01、云的安全挑戰(zhàn)
大多數(shù)企業(yè),特別是對(duì)安全極其重視的半導(dǎo)體企業(yè)對(duì)將業(yè)務(wù)環(huán)境遷移入云一直存有疑慮。理由充分可理解,畢竟機(jī)房、服務(wù)器和數(shù)據(jù)不在自己的眼皮子底下,加之云計(jì)算是建立在虛擬服務(wù)上的,很多業(yè)務(wù)模式是讓你和其他公司共用物理機(jī)的,因此數(shù)據(jù)的有效保障程度對(duì)客戶來(lái)說(shuō)是個(gè)未知數(shù)。
我們先來(lái)談?wù)勆显频膸讉€(gè)主要安全挑戰(zhàn),相比企業(yè)能完全控制的物理環(huán)境,還是比較復(fù)雜的。
首先,劃分的安全域不再如企業(yè)自建環(huán)境直接而簡(jiǎn)單,自建環(huán)境用防火墻和機(jī)房做內(nèi)、外隔離即可;而云基礎(chǔ)設(shè)施和資源是建立在“共享”基礎(chǔ)之上,安全域是多維的,因此復(fù)雜度就加大了,如果服務(wù)商安全做得不夠細(xì)致、專(zhuān)業(yè),可以讓攻擊者‘長(zhǎng)驅(qū)而入“;另外,數(shù)據(jù)存放在遠(yuǎn)端的云服務(wù)商的數(shù)據(jù)中心,雖然專(zhuān)業(yè)云服務(wù)商有著非常完善的保護(hù)措施,可是多用戶共享資源,用戶是無(wú)法知道具體的資源位置,更無(wú)從控制資源運(yùn)行,這更讓企業(yè)很不“安心”。
其次,計(jì)算機(jī)的管理和運(yùn)維是通過(guò)互聯(lián)網(wǎng)進(jìn)行的,攻擊方式更具有“侵略性”和“隱蔽性”。我們做過(guò)測(cè)試,直接部署云環(huán)境而不考慮安全加固的云環(huán)境,是非常容易受到外部攻擊的。另外,云是全面虛擬化的,攻擊者可以隱藏在和其他客戶共享宿主機(jī)的虛擬機(jī)里面,加之虛擬機(jī)具有移動(dòng)性,物理機(jī)之間的克隆和發(fā)布可能會(huì)產(chǎn)生配置錯(cuò)誤和安全漏洞的傳播,從這個(gè)角度,也增加了更多的安全風(fēng)險(xiǎn)。
再來(lái)說(shuō)說(shuō)數(shù)據(jù)安全,部署在云上的數(shù)據(jù),其訪問(wèn)、存儲(chǔ)、傳輸更需要考慮加密方式,客戶還是云服務(wù)商來(lái)保護(hù)和控制密鑰,以及密鑰如何存放,這都需要花費(fèi)更多的努力。
因此,在云上部署的業(yè)務(wù)應(yīng)用,其審計(jì)要求更高,需要對(duì)資源和數(shù)據(jù)的訪問(wèn)、使用和活動(dòng)提供更為可靠的審計(jì)證據(jù),以證明資源沒(méi)有被篡改或泄露。
盡管有上述的這些安全挑戰(zhàn),但是如果我們了解云平臺(tái)的運(yùn)作機(jī)理、使用的技術(shù)手段,并熟知其產(chǎn)品特性,施之以完善的規(guī)劃和部署,那么我們還是可以比較有信心地說(shuō):用戶是可以安心地使用云計(jì)算的。畢竟云計(jì)算的高彈性、“即開(kāi)即用”等特色和優(yōu)勢(shì)給企業(yè)帶來(lái)的好處是顯著的,想想因芯片的研發(fā)時(shí)間大幅度縮短而帶來(lái)的高效和經(jīng)濟(jì)效益,是多大的吸引力。讀者如果有興趣,可以從摩爾精英前期發(fā)表的《芯片上“云“的動(dòng)力》一文中了解更多的細(xì)節(jié)。
“物不因不生不革不成“,可是如何保證成功而安全的遷移,本文將從多個(gè)角度來(lái)闡述如何做、怎么做來(lái)保護(hù)企業(yè)上云安全,希望能增添大家上云的信心。
02、云的安全優(yōu)勢(shì)
盡管上節(jié)中,我們講到了芯片上云面臨著許多挑戰(zhàn),可是云的安全優(yōu)勢(shì)也是顯著的。
2.1、安全隨“云”而行
