoQ:猎豹移动既使用了腾讯云,也用 AWS。像这种多云环境下,如何保障云安全?
林鹏:
首先,云厂商提供了一些基础的安全服务,但这还远远不够,我们也组建了安全团队,通过技术、制度等手段保证公司的安全。
除此之外,还通过安全周、公众号宣传、安全周播报等手段提高员工的安全意识。另外,还积极参与安全认证体系,希望通过学习外部的先进经验,把公司的安全做好。
InfoQ:在云环境的安全建设中,数据安全处于一种什么样的角色?
林鹏:
数据安全确实非常重要。如今,我们国家也越来越重视这方面。数据安全这块,尤其对用户数据,对个人隐私的这个数据。比如国外的《GDPR》。中国也不断加强数据方面的检查,制定一些个人数据的法律法规。
InfoQ:对企业而言,在云环境的安全建设中,应该如何做数据安全?
林鹏:
这是一个比较大的范围。数据安全可以理解为我们资产的一部分。做安全,主要是保护这方面的东西。这是多方面的,总体来说就是,该做检查就做检查,该做审计做审计,该做防护策略做防护策略,围绕数据安全,我们需要做多种安全的防护,不求无事故,这其实也很难,只求提高攻击者的门槛,或尽量提前一步 ,比黑客更快发现风险并修复。
InfoQ:不同企业或者不同类型的企业,在上云后,这种云环境的安全建设有没有一些共同点?
林鹏:
共同点都是一样,从自己的资产识别和业务角度出发去做安全建设。
现在来说,对自己的资产识别是非常重要的一个环节。如此,首先要明白自己的这个资产都有什么东西,这样才好用一些技术来保护这些资产。
第二,如果可以的话,云服务商提供一些安全防护,每个厂商可能都提供了或多或少的一些安全服务。在价格允许的情况下,可以适当的去购买一些,比如说云厂商提供的一些技术。
当然,光靠服务商提供的还不够,有些需要自己的安全团队来做这些安全建设,或者安全运营时需要考虑自己的公司一些业务情况。或者根据不同业务模式,找不同的侧重点,再去部署一些防御策略。
今年 10 月,林鹏将在QCon全球软件开发大会(上海站)2019分享题为《云环境的安全建设思考》的演讲。
采访嘉宾:
林鹏,猎豹移动安全总监,SECURITY CCIE,曾任当当网安全经理,网信金融安全专家,万达电商信息安全部总经理等职位,长达 8 年的一线安全攻防实战经验,擅长日志分析,安全体系建立,经历了多次从无到有的安全建设,也经历了从 IDC 到云的安全技术转变,经历过万达电商活动期间与黄牛羊毛的业务风控挑战,也经历过与国外黑客组织对抗的应急响应和调查取证。
在 QCon 上海 2019 的演讲中,林鹏老师将介绍云安全与传统 IDC 安全中的不同、云上主机的一些安全技术和云安全的一些思考,点此了解详情。
评论