1. 前言
云計(jì)算已經(jīng)是非?�;鸨母拍盍?���,涉及的服務(wù)也非常多,彈性計(jì)算服務(wù)�、文件存儲(chǔ)服務(wù)、關(guān)系數(shù)據(jù)庫(kù)服務(wù)��、key-value數(shù)據(jù)庫(kù)服務(wù)等等不勝枚舉�。本文將簡(jiǎn)要闡述一下彈性計(jì)算服務(wù)的安全問(wèn)題,因?yàn)閺椥杂?jì)算是應(yīng)用得最普遍的云服務(wù)�,也是安全風(fēng)險(xiǎn)最大的云服務(wù)。
由于許多東西涉及公司機(jī)密�,技術(shù)細(xì)節(jié)��、實(shí)現(xiàn)或者新的方向�����,本文中不進(jìn)行講解���。有興趣的可以投一份簡(jiǎn)歷過(guò)來(lái)���,我們共同為云計(jì)算努力��。
2. 云計(jì)算帶來(lái)的新風(fēng)險(xiǎn)
在云計(jì)算之前的時(shí)代�����,傳統(tǒng)IDC機(jī)房就面臨著許多的安全風(fēng)險(xiǎn)��。然后這些問(wèn)題毫無(wú)遺漏的傳遞到了云計(jì)算時(shí)代��,不僅如此����,云計(jì)算獨(dú)有的運(yùn)作模式還帶來(lái)了更多新的問(wèn)題��。
2.1. 云內(nèi)部的攻擊
l 安全域被打破
在對(duì)外提供云計(jì)算業(yè)務(wù)之前�����,互聯(lián)網(wǎng)公司使用獨(dú)立的IDC機(jī)房��,由邊界防火墻隔離成內(nèi)外兩塊����。防火墻內(nèi)部屬于可信區(qū)域���,自己獨(dú)占,外部屬于不可信區(qū)域�����,所有的攻擊者都在這里��。安全人員只需要對(duì)這一道隔離墻加高�����、加厚即可保障安全���,也可以在這道墻之后建立更多的墻形成縱深防御�。
但是在開(kāi)始提供云計(jì)算業(yè)務(wù)之后��,這種簡(jiǎn)潔的內(nèi)外隔離的安全方案已經(jīng)行不通了����。通過(guò)購(gòu)買(mǎi)云服務(wù)器�,攻擊者已經(jīng)深入提供商網(wǎng)絡(luò)的腹地,穿越了邊界防火墻����。另外一方面�,云計(jì)算內(nèi)部的資源不再是由某一家企業(yè)獨(dú)享�,而是幾萬(wàn)、幾十萬(wàn)甚至更多的互相不認(rèn)識(shí)的企業(yè)所共有�,當(dāng)然也包含一些懷有惡意的用戶。顯然�����,按照傳統(tǒng)的方式劃分安全域做隔離已經(jīng)行不通了�����,安全域被打破����。
l 新的攻擊方式
傳統(tǒng)IDC時(shí)代攻擊者處于邊界防火墻外部,和企業(yè)服務(wù)器�����、路由器之間只有IP協(xié)議可達(dá)�,也就是說(shuō)攻擊者所能發(fā)起的攻擊,只能位于三層之上。
但是對(duì)于云計(jì)算來(lái)說(shuō)����,情況發(fā)生了變化。在一個(gè)大二層網(wǎng)絡(luò)里面���,攻擊者所控制的云服務(wù)器與云服務(wù)提供商的路由器二層相連����,攻擊者可以在更低的層面對(duì)這些設(shè)備發(fā)動(dòng)攻擊����,如基于ARP協(xié)議的攻擊,比如說(shuō)常見(jiàn)的ARP欺騙攻擊���,甚至更底層的以太網(wǎng)頭部的偽造攻擊�。
