云計算已在全球范圍內(nèi)廣泛采用,而且預(yù)計未來幾年內(nèi)還會得到進(jìn)一步增長。業(yè)務(wù)敏捷性無疑已成為企業(yè)采用云計算的主要優(yōu)勢和關(guān)鍵動力,原因在于可以更快地獲取和部署IT 資源。一經(jīng)部署,這些資源便可按需增減以滿足需求。據(jù)RightScale“2017 云現(xiàn)狀報告”(在下方圖片中示出),報告中有 95% 的受訪者表示他們在使用云。顯然,所有云平臺(包括公有云和私有云)的采用都十分可觀,而且更重要的是,組織在構(gòu)建其混合云環(huán)境時會利用多個供應(yīng)商。

同時,Gartner 稱,安全性始終是采用云計算的最大妨礙因素。

這不足為奇,因?yàn)?span id="8u8cuke" class="hrefStyle" style="color: rgb(0, 0, 0); font-size: 16px; font-family: 宋體, SimSun; padding: 0px; margin: 0px;">云服務(wù)本質(zhì)上是共享且始終連接的動態(tài)環(huán)境,因而其在安全性方面便成為一個難題。將計算資源和數(shù)據(jù)遷移到公有云環(huán)境意味著,您需與云服務(wù)供應(yīng)商共同承擔(dān)安全責(zé)任。盡管基礎(chǔ)設(shè)施保護(hù)由供應(yīng)商提供,但您希望并需要能夠控制自己的數(shù)據(jù),保持其完全私有性,且保護(hù)自己所有的云資產(chǎn),同時還能保持遵守監(jiān)管要求。Check Point CloudGuard使用高級威脅防護(hù)安全功能保護(hù)私有云和公有云中的應(yīng)用程序與數(shù)據(jù),同時實(shí)現(xiàn)與公有云和混合云環(huán)境的可靠連接。

本文件側(cè)重于架構(gòu)設(shè)計和安全性。其實(shí)際是一個藍(lán)圖,允許您實(shí)現(xiàn)最佳安全控制和可見性,與云基礎(chǔ)設(shè)施的敏捷性、靈活性及自動化本質(zhì)保持一致。關(guān)于詳細(xì)的操作指令,每個平臺皆存在獨(dú)立文檔,以提供關(guān)于解決方案創(chuàng)建及部署的實(shí)踐指導(dǎo)。

如上所述,組織希望更好地利用其IT 資源,并將其與云勢必提供的最新且最大的如下優(yōu)勢特征相結(jié)合:敏捷性 - 縮短上市時間間隔靈活性 - 按需擴(kuò)展和收縮資源有效性 - 僅根據(jù)使用的功能付費(fèi)在設(shè)計基于云的環(huán)境時,基本要求便是相應(yīng)架構(gòu)需匹配您以及您客戶的業(yè)務(wù)用例,同時保持無懈可擊的卓越安全性。

本文件重點(diǎn)介紹以安全方式構(gòu)建基于云的環(huán)境時,需遵循的必要原則和最佳實(shí)踐。

五大原則

1.具有高級威脅防護(hù)的邊界安全近年來,攻擊的頻率和時下所用惡意軟件的復(fù)雜程度都已明顯提高。這種情況的出現(xiàn)與漏洞掃描、Web 用程序攻擊和暴力攻擊相關(guān)的云事件不無關(guān)系。許多組織誤以為其云服務(wù)供應(yīng)商(CSP) 會負(fù)責(zé)保護(hù)他們云中數(shù)據(jù)的安全。事實(shí)并非如此。

安全是CSP 的第一要務(wù),但是他們通常按照所謂的“共享責(zé)任模式”范式進(jìn)行操作。這實(shí)際意味著,CSP 承擔(dān)云“的”任何東西的完全所有權(quán)(和責(zé)任),而客戶自行承擔(dān)有關(guān)云“中”任何東西的全部責(zé)任。CSP 還為客戶提供若干免費(fèi)的基本安全防護(hù)工具,但從最新的威脅和數(shù)據(jù)泄露事件來看,很明顯,更多高級威脅防護(hù)不可或缺,客戶需負(fù)責(zé)為自己的數(shù)據(jù)提供保護(hù)。

