云安全三大趨勢(shì)：縱深防御、軟件定義安全、設(shè)備虛擬化

云安全三大趨勢(shì)：縱深防御、軟件定義安全、設(shè)備虛擬化云安全三大趨勢(shì)：縱深防御、軟件定義安全、設(shè)備虛擬化云安全三大趨勢(shì)：縱深防御、軟件定義安全、設(shè)備虛擬化V:1.0精細(xì)整理，僅供參考云安全三大趨勢(shì)：縱深防御、軟件定義安全、設(shè)備虛擬化日期：20xx年X月摘要：傳統(tǒng)IT架構(gòu)發(fā)展到云架構(gòu)的今天，傳統(tǒng)信息安全的分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化已不再適合新一代應(yīng)用的需求。未來(lái)信息安全與應(yīng)用的跨界融合是主流方向，而這種融合又催生了信息安全三個(gè)維度的發(fā)展方向。本文從當(dāng)今信息安全產(chǎn)業(yè)割據(jù)化、封閉化、硬件化的三個(gè)特點(diǎn)入手，結(jié)合典型云平臺(tái)架構(gòu)分析了信息安全和云平臺(tái)之間日趨嚴(yán)重的鴻溝，并提出了對(duì)應(yīng)的解決思路，即信息安全的三個(gè)發(fā)展趨勢(shì)：信息安全自身發(fā)展的縱深防御（DefenseinDepth）、由應(yīng)用與信息安全二者融合驅(qū)動(dòng)的軟件定義信息安全（SoftwareDefinedInfomationSecurity）、由虛擬化技術(shù)和信息安全二者結(jié)合驅(qū)動(dòng)的安全設(shè)備虛擬化（SecurityDeviceVirtualization），這三者結(jié)合后形成了一套更安全、敏捷、經(jīng)濟(jì)的云平臺(tái)安全體系。一、傳統(tǒng)信息安全和云計(jì)算的興起。在傳統(tǒng)的信息安全時(shí)代主要采用隔離作為安全的手段，具體分為物理隔離、內(nèi)外網(wǎng)隔離、加密隔離，實(shí)踐證明這種隔離手段針對(duì)傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)。同時(shí)這種隔離為主的安全體系催生了一批以硬件銷售為主的安全公司，例如各種FireWall（防火墻）、IDS/IPS（入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng)）、WAF(Web應(yīng)用防火墻)、UTM(統(tǒng)一威脅管理)、SSL網(wǎng)關(guān)、加密機(jī)等。在這種隔離思想下，并不需要應(yīng)用提供商參與較多信息安全工作，在典型場(chǎng)景下是由總集成商負(fù)責(zé)應(yīng)用和信息安全之間的集成，而這導(dǎo)致了長(zhǎng)久以來(lái)信息安全和應(yīng)用相對(duì)獨(dú)立的發(fā)展，尤其在國(guó)內(nèi)這兩個(gè)領(lǐng)域的圈子交集并不大。結(jié)果，傳統(tǒng)信息安全表現(xiàn)出分散割據(jù)化、對(duì)應(yīng)用的封閉化、硬件盒子化的三個(gè)特征。但隨著云計(jì)算的興起，這種隔離為主體思想的傳統(tǒng)信息安全在新的IT架構(gòu)中已經(jīng)日益難以應(yīng)對(duì)了。在NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所)的規(guī)范中云計(jì)算被分為三層，SaaS解決了應(yīng)用軟件的即買即開(kāi)即用，IaaS解決了承載應(yīng)用所需計(jì)算資源的動(dòng)態(tài)變化，而PaaS解決應(yīng)用在全生命周期變化所帶來(lái)的問(wèn)題。本文重點(diǎn)分析更為基礎(chǔ)的IaaS和PaaS。二、公有云場(chǎng)景下隔離原則失效，縱深防御是必然趨勢(shì)。公有云的典型場(chǎng)景是多租戶共享，但和傳統(tǒng)IT架構(gòu)相比，原來(lái)的可信邊界徹底被打破了，威脅可能直接來(lái)自于相鄰租戶。