【IT168 现场报道】2016年10月27日-29日,2016中国系统架构师大会(SACC 2016)在北京万达索菲特大饭店举行。作为中国规模最大的架构师豪门盛会,本届大会以“架构创新之路”为主题,站在创新的风口上,与大家共同打造一场通过架构创新及各种IT新技术来带动企业转型增效,助力架构师们腾飞的技术盛会。
中国系统架构师大会的第二天下午,我们迎来了主题为“云平台架构探索与实践(下)”的专场,在应用安全,云防护,云计算技术方面有着丰富经验的360政企云安全产品部架构师李纪峰就《云平台安全架构剖析》这一主题做了精彩分享。
云计算从2006年开始至今已经有10年时间,目前很多企业都已经开始把业务迁移到云上,国外来看71%的受访者已经有了上云的规划或者已经上云。但随着互联网的日益发展,90%的企业都开始关心云安全的问题,因为黑客的攻击手段愈发自动化、攻击形式也变得多样,总之,安全已经成为阻碍云计算发展的最大因素。
云安全的6大挑战
1、 东西向的流量不可见
李纪峰表示在传统的业务中,主要的业务是以客户端到服务端的这种南北向的流量为主,但业务迁移到云上时,则是以东西向流量为主。东西向流量最主要分为两种,一种是在云环境下,同一台物理服务器上面两台虚机之间的数据交换不会经过外面的物理网卡,而是直接通过服务器进行交换。第二种是在同一个数据中心不同服务器的数据交换。在云的环境下,80%的流量都是东西向流量,但是80%的安全风险是南北向的。
2、虚拟机逃逸,典型的就是毒液漏洞,通过物理主机控制其他的虚拟机。
3、SDN安全风险:思科2015年公布了一个安全漏洞。由于思科本身的一个程序策略控制器权限控制不当,使黑客获取了Root权限,并且去执行命令。这个漏洞风险等级比较高,被评为8.5分,影响在当时比较大。
4、第三方组件给云平台带来的风险:今年6月份亚马逊使用了第三方组件,这个漏洞使黑客构造的恶意图片直接上传到了目标服务器执行命令。
5、云平台本身的安全问题:
脏IP:如果云服务厂商没有对这种“脏IP”有隔离洗白的机制,那么另外一个用户可能就会绑定这个IP,可能会莫名遭受DDoS攻击的风险。
镜像:主要是对私有云企业来说,由于镜像是由云服务厂商来提供的,比如说windows发布最新补丁的时候由于云服务厂商一直没有对镜像进行及时更新,会导致很多业务创建出的云主机存在漏洞。
快照:如果快照不是用户自己创建的,而是被非法用户创建然后把我们创建快照的数据导入他本地的话,那么我们主机的数据就有可能泄露。
6、传统厂商的互相封闭:对传统厂商来说算是一个老话题,以防火墙和扫描器为例,为了解决爬虫链接不全的问题,一般有两种解决方案,一种就是拆目录,另一个是基于Web2.0的一个爬虫引擎,这时候会把2.0执行的页面爬出来,即使这样也有可能会有很多页面的链接是获取不到,这个时候如果防火墙和扫描器能够联动,这样扫描能力会大大提高。
如何构建立体数据安全的防御体系
对企业来讲,数据可以说是最重要的资产,要想解决好数据安全问题着实存在着很大的挑战性,在这里李纪峰将数据安全的防御体系划分为六点:
1、 应用层安全,最主要要部署Web应用防火墙,数据库防火墙和数据库审计。
2、 主机层安全,主机登录密码设置10位以上, 只分配内网IP,只允许白名单访问,最小化权限。
3、 传输安全,数据传输SSL加密,防止通过网络窃取数据。
4、 存储层数据,对核心数据要进行加密。
5、 容灾备份,李纪峰建议做到每周2次全量备份,每天增量备份,核心数据保留1年,每月检查一次备份的有效性。
6、 数据的安全管理,则包括运维安全、开发安全以及数据分级三部分。
其他防御体系构建
对于何如构建应用安全纵深防御体系以及主机安全立体防御体系的构建,李纪峰也分别总结了6点内容,就构建应用安全纵深防御体系而言,一定要对开发人员进行安全培训(安全意识,安全编码规范)、并进行持续性风险检测(web漏洞扫描,webshell扫描,篡改检测)、漏洞管理(上线前安全测试,加入补天SRC,0day管理)、部署Web应用防火墙、建立DDOS防御机制、应用安全审计;对于构建主机安全立体防御体系而言,要最小化系统(单一角色原则,精简原则)、注意恶意代码的防范(病毒、木马查杀)、进行漏洞补丁管理、主机入侵检测、主机加固(账号服务加固,系统服务加固,内核参数加固)、账号安全防护等(防止暴力破解,异地登陆提醒)。
“安全是一个过程,不仅仅是一个硬件的技术问题,更多的是一个管理问题,管理问题我觉得最重要的核心是人,只有提高了我们每个开发、运维或者每个人的安全意识,才可能彻底解决好我们的安全风险。“李纪峰如是表示。
▲更多信息尽在IT168现场报道专题
http://www.it168.com/redian/sacc2016/