由于云是通過(guò)互聯(lián)網(wǎng)平臺(tái)提供的一種共享服務(wù),其特殊性決定了它面臨的安全風(fēng)險(xiǎn)更高。因此,從基礎(chǔ)架構(gòu)和產(chǎn)品目錄布局開(kāi)始,云服務(wù)商就對(duì)安全進(jìn)行了布局。從跨數(shù)據(jù)中心的建設(shè)開(kāi)始,云廠商就將安全控件系統(tǒng)地、緊密地集成在硬件、固件和軟件服務(wù)中。比如說(shuō),“多層安全”的安全方針從Iaas和Paas層,對(duì)互聯(lián)網(wǎng)威脅最大之一的DDoS攻擊進(jìn)行了全面的防御和阻斷;又比如,充分利用云優(yōu)勢(shì)、無(wú)縫結(jié)合大數(shù)據(jù)、實(shí)時(shí)捕捉安全信息從而高效地分析和判斷可能發(fā)生的安全風(fēng)險(xiǎn)和威脅[1]。可以說(shuō),安全是“隨云而行、織密而彈性的”。
2.2、多層構(gòu)建、高安全邊界防御
由于云是面向互聯(lián)網(wǎng)的,云廠商要成功提供服務(wù),在安全方面必然面臨持續(xù)的、嚴(yán)格的監(jiān)管,監(jiān)管部門(mén)要求云服務(wù)商必須通過(guò)和維護(hù)符合要求的安全認(rèn)證。因此,專(zhuān)業(yè)的云平臺(tái)服務(wù)商都在安全方面投入了很大的人力和財(cái)力,他們從物理數(shù)據(jù)中心開(kāi)始分層構(gòu)建,和眾多安全產(chǎn)品和方案提供商合力在平臺(tái)上筑建起嚴(yán)密的防入侵防御,并且有7x24的后臺(tái)運(yùn)維團(tuán)隊(duì)和安全專(zhuān)家團(tuán)隊(duì)做后盾,從而盡最大程度地控制安全風(fēng)險(xiǎn),比如:
最高級(jí)別的數(shù)據(jù)中心物理安全
云的數(shù)據(jù)中心一般是根據(jù)數(shù)據(jù)中心安全要求按照最高級(jí)別設(shè)計(jì)的,比如:數(shù)據(jù)中心部所有基礎(chǔ)設(shè)施(空調(diào)、UPS等)按全冗余設(shè)計(jì),嚴(yán)格隔離不同安全區(qū)域、設(shè)置不同級(jí)別的物理訪問(wèn)控制和監(jiān)控等。
●邊界防火墻頂級(jí)配置
●高集成事件日志的IDS防御
●應(yīng)用、數(shù)據(jù)庫(kù)層防火墻保護(hù)
●存留數(shù)據(jù)加密
由此可見(jiàn),就以投資、人力和專(zhuān)業(yè)度而論,一般企業(yè)是“望塵不及、有心而力不足”的。另外,規(guī)模小的中、小企業(yè),由于初期建設(shè)往往簡(jiǎn)單,缺少專(zhuān)業(yè)人員的建議、實(shí)施和運(yùn)維,他們的企業(yè)研發(fā)環(huán)境一般都存在著高安全風(fēng)險(xiǎn)。比如,盡管他們知道做跳板機(jī),可是跳板機(jī)本身沒(méi)有做任何安全防護(hù)。同時(shí),他們又局限在沒(méi)有專(zhuān)業(yè)人員維護(hù)、缺少駐場(chǎng)安全服務(wù)的困境中。如果上云,可以實(shí)現(xiàn)用較低的成本進(jìn)行環(huán)境安全管理的期望。
2.3、安全補(bǔ)丁和安全管理高度集成
安全機(jī)構(gòu),比如Verizon【2】的最新調(diào)查表明,許多安全風(fēng)險(xiǎn)來(lái)自不完善的補(bǔ)丁管理。沒(méi)有及時(shí)更新的系統(tǒng)補(bǔ)丁很容易給入侵者入侵機(jī)會(huì),而傳統(tǒng)的IT管理方法中的補(bǔ)丁管理是分散的、復(fù)雜的。補(bǔ)丁還涉及到備份、故障恢復(fù)等其他流程,比如,如果補(bǔ)丁更新失敗或者補(bǔ)丁造成系統(tǒng)崩潰后,如何恢復(fù)系統(tǒng),特別是關(guān)鍵信息設(shè)施和重要系統(tǒng),更是需要“刻不容緩”地復(fù)原。因此在傳統(tǒng)的IT環(huán)境中,補(bǔ)丁管理是讓管理員極其操心的。
而在云上,這個(gè)工作就變得很輕松了。因?yàn)樵剖且约衅脚_(tái)形式進(jìn)行補(bǔ)丁管理和安全管理的。補(bǔ)丁實(shí)施計(jì)劃:測(cè)試和回滾、更新時(shí)間表、安全策略更新、安全日志監(jiān)控等,都能在一個(gè)管理平臺(tái)上進(jìn)行管理和運(yùn)維。這極大程度減輕了管理員的工作負(fù)擔(dān),提高了管理效率,并避免人為錯(cuò)誤而導(dǎo)致的更嚴(yán)重的后果。
