软件定义边界在IaaS中的应用.pdf

1 由 SDP工 作 组 提 交软 件 定 义 边 界在 IaaS 中 的 应 用 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 2 2016云 安 全 联 盟 -版 权 所 有 保 留 所 有 权 利 。您 可 以 在 电 脑 和 手 机 等 终 端 下 载 、 存 储 、 显 示 本 报 告 ， 以 及 链 接 到 云 安 全 联 盟 官 方 网 站 上（ cloudsecurityalliance/download/international-standardization-council-policies-procedures） 查 看 并 打 印 本报 告 ， 但 必 须 遵 从 如 下 条 款 ：（ a） 本 报 告 可 单 独 用 于 个 人 、 获 取 信 息 为 目 的 ， 非 商 业 盈 利 使 用 ；（ b） 本 报 告 不 能 以 任 何 方 式 被 改 变 或 修 正 后 再 转 发 ；（ c） 本 报 告 不 允 许 在 未 被 授 权 情 况 下 大 量 分 发 或 转 发 ； （ d） 商 标 、 著 作 权 或 者 其 他 条 款 不 得 删 除 。 根 据 美 国 版 权 法 合 理 使 用 条 款 ， 您 可 引 用 所 允 许 的 部 分 报 告 内 容 ， 但 必 须 将 引 用部 分 注 明 来 源 于 国 际 标 准 化 理 事 会 政 策 与 程 序 。 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 3 致 谢 在 此 ， 我 们 由 衷 地 感 谢 所 有 为 软 件 定 义 边 界 在 IaaS 中 的 应 用 提 供 意 见 和 反 馈 的 个 人 ， 您 的贡 献 对 这 份 报 告 带 来 了 更 多 的 价 值 和 意 义 。谢 谢 您 们 ！主 要 作 者 :Jason Garbis Puneet ThapliyalSDP 联 合 主 席 :Bob Flores Junaid Islam编 辑 : John Yeoh共 同 审 稿 人 ：Brent BilgerVince CampitelliMatthew CarterAradhna ChetalGerald GreerKevin FletcherJeff HuegelScott KennedyJuanita KoilpillaiDan LoganNya Murray Elamurian RVijay RangayyanJohn ReelReza RezaColin RobbinsPuneet ThapliyalYoshio TurnerFlavio VillanustreManish YadavErkki Yli-JuutiXing Zhang设 计 者 :Stephen Lumpe (封 面 设 计 者 ) Kendall Scoboria SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 4 中 文 版 翻 译 说 明 ：由 中 国 云 安 全 联 盟 (C-CSA)秘 书 处 组 织 翻 译 软 件 定 义 边 界 在 IaaS 中 的 应 用 （ SoftwareDefined Perimeter for Infrastructure as a Service） ， 中 国 云 安 全 联 盟 专 家 委 员 会 专 家 翻 译 并审 校 。翻 译 审 校 工 作 专 家 ： （ 按 字 母 顺 序 排 列 ）组 长 ： 陈 本 峰组 员 ： 于 新 宇 、 马 韶 华 、 姚 凯 、 沈 传 宝 、 方 伟 、 莫 展 鹏C-CSA工 作 人 员 ：朱 晓 璐 （ C-CSA 研 究 助 理 ） SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 5 目 录致 谢 .3序 言 .7目 标 .8方 法 和 范 围 .9执 行 摘 要 .10软 件 定 义 边 界 和 云 安 全 联 盟 提 出 的 十 二 大 安 全 威 胁 .11IaaS安 全 概 述 .13技 术 原 理 .14IaaS参 考 架 构 .14为 什 么 IaaS 安 全 性 不 同 ？ .15位 置 是 另 外 一 个 属 性 .15唯 一 不 变 的 是 变 化 .15 IP 地 址 难 题 .15安 全 要 求 和 传 统 安 全 工 具 .16跳 板 机 ： 三 思 而 后 行 .19为 什 么 是 SDP而 不 是 VPN.20虚 拟 桌 面 基 础 设 施 （ VDI） .21SDP怎 么 解 决 这 个 问 题 ？ .21什 么 是 软 件 定 义 边 界 （ SDP） ？ .22基 于 用 户 而 不 仅 仅 是 IP地 址 的 策 略 .23SDP的 优 势 .23运 维 效 率 .23简 化 的 合 规 性 工 作 .23降 低 成 本 .23SDP作 为 变 革 的 催 化 剂 .24SDP、 身 份 及 访 问 管 理 .24 IaaS使 用 场 景 .26用 例 ： 开 发 人 员 安 全 访 问 IaaS环 境 .26不 使 用 SDP的 访 问 .26使 用 SDP的 访 问 .27总 结 .29用 例 ： 保 障 业 务 人 员 访 问 内 部 企 业 应 用 系 统 的 安 全 .30不 使 用 SDP的 访 问 .30使 用 SDP的 访 问 .31总 结 .36使 用 场 景 ： 安 全 的 管 理 面 向 公 众 的 服 务 .36使 用 场 景 ： 当 新 服 务 实 例 创 建 时 更 新 用 户 访 问 权 限 .38使 用 SDP接 入 .39总 结 .41使 用 场 景 ： 对 于 服 务 提 供 商 的 硬 件 管 理 平 台 访 问 .42 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 6 总 结 ： .4 5使 用 场 景 ： 通 过 多 企 业 账 号 控 制 访 问 .4 5总 结 ： .4 5增 强 SDP 规 范 的 建 议 . 4 6混 合 云 以 及 多 云 的 环 境 . 4 7替 代 计 算 模 型 和 SDP. 4 8容 器 和 SDP. 4 9结 论 与 下 一 步 计 划 . 5 0 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 7 随 着 数 字 化 及 云 服 务 的 普 及 ， 企 业 对 网 络 安 全 产 品 及 解 决 方 案 的 需 求 与 日 俱 增 。 软 件 定 义 边 界（ Software Defined Perimeter， SDP） 作 为 新 一 代 网 络 安 全 解 决 理 念 ， 最 早 由 云 安 全 联 盟 （ CSA）于 2013年 提 出 ， 其 整 个 中 心 思 想 是 通 过 软 件 的 方 式 ， 在 移 动 +云 时 代 ， 构 建 起 一 个 虚 拟 的 企 业 边 界 ，利 用 基 于 身 份 的 访 问 控 制 ， 来 应 对 边 界 模 糊 化 带 来 的 控 制 粒 度 粗 、 有 效 性 差 问 题 ， 以 此 达 到 保 护 企业 数 据 安 全 的 目 的 。2017 年 2 月 ， CSA 正 式 发 布 Software Defined Perimeter for Infrastructure as aService 白 皮 书 。 该 白 皮 书 全 面 介 绍 了 当 前 IaaS 面 临 的 安 全 挑 战 ， 为 什 么 SDP 可 以 改 变 IaaS 安全 现 状 ， 以 及 SDP 在 IaaS 中 的 应 用 场 景 ， 从 而 为 企 业 了 解 云 安 全 问 题 及 如 何 解 决 问 题 提 供 了 有 价值 的 参 考 。 中 国 云 安 全 与 新 兴 技 术 安 全 创 新 联 盟 （ 简 称 ： 中 国 云 安 全 联 盟 ） 特 组 织 业 界 专 家 将 该 白皮 书 翻 译 为 中 文 版 本 ， 相 信 一 定 会 有 助 于 更 多 的 中 国 企 业 和 IaaS公 司 从 中 获 益 。中 国 云 安 全 联 盟 和 云 安 全 联 盟 大 中 华 区 非 常 感 谢 翻 译 和 支 持 工 作 者 们 和 中 国 云 安 全 联 盟 专 家 委 员 会 专 家 们 的 无 私 贡 献 。 