大家好,我是来自前线平安的刘对。明天次要聊聊租户在多云环境下责任边界的划分。
我这边的分享是比拟老手向的,也心愿通过我的分享,大家可能对多云下的平安责任边界划分和云上的一些概念有更深的了解。
依据 IDC 的数据,在短短 16 年内,寰球整体云计算市场规模从零增长到 2021 年的 7050 亿美元,到 2025 年将预计达到 1.3 万亿。
中国作为寰球云计算市场中增长最快的区域,2020 年市场规模达到 487.3 亿美元,预计 2021-2025 年复合增长率为 26.0%,云将重塑整个 IT 硬件、软件和服务生态。
在《电子政务》2020 年第3期中登载了《东数西算:我国数据跨域流通的总体框架和施行门路钻研》,在 2022 年 2 月份,国家发改委等部门联结印发文件,“东数西算”工程正式全面启动。能够看到,不论是从云计算市场来看还是从国家策略来看,云计算都必将是将来的趋势。
多云即在多个云服务供应商上部署云环境,多云能够为企业节约老本、进步灵活性、进步可靠性等等,依据《Flexera Releases 2021 State of the Cloud Report》中的统计信息,有 92% 的企业采纳了多云的策略。
因为平安行业是一个伴生行业,在云计算蓬勃发展、绝大多数企业都采纳多云策略的背景下,多云中的平安势必会越来越被关注。
云上的平安和传统的平安在某些中央有所不同,其中不可漠视的一点就是:云上的平安有些中央是由云服务商负责的,而有些是中央则是由租户本人去负责的,那么这个边界该如何划分?这是个问题。
在企业上云之前,兴许有的企业会认为云上的平安问题应该都是云服务商的责任,什么服务器的平安、数据库的平安都应该由他们来负责。然而实际上并不全是如此,这就好比一个人租了一辆车,这个人在开车的时候,他的平安不全是由租车公司负责一样。
开车的平安边界是很容易辨别的,例如疲劳驾驶、开车接打电话这些都是属于驾驶者自身的问题。这时兴许有人会想,那么如果我打车或者坐公交,那么这个时候的平安边界又在哪里?各位能够本人去思考一下。那么其实在云上,也是有“租车”、“打车”、“公交”之分的,不过它们是另一套叫法。
IaaS 也就是基础设施即服务,云服务商提供服务器、操作系统、硬盘等等,而后本人在下面部署利用。这就相似于租车,租车公司提供车辆,而后本人开到目的地。
PaaS 也就是平台即服务,云服务商提供曾经装置好利用的服务,比方 RDS、EKS 等等,这就相似于出租车,不必本人开车了,间接跟司机说到哪里就行。
SaaS 就是软件即服务,这个是面向最终用户的,用户只须要应用曾经成型的软件即可,比方电子邮箱、前线的平安云产品、钉钉等等,这就好比坐公交车,用户只须要上车就行,连本人打车的这一步都省了。
当这三种模式了解了,云上责任边界划分也就容易了。
依据国家现行标准 GB/T 31167-2014《信息安全技术 云计算服务平安指南》中的内容,在 IaaS 服务类别下,虚拟化计算资源层的安全措施由租户和云服务商分担。租户负责本人部署的操作系统、运行环境和利用的平安。云服务商负责虚拟机监视器及底层资源的平安。
在 PaaS 服务类别下,软件平台层的安全措施由租户和云服务商分担。租户负责本人开发和部署的利用及其运行环境的平安,其余安全措施由云服务商施行。
在 SaaS 服务类别下,应用软件层的安全措施由租户和云服务商分担,其余安全措施由云服务商施行。其实说到这里是有些形象的,所以接下来,将以 TerraformGoat 靶场中的阿里云 SSRF 场景为例,具体解说责任的辨别。
TerraformGoat 是一个多云靶场搭建工具,通过 TerraformGoat 的演示咱们能够对多云场景下的危险以及责任边界有个更清晰的意识。这里将以 TerraformGoat 中的阿里云 SSRF 场景为例,首先搭建靶场,这里间接应用 docker 搭建即可。