關(guān)于以太網(wǎng)頭部的偽造攻擊����,我曾經(jīng)遇到過(guò)一次。攻擊者發(fā)送的數(shù)據(jù)包非常小��,僅僅包含以太網(wǎng)頭部共14個(gè)字節(jié)�����,源和目的物理地址都是偽造的���,上層協(xié)議類(lèi)型為2個(gè)字節(jié)的隨機(jī)數(shù)據(jù)�����,并非常見(jiàn)的IP協(xié)議或者ARP協(xié)議�,對(duì)交換機(jī)造成了一些不良影響�。
l 虛擬層穿透
云計(jì)算時(shí)代,一臺(tái)宿主機(jī)上可能運(yùn)行著10臺(tái)虛擬機(jī)�,這些虛擬機(jī)可能屬于10個(gè)不通的用戶。從某種意義上說(shuō)�,這臺(tái)物理機(jī)的功能與傳統(tǒng)IDC時(shí)代的交換機(jī)相當(dāng),它就是一臺(tái)交換機(jī)���,承擔(dān)著這10臺(tái)虛擬機(jī)的所有流量交換�����。
入侵了一臺(tái)宿主機(jī)�,其危害性與入侵了傳統(tǒng)時(shí)代的一個(gè)交換機(jī)新黨���。但是與交換機(jī)相比�����,是這臺(tái)宿主機(jī)更容易被入侵還是交換機(jī)更容易被入侵?顯然是宿主機(jī)更容易入侵�����。
首先�����,攻擊者的VM直接運(yùn)行在這臺(tái)宿主機(jī)的內(nèi)存里面�,僅僅是使用一個(gè)虛擬層隔離,一旦攻擊者掌握了可以穿透虛擬層的漏洞���,毫不費(fèi)力的就可以完成入侵���,常見(jiàn)的虛擬化層軟件如xen、kvm都能找到類(lèi)似的安全漏洞����。
其次,交換機(jī)的系統(tǒng)比較簡(jiǎn)單�,開(kāi)放的服務(wù)非常有限�����。而宿主機(jī)則是一臺(tái)標(biāo)準(zhǔn)的Linux服務(wù)器,運(yùn)行著標(biāo)準(zhǔn)的Linux操作系統(tǒng)以及各種標(biāo)準(zhǔn)的服務(wù)�,可被攻擊者使用的通道也多得多。
2.2. 大規(guī)模效應(yīng)
l 傳統(tǒng)攻擊風(fēng)險(xiǎn)擴(kuò)大
為了方便讓VM故障漂移以及其它原因���,云計(jì)算網(wǎng)絡(luò)一般的都會(huì)基于大二層架構(gòu)��,甚至是跨越機(jī)房�、跨越城市的大二層架構(gòu)�。一個(gè)VLAN不再是傳統(tǒng)時(shí)代的200來(lái)臺(tái)服務(wù)器,數(shù)量會(huì)多達(dá)幾百臺(tái)����、幾千臺(tái)。在大二層網(wǎng)絡(luò)內(nèi)部�,二層數(shù)據(jù)交換依賴(lài)交換機(jī)的CAM表尋址。當(dāng)MAC地址的規(guī)模達(dá)到一定規(guī)模之后����,甚至可能導(dǎo)致CAM表被撐爆。
類(lèi)似的���,ARP欺騙��、以太網(wǎng)端口欺騙�、ARP風(fēng)暴、NBNS風(fēng)暴等等二層內(nèi)部的攻擊手法�����,危害性都遠(yuǎn)遠(yuǎn)超過(guò)了它們?cè)趥鹘y(tǒng)時(shí)代的影響�����。
l 攻擊頻率急劇增大
由于用戶的多樣性以及規(guī)模巨大�����,遭受的攻擊頻率也是急劇增大�。以阿里云現(xiàn)在的規(guī)模,平均每天遭受數(shù)百起起DDoS攻擊��,其中50%的攻擊流量超過(guò)5GBit/s���。針對(duì)WEB的攻擊以及密碼破解攻擊更是以?xún)|計(jì)算�。
這種頻度的攻擊,給安全運(yùn)維帶來(lái)巨大的挑戰(zhàn)�����。
2.3. 安全的責(zé)任走向廣義