當(dāng)然聰明的人們?cè)谛⌒囊硪淼脑O(shè)計(jì)，防止虛機(jī)逃逸、防止租戶間網(wǎng)絡(luò)監(jiān)聽(tīng)、防止每個(gè)單點(diǎn)功能上的漏洞，但是例外情況總是會(huì)有的。在典型開(kāi)源IaaS平臺(tái)-OpenStack應(yīng)用場(chǎng)景中，很多租戶通過(guò)Hypervisor(虛擬機(jī)監(jiān)視器)共享同一個(gè)物理操作系統(tǒng)的計(jì)算資源，在一張共享的二層網(wǎng)絡(luò)上實(shí)現(xiàn)網(wǎng)絡(luò)的區(qū)隔。以O(shè)penStack的G版本為例，攻擊者一旦通過(guò)某0day漏洞實(shí)現(xiàn)虛擬逃逸到宿主機(jī)（即OpenStack中的Nova節(jié)點(diǎn)），攻擊者就可以讀取這臺(tái)宿主機(jī)上所有虛擬機(jī)的內(nèi)存，從而可以控制這臺(tái)宿主機(jī)上的所有虛擬機(jī)。同時(shí)更致命的是，整個(gè)OpenStack節(jié)點(diǎn)間通訊的API默認(rèn)都是可信的，因此可以從這臺(tái)宿主機(jī)與集群消息隊(duì)列交互，進(jìn)而集群消息隊(duì)列會(huì)被攻擊者控制，最終一舉端掉整個(gè)OpenStack集群。接著說(shuō)PaaS，主流PaaS普遍采用進(jìn)程隔離的container技術(shù)(例如Linux內(nèi)核中的lxc)，這種技術(shù)的安全成熟度還不如Hypervisor，攻擊原理同上述OpenStack，這里暫不展開(kāi)。從功能上，主流PaaS一般針對(duì)應(yīng)用的源代碼管理、持續(xù)集成、部署、運(yùn)維做自動(dòng)化處理，而從安全角度看這意味著可信邊界的弱化，比如說(shuō)一旦持續(xù)集成這個(gè)節(jié)點(diǎn)被攻擊者控制，后續(xù)的部署、生產(chǎn)環(huán)境運(yùn)維都會(huì)直接暴露給攻擊者。因此，云的快速和自動(dòng)化在這里是一把雙刃劍，如果存在漏洞，危害的發(fā)生同樣很快。再說(shuō)大數(shù)據(jù)，安全圈有種說(shuō)法，“大數(shù)據(jù)時(shí)代最先受益的是駭客”。以前還要逐個(gè)攻破，現(xiàn)在數(shù)據(jù)集中了，直接可以一鍋端了。集中化的大量數(shù)據(jù)，帶著N個(gè)副本存儲(chǔ)在不同的IDC，在大量的分布式節(jié)點(diǎn)上計(jì)算著，數(shù)據(jù)的所有者如何確保自己的數(shù)據(jù)是安全的大數(shù)據(jù)加上公有云，如果缺乏有效的安全防護(hù)，將會(huì)成為駭客們的盛宴。因此從信息安全自身發(fā)展來(lái)看，縱深防御(DefenseinDepth，以下簡(jiǎn)稱DiD)是經(jīng)典信息安全防御體系在新IT架構(gòu)變革下的必然發(fā)展趨勢(shì)。原有的可信邊界日益削弱、攻擊平面也在增多，過(guò)去的單層防御(SingleLayerDefense)已經(jīng)難以維系，而縱深防御體系能大大增強(qiáng)信息安全的防護(hù)能力?？v深防御兩個(gè)主要特性是【觀點(diǎn)來(lái)自@phreaker】：1.多點(diǎn)聯(lián)動(dòng)防御。在過(guò)去的安全體系，每個(gè)安全節(jié)點(diǎn)各自為戰(zhàn)，沒(méi)有實(shí)質(zhì)性的聯(lián)動(dòng)。而如果這些安全環(huán)節(jié)能協(xié)同作戰(zhàn)、互補(bǔ)不足，則會(huì)帶來(lái)更好的防御效果。例如FireWall、IDS/IPS、WAF、UTM、SIEM(安全信息和事件管理)等之間的有機(jī)聯(lián)動(dòng)，可以更加準(zhǔn)確的鎖定入侵者。2.入侵容忍技術(shù)（IntrusionToleranceTechnology）。以O(shè)penStack為例，我們假設(shè)虛擬逃逸是存在的。