因此,組織必須使用一流的保護(hù)功能抵御現(xiàn)代攻擊,從而為其環(huán)境提供堅(jiān)實(shí)屏障。這可在環(huán)境邊界之上應(yīng)用,適用于進(jìn)出環(huán)境的主要流量交匯處。

2.分區(qū)網(wǎng)絡(luò)分區(qū)通常旨在縮小網(wǎng)絡(luò)攻擊面,并限制惡意威脅在整個網(wǎng)絡(luò)內(nèi)自由傳播的能力。最近的網(wǎng)絡(luò)攻擊很大程度上依賴于在網(wǎng)絡(luò)內(nèi)橫向傳播,并感染該網(wǎng)絡(luò)內(nèi)的其他機(jī)器。這種行為再一次說明通過應(yīng)用程序或服務(wù)對網(wǎng)絡(luò)進(jìn)行分割,并在這些網(wǎng)絡(luò)分段之間配置一流安全防護(hù)的必要性。安全執(zhí)行在兩個層面完成。第一層處于訪問級別,其中防火墻策略用于允許某些流量正常流動,以認(rèn)可正常的應(yīng)用程序操作,但也可以攔截這些分段之間的有害流量。

在威脅防護(hù)的第二層之上,防火墻檢查訪問級別所允許的流量,但需要徹底對其進(jìn)行檢查,以識別這些流中的惡意行為。這樣,應(yīng)用程序間就可以相互安全通信。進(jìn)一步講,云的軟件定義網(wǎng)絡(luò)(SDN) 功能還使我們能夠?qū)⑦@些高級保護(hù)檢查點(diǎn)置于單個主機(jī)之間(甚至在同一網(wǎng)絡(luò)分段內(nèi)),并實(shí)現(xiàn)通常所說的“微分段”。

藍(lán)圖中所涵蓋分區(qū)的另一方面是,從方法上執(zhí)行流量限制和分區(qū),以避免可能導(dǎo)致資產(chǎn)對外泄露的人為錯誤和錯誤配置引起的數(shù)據(jù)泄露。該方法的實(shí)踐方式是,例如系統(tǒng)性地攔截穿過網(wǎng)絡(luò)一個區(qū)段的橫向移動,同時允許其在另一個受到密切監(jiān)控且已實(shí)施安全控制措施的替代受制區(qū)段上。

3.敏捷性云勢必提供的按需本質(zhì)能夠高速運(yùn)行業(yè)務(wù),并真正實(shí)現(xiàn)敏捷應(yīng)變。如果花費(fèi)數(shù)周時間來配置服務(wù)器和服務(wù),或如果安全運(yùn)行成為業(yè)務(wù)的重大障礙,則幾乎不可能采用現(xiàn)代化的有效業(yè)務(wù)實(shí)踐,因?yàn)槊總€申請或?qū)徟鞒潭既唛L且耗時。此藍(lán)圖的架構(gòu)方式是在培養(yǎng)敏捷性的同時,確保在不失控且不增加運(yùn)行風(fēng)險的情況實(shí)現(xiàn)速度增長。

這可通過在組織中不同利益相關(guān)方之間創(chuàng)建范圍內(nèi)的所有權(quán)委派來實(shí)現(xiàn)。通過這種方式,DevOps、應(yīng)用程序所有者以及其他群組均可享有資源和環(huán)境上的更高權(quán)限級別。如此,他們可以自由創(chuàng)建并對其進(jìn)行管理。伴隨更大權(quán)限而來的是更多責(zé)任,需要自行負(fù)責(zé)工作負(fù)載之內(nèi)以及之間的訪問控制,同時讓網(wǎng)絡(luò)和安全團(tuán)隊(duì)負(fù)責(zé)威脅防護(hù)和高級安全防護(hù)考量。

