在當下快速發展的網際網路潮流中,雲計算釋放無限能力,助力企業數字化轉型,為企業業務創新帶來新的契機,但是企業上雲之後,傳統安全邊界變得更加模糊,核心業務在雲端,使得資料可視化和安全風險洞察力都大打折扣,這給企業業務轉型的可持續發展埋下了隐患。如何才能安全無憂地暢享雲計算帶來的紅利,為應用建構更安全可靠的防護屏障呢?本文就AWS雲上安全話題進行探讨,從安全模型到最佳實踐,從安全架構規劃到系統内部加強,對企業上雲的安全部署提供系統化的全景建議,讓您更直覺地了解雲上安全問題,進而防患未然,構築雲上安全堡壘。
一 雲安全概述
1.1 雲計算中的機遇與挑戰
當雲計算重構IT産業的同時,也賦予了企業嶄新的增長機遇。通過充分利用雲計算的能力,企業可以釋放更多精力專注于自己的業務。雲計算極大地降低了企業的數字化轉型成本,釋放更多效能進行業務創新,雲計算為企業業務創新帶來無限可能。但是當人們在享受使用雲計算帶來的便利的同時,雲上安全問題也不容忽視,CC、DDoS[DDoS]、、病毒、蠕蟲...,使用者的業務應用就像在黑暗森林中的行者,四周潛伏着看不見的野獸惡魔,稍有不慎便被惡意趁虛而入,給企業帶來極大的損失。
1.2 三問雲上安全性
雲計算帶來了機遇與挑戰,那麼對于挑戰,我們該如何看待?
- 雲平台安全
當企業接入雲端,如何判斷雲平台的安全能力?合規性是一個重要考量因素,此外建議企業還可以了解雲平台是否有關于身份與通路、網絡安全、資料保護、應用安全、可視性與智能相關的安全政策,全面客觀地評判雲平台安全實力。
- 隔離防護
雲平台為多租戶模式,租戶方應該采取哪些措施或服務來達到安全的目的?該借助哪些服務來達到等級保護的要求?
- 安全流程規範
盡管企業已經對雲端安全做了詳盡周密的部署,但是仍不免遭遇安全。一旦發生安全風險,雲平台是否有一系列規範的安全響應流程來幫助企業抵禦,降低安全風險?
帶着上面的問題,下文将從安全分類、安全模型、雲上安全最佳實踐等方面,對雲上安全進行詳細分析。
二 雲上安全分類
對于雲計算安全帶來的挑戰,雲上安全問題大體可分為以下四類:
- 實體和基礎架構安全:包括雲計算環境下資料中心内伺服器、交換機等軟硬體裝置自身安全、資料中心架構設計層面的安全;
- 應用安全:在雲計算環境下的業務相關應用系統的安全管理,包括應用的設計、開發、釋出、配置和使用等方面的安全;
- 通路控制管理:雲計算環境中對資源和資料的通路權限管理,包括使用者管理、通路權限管理、身份認證等方面;
- 資料安全:指客戶在雲計算環境中的業務資料自身的安全,包括收集與識别、分類與分級、通路權限與加密等方面。
将雲上安全問題清晰歸類後,企業就可以針對自身安全問題有的放矢地進行優化完善。在此将詳細闡述AWS在雲端的前沿技術與産品解決方案,看AWS如何為企業轉型賦能,幫助企業從容上雲,為應用建構安全城堡。
三 安全模型
AWS責任共擔模型強調安全性和合規性是AWS和客戶的共同責任,AWS提供基礎設施并保證其安全,使用者則負責維護自己運作其上的應用安全。在這裡不少企業使用者會存在認知誤區,認為隻要雲平台基礎設施安全就足夠了,但事實上企業需要對雲端應用有更深入的安全掌控。
從企業角度而言,使用者需要確定應用的安全性,及利用雲計算基礎設施的安全配置,進行雲上安全加強,例如及時更新作業系統的安全更新檔、雲産品的安全政策配置。AWS的安全模型将安全下放到客戶側,更具有靈活性和可控性,有助于使用者在AWS和内部環境中掌控安全,獲得最大限度的保護。
在AWS的責任共擔模型中,人們可以更直覺地看到AWS和企業客戶的責任劃分,其中AWS負責全球基礎設施的安全及合規,客戶完全擁有和控制自己的資料,并可以根據自己的業務選擇合适的雲産品,配置更高安全政策進而提升業務安全。通過這個模型,在AWS的強大雲平台上,企業擁有更靈活的安全産品搭配,對應用有更強的安全掌控能力,雙方共同構築了雲上安全堡壘。
3.1 雲安全責任
在了解了雲上安全模型後,我将對AWS安全責任和客戶安全責任做更詳細的闡述,并通過案例講解,幫助大家更深入地了解責任共擔模型。
3.1.1 基礎設施安全
