私有云安全:边界安全设计实践 – 作者:dawner

系列文章:

私有云安全:容器安全设计实践

对于私有云环境的安全建设工作中,需要做的事务繁杂而冗长。但我们在梳理要点后,会发现非传统边界的加固工作,也是我们应该重点关注的。

首先,我们需要关注私有云环境的访问控制问题,在实现一定程度的可信准入后,对各层次的边界进行鉴权和认证;另外,我们需要针对潜在外部的大流量,以及容器间的流量风暴,通过代理集群和容灾多活的方式,进行分流防御处理;当然,无论是IDC资源还是容器资源,我们都务必要做好主机加固的工作,阻止黑客进行权限提升和横向扩散。

主机加固

端口策略

出入策略

在对网络边界的安全进行设计时,我们需要对出入端口的访问控制策略,进行精细化的控制。

云环境边界:

对于云环境边界的宿主机和IDC来说,端口开放的越多,意味着攻击面会扩大。而它们被黑客尝试或者存在风险的可能性,也会越大。

所以在此逻辑基础上,这些主机需要依赖云容器管理平台和人工配置,借助类iptables的系统工具,对开放的端口实行最小化原则,同时也要对所有的端口进行严格的认证控制,保障基础的传统边界控制。

安全域隔离边界:

至于云环境网络隔离区,则相对来说没有没那么严格。在不同的服务之间,本身可能会存在流量交互,所以进出口规则会比较复杂,变动也会相对来说更多,如果同样采用最小化策略,可能会对业务带来比较多的困扰。

但是,对于网络隔离区的出入策略,对于端口控制,也是需要做好认证和鉴权的,这块儿的内容也需要云管平台去做统一的配置管理。

流量监控

对于端口出入的流量,我们除了做好异常流控,保证网络稳定以外,也需要对其中的流量进行监控检测。

在黑客通过手段获取了云环境内主机的临时权限后,可能会尝试横向移动或者后门反弹,抑或直接进行数据拖取。在这种情况下,对于端口流量的监控就显得尤为重要了。

在监控到端口流量异常后,安全运营中心(SOC)可以通过行为联动进行分析告警,及时阻断隔离可能沦陷的机器的访问控制。

攻击阻断

边界WAF

在私有云环境提供对外的WEB服务时,对于外部用户可触达的范围,是需要提供WAF保护的。

在针对这部分内容的防御上,主要是针对传统URI进行访问核查,以及对API的访问控制。

其中对于接口的访问频次和流量内容,是否存在异常,都是边界WAF需要关注的。

这里显然不建议在安全域隔离边界进行WAF部署,我们应该专注对云环境边界的主机(如Nginx层)进行流量收口阻断控制,这样是相对合适的做法。

边界防火墙

对于边界防火墙的话,可以对私有云网络的内外流量进行交互限制,限制异常流量的出入。

就部署的优先级来看,是私有云边界优先于安全域隔离边界。

我们也可以在云环境边界,尝试部署硬件防火墙,再在安全域边界通过软件防火墙的形式进行补充,当然具体实施要看情况而定。

在实际部署的过程中,我们可能会遇到预算有限、业务复杂性较高、网络稳定性要求高等多重问题困扰。

所以我们需要在保障最低安全标准的情况下,对相关安全能力逐步进行建设和方案优化。

HIDS

在边界主机上,我们部署HIDS的同时,进行日志的留存分析也是很有必要的。

在入侵事件发生的事前和事中,我们可以通过内网态势感知(日志流量的监控联动),对攻击进行拦截阻断。

而边界主机上的HIDS的监控告警和相关安全日志,能帮助安全运维人员更好的治病于腠理。

另外需要强调的一点,日志最好统一上传到日志分析中心(比如ELK或者Splunk),以免被拿到权限的黑客清除入侵痕迹。

分流防御

对于进入私有云环境的流量,我们首先需要做好流量控制,防止内部脆弱的网络出现稳定性故障。

负载均衡SLB:

负载均衡(Server Load Balancer)是将访问流量根据转发策略,分发到后端多台机器的流量分发控制服务,这是在流量出入口实施分

来源:freebuf.com 2020-12-01 10:10:49 by: dawner

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论