2.4安全威脅彈性應(yīng)對(duì)、快速隔離
對(duì)于云的彈性屬性,大家應(yīng)該耳熟能詳了。“隨云而行”的安全當(dāng)然也是具有彈性特征的。云的安全自動(dòng)運(yùn)維效率極高,不僅有邊界安全防護(hù)提升了智能分析、處置能力。比如面對(duì)威脅,它能有效自動(dòng)攔截機(jī)制。
還有,比起傳統(tǒng)的線下數(shù)據(jù)中心的邏輯隔離,它能更容易地分割服務(wù)和功能模塊。萬(wàn)一其中一個(gè)服務(wù)或者模塊被攻擊了,云的虛機(jī)和容器技術(shù)可以使工作流的不同模塊或服務(wù)運(yùn)行在不同的物理區(qū)域里,因此被攻擊的部分不會(huì)影響到其他服務(wù)或功能模塊,從而實(shí)現(xiàn)快速隔離。并且云的事件和消息服務(wù)功能強(qiáng)大,下一個(gè)工作流的任務(wù)會(huì)鑒別和確認(rèn)上一個(gè)工作流的事件消息,被攻擊部分不會(huì)得到確認(rèn)所以會(huì)被丟棄。因此,我們很容易追蹤溯源,這使得安全事件很容易找到根本原因。
03、責(zé)任共同模型
本節(jié)我們來(lái)著重介紹“責(zé)任共擔(dān)模型”。因?yàn)槿绻涣私膺@個(gè)模型,企業(yè)可能會(huì)進(jìn)入另外一個(gè)“誤區(qū)”:認(rèn)為既然云廠商有著這么多的安全“優(yōu)勢(shì)”,就將業(yè)務(wù)環(huán)境完全托管給云服務(wù)商,如果有事情就問(wèn)責(zé)服務(wù)商。如果大家有這個(gè)想法,那么筆者這里要大大地敲“黑板”了,千萬(wàn)不可這么認(rèn)為,否則造成的安全風(fēng)險(xiǎn)不減反而更高。
梳理一下,我們可以看到所有的云服務(wù)商,包括著名的阿里、騰訊、亞馬遜或微軟都是和客戶以共擔(dān)責(zé)任模式來(lái)運(yùn)營(yíng)系統(tǒng)和業(yè)務(wù)環(huán)境的。
雖然各家服務(wù)商具體實(shí)現(xiàn)的方式不同,但本質(zhì)相同,和客戶的合作都是建立在責(zé)任共擔(dān)之基礎(chǔ)上的。
云服務(wù)商負(fù)責(zé)“云自身”安全,包括云服務(wù)所包含的所有基礎(chǔ)設(shè)施,運(yùn)營(yíng)、管理和控制所提供服務(wù)組件所在的物理數(shù)據(jù)中心、網(wǎng)路設(shè)備、軟、硬件和虛擬層。
而客戶的主要責(zé)任在于和其業(yè)務(wù)相關(guān)的企業(yè)數(shù)據(jù)、所選云服務(wù)的配置管理及身份驗(yàn)證,這也是從企業(yè)角度出發(fā),保障企業(yè)的關(guān)鍵利益。
我們具體以微軟云和亞馬遜云為例。
微軟云的“責(zé)任共擔(dān)“【3】模型如下圖3.1所示,紅色部分為客戶責(zé)任范圍,包括終端設(shè)備、賬號(hào)和驗(yàn)證、業(yè)務(wù)信息和數(shù)據(jù),這些屬于客戶的責(zé)任。
圖3.1.微軟云的“責(zé)任共擔(dān)“模型
再看下圖3.2.亞馬遜云的“責(zé)任共擔(dān)“模型,同樣,亞馬遜也強(qiáng)調(diào)客戶需要對(duì)自己的數(shù)據(jù)、身份驗(yàn)證及訪問(wèn)和信息系統(tǒng)環(huán)境負(fù)責(zé),其中,信息系統(tǒng)包括:操作系統(tǒng)、網(wǎng)絡(luò)訪問(wèn)控制部分,其中,亞馬遜在模型中特別強(qiáng)調(diào)數(shù)據(jù)的加密責(zé)任在于客戶【4】。
圖3.2亞馬遜云的“責(zé)任共擔(dān)”模型
因此我們必須清楚地認(rèn)識(shí)到:企業(yè)對(duì)其自身的業(yè)務(wù)環(huán)境還是有著“義不容辭”的責(zé)任和義務(wù),只是范圍縮小和集中了,讓企業(yè)的財(cái)力和人力更集中于其最關(guān)注的利益部分。因此,安全投資成本小了,環(huán)境更安全了。