在基礎設施安全方面,AWS負責保護提供的所有服務的全球基礎設施的安全。
- 在高可用方面:AWS在全球多區域内都部署基礎資源,在同一個區域内的不同可用區也部署了基礎資源。這樣分布式的資源部署,配合故障切換,能夠最大程度降低單可用區或單區域故障所帶來的危害性,為基礎設施的高可用性提供了良好的保障。
- 在通路控制方面:AWS全球資料中心專業的安保人員利用視訊監控、***檢測系統和其他電子方式嚴格控制各資料中心入口的實體通路,確定資料中心人員通路的合規性。
- 在實體安全方面:AWS全球資料中心均配備自動化火災探測和撲救裝置,以及全年無中斷備援設計的電源系統,這些防護裝置及高可用設計方案,能夠大大提升資料中心健壯性。
- 在事件響應方面:在遇到突發影響業務的事件時,AWS事件管理團隊會使用行業标準診斷程式來推進事件的解決。專業的管理團隊還會提供全天候響應服務,高效快速處理突發事件,確定基礎設施安全無虞。
3.1.2 基本服務安全
安全性不僅嵌入到 AWS 基礎設施的每一層,還嵌入到基礎設施之上的每個服務中。AWS的每個服務都提供了廣泛的安全功能,可以幫助使用者保護敏感資料和應用程式。例如,Amazon RDS for Oracle 是一種托管式資料庫服務,在該服務中,AWS 管理容器的所有層,甚至包括Oracle 資料庫平台。針對雲上服務,AWS提供資料備份服務和恢複工具,使用者負責配置和使用與業務連續性和災難恢複 (BC/DR) 政策有關的工具。使用者通過使用AWS提供的靜态資料加密服務,或者AWS提供的對使用者有效負載的 HTTPS 封裝服務,以保障傳入和傳出該服務的資料安全。對于基本服務AWS也提供了多種有效措施來確定服務的安全性。
3.2 客戶安全責任
安全是相對的,且是多元度的,底層基礎設施交由AWS負責,那麼在雲上的資源配置和業務安全則需要由客戶自己來掌控。
3.2.1 基礎服務
基礎服務的安全問題,涉及計算、存儲、網絡等層面,需要與具體的場景結合才能有針對性地保障其不同側重點的安全性。例如,當業務遷移上雲時,如何保障雲上計算資源全生命周期的安全性,如何規劃雲上網絡才能確定資料傳輸安全,依靠哪些措施保障資料存儲安全。針對計算、網絡、存儲三大基礎服務,AWS提供了不同的解決方案。
- 計算資源之EC2
-
伺服器開通
伺服器在開通階段,需要進行一系列安全配置,以提升系統安全等級。企業可以自主選擇多種操作,例如選擇穩定的作業系統版本、開通伺服器安全防護功能、開通監控日志服務、安全組最小化精确授權、配置快照備份政策、設定IAM通路權限、配置伺服器告警政策等。
-
伺服器配置
通過一些列系統内優化加強操作,提高系統安全性,例如在系統内部使用系統預設防火牆對業務進行安全防護,調整檔案打開數和程序數,優化系統核心參數,删除系統内無效使用者,禁用超級管理者登入,使用普通使用者切換到超級管理者操作,對業務系統日志進行切割分級等。
-
運維
對于後期伺服器運維,需要企業客戶定期更新軟體系統,及時修複新暴露的軟體漏洞,定期巡檢伺服器各項監控名額,企業還可以針對業務使用情況優化系統配置,并對EC2伺服器進行安全測試,使用安全産品進行EC2安全加強。
-
-
網絡安全之VPC
對于Amazon Virtual Private Cloud安全,使用者需要根據自身業務特點,結合業務網絡連通性和後期可擴充性進行綜合考慮。[和後面4.1.2 VPC規劃的分層設計内容重複]對Web應用/APP應用/DB應用進行分層設計,通過制定嚴格的網絡安全政策實作業務管控,保證安全;使用者還可以配置帶寬監控,這樣一旦網絡發現異常流量就會告警,確定企業網絡安全可用。
-
存儲安全之Amazon S3
在對象存儲安全方面,Amazon S3基于請求時間(日期條件)限制通路,無論該請求是使用 SSL(布爾值條件)還是使用申請方的 IP 位址(IP 位址條件)發送的,都可基于申請方的用戶端應用程式(字元串條件)限制通路。通過 SSL 加密型終端節點,安全地将資料上傳/下載下傳到 Amazon S3,保證資料傳輸到Amazon S3的安全性。
