隨著越來越多企業(yè)將包含敏感數(shù)據(jù)的工作負(fù)載放上云端,快速維護(hù)云端工作負(fù)載的安全成為安全和風(fēng)險(xiǎn)(S&R)專家的重中之重。然而,安全不僅只保護(hù)工作負(fù)載,還必須支持開發(fā)運(yùn)維,滿足自動化的需求。
Cloud Workload Security(云工作負(fù)載安全,簡稱CWS)方案能幫助安全和風(fēng)險(xiǎn)(簡稱S&R)專家保障云工作負(fù)載安全,同時(shí)支持開發(fā)運(yùn)維和自動化。Forrester預(yù)測,隨著云的成熟,如今尚未成熟且分散的CWS市場會顯著提升能力、實(shí)現(xiàn)標(biāo)準(zhǔn)化。
本文將從3個(gè)方面闡述CWS方案的必要性和市場指導(dǎo)建議,并與《一篇文章讀懂企業(yè)如何升級到云安全體系》作為姊妹篇,共同為企業(yè)云安全保駕護(hù)航。
一、云工作負(fù)載安全的實(shí)現(xiàn)無法依賴傳統(tǒng)安全廠商和云平臺
盡管傳統(tǒng)安全廠商和云平臺也提供了部分安全服務(wù),但由于如下原因,他們無法實(shí)行云工作負(fù)載安全的實(shí)現(xiàn)工作:
S&R專家無法更新IaaS工作負(fù)載中的本地安全方案,由于本地和云基礎(chǔ)架構(gòu)有所不同,本地安全解決方案在云平臺上并不可行。S&R專家無法利用IaaS供應(yīng)商管理平臺進(jìn)行安全管理,IaaS供應(yīng)商平臺一般不提供最基本的網(wǎng)絡(luò)安全管控、合規(guī)審計(jì)、訪問控制等功能,也難以完成打補(bǔ)丁和加固等常見的安全任務(wù)。S&R專家無法從IaaS供應(yīng)商那里尋求多種云的安全支持,因?yàn)閱为?dú)的IaaS供應(yīng)商不支持跨平臺安全,并且成本和復(fù)雜程度很高,所以很難為用戶行為建模、或?yàn)槊總€(gè)云建立基線行為規(guī)范,如此,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的可能性也大大降低了。S&R專家只能依賴IaaS供應(yīng)商提供全部安全保障。后者通常提供:1)管理程序和主機(jī)根訪問控制;
2)邊界網(wǎng)絡(luò)安全;
3)DDos保護(hù);
4)存儲安全。
但不提供:
1)IDS/IPS;
2)漏洞掃描;
3)配置管理;
4)殺毒和終端保護(hù);
5)補(bǔ)丁和加固;
6)安全監(jiān)測和日志分析。
而且從擴(kuò)展性、能力、時(shí)間和成本等方面考慮,企業(yè)內(nèi)部也很難獨(dú)立建立CWS架構(gòu)。
二、CWS方案如何應(yīng)對云上的安全挑戰(zhàn)
CWS方案一般融合了這些能力:1)提供單獨(dú)的虛擬管理平臺;2)提供單獨(dú)的策略管理接口;3)提供標(biāo)準(zhǔn)審計(jì)服務(wù)。CWS還會提供很多IaaS安全管控措施(見圖1),詳細(xì)如下:
IaaS工作負(fù)載中的管理員訪問管理。CWS方案能夠?qū)υL問賬戶和權(quán)限提供工作負(fù)載層面上的管理。無論工作負(fù)載在哪里運(yùn)行,都能讓用戶利用現(xiàn)有IAM存儲對工作負(fù)載的訪問進(jìn)行強(qiáng)認(rèn)證?;谖募钴S性的反惡意軟件保護(hù)。CWS方案可以監(jiān)控日志中的可疑行為;追蹤用戶行為;部署傳統(tǒng)反惡意軟件終端agent;在虛擬機(jī)上部署agent監(jiān)測文件事件,檢測可疑行為。持續(xù)監(jiān)控管理配置。