《基于cdn安全私有云》由会员分享,可在线阅读,更多相关《基于cdn安全私有云(25页珍藏版)》请在金锄头文库上搜索。
1、- 1 -基于基于 CDNCDN 的安全私有云的安全私有云作者:作者:盛瀚 北京银行。摘要:摘要:本文分析了私有云面临主要维威胁及相应提出的安全需求,设计一套基 于 CDN 的安全私有云平台架构,包括智能 WAF 防火墙、智能蜜罐、分布式全流 量检测取证、分布式云存储等关键技术。关键词:关键词:云 安全 私有云1.1.云计算安全现状云计算安全现状云计算模式将数据统一存储在云计算服务器,对核心数据进行集中管控,比传统分布在大量终端上的数据行为更安全。数据的集中使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新
2、的挑战。全球领先的信息技术研究和顾问公司 Gartner 认为,全球云安全服务将保持强劲增长势头,在2017 年达到 59 亿美元,相比 2016 年增长 21%。云安全服务市场的整体增速高于信息安全(information security)总体市场。Gartner 预计,云安全服务市场将在 2020 年接近 90 亿美元。1.1.1.1.云计算面临的威胁云计算面临的威胁随着云提供商不断积累运营经验和技术的日益成熟,云故障的频率和持续时间都在减少。但与此同时,企业却在面对宕机的时候变得越来越脆弱,依赖性也越来越高,潜在的危害,或者强烈的挫折感,变得比以往任何时候都更大。总结回顾一下近期发生的
3、云安全事件:2016 年 1 月 18 日,Microsoft Office 365 的用户的电子邮件账户出现问题,微软将故障归咎于一次错误的软件更新,但是其初次修复的尝试并没有解决问题,在最初的故障出现五天之后,2 月22 日再次爆发了电子邮件故障。2016 年 4 月 11 日,Google Cloud Platform 出现 18 分钟的中段,影响到 Compute Engine 实例和所有地区的 VPN 服务。2016 年 6 月 2 日,Apple 云发生广泛的服务中断,让 Apple 一些受欢迎的零售和备份服务服务都出现中断,造成部分客户无法访问多个 iCloud 和 App St
4、ore 服务,同时 App Store、Apple TV App Store 和 Mac App Store、iTunes 和 Apple 基于云的图片服务都遇到了中断。2017 年 2 月 28 日晚 8 点 39 分,百度移动端搜索发生故障,搜索请求无法显示结果,至晚 9 点 21 分恢复,历时 42 分钟。CSA 云安全联盟列出的 2016 年“十二大云安全威胁” 。依排序分别为 1.数据泄露 2.凭证被盗和身份验证如同虚设 3.界面和 API被黑 4.系统漏洞利用 5.账户劫持 6.恶意内部人士 7.APT(高级持续性威胁)寄生虫 8.永久的数据丢失 9.调查不足 10.云服务滥用 1
5、1.拒绝服务(DoS)攻击 12.共享技术,共享危险问题。把云计算环境下的安全威胁细化,并按系统保护的基本要求进行对应,可得到如下的云计算环境下的具体安全威胁:(1)网络安全部分业务高峰时段或遭遇 DDoS 攻击时的大流量导致网络拥堵或网络瘫痪重要网段暴露导致来自外部的非法访问和入侵单台虚拟机被入侵后对整片虚拟机进行的渗透攻击,并导致病毒等恶意行为在网络内传播蔓延虚拟机之间进行的 ARP 攻击、嗅探云内网络带宽的非法抢占重要的网段、服务器被非法访问、端口扫描、入侵攻击云平台管理员因账号被盗等原因导致的从互联网直接非法访问云资源虚拟化网络环境中流量的审计和监控内部用户或内部网络的非法外联行为的检