4.自動化、有效性及靈活性云自動化是一個寬泛的術(shù)語,與組織用以減少與配置和管理云計算工作負(fù)載相關(guān)之手動操作的流程和工具有關(guān)。顯然,這與安全運(yùn)行也切實(shí)相關(guān),因?yàn)樵谠骗h(huán)境中,手動保護(hù)工作負(fù)載和資源的傳統(tǒng)方式已不再適用。如果因安全運(yùn)行要求而導(dǎo)致業(yè)務(wù)敏捷性受阻,則可能(通過使用變通方法)忽略前者,或是選擇性地以不妨礙業(yè)務(wù)的方式開放保護(hù)措施。就云安全運(yùn)行而言,自動化對減少潛在風(fēng)險和消除一些組織流程中的人為因素至關(guān)重要。藍(lán)圖本質(zhì)上完全支持并促進(jìn)流程和步驟的自動化實(shí)施,從使用預(yù)配置模板完成的環(huán)境配置階段,到使用動態(tài)自適應(yīng)策略完成的日常策略操作,其中無需人為干預(yù)。

5.無邊界如前所述,通過多個云供應(yīng)商啟動和運(yùn)行其工作負(fù)載正日益成為企業(yè)客戶的慣例,而主要目的則是為了更好地支持其業(yè)務(wù)要求。在單一和異構(gòu)環(huán)境中使用多個云計算供應(yīng)商通常也稱為多云戰(zhàn)略。這一戰(zhàn)略的確前景看好。

若利用位于不同地理位置并擁有大量新興技術(shù)的多個云供應(yīng)商,會面臨諸如以下安全挑戰(zhàn):

a. 跨所有環(huán)境執(zhí)行一致的安全策略

b. 從統(tǒng)一的中心點(diǎn)輕松管理安全狀況

c. 安全地連接各種云和位置

d. 允許應(yīng)用程序輕松安全地與彼此進(jìn)行通信,而無需考慮其位置如何e. 能夠提供深入不同位置之中以及之間流量流動的可見性藍(lán)圖能夠應(yīng)對上述挑戰(zhàn)并提供支持,敦促企業(yè)遵循這一戰(zhàn)略。

下述藍(lán)圖架構(gòu)旨在符合以上指導(dǎo)方針要求,并確保企業(yè)安全地遷移到云。      

該架構(gòu)概念基于“中心輻射型”模式,其中將環(huán)境設(shè)置為一種通信線路的系統(tǒng),其中的通信線路像鋼絲輻輪一樣布置,其內(nèi)的所有分支都連接到一個中介器(中心)上,所有進(jìn)出分支的流量都要遍歷通過中介器(中心)。藍(lán)圖中提議在同一環(huán)境中使用兩個這樣的中心,以便進(jìn)行流量分離。

分支每個分支都是一個獨(dú)立的網(wǎng)絡(luò)環(huán)境,其包含一個或多個網(wǎng)絡(luò)子網(wǎng)的集合,典型的工作負(fù)載可從中安裝及運(yùn)行。一個常見用例是包含多個虛擬服務(wù)器的分支,這些虛擬服務(wù)器組成部分或整個應(yīng)用程序堆棧(Web、應(yīng)用程序和數(shù)據(jù)庫)。

另一個用例是用作現(xiàn)有本地網(wǎng)絡(luò)擴(kuò)展的分支,如一組用于測試的QA 服務(wù)器,或一組數(shù)據(jù)處理服務(wù)器,這些服務(wù)器利用云的按需配置降低成本并提高敏捷性。本藍(lán)圖屬于高級別的設(shè)計文檔,適用于所有領(lǐng)先的云環(huán)境,如AWS、Azure、Google、Oracle 云、阿里云等。