CWS方案保證在創(chuàng)建體系和服務(wù)時(shí),不會將信任證植入配置管理工具中;通過將云服務(wù)載入CWS方案來檢查平臺,自動學(xué)習(xí)安全配置以及工作負(fù)載上服務(wù)的結(jié)構(gòu)和特點(diǎn);管理員可以為工作負(fù)載預(yù)置系統(tǒng)或自定義配置;檢測工作負(fù)載的配置。利用密碼學(xué)校驗(yàn)和檢查文件完整性。CWS agent使用密碼掃描重要的工作負(fù)載文件,以免產(chǎn)生突發(fā)變化。文件完整性監(jiān)控一般還包括補(bǔ)丁監(jiān)控。基于主機(jī)的防火墻和軟件定義的網(wǎng)絡(luò)化。CWS方案為Linux和Windows系統(tǒng)中的IaaS和PaaS工作負(fù)載提供基于主機(jī)的防火墻,為本地防火墻增加重要的功能,如集中化策略管理、策略配置試探程序、訪問管理等。進(jìn)出站API合并。CWS方案可以調(diào)用其他SA, IAM, IaaS工作負(fù)載管理、虛擬化系統(tǒng)及其管理接口的API;為入站合并和CWS策略管理公開自己的API。集成開發(fā)運(yùn)維配置管理系統(tǒng)。CWS方案在IaaS工作負(fù)載的建立和配置過程中,直接集成了這些開發(fā)運(yùn)維工具來管理安全配置參數(shù),從而使安全成為工作負(fù)載的固有部分。監(jiān)測網(wǎng)絡(luò)流量的IPS和配置變化。CWS方案檢測入侵行為的方式是:監(jiān)測進(jìn)出工作負(fù)載的網(wǎng)絡(luò)流量;檢測工作負(fù)載上的任意程序變化和配置變化;監(jiān)測分析工作負(fù)載的活動日志。日志檢查。CWS方案有自己的日志分析引擎,并能集成現(xiàn)有客戶的SIM系統(tǒng)或安全分析系統(tǒng)。CWS方案會詳細(xì)檢查IaaS和PaaS工作負(fù)載的日志,以確定可疑事件。當(dāng)事件被定義為有風(fēng)險(xiǎn)時(shí),集成現(xiàn)有的SA方案:1)本地基于主機(jī)的防火墻日志;2)AWS的SNS網(wǎng)絡(luò)服務(wù)。
CWS高級架構(gòu)
三、CWS方案選取建議
S&R專家需要CWS來提供全面的云安全。然而,許多CWS廠商剛剛起步,或者推出的方案比較新。如果要評估CWS方案,建議:
為云擴(kuò)展而設(shè)計(jì)。管理云工作負(fù)載配置和安全不是要放過漏洞、避免大規(guī)模安全配置錯(cuò)誤。要求廠商為你提供個(gè)性化指導(dǎo)意見:如果你部署了覆蓋1000個(gè)工作負(fù)載的方案,會發(fā)生什么?在任何環(huán)境下都能工作,必須確保本地、私有云、SaaS、PaaS和IaaS環(huán)境下工作負(fù)載的安全。提到云安全時(shí),避免廠商鎖定是S&R專家部署CWS方案的眾多原因之一。CWS至少該覆蓋AWS、Azure、IBM SoftLayer、Rackspace和VMware管理程序。作為服務(wù)交付。CWS策略服務(wù)器的本地維護(hù)成本較高,不僅包括固定的許可證費(fèi)用,更重要的是還要承擔(dān)昂貴的維修人員的費(fèi)用。Forrester預(yù)計(jì),將CWS作為服務(wù)來部署將會減少30%-50%的云安全相關(guān)的勞動力成本。在單一方案中提供廣泛而集中的管控措施。在云安全領(lǐng)域中,CWS方案的功能應(yīng)該盡可能廣泛,至少包括:1)文件、配置的管理和完整性監(jiān)控;2)網(wǎng)絡(luò)安全;3)打補(bǔ)?。?)入侵檢測;5)日志文件分析;6)虛擬化管理程序安全;7)認(rèn)證集成開發(fā)運(yùn)維工具如ChefPuppet等