04、摩爾精英的安全架構(gòu)體系
摩爾精英的安全框架體系是立體多層、多維度的,并參考了國(guó)、內(nèi)外的網(wǎng)安全標(biāo)準(zhǔn),基于行業(yè)特點(diǎn)而設(shè)計(jì)的,該框架體系不僅適用于傳統(tǒng)研發(fā)環(huán)境,而且可以輕松延展到各類(lèi)云平臺(tái)。
圖4.1.摩爾精英安全系統(tǒng)框架
我們這里給大家介紹一個(gè)適用于中、小型客戶的安全上云方案。我們考慮一個(gè)20個(gè)人左右的初創(chuàng)企業(yè)。初創(chuàng)企業(yè)規(guī)模不大,一般啟動(dòng)資金有限,希望馬上開(kāi)始芯片設(shè)計(jì),又需要時(shí)間搭建環(huán)境。同時(shí)又面臨很多問(wèn)題,就如我們剛發(fā)表的《芯片設(shè)計(jì)上云-路徑篇》一文中提到的諸多問(wèn)題:
人員規(guī)模不大,但是站點(diǎn)較多,有些可能還有國(guó)外的設(shè)計(jì)人
啟動(dòng)資金有限,自建機(jī)房負(fù)擔(dān)較重,
沒(méi)有專(zhuān)職的IT/CAD人員,
對(duì)設(shè)計(jì)平臺(tái)如何搭建缺乏專(zhuān)業(yè)知識(shí),
公司初期辦公地點(diǎn)不定,可能會(huì)經(jīng)常搬家。
隨著云實(shí)施方案的成熟,全云方案對(duì)初創(chuàng)企業(yè)無(wú)疑是一個(gè)不錯(cuò)的選擇。
如下圖4.2所示,該云方案將線下的傳統(tǒng)芯片開(kāi)發(fā)環(huán)境完整地搬到了Azure云,而又無(wú)縫地集成了彈性算力集群。
圖4.2初創(chuàng)企業(yè)全云方案拓?fù)鋱D
摩爾精英在安全體系框架上,深入結(jié)合微軟云的7層零安全,如下圖4.2
充分考慮客戶的使用成本集成上,制定了“三層隔離、7層防護(hù)”的安全方案,體現(xiàn)了安全“隨云而行”的精髓。如下圖4.3所示。
圖4.3初創(chuàng)企業(yè)上云安全方案
用戶的工作區(qū)為OA區(qū),通過(guò)安全隧道和安全身份認(rèn)證,登入位于VDI區(qū)域的云上服務(wù)器,打開(kāi)VNC就可以進(jìn)行開(kāi)發(fā)工作。
所有位于HPC區(qū)域的Login服務(wù)器,作業(yè)集群和存儲(chǔ),通過(guò)安全產(chǎn)品和手段保護(hù)在另外隔離的私有網(wǎng)絡(luò)中;面向與公網(wǎng)的Infra組件,比如windows服務(wù)器等用防火墻等安全組件增強(qiáng)安全,抵御來(lái)自互聯(lián)網(wǎng)的DDoS攻擊等威脅。
同時(shí)我們通過(guò)secure center,“一個(gè)中心”來(lái)監(jiān)控、預(yù)防和進(jìn)行安全管理。
另外,我們單獨(dú)給管理員登錄和管理做了另外的安全隔離,通過(guò)安全的方法,使管理員安全地進(jìn)行運(yùn)維,所有的行為都進(jìn)行記錄和保存。
05、總結(jié)
我們上云的好處不再贅述,在《芯片上“云”的動(dòng)力》一篇已經(jīng)做了重點(diǎn)介紹??墒俏覀円部吹綗o(wú)論在戰(zhàn)略還是應(yīng)用部署,比起國(guó)外芯片行業(yè),國(guó)內(nèi)企業(yè)還是有諸多顧慮上云,其中之一就說(shuō)安全方面的擔(dān)憂。
筆者在本文細(xì)數(shù)了上云的主要安全挑戰(zhàn),闡述了云服務(wù)商應(yīng)對(duì)這些挑戰(zhàn)的方案,這些挑戰(zhàn)使云平臺(tái)在安全方面做得更詳盡和專(zhuān)業(yè),甚至“如云隨行”、彈性等安全優(yōu)勢(shì)更優(yōu)于線下的環(huán)境安全。
我們可以看到,通過(guò)對(duì)安全知識(shí)的充分了解,理解責(zé)任共擔(dān)模型,制定詳細(xì)規(guī)劃后,當(dāng)我們?cè)賮?lái)問(wèn)“云是安全的嗎?云可以做到安全嗎?”我們可以信心滿滿地回答:“是”!