因此我們的設(shè)計(jì)原則是：即使攻擊者控制了某臺(tái)Nova節(jié)點(diǎn)，我們會(huì)通過(guò)安全設(shè)計(jì)手段避免攻擊者進(jìn)一步攻擊OpenStack消息隊(duì)列，或攻擊這臺(tái)Nova的其他虛機(jī)。現(xiàn)狀信息安全產(chǎn)業(yè)，普遍是單層防御，而非縱深防御，其中一個(gè)原因由于安全廠商的分散割據(jù)化造成的，例如FireWall、IDS/IPS、WAF、UTM、SIEM、PKI(公鑰基礎(chǔ)設(shè)施)、SSL網(wǎng)關(guān)、代碼審計(jì)、終端安全、加密機(jī)等不同廠商，同時(shí)這種安全廠商的分散割據(jù)化現(xiàn)狀也會(huì)阻礙縱深防御的進(jìn)一步發(fā)展。如何把分散割據(jù)的各安全廠商的能力有效整合形成聯(lián)動(dòng)，是需要我們深思的，也許接下來(lái)要探討的軟件定義信息安全會(huì)是一個(gè)手段。三、安全設(shè)備的封閉化阻礙了安全發(fā)展，未來(lái)安全設(shè)備的開(kāi)放化是趨勢(shì)。在過(guò)去的許多年，傳統(tǒng)安全廠商呈現(xiàn)了封閉化特征。雖然設(shè)計(jì)了大量安全軟件，例如FirwWall中的規(guī)則實(shí)現(xiàn)、IDS中的業(yè)務(wù)邏輯，但這些軟件并不是為用戶設(shè)計(jì)的，而是被安全廠商寫死在安全硬件設(shè)備中、作為軟硬件捆綁的一體化對(duì)外服務(wù)。這樣導(dǎo)致了用戶無(wú)法靈活的利用安全軟件來(lái)結(jié)合自己的業(yè)務(wù)場(chǎng)景做深入結(jié)合，例如針對(duì)特定應(yīng)用場(chǎng)景下的流量清洗。同時(shí)傳統(tǒng)安全廠商的這種封閉性，也阻礙了各個(gè)安全設(shè)備之間聯(lián)動(dòng)整合，進(jìn)而難以形成聯(lián)動(dòng)防御。封閉化的安全設(shè)備，從某種意義上維護(hù)了傳統(tǒng)安全廠商的利益，但是卻損害了用戶的利益。而從用戶的角度來(lái)看，未來(lái)安全設(shè)備的開(kāi)放化、可編程化很可能是個(gè)趨勢(shì)，軟件定義信息安全（SoftwareDefinedInfomationSecurity，以下簡(jiǎn)稱SDIS）這個(gè)概念正是為用戶的這種訴求而生。SDIS強(qiáng)調(diào)安全硬件設(shè)備的可編程化，這樣使得用戶可以靈活的把安全硬件設(shè)備和應(yīng)用場(chǎng)景化、深入結(jié)合、聯(lián)動(dòng)防御。所謂SoftwareDefined，不僅是應(yīng)用軟件與安全設(shè)備的API級(jí)互動(dòng)，更重要的是各安全設(shè)備之間、或縱深防御大腦系統(tǒng)與安全設(shè)備之間的API級(jí)聯(lián)動(dòng)，這樣才能有效的構(gòu)建縱深防御。從這一點(diǎn)上，也可以說(shuō)SDIS為構(gòu)建縱深防御體系提供了可能。而從應(yīng)用軟件威脅的角度看，新的攻擊方式是更加高級(jí)、上層的方式。例如針對(duì)某電商網(wǎng)站高價(jià)值商品的惡意下單攻擊，具體做法是網(wǎng)站一搞促銷，攻擊者就用注冊(cè)好的賬號(hào)搶光高價(jià)值商品、但卻延遲支付，對(duì)付這種攻擊方式的一種解決思路就是讓應(yīng)用軟件的惡意下單檢測(cè)模塊與FireWall互動(dòng)。SoftwareDefined的精髓在于打破了安全設(shè)備的生態(tài)封閉性，在盡量實(shí)現(xiàn)最小開(kāi)放原則的同時(shí)，使得安全設(shè)備之間或安全設(shè)備與應(yīng)用軟件有效地互動(dòng)以提升整體安全性，而非簡(jiǎn)單理解為增加了安全設(shè)備的風(fēng)險(xiǎn)敞口。事實(shí)上在傳統(tǒng)安全設(shè)備的封閉生態(tài)下，如果違反了最小開(kāi)放原則或存在其他缺陷，即使是一個(gè)不開(kāi)放API的安全設(shè)備盒子也同樣有可能存在漏洞。