十多年的时间可以发生什么?2006年亚马逊AWS率先试水云计算这一伟大的商业模式,现如今其全球市场规模已经高达数千亿美金。计算科学正在经历一场革命,在云计算发展历程中,从关注虚拟化、分布式存储等技术,到探索不同的服务模式,从饱受非议到大势所趋,云计算终于等来了全面爆发的时间节点。
最直观的变化体现在于,企业开始思考的问题不是「要不要上云?」,而是「如何上云?」
安全将成为云计算的新战场
进入2020年,产业互联网持续推进,5G、AI、云计算等新一代信息技术与应用不断深化,加速了各行业数字化和产业升级的进程。对于各大云服务商而言,在新技术环境驱动下都在试图寻找突破口实现更大的市场目标。
云计算的本质是共享,你可以简单的理解为共享硬件;而共享经济的核心之一是信任,对于云计算用户而言,信任是什么?是当企业实现云上迁移之后,核心业务运转是否稳定、数据是否会泄露?用现在比较火热的一个词概括,那这些都属于云上安全问题。
在云计算发展之初,Forrester Research曾做过一项意向调查,51%的中小型企业之所以尚未使用云服务主要考虑就是安全性与隐私问题。即便是在未来5G、6G时代,只要云计算或者「云」的概念存在,这都会成为企业在选择云相关业务时首要考虑的问题。
回顾2019年,谷歌、苹果iCloud、Facebook等科技巨头相关服务均发生过一次甚至多次大规模宕机;亚马逊AWS也曾遭到严重的DDoS攻击中断服务持续数小时;还有那些公开暴露的云上数据存储桶。这些已知的和未知的数据泄露、黑客攻击、漏洞等关键词在2019年一次次冲击我们的眼球,也一次次在挑战用户对于云计算安全的信任。
在5G全面商用,物联网、车联网以及云游戏等场景对于云服务的稳定性提出了更高的要求。市场迎合需求,安全性、高可用性问题势必将成为云服务商精益求精的重要方向。这也恰恰印证了Gartner在2017年给出的预测:
云安全最终会变为纯粹的安全,云服务商会变成安全厂商。
云计算安全能力的比拼本质是技术对垒
在云计算生态环境下,暴露给攻击者的信息表面看与传统架构中基本一致, 但是由于云生态环境下虚拟化技术、共享资源、相对复杂的架构、以及逻辑层次的增加,导致可利用的攻击面增加,攻击者可使用的攻击路径和复杂度也大大增加。云安全能力的比拼最终还是聚焦于云服务商对于云平台安全架构上的设计把控,从下至上每一个环节都需要足够的技术能力提供支持,才可以保证整个框架的稳固性。
知识产权出版社i智库最新发布的《中国互联网云技术专利分析报告》提到,安全相关的专利无论是申请量还是授权量都远远领先于大数据、存储等其他类别。侧面印证,安全技术已经成为各大互联网企业互相比拼的重要资本。
在云技术相关所有专利申请企业中,腾讯申请量高达4899项,1892项已获得授权,均领先于其他云服务商。这个结果让笔者觉得有些意外,因为在云计算市场,无论是入局时间还是现阶段的市场份额占比,阿里云基本都是遥遥领先。
当看到在云技术发明人团队规模排行中,腾讯云的技术发明人规模也远高于阿里云,笔者好像看出了点东西。虽然在市场份额上,阿里云要领先于其他竞争对手,但包括腾讯云、百度、360等互联网企业在云服务的专利及技术团队规模上已经在有意追赶甚至超过阿里云。
那么,在云计算市场竞争日益激烈的今天,围绕“安全”这个兵家必争之地,应该关注哪些技术领域呢?
