讓很多人都感到驚奇的是,只需點(diǎn)擊幾下鼠標(biāo),就可以啟動(dòng)一個(gè)服務(wù)器集群,隨時(shí)處理任何規(guī)模的數(shù)據(jù)。
在以往,企業(yè)需要購(gòu)買(mǎi)CPU、內(nèi)存、網(wǎng)絡(luò)、存儲(chǔ)等硬件設(shè)備,并花費(fèi)大量資金和精力構(gòu)建自己的數(shù)據(jù)中心,并將設(shè)備連接到全球互聯(lián)網(wǎng)。
現(xiàn)在,即使已經(jīng)擁有大規(guī)模數(shù)據(jù)中心的傳統(tǒng)大型組織也正在利用云計(jì)算技術(shù)的簡(jiǎn)單性和可擴(kuò)展性。
但是,云原生環(huán)境中的安全性如何?基礎(chǔ)設(shè)施和應(yīng)用是否安全?
企業(yè)對(duì)構(gòu)建基礎(chǔ)設(shè)施的看法
沒(méi)有人開(kāi)始通過(guò)訂購(gòu)服務(wù)器來(lái)建立業(yè)務(wù)。企業(yè)首先確定想做的事情,開(kāi)發(fā)了一個(gè)系統(tǒng)并進(jìn)行了部署。并不真正在乎刀片服務(wù)器的品牌,但I(xiàn)T系統(tǒng)必須不斷運(yùn)行,它們必須可靠、可用、及時(shí)和安全。
每個(gè)IaaS供應(yīng)商(無(wú)論是AWS、谷歌、微軟還是其他公司)都提供基礎(chǔ)設(shè)施安全性。通過(guò)使用其基礎(chǔ)設(shè)施,用戶(hù)將大量的安全職責(zé)委托給了云計(jì)算供應(yīng)商。目前,很多企業(yè)認(rèn)為AWS、谷歌和微軟等公司所做的工作比他們自己可以完成的工作更安全。
基礎(chǔ)設(shè)施的安全性
以下了解一下現(xiàn)代計(jì)算的分層模型。云計(jì)算基礎(chǔ)設(shè)施服務(wù)(IaaS)提供虛擬機(jī)——內(nèi)存、存儲(chǔ)、處理器和網(wǎng)絡(luò)。更高級(jí)別的服務(wù)提供操作系統(tǒng)、編排和對(duì)象存儲(chǔ)。
基礎(chǔ)設(shè)施的安全功能只能阻止來(lái)自其下一層的攻擊。例如,如果用戶(hù)選擇AmazonElasticBlockStorage(EBS)加密,則將在操作系統(tǒng)(OS)級(jí)別和硬件之間的虛擬化級(jí)別對(duì)實(shí)際數(shù)據(jù)存儲(chǔ)上的數(shù)據(jù)進(jìn)行加密。如果攻擊者闖入亞馬遜的數(shù)據(jù)中心并竊取了硬盤(pán),將其帶回家,并將其連接到自己的計(jì)算機(jī),那么他看到的卻是加密的數(shù)據(jù)。
如果網(wǎng)絡(luò)攻擊者遠(yuǎn)程破壞了同一虛擬機(jī),則他可以像合法應(yīng)用程序一樣打開(kāi)同一個(gè)EBS卷上的文件并透明地讀取數(shù)據(jù),因?yàn)樘摂M化層無(wú)法告訴誰(shuí)正在嘗試讀取信息。
這同樣適用于其他基礎(chǔ)設(shè)施級(jí)別的安全功能,如防火墻。如果企業(yè)擁有服務(wù)器A和B,其中B是A的客戶(hù)端,可以定義防火墻規(guī)則來(lái)限制對(duì)運(yùn)行服務(wù)器A的訪(fǎng)問(wèn),因此只有服務(wù)器B可以訪(fǎng)問(wèn)它。因此,侵入服務(wù)器B的攻擊者可以很容易地訪(fǎng)問(wèn)服務(wù)器A。
一般來(lái)說(shuō),如果攻擊源位于保護(hù)層之上,則其安全保護(hù)無(wú)效。鑒于攻擊主要來(lái)自應(yīng)用層的方向,基礎(chǔ)設(shè)施級(jí)別的保護(hù)只提供一部分安全性。
雖然基礎(chǔ)設(shè)施可以限制應(yīng)用程序級(jí)別的活動(dòng)以防止發(fā)生不必要的行為,但其結(jié)果將非常緊湊,并且維護(hù)成本非常高。這意味著其周界太寬而無(wú)法提供足夠的安全性,或者太窄而無(wú)法維護(hù)云原生世界的安全性。
真實(shí)應(yīng)用程序安全性的誤區(qū)