3.2.2 托管服務
對于AWS托管服務,例如Amazon RDS具有豐富功能,可以提高關鍵生産資料庫的可靠性,包括資料庫安全組、權限、SSL 連接配接、自動備份、資料庫快照和多可用區部署。企業還可以選擇将資料庫執行個體部署在 Amazon VPC 中以享受額外的網絡隔離。
- 從通路控制層面來看,企業首次在 Amazon RDS 内建立資料庫執行個體時,将會建立一個主使用者賬戶,它僅在 Amazon RDS 環境中用來控制對使用者資料庫執行個體的通路。同時建立資料庫子網組,這些組是使用者可能需要為 VPC 中的 RDS 資料庫執行個體指定的子網集合,每個資料庫子網組應至少包含給定區域中每個可用區的一個子網,從網絡層面保證服務安全性;
- 終端通路加密方面,可以使用 SSL 對應用程式和資料庫執行個體之間的連接配接進行加密,避免資料被竊取和篡改;
- 對于自動備份和資料庫快照,使用者可根據業務合理配置托管伺服器的備份恢複政策,當資料遭受破壞時能輕松地實作資料恢複;
- 對于告警,AWS提供RDS服務,可以幫助企業全面掌握雲端應用狀況,如執行個體是否已關閉、備份啟動、發生故障轉移、安全組發生更改、存儲空間不足等,企業可以在第一時間發現潛在安全問題,并執行相應修複操作,提升托管服務安全性。
四 安全架構最佳實踐
4.1 通路入口
4.1.1 邊界架構安全
-
AWS WAF
AWS WAF是一種Web應用程式防火牆,顧名思義防火牆能夠根據一些設定好的ACL規則或内置安全政策,對網絡上的安全風險進行攔截,包括SQL注入、跨站腳本、特點惡意IP通路等安全威脅。利用AWS WAF能夠為業務提供安全的通路入口。
-
AWS CloudFront
Amazon CloudFront 能加快将靜态和動态 Web 内容(如 .html、.css、.js 和圖像檔案)分發到使用者的速度,當出現海量網絡攻 擊情況時,可利用全球的節點輕松扛住海量攻 擊。不僅如此,如下圖所示,Amazon CloudFront 還可将HTTP請求重定向到HTTPS,為應用提供強有力的安全防護入口。
-
Amazon Route53
Amazon Route 53 作為DNS伺服器,實施的故障轉移算法不僅用于将流量路由到正常運作的終端節點,在遇到大型DDoS***時還可以起到很好的分流作用,強大的基礎設施為使用者提供雲上安全可靠的網絡防護。
-
安全接入點
在全球網絡的衆多接入點,AWS已經配置了專業的接口通信網絡裝置,可以對網絡接入點進行管理和安全檢測,進而保障了業務資料在接入點的網絡安全性。
-
傳輸保護
普通使用者可使用安全套接字層 (SSL)通過 HTTP 或 HTTPS 連接配接到 AWS 接入點,但對于安全需求更高的使用者,,AWS 提供Amazon Virtual Private Cloud (VPC)服務,它相當于在AWS 雲内部為高安全需求使用者打造一張私有子網,通過 IPsec Virtual Private Network (***) 裝置在 Amazon VPC 與使用者的資料中心之間建立加密隧道,進而保證業務資料在網絡傳輸中的安全可靠。
-
容錯設計:
AWS 保障了在多個地理區域内以及在每個地理區域的多個可用區中執行個體和存儲資料的靈活性,通過将應用程式分布在多個可用區進而保持彈性,高可用的容錯設計最大程度避免了災難的發生,為使用者應用安全提供保障。
4.1.2 VPC規劃
對于Amazon Virtual Private Cloud安全,使用者需要根據自身業務特點,針對業務網絡連通性和後期可擴充性等方面進行前瞻性規劃考慮。
-
高可用設計
AWS可以幫助企業将業務部署在不同的VPC中,VPC之間實作網絡互通,企業可以利用路由安全組和網絡ACL來控制安全,不同VPC部署在不同地域,確定業務網絡備援性。
-
分層設計
考慮到業務安全性,企業可以在每個 Amazon VPC 内建立一個或多個子網,在 Amazon VPC 中啟動的每個執行個體均連接配接至一個子網。傳統的第 2 層安全性攻擊(包括 MAC 欺騙和 ARP 欺騙)被阻斷。