而SDIS恰恰是為了提升系統(tǒng)的整體安全性，而對(duì)個(gè)體安全設(shè)備做了必要的API開(kāi)放。SDIS不是一個(gè)具體的技術(shù)（相比較而言，SSL網(wǎng)關(guān)、WAF、加密機(jī)是具體的技術(shù)），SDIS是一種應(yīng)用信息安全的設(shè)計(jì)理念，是一種架構(gòu)思想，這種思想可以落地為具體的架構(gòu)設(shè)計(jì)?；赟DIS的設(shè)計(jì)理念，用戶的意志最重要，傳統(tǒng)安全設(shè)備廠商按照約定的SDIS規(guī)范（SDIS規(guī)范由甲方聯(lián)盟主導(dǎo)制定）提供細(xì)分領(lǐng)域的專業(yè)安全設(shè)備，同時(shí)市場(chǎng)上也會(huì)出現(xiàn)一些符合SDIS規(guī)范的白牌安全設(shè)備，用戶通過(guò)API級(jí)的互動(dòng)，深度整合這些安全設(shè)備形成一個(gè)有機(jī)的整體，提升了整體安全性。舉個(gè)例子，實(shí)時(shí)采集環(huán)境中所有安全設(shè)備的日志，經(jīng)過(guò)一個(gè)智能的大腦系統(tǒng)分析（例如Splunk），是可以得出更有意義的結(jié)論，進(jìn)而反饋給相關(guān)的安全設(shè)備。對(duì)用戶的另外一個(gè)好處是，如果SDIS驅(qū)使安全設(shè)備開(kāi)放了標(biāo)準(zhǔn)接口，進(jìn)而會(huì)培養(yǎng)一批市場(chǎng)上的垂直領(lǐng)域的專業(yè)安全服務(wù)商、或白牌安全設(shè)備廠商，那么傳統(tǒng)安全設(shè)備廠家再也不能大包大攬了，用戶從此不再被安全設(shè)備廠家綁架。如果對(duì)比流行的網(wǎng)絡(luò)技術(shù)-SDN(軟件定義網(wǎng)絡(luò))，SDIS技術(shù)架構(gòu)也許會(huì)有如下模塊：SDIS南向接口（安全設(shè)備與大腦系統(tǒng)的API）、信息安全大腦系統(tǒng)（類似SDN的Controller）、SDIS北向接口（用戶與大腦系統(tǒng)的接口或界面）。再?gòu)能浖x信息安全SDIS的概念命名來(lái)看，軟件二字既可以是應(yīng)用軟件，也可以是縱深防御的大腦系統(tǒng)。四、虛擬化技術(shù)和安全設(shè)備的結(jié)合，驅(qū)動(dòng)了云上的安全設(shè)備虛擬化、混合化。傳統(tǒng)安全廠商有硬件化的偏好，尤其是在國(guó)內(nèi)，安全廠商傾向于做成盒子形式銷售，而非賣軟件+服務(wù)。典型的做法是，某安全廠商研發(fā)一套安全軟件，但把軟件預(yù)裝在一臺(tái)2U的Linux服務(wù)器上，再貼牌銷售。除了加密機(jī)等幾種特例，大多數(shù)的安全設(shè)備盒子并非特別針對(duì)硬件的定制或加速，其實(shí)就是把軟件和硬件搭配在一起而已。而到了云平臺(tái)上，成千上萬(wàn)的多租戶共享著相同的物理資源，這種安全硬件盒子的方式已經(jīng)難以滿足需求了。也許對(duì)一個(gè)傳統(tǒng)安全從業(yè)人員來(lái)說(shuō)，公有云是一個(gè)安全令人堪憂的事物，但現(xiàn)狀是誰(shuí)也無(wú)法阻擋公有云的蓬勃發(fā)展。因此在云平臺(tái)上我們只能順應(yīng)這種潮流，對(duì)傳統(tǒng)安全的硬件化進(jìn)行必要的創(chuàng)新，在確保安全的前提下把安全軟件從硬件盒子里搬出來(lái)放到云中，這就是安全設(shè)備虛擬化（SecurityDeviceVirtualization，以下簡(jiǎn)稱SDV）。SDN是安全硬件的軟化（例如Hypervisor化、或container化、或進(jìn)程化），也即利用各種不同的虛擬化技術(shù)，借助云平臺(tái)上標(biāo)準(zhǔn)的計(jì)算單元?jiǎng)?chuàng)造一個(gè)安全設(shè)備。