中心如下圖所示,我們在環(huán)境中使用兩個中心。這樣可實(shí)現(xiàn)整個環(huán)境內(nèi)的靈活性,并將通信類型進(jìn)行系統(tǒng)性分離。一個中心旨在接收來自互聯(lián)網(wǎng)的傳入流量,另一個用于分支之間的橫向流量、進(jìn)出公司網(wǎng)絡(luò)的流量以及傳出到互聯(lián)網(wǎng)或其他云環(huán)境的流量。環(huán)境內(nèi)流量通過配置中心和分支間的路由及連接,可以將中心設(shè)定成進(jìn)出環(huán)境的唯一路徑,以及環(huán)境中分支內(nèi)部和分支之間流通的唯一路徑,因?yàn)榉种чg并沒有彼此直接連接,實(shí)際上只能通過其中一個中心進(jìn)行訪問。這樣也能確定出環(huán)境的邊界和分區(qū)。

邊界安全邊界劃定在中心上進(jìn)行(北和南)。推薦在邊界上啟用的安全保護(hù)包括防病毒軟件、防僵尸網(wǎng)絡(luò)和IPS。分區(qū)通過將資源置于不同的分支,并對進(jìn)出分支的流量執(zhí)行安全控制,從而實(shí)現(xiàn)分區(qū)。

藍(lán)圖中的三大主要分支類型是:僅面向互聯(lián)網(wǎng)(如上圖中的分支 1) - 這些分支連接至北向中心,因此只能通過來自互聯(lián)網(wǎng)的進(jìn)站流量進(jìn)行訪問。通常,這些分支將托管面向互聯(lián)網(wǎng)以及需要從互聯(lián)網(wǎng)訪問的前端服務(wù)器。從這些分支到企業(yè)資源或環(huán)境中其他分支的連接受到系統(tǒng)性攔截,且無法通過簡單配置啟用(以此避免人為失誤和錯誤,以防將保密資源泄露給公眾)。

僅面向私有(如上圖中的分支 2) - 此類分支只連接至南向中心,因此系統(tǒng)性地?zé)o法從互聯(lián)網(wǎng)訪問,而只能通過VPN 和/或直接連接至公司網(wǎng)絡(luò)或環(huán)境中其他分支進(jìn)行訪問(根據(jù)南向防火墻的安全策略)。此類分支的一個實(shí)例就是托管數(shù)據(jù)庫(DB) 服務(wù)器。我們不希望可以從互聯(lián)網(wǎng)直接訪問這些服務(wù)器,但希望能夠具有安全的連接。

組合(如上圖中的分支 3) - 此類分支適用于既可以從互聯(lián)網(wǎng)訪問,也要求后端訪問其他分支或公司網(wǎng)絡(luò)的服務(wù)器。此類用例之一是網(wǎng)站服務(wù)器,一端連接到互聯(lián)網(wǎng),另一端需要訪問應(yīng)用程序服務(wù)器或數(shù)據(jù)庫服務(wù)器。

敏捷性

為實(shí)現(xiàn)和支持業(yè)務(wù)敏捷性,可以創(chuàng)建分支,并完全隸屬于組織中不同的LOB(業(yè)務(wù)部門)。事實(shí)上,只要符合組織策略,組織中的任何人都可成為分支所有者。分支創(chuàng)建后,其中的服務(wù)器、容器及其他任何工作負(fù)載均被分支所有者控制和維護(hù)。這樣可以實(shí)現(xiàn)分支內(nèi)部自由運(yùn)行,無論是創(chuàng)建、開發(fā)還是啟動服務(wù)或應(yīng)用程序。同時也實(shí)現(xiàn)了云環(huán)境最大的敏捷性功能,不存在技術(shù)支持開銷,并與每個分支中的任何事件無關(guān)。自動化如上所述,藍(lán)圖的另一個重要方面是將IT 集成到云運(yùn)行中。藍(lán)圖簡化了將 IT 引入云環(huán)境的流程,且有助于利用云的自動化和協(xié)調(diào)等最大功能。