如果應(yīng)用程序可以自我保護(hù),那將是朝著全面云原生安全性邁出的一大步。當(dāng)然,業(yè)界人士并沒(méi)有將應(yīng)用程序視為需要保護(hù)的事物,而是開(kāi)發(fā)了許多基礎(chǔ)設(shè)施安全功能來(lái)解決此問(wèn)題。
此外,自我保護(hù)應(yīng)用程序很難配置和維護(hù)。他們的安全級(jí)別無(wú)處不在。實(shí)際上,在這種類(lèi)型的環(huán)境中,要實(shí)現(xiàn)真正的應(yīng)用程序安全性非常困難,因?yàn)樗鼈兊陌姹究赡軙?huì)有所不同,并且它們的來(lái)源也各不相同。
SSL/TLS無(wú)效的情況
這個(gè)安全協(xié)議,實(shí)際上是保護(hù)TCP連接的行業(yè)標(biāo)準(zhǔn),它是在上世紀(jì)90年代開(kāi)發(fā)的。盡管它的設(shè)計(jì)堪稱(chēng)典范,但對(duì)于討論的主題而言,重要的是傳輸層安全協(xié)議(TLS)連接旨在在瀏覽器應(yīng)用程序和Web服務(wù)器軟件之間創(chuàng)建。它不是基礎(chǔ)設(shè)施功能,甚至不是網(wǎng)絡(luò)驅(qū)動(dòng)程序的功能。它是純粹應(yīng)用程序級(jí)別的功能,這意味著在理想情況下只有應(yīng)用程序才能訪(fǎng)問(wèn)通過(guò)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)。
隨著時(shí)間的推移,服務(wù)器端安全傳輸層協(xié)議(TLS產(chǎn)品不斷發(fā)展,如RSA的傳輸層安全協(xié)議(TLS)服務(wù)器終端硬件。傳輸層安全協(xié)議(TLS)終止已經(jīng)成為一種常見(jiàn)的做法,這意味著傳輸層安全協(xié)議(TLS)連接到達(dá)一個(gè)反向代理軟件或硬件,其唯一的目標(biāo)是解除連接的保護(hù),并將其轉(zhuǎn)發(fā)到不受保護(hù)的正確Web服務(wù)器。
為什么這么做?
一方面,它不那么安全,但是很難在整個(gè)服務(wù)器園區(qū)中維護(hù)傳輸層安全協(xié)議(TLS)證書(shū)和密鑰。當(dāng)明確內(nèi)部服務(wù)之間的通信也必須受到保護(hù)時(shí),不同的云計(jì)算供應(yīng)商會(huì)有不同的答案。Istio等獨(dú)立于云計(jì)算的解決方案以及其他附帶解決方案的解決方案在受保護(hù)的應(yīng)用程序旁邊放置了一個(gè)額外的容器,可以像使用Web服務(wù)器一樣執(zhí)行傳輸層安全協(xié)議(TLS)終止,但是這種方法無(wú)效。
傳輸層安全協(xié)議(TLS)的使用差強(qiáng)人意,因?yàn)楹茈y使用它來(lái)配置和維護(hù)應(yīng)用程序。傳輸層安全協(xié)議(TLS)需要持續(xù)的重新配置(證書(shū)續(xù)訂)和密鑰保護(hù)(其密鑰丟失將會(huì)危及整個(gè)TLS系統(tǒng))。所有應(yīng)用程序的配置都有些不同,這使維護(hù)變得很困難。當(dāng)然,某些應(yīng)用程序根本不支持傳輸層安全協(xié)議(TLS)。
當(dāng)然,這個(gè)簡(jiǎn)單的傳輸層安全協(xié)議(TLS)示例通過(guò)在應(yīng)用程序中添加廣泛的安全功能突出了操作問(wèn)題。此外,業(yè)務(wù)和應(yīng)用程序開(kāi)發(fā)都集中在功能上。安全是次要的,如果有的話(huà)。
真正的解決方案是什么?
業(yè)務(wù)驅(qū)動(dòng)的思維推動(dòng)了基礎(chǔ)設(shè)施內(nèi)的安全性;它應(yīng)該是開(kāi)箱即用的。在很多情況下是這樣的——但是基礎(chǔ)設(shè)施的安全性是有限的。以基礎(chǔ)設(shè)施為中心的應(yīng)用程序安全性方法也不起作用。
其答案是,其安全必須在應(yīng)用程序級(jí)別,而不是應(yīng)用程序的一部分。