-
可擴充性
業務網絡随着業務應用的持續發展,需要提前考慮未來可擴充性,做好網段規劃。根據IDC網絡拓撲設計雲上網段,避免在後續打隧道時發生網絡沖突,考慮到業務發展模式,建議企業盡可能采用大的網段劃分,為未來業務預留網段,確定網絡規劃具有良好的可擴充性。
-
維護性
企業業務上線後對VPC需要進行帶寬政策配置,監控告警配置等操作。這樣可以在第一時間發現異常流量,并進行處理。日常運維中,企業還需要根據業務動态調整VPC政策,定期巡檢以提升VPC安全。
4.1.3 子網規劃
VPC的安全一部分是由子網的安全措施來保證的,為了實施額外的網絡控制,可以通過指定子網的IP位址範圍來隔離不同的應用執行個體,子網規劃也需要考慮子網中雲資源的數量限制,子網的正确規劃能大大減少來自網絡内的攻擊,及時發現網絡安全問題,防患于未然。
4.1.4 安全組
在應用的通路中,AWS提供了一整套完整防火牆方案,此方案就是在各個雲資源邊界都有安全組,且強制性入站配置預設為是拒絕所有請求,客戶需要明确允許入站流量業務所需端口,最小化精細授權通路,進而提升網絡安全性。
4.2 系統架構
在系統架構安全方面,企業可通過靈活使用負載均衡、業務無狀态設計、分層架構部署等手段建構安全架構。此外企業還可以将業務資料存儲在分布式存儲中,資訊資料存儲在雲産品MQ/DB中,這樣可以最大程度防患于未然,将攻 擊輕松化解。
4.3 分級管理
4.3.1 通路分級
- IAM
無論是對雲資源的通路還是系統的通路,通路憑證的安全至關重要。借助AWS IAM,使用者可以集中對使用者、安全憑證(如密碼、通路密鑰)進行統一管理,以及對AWS服務和資源的通路設定控制權限政策。靈活使用IAM授權可以對應用或雲資源通路實作分級控制,保障雲資源和通路入口安全性。
- MFA
為進一步提高通路的高安全性和可靠性,企業可為賬戶中的所有使用者進行Multi-Factor Authentication (MFA),啟用MFA後,使用者不僅要提供使用賬戶所需的密碼或通路密鑰,還必須提供來自經過特殊配置的裝置代碼,通過雙向認證確定通路分級的安全性。
4.3.2 資料分級
- 資料KMS加密
對于資料加密問題,可借助AWS Key Management Service (AWS KMS) 托管服務輕松實作。使用者可以建立和控制客戶主密鑰 (CMK),這是用于加密資料的加密密鑰,通過使用 AWS KMS,能夠更好地控制對加密資料的通路權限。目前使用者可以直接在應用程式中使用秘鑰管理和加密功能,也可以通過與 AWS KMS 內建的 AWS 服務使用密鑰管理和加密功能。利用KMS加密服務,能夠快捷簡單保障資料的安全性。
- 備份恢複
對于不同的雲資源,AWS提供對應的資料備份功能,例如EC2的快照備份如果執行個體出現故障,或者被***惡意通路造成資料被篡改,或被非法加密用于勒索,可以利用快照第一時間對資料進行恢複;通過配置雲産品的備份政策,可以在業務資料發生異常時最快速度進行資料恢複。
- 傳輸加密
對于通路請求傳輸進行加密控制,AWS提供的服務對IPSec 和SSL/TLS均提供支援,以保證傳輸中資料的安全。對于客戶業務請求可以強制HTTPS通路,企業使用者可以使用 SSL 對 API 調用進行加密,以保持業務資料的機密性。
4.4 運維管理
- 系統加強
對于系統加強,在開通EC2伺服器後,除了AWS上備份監控政策外,系統内部的安全加強必不可少,使用者需定期進行更新檔更新,後期運維進行定期安全巡檢,通過監控日志告警來第一時間排查系統安全問題,通過系統加強能在系統内杜絕安全隐患。
- 監控管理
對于雲上資源的使用情況,企業可以使用 AWS CloudWatch 進行監控,全方位了解資源使用率、營運性能和總體需求模式,并且使用者還可以設定 CloudWatch 警報,使其在超出特定門檻值時通知使用者或采取其他自動化操作(例如,在 Auto Scaling 啟用時添加或 移除 EC2 執行個體),并可以通過分析監控資訊排除隐藏的安全問題。
- 日志管理
- 配置管理