接着开始部署场景,首先切换到对应场景的目录下,配置好阿里云的 AK,而后初始化 Terraform,再利用场景即可。
稍等一会儿,在 Outputs 里就能够看到 SSRF 靶场的地址了,应用浏览器就能够拜访这个靶场了。
在这个部署靶场的过程中,TerraformGoat 会在阿里云上创立一个实例,并容许 8080 端口的申请,接着开始在实例上部署 SSRF 靶场。
在这个场景中,租户所面临的危险以及责任又该如何划分呢?咱们上面来好好讨论一下。
咱们先来看看这个场景中存在的危险,在这个场景中,次要的危险点是站点存在 SSRF 破绽,导致了攻击者能够进行读取实例元数据、内网探测等等操作。
这样的一个危险是应该归租户还是云厂商呢?首先咱们须要确定这个场景是属于 Iaas 还是 PaaS 或 SaaS 模式。
因为在这个场景中,须要在阿里云上创立实例,并在实例上部署利用,所以不难判断出这是一个 IaaS 模式,接着再依据之前 IaaS 下的责任划分图表去判断对应的责任边界。
在这个图表中,云厂商负责底层硬件设施,例如服务器、交换机、硬盘等等的平安,而租户则负责下层的应用软件局部,其中虚拟化计算资源是由两者分担的。那么这就很容易判断了,这里的 SSRF 破绽很显著是产生在应用软件层的,因而这个是属于租户的责任。
那么兴许会有危险产生在虚拟化计算资源层的场景呈现,这时又该如何划分,其实也很简略,举个例子就很分明了。
比方在实例所关联的虚构专有网络 VPC 中创立了一条容许 22 端口拜访的的平安组规定,那么这个凋谢 22 端口的危险其实就是属于租户的,但如果在平安组里 22 端口是禁止拜访的,但攻击者却绕过了平安组策略,那么这或者就是云厂商的责任了。
再比方租户的控制台明码泄露是属于租户的责任,但因为控制台存在 XSS 破绽导致租户的账号被盗取,这就是云厂商的责任。
置信通过以上的内容,对于租户和云厂商的责任边界划分,心里曾经有个大略的轮廓了,总的来说,不论这些危险是属于租户的责任还是云厂商的责任,整体业务的平安都是须要租户和云厂商独特的致力才行。
最初,咱们来简略看一下对于这些云上的危险租户个别是如何去发现以及应答的。
目前比拟常见的云平安工具次要有 CASB、CWPP、CSPM 等等,这里将简略别离介绍一下每种工具,企业能够依据本人的状况去抉择对应的云平安工具。
CASB 云拜访平安代理,实质上是云服务的防火墙,CASB 能够解决辨认企业影子资产以及满足监管合规的需要。通过 CASB 的跟踪、报告、记录和事件监控性能,CASB 能够辨认企业中所有的云服务,包含一些可能客户本身都不晓得的云服务,CASB 能够对这些影子服务进行危险评估并在必要的时候触发警报。通过 CASB 的审计和报告性能,还能够满足一些监管合规的需要。
CWPP 云工作负载爱护平台,CWPP 能够解决在企业既有多云、混合云又有物理机、虚拟机、容器等等的状况下,如何对立治理的问题。CWPP 能够为所有类型的工作负载提供平安爱护,包含物理服务器、虚拟机、容器、serverless 等等,CWPP 能够为这些工作负载提供对立的可视化和管控能力。
CSPM 云平安态势治理,也有的翻译成云平安配置管理,CSPM 次要是解决多云环境中企业谬误配置的问题,在企业中,一个云上的谬误配置可能就会产生极大的安全隐患,尤其是在云服务越来越来的状况下。CSPM 能够对这些云服务的配置进行剖析与治理,从而帮忙企业发现存在的平安危险。企业也能够通过 CSPM 去检测本人的云服务配置是否合规,通过 CSPM 企业能够升高被攻打时所产生的影响。
对于租户,能够依据本身的状况以及需要去抉择对应的云平安工具,从而进步本身的平安能力。
这是给大家提供的一些参考资料,欢送探讨。
获取完整版 PPT,请填写问卷:
https://wenjuan.feishu.cn/m?t…
视频回放链接:
前线沙龙第 26 期——多云环境的危险发现
https://www.bilibili.com/vide…