這樣可讓IT 順利運(yùn)行,使其成為業(yè)務(wù)的助力者,而非攔路石。通過使用預(yù)配置的虛擬防火墻部署模板,IT 只需“單擊按鈕”,甚至無需任何手動配置,即可安全地部署整個環(huán)境。這對于環(huán)境配置和日常運(yùn)行都是如此,同時還支持靈活的環(huán)境即裝即用。以一個類似于上圖的環(huán)境為例。環(huán)境中的應(yīng)用程序所有者添加了一個新的分支。Check Point 管理服務(wù)器(SMS) 自動識別此新分支,并自動形成所需的安全進(jìn)出連接。這樣可提供對新建分支進(jìn)出流量的全面可見性和控制,并確保符合IT 所確定的標(biāo)準(zhǔn)和策略。組織安全狀況可實(shí)現(xiàn)同樣程度的動態(tài)性,其中策略可以獲得預(yù)先批準(zhǔn),然后動態(tài)地分配至工作負(fù)載(如基于資源標(biāo)記)。

更新即時完成,使企業(yè)主能夠按照自身的節(jié)奏進(jìn)行,并確保符合公司的策略和標(biāo)準(zhǔn)。無邊界此設(shè)計本身還支持在單一云平臺的常規(guī)限制之外進(jìn)行擴(kuò)展,并能處理云平臺之間的連接,同時在整個環(huán)境中維護(hù)相同的架構(gòu)原則和同等的安全狀況。此類多云架構(gòu)的范例是將服務(wù)部署于AWS 和 Azure 的在線游戲公司,其背后的邏輯其實(shí)是“最佳”方法,即根據(jù)團(tuán)隊(duì)的專業(yè)知識和技術(shù)優(yōu)勢選擇每個平臺。例如,網(wǎng)站前端和應(yīng)用程序?qū)佑葾WS 托管,跨多個可用性區(qū)域以提供冗余,而身份和驗(yàn)證功能則由Azure 集成 ID 服務(wù)提供,數(shù)據(jù)庫和存儲層托管在本地數(shù)據(jù)中心。

其他考慮事項(xiàng)統(tǒng)

一管理多云環(huán)境中的運(yùn)行安全性是一個挑戰(zhàn),因?yàn)樯婕暗焦芾砗涂刂剖褂貌煌芾砉ぞ叩亩鄠€位置的資源。顯然在這種狀況下,即使環(huán)境中已解決連接性問題或安全事件,試圖維護(hù)統(tǒng)一的策略也會非常麻煩并且效率低下。

R80.10 管理服務(wù)器 (SMS) 是一個集成式安全管理解決方案,包含策略、日志記錄、監(jiān)控、事件關(guān)聯(lián)和報告,所有功能集中在使用統(tǒng)一安全策略的單一系統(tǒng)中,使得管理者能夠輕松識別整個環(huán)境中的安全風(fēng)險并維護(hù)策略安全。統(tǒng)一的策略讓組織能夠?qū)⑵浒踩x轉(zhuǎn)換成一組簡單的規(guī)則,從而在整個組織中簡化策略的管理和執(zhí)行。

冗余和彈性

作為經(jīng)驗(yàn)法則,此藍(lán)圖為本地故障事件而創(chuàng)建,具有內(nèi)置彈性。其在環(huán)境的多層上實(shí)現(xiàn)。

1. 數(shù)據(jù)中心級別冗余 – 環(huán)境內(nèi)置到多個(2 個或以上)區(qū)域中,每個區(qū)域代表一個獨(dú)立的數(shù)據(jù)中心(例如,獨(dú)立的網(wǎng)絡(luò)、電力、空調(diào),甚至單獨(dú)的建筑物)。