SDV帶來(lái)的好處是大大降低了成本、同時(shí)提高了敏捷度、降低了成本、甚至提高了并發(fā)性能（比如利用scaleout的橫向擴(kuò)展和云資源的彈性擴(kuò)容）。但我們也要認(rèn)識(shí)到，和硬件安全設(shè)備相比，SDV增加了攻擊平面、降低了可信邊界，需要我們小心翼翼的設(shè)計(jì)SDV的整個(gè)技術(shù)架構(gòu)、在全生命周期中謹(jǐn)慎管理虛擬化安全設(shè)備，以避免帶來(lái)新的威脅。事實(shí)上，云平臺(tái)上的SDV也是一個(gè)被迫的選擇，舉個(gè)例子，假如如果沒(méi)有SDV，整個(gè)云平臺(tái)使用一臺(tái)高性能硬件WAF去一刀切式的防護(hù)云端的一萬(wàn)個(gè)網(wǎng)站，針對(duì)不同業(yè)務(wù)的網(wǎng)站很難有效的定制規(guī)則，無(wú)疑是形同裸奔。與其裸奔，倒還不如有虛擬化的WAF實(shí)例針對(duì)不同業(yè)務(wù)的網(wǎng)站做有針對(duì)性的防護(hù)。當(dāng)然在某些場(chǎng)景下，我們可以把傳統(tǒng)硬件安全設(shè)備和虛擬化安全設(shè)備做一個(gè)混合部署，把安全性和經(jīng)濟(jì)性巧妙地結(jié)合起來(lái)。五、DiD、SDIS、SDV三者是正交的，融合設(shè)計(jì)后能能形成完整的安全體系。在云平臺(tái)上，縱深防御(DiD)、軟件定義信息安全(SDIS)、安全設(shè)備虛擬化(SDV)三者既是相互獨(dú)立的、正交的，又相互發(fā)生聯(lián)系。如下圖所示：

軟件定義信息安全（SDIS）和安全設(shè)備虛擬化（SDV）容易混為一談，因此我們?cè)僮鰝€(gè)進(jìn)一步分析。SDIS強(qiáng)調(diào)安全設(shè)備的打破封閉性、提高可編程性，同時(shí)盡量收緊安全邊界（例如API最小開(kāi)放、API調(diào)用有身份認(rèn)證），SDIS強(qiáng)調(diào)各安全設(shè)備之間、或應(yīng)用與安全設(shè)備的互動(dòng)，以形成防護(hù)效果最大化。而SDV是從硬件虛擬化的角度來(lái)看的，純粹是為了滿足在云平臺(tái)上構(gòu)建一個(gè)安全防御單元，達(dá)到快捷、省錢、高性能的目的。因此如果一個(gè)硬件安全設(shè)備本身有針對(duì)應(yīng)用的API，那它也可以實(shí)現(xiàn)SDIS。反之即使一個(gè)安全防御單元并沒(méi)有向應(yīng)用開(kāi)放API，這個(gè)安全防御單元也仍然可以用虛擬化的方式構(gòu)建（例如hypervisor虛擬機(jī)、container容器、或一個(gè)進(jìn)程）。為了進(jìn)一步證明SDV與SDIS是正交的，羅列出以下4種可能組合：1）非SDV（硬件安全設(shè)備）+非SDIS（不向應(yīng)用開(kāi)放API）：信息安全傳統(tǒng)架構(gòu)；

2）非SDV（硬件安全設(shè)備）+SDIS（向應(yīng)用開(kāi)放API）：安全廠商的硬件安全設(shè)備向應(yīng)用開(kāi)放編程API；

3）SDV（虛擬化的安全設(shè)備）+非SDIS（不向應(yīng)用開(kāi)放API）：僅僅把安全廠商的硬軟件用虛擬化技術(shù)實(shí)現(xiàn)；

4）SDV（虛擬化的安全設(shè)備）+SDIS（向應(yīng)用開(kāi)放API）：安全廠商的安全設(shè)備是虛擬化的，同時(shí)也對(duì)應(yīng)用開(kāi)放了編程API；六、SDIS和SDV帶來(lái)的潛在安全威脅及應(yīng)對(duì)。必須嚴(yán)肅正視的一點(diǎn)是，雖然SDIS和SDV帶來(lái)了很多好處，但同時(shí)增加了攻擊平面，例如針對(duì)安全設(shè)備開(kāi)放API的攻擊、針對(duì)虛擬化安全設(shè)備的Hypervisor層的攻擊。因此我們要謹(jǐn)慎設(shè)計(jì)并把握三個(gè)原則：