6、查和阻断内部用户之间或者虚拟机之间的端口扫描、暴力破解、入侵攻击等行为(2)主机安全部分服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问的行为对服务器、宿主机、虚拟机等进行操作管理时被窃听同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄露对服务器的 Web 应用入侵、上传木马、上传 webshell 等攻击行为服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其它虚拟机的资源不足(3)资源抽象安全部分虚拟机之间的资源争抢或资源不足导致的正常业务异常或不可用虚拟资源不
7、足导致非重要业务正常运作但重要业务受损缺乏身份鉴别导致的非法登录 hypervisor 后进入虚拟机通过虚拟机漏洞逃逸到 hypervisor,获得物理主机的控制权限攻破虚拟系统后进行任易破坏行为、网络行为、对其它账户的猜解,和长期潜伏通过 hypervisor 漏洞访问其它虚拟机虚拟机的内存和存储空间被释放或再分配后被恶意攻击者窃取虚拟机和备份信息在迁移或删除后被窃取hypervisor、虚拟系统、云平台不及时更新或系统漏洞导致的攻击入侵虚拟机可能因运行环境异常或硬件设备异常等原因出错而影响其他虚拟机无虚拟机快照导致系统出现问题后无法及时恢复虚拟机镜像遭到恶意攻击者篡改或非法读取(4)数据安
8、全及备份恢复数据在传输过程中受到破坏而无法恢复在虚拟环境传输的文件或者数据被监听云用户从虚拟机逃逸后获取镜像文件或其他用户的隐私数据因各种原因或故障导致的数据不可用敏感数据存储漂移导致的不可控数据安全隔离不严格导致恶意用户可以访问其他用户数据为了保障云平台的安全,必须有有效抵御或消减这些威胁,或者采取补偿性的措施降低这些威胁造成的潜在损失。当然,从安全保障的角度讲,还需要兼顾其他方面的安全需求。1.2.1.2.云计算安全需求与挑战云计算安全需求与挑战云计算平台是在传统 IT 技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点。因此,传统的安全威胁种类依然存在
9、,传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险,从保障系统整体安全出发,其面临的主要挑战和需求如下: 法律和合规 动态、虚拟化网络边界安全 虚拟化安全 流量可视化 数据保密和防泄露 安全运维和管理针对云计算所面临的安全威胁及来自各方面的安全需求,需要对科学设计云计算平台的安全防护架构,选择安全措施,并进行持续管理,满足云计算平台的全生命周期的安全。2.2.基于基于 CDNCDN 的安全私有云平台设计的安全私有云平台设计2.1.2.1.系统架构系统架构CDN 的全称是 Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有
10、可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN 系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决 Internet 网络拥挤的状况,提高用户访问网站的响应速度。基于 CDN 的安全私有云平台是针对 CND 特殊环境下,对整个云端边界及核心应用集群进行综合安全防护的解决方案。整个平台由智能 WAF 防火墙系统、智能蜜罐系统、分布式全流量检测取证系统和分布式存储中心几部分构成
11、。整个平台的核心为分布式全流量检测取证系统,当部署在边界的全流量感知到攻击行为时,迅速通知分布式 WAF 设备将其链路阻断,并行为全流量系统提交有关线索,综合调度系统立即将对方流量劫持到蜜罐中,记录其动作、捕捉其工具,同时分析对方软件系统及网络环境。基于 CDN 的安全云私有云平台总体架构如下图:图 1 安全云私有云平台总体架构2.2.2.2.主要系统设计主要系统设计全流量系统实时采集 CDN 的边界流量,通过对协议还原进行数据建模,实时提取疑似针对 CDN 边界网络的 APT 攻击渗透行为,同时 WAF 设备与与全流量设备互相联动,一旦获取全流量分析系统提取的攻击入侵样本及定位攻击源头,分布