2. 軟件級別冗余 – 在整個環(huán)境中,網(wǎng)關(guān)以 N+1* 冗余性部署。這可根據(jù)網(wǎng)關(guān)的位置和角色轉(zhuǎn)換為兩個獨(dú)立的解決方案。

a. 在北向中心,基于 http/https 的連接從互聯(lián)網(wǎng)傳入,網(wǎng)關(guān)以彈性方式實(shí)施,其中網(wǎng)關(guān)數(shù)量基于流經(jīng)網(wǎng)關(guān)的負(fù)載而動態(tài)變化。此類擴(kuò)展(也稱水平擴(kuò)展**)在負(fù)載增加時會增加其他網(wǎng)關(guān),并在幾分鐘內(nèi)投入使用(網(wǎng)關(guān)初始化需要五到七分鐘),負(fù)載將在網(wǎng)關(guān)之間實(shí)現(xiàn)平衡。負(fù)載減少時,則會移除池中不需要的網(wǎng)關(guān),以實(shí)現(xiàn)環(huán)境在成本和性能方面的高效。

b. 在南向中心,網(wǎng)關(guān)部署為活動備份群集。此擴(kuò)展機(jī)制稱為垂直擴(kuò)展***。當(dāng)通過該中心的負(fù)載增加時,會分別向各個網(wǎng)關(guān)增加更多的資源。* N+1 冗余是一種彈性形式,確保在組件出現(xiàn)故障時的系統(tǒng)可用性。組件 (N) 至少有一個獨(dú)立的備份組件 (+1)。** 水平擴(kuò)展是指通過向資源池增加更多機(jī)器進(jìn)行擴(kuò)展*** 垂直擴(kuò)展是指通過在現(xiàn)有機(jī)器中提升能力(CPU、內(nèi)存)進(jìn)行擴(kuò)展故障轉(zhuǎn)移北向中心的網(wǎng)關(guān)出現(xiàn)故障時,該網(wǎng)關(guān)上的連接不會保留,新的連接將被重新平衡到環(huán)境中工作正常的網(wǎng)關(guān)。

基于http/https 的連接本質(zhì)上并無狀態(tài)。用戶體驗(yàn)僅僅是在幾秒內(nèi)刷新瀏覽器。在南向中心,連接更加多樣化、復(fù)雜,且通常有狀態(tài),連接在群集成員之間不斷進(jìn)行同步。活動網(wǎng)關(guān)的故障轉(zhuǎn)移將導(dǎo)致備用成員重新獲得所有活動連接,并成為活動成員。連接相關(guān)性北向中心連接相關(guān)性基于客戶的IP 地址和端口號,因此從互聯(lián)網(wǎng)發(fā)起連接時,負(fù)載平衡器會選擇目標(biāo)網(wǎng)關(guān)以發(fā)送連接,并且只要會話在進(jìn)行中,就一直保持該目標(biāo)。南向中心相關(guān)性基于活動成員,因此所有流量總是導(dǎo)向到活動成員。推薦規(guī)模通常基于環(huán)境內(nèi)的性能需求及所需的安全級別調(diào)整解決方案。

推薦的典型環(huán)境組成為:

1. 在北向中心,推薦至少 2 個網(wǎng)關(guān) (N+1),每個配置 4 個虛擬 CPU 內(nèi)核,8GB 內(nèi)存。如上所述,擴(kuò)展是水平進(jìn)行,因此環(huán)境中的負(fù)載增長時,新的附加網(wǎng)關(guān)會自動添加到環(huán)境中。2. 在南向中心,推薦群集包括

2 個網(wǎng)關(guān),每個配置 8 個虛擬 CPU 內(nèi)核,8GB 內(nèi)存。增長是垂直進(jìn)行,意味著會向每個網(wǎng)關(guān)增加更多資源(CPU/ 內(nèi)存)。

災(zāi)難恢復(fù)

對大多數(shù)組織而言,通常會建立彈性的架構(gòu)以應(yīng)對嚴(yán)重事件。通過此藍(lán)圖提供的靈活性,可以輕松創(chuàng)建和維護(hù)災(zāi)難恢復(fù)站點(diǎn),作為架構(gòu)中的另一個站點(diǎn)。而且,可將基礎(chǔ)架構(gòu)縮小至零冗余,但又足以支持高峰負(fù)載。