云时代的攻击路径
为了避免云平台遭到攻击,同时不让云上的资源成为被黑客利用的工具,首先需要明确在现在的云环境下,存在哪些可能被利用的攻击路径。
在传统的家用网络或企业网络中,攻击者会根据攻击目标暴露的资产和服务情况,自外向内逐层进入,使用相对固定的攻击路径。在云平台上,传统网络架构中的DDoS、入侵、病毒等安全问题是常态问题;与此同时,也出现了针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题;而且,由于云服务成本低、便捷性高、扩展性好的特点,利用云提供的服务或资源去攻击其他目标也成为一种新的安全问题。根据最新发布的《2019云威胁安全报告》显示,云资源作为攻击源的比例在所有国内攻击源中已接近一半。
(《2019云威胁报告》中公布的“八横八纵”的云上攻击路径)
根据腾讯安全和GeekPwn的研究,恶意攻击者从 Internet 环境下可能攻击云租户和平台(可能是云平台的底层资源、管理软件、管理界面、服务器集群等)的攻击路径,具体的路径包括:
1) 裸金属服务器管理接口:
潜在攻击者通过裸金属服务开放的 IPMI 等管理接口存在的漏洞和缺陷,控制服务器底层硬件,并进一步利用带外管理网络横向扩展,作为跳板访问云管理和控制平台的内部接口,尝试对平台和其他租户发起攻击;
2) 租户虚拟机逃逸:
潜在攻击者通过租户应用的数据库、web等应用程序漏洞,进入云服务使用者(IaaS平台的租户所拥有的虚拟机实例)的操作系统,并进一步通过潜在虚拟化逃逸漏洞进入云资源底层的 Hypervisor,进而控制云平台底层资源并进行横向扩展;
3) 独立租户 VPC实例模式的容器和微服务网络攻击:
潜在攻击者通过微服务管理系统的脆弱性或容器安全漏洞,进入云服务提供商所使用的虚拟机实例操作系统,随后进一步通过潜在的虚拟化逃逸漏洞进入云资源底层的 Hypervisor,进而控制云平台底层资源并进行横向扩展;
4) 共享集群模式容器和微服务网络攻击:
潜在攻击者通过容器逃逸或微服务组件漏洞,直接控制物理服务器执行恶意操作或进行横向扩展;
5) SaaS服务共享集群模式攻击:
潜在攻击者通过云服务提供商所提供的 SaaS 类服务能够使用的 API、中间件、数据库等漏洞,直接逃逸或越权访问进入提供服务的底层服务器集群,执行恶意操作,窃取数据或进行横向扩展;
6) 恶意攻击者针对云服务平台业务互联网络的旁路攻击:
恶意攻击者通过对于云平台业务连接的相关企业内部网络进行 APT 攻击,并进一步迂回横向扩展返回攻击云平台业务、运维或管理网络;
7) 恶意攻击者针对云服务平台开发/运营网络的旁路攻击:
恶意攻击者通过对于云平台连接的运维或管理内部网络进行 APT 攻击,并进一步迂回横向扩展返回攻击云平台业务、运维或管理网络;
8) 针对云用户控制台界面或开放式 API 的攻击:
潜在攻击者通过云服务提供商提供的控制台或开放式 API,利用控制台应用漏洞或API 漏洞访问,对租户资源或平台进行攻击。
在云上攻击路径中,还存在一系列横向扩展路径,横向扩展指当攻击者成功获取到租户或平台系统的一定权限后,利用网络或共享资源进行横向迁移,进一步扩大攻击范围,获取其他租户和系统的资源、数据或访问权限的情况,具体的路径包括:
1) 利用租户资源和访问权限,在 VPC 内进行横向迁移攻击,或作为跳板攻击其他用户; 2) 利用微服务不同功能组件间共享资源或权限的横向迁移; 3) 利用共享数据库集群间的资源或数据进行横向迁移; 4) 当成功实现虚拟机逃逸后,利用 Hypervisor 和硬件层面的控制面网络和接口进行横向迁移; 5) 利用网络虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移; 6) 利用存储虚拟化的共享资源、威胁接触面和控制面网络进行横向迁移; 7) 利用云平台管理面/控制面和业务面间的接口进行横向迁移; 8)BMC 等固件破坏后获取进行物理机层面的潜伏,或利用底层硬件权限反向获取 Hypervisor OS 或租户虚拟机 OS 的数据和系统访问权限。