12、式 WAF 设备将迅速对可疑的攻击行为进行快速阻断与报警,提供详尽的攻击日志呈现。安全云私有云平台通过与不同功能模块之间的数据交换与流动,为数据、资源和能力的使用者提供统一透明的访问接口。并以可视化的方式进行安全威胁预警与展示。主要功能包括:(1)基于 CDN 网络边界的 WAF 阻断系统:提供 Web 应用攻击防护能力,通过多种机制的分析检测,够有效的阻断攻击,保证 Web 应用合法流量的正常传输,同时针对各类安全攻击(如 SQL 注入攻击、网页篡改、网页挂马等) ,WAF 阻断系统根据最佳安全策略进行防护,有效降低安全风险。(2)基于 CDN 网络边界的蜜罐系统:通过多个蜜罐系统构成一个黑
13、客诱捕网络体系架构,在保证网络的高度可控性的同时,对整个攻击事件进行信息的采集和分析,帮助 WEB 管理人员认知真实运用中存在的漏洞,有效降低真实 WEB 应用的安全风险。(3)基于 CDN 网络出口的分布式全流量检测取证系统:在 CDN 流量下实现高速入侵渗透行为全流量检测,通过对网络流量进行清洗和过滤,将过滤后的统计流量和异常流量回传给数据分析中心,快速发现和定位被入侵设备主机,及时报警并进行相关流量的存储和关联。(4)分布式云存储中心:采用基于 hadoop + elasticsearch + spark 分布式模式进行存储与数据挖掘。建立一套基于 Lucene 的搜索服务器,提供具有分
14、布式多用户全文搜索等综合访问服务。2.3.2.3.详细功能模块详细功能模块2.3.1.基于 CDN 网络边界的 WAF 阻断系统图 2 WAF 阻断系统(1)Web 安全防护 WAF 阻断系统能防护各类 Web 攻击威胁。精细化的规则配置,发挥最大的安全防护功能,有效应对 web 攻击威胁及其变种。包括:SQL 攻击(SQL 注入) 、LFI 攻击(本地文件包含) 、RFI 攻击(远程文件包含) 、PHP 攻击(PHP 注入) 、CMD 攻击(命令注入) 、JAVA 攻击(OGNL Java 注入)和 MFU 攻击(恶意文件上传)等。(2)网页防篡改WAF 阻断系统集中管理与控制各个网页防篡改
15、端点,并提供监控、同步、发布功能。基于文件夹驱动级保护技术,用户每次访问每个受保护网页时,Web 服务器在发送之前都进行完整性检查,保证网页的真实性,可以彻底杜绝篡改后的网页被访问的可能性。网页防篡改(端点技术)与 WAF 联动,可以有效阻断 Web 威胁。同时 WAF 阻断系统提供网页挂马检测功能,全面检查网站各级页面中是否被植入恶意代码,并及时进行预警。(3)DDOS 防护WAF 阻断系统的 DDoS 防护模块采用主动监测加被动跟踪相互结合的防护技术,可辨识多种 DDoS 攻击,并启用特有的阻断,能够高效地完成对 DDoS 攻击的过滤和防护。针对互联网中常见的 DDoS 攻击手段,提供多种
16、防护手段结合的方式,有效的阻断攻击行为,从而确保服务器可以正常提供服务。能有效的防止 CC 和 SynFlood 攻击。(4)Web 安全扫描WAF 提供 Web 漏洞扫描系统,定期对客户 Web 资源进行安全体检,从而进行事前防范和处理。(5)Web 负载均衡当网络访问量上升时,会造成网络瓶颈随着用户访问数量的快速增加,通过负载均衡可以有效缓解该问题。保证各台服务器的负载均匀分布,合理地分流用户,需要一种服务器负载均衡设备对web 服务器进行负载均衡。负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。 (6)可视化管理WAF 强大的设备监控功能,管理员可以实时监控 WAF 的工作状态、攻击威胁等系统信息。目前监控信息分为三大类(WAF 系统软件、硬件状态信息,Web 安全攻击信息,网页防篡改系统信息) ,从而使管理员可以随时对网络和防火墙的状态有详尽了解,及时发现并排除网络问题,保障应用的稳定运行。2.3.2.基于 CD