云上安全需要全栈防护
从上述的攻击路径分析我们可以发现,面对更加复杂的网络架构和环境,原来在传统IT安全中补丁式的防护思路在云上已经不再适用了,因为任何一个环节出现问题,都会造成企业安全的失血,给恶意攻击者带来可乘之机。
为了避免因单点的疏漏造成整个云平台的安全事故,打造全栈的安全基础设施成为了云服务商可以选择的思路之一。
所谓全栈,简单来说就是要在国家相关法律法规和标准的指引下,从硬件设备的供应链开始进行安全审计,保障设备来源的安全可靠;然后使用经过安全加固的自研服务器搭建数据中心,并对数据中心的水、电、安防等基础设施提供物理层面的保障;最后在虚拟的操作系统和网络层面做好安全防护。
云平台在安全上分为基础设施安全、云系统安全防护、平台安全治理、对用户的安全服务四个层面。全栈的安全建设规划需要贯穿从平台的系统保护、规划、响应、恢复等整个系统生命周期,逐步完成迭代。最后,需要联合和云安全相关的几方,包括服务商自身、消费者、审计方以及云生态,共建整个云安全。
以腾讯为例,据笔者了解,为了对云平台进行全栈基础设施建设,腾讯集结内部七大安全实验室和安全平台部超过300人的安全研究人员,对云平台的合规管理、基础设施、系统安全、数据安全、应用安全、网络安全等展开研究,构建一套基于云的原生安全体系,希望能实现在保障云平台安全稳定的同时,也把安全服务内置到云中。并且据接近腾讯安全的人士透露,腾讯内部各部门加起来大约3500名安全开发和运维人员,都在投入到云安全的建设当中。
在数据中心的物理安全层面,对包括安防、设备、水、空调、消防、电力这样一些基础设施的安全进行研究和建设。目前腾讯全网服务器已经超过100万台,带宽峰值突破100T,这些都是持续提供高速、稳定、安全云服务的必备基础条件,在2019年11月10日晚,前有数千万人在线观看的英雄联盟S9全球总决赛,后有双十一年度抢购大戏,当晚腾讯云先承担了S9全网90%的流量,紧接着又为90%的电商企业提供了服务,这场年度大考能安然度过,腾讯云基础设施运维能力也得到了印证。
在整个网络层面的安全,进行更高量级DDoS防护的研究、打造更先进的云防火墙、通过红蓝对抗和日常漏洞挖掘不断收敛云上的安全漏洞。目前腾讯云的安全情报能力覆盖了数百个信息源,租户安全运营中心服务于腾讯云100万台以上的服务器和数千家大客户,能够在分钟级发现全网新增的高危端口,小时级定位新出现的零日漏洞影响范围,在日级以内实现全网的安全漏洞处置。
再到服务器的硬件安全层面,展开可信计算架构与供应链安全保证方面的研究,保证主机里面所有的硬件、固件、代码完全经过腾讯的审核,从硬件的设计开始经过腾讯云自己的审计和安全评估。前不久,腾讯发布了自研的星星海服务器,这是一款专门为云打造的服务器。在设计过程中,结合数据中心实际部署环境要求,针对云端的计算、存储、网络等场景做了重点优化,能够有效满足腾讯云98%应用场景需求。
最后到操作系统的安全,一直到租户的安全保障迭代,最后完成整个云上面全栈基础设施的安全构建。
当然,对于云服务商来说,想要靠自己的力量独立搭建起完整的全栈基础安全设施非常困难,这其中还涉及大量的第三方企业共同建设。一个完整理想的云安全生态环境,需要由云服务商、云租户、第三方安全企业和审计方等云安全参与方来共同搭建,在这个过程中大家通过资源共享,做到责任共担,共同打造更安全的云。