中 国 云 安 全 与 新 兴 技 术 安 全 创 新 联 盟 常 务 副 理 事 长CSA 云 安 全 联 盟 大 中 华 区 主 席李 雨 航 Yale Li 序 言 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 8 软 件 定 义 边 界 （ SDP） 的 应 用 正 在 迅 速 普 及 ， 1其 有 效 性 在 许 多 企 业 和 案例 中 得 到 了 广 泛 的 验 证 。 如 今 ， 随 着 越 来 越 多 的 企 业 战 略 性 地 拥 抱 云 计 算IaaS 平 台 ， 并 且 迫 切 需 要 云 上 资 源 的 安 全 访 问 。 我 们 相 信 ， 致 力 于 保 护 云 上资 源 的 安 全 架 构 SDP 的 时 机 已 经 到 来 。本 报 告 旨 在 探 索 和 解 释 软 件 定 义 边 界 （ SDP） 部 署 于 IaaS 时 ， 对 提 高 安 全 性 、 合 规 性 和 运 维效 率 的 相 关 优 势 。 通 过 本 报 告 ， 读 者 能 够 清 楚 认 识 到 企 业 IaaS 所 面 临 的 安 全 挑 战 （ 基 于 共 享 责任 模 型 ） ， 原 有 的 IaaS 访 问 控 制 与 传 统 网 络 安 全 工 具 结 合 产 生 的 安 全 问 题 ， 以 及 软 件 定 义 边 界在 各 种 场 景 中 的 解 决 之 道 。 1 Gartner 预 测 ， 到 2017 年 底 ， 使 用 SDP 来 保 护 网 络 服 务 的 企 业 将 从 1%增 加 到 10%， 而 2021, 60%的 企 业 将 用 SDP 解 决 方 案 取 代 VPN。 （ Gartner， 迎 接 新 时 代 ： 隔 离 互 联 网 污 染 环 境 与 你 的 网 络 服 务 ， 发 布 于 2016 年 9 月 30 日 。 ） 市 场 和 市 场 预 测 未 来 5 年 的 年 复 合 增 长 率 为 34%（ ） 。 其 他 分 析 师 如 ESG 也 预 测 增 长 ： 目 标 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 9 本 报 告 内 容 主 要 是 基 于 公 有 云 的 IaaS 产 品 ， 例 如 Amazon Web Services、 MicrosoftAzure、 Google Compute Engine 和 Rackspace Public Cloud。 其 相 关 用 例 和 方 法 同 样 适 用 于 私有 化 部 署 的 IaaS， 如 基 于 VMware或 OpenStack的 私 有 云 。 不 管 是 按 照 SDP规 范 实 现 商 业 化 的 厂 商 ， 还 是 没 有 严 格 按 照 V1标 准 进 行 产 品 开 发 的 厂 商 ，在 构 建 产 品 的 过 程 中 ， 都 有 各 自 不 同 的 架 构 、 方 法 和 能 力 。 在 本 报 告 中 ， 我 们 对 产 商 保 持 中 立 ，并 且 避 免 头 轮 产 商 相 关 的 能 力 。 如 果 有 因 为 产 商 能 力 产 生 的 差 异 化 案 例 ， 我 们 会 使 用 “ 也 许 、 典型 的 、 通 常 ” 等 词 汇 来 解 释 这 些 差 异 ， 以 不 牺 牲 报 告 的 可 读 性 。 由 于 大 多 数 公 有 云 IaaS 提 供 商 目 前 只 支 持 IPv4， 因 此 我 们 所 讨 论 的 内 容 在 一 定 程 度 上 有所 束 缚 。 不 过 ， 随 着 IPv6 的 应 用 在 未 来 普 及 ， 在 下 一 版 本 的 报 告 中 ， 我 们 将 进 一 步 完 善 相 关 内容 。 与 核 心 SDP 规 范 相 一 致 ， 我 们 专 注 用 户 到 服 务 （ user-to-service） 的 访 问 控 制 （ 南 北 方向 ） 。 服 务 器 到 服 务 器 Server-to-Server（ 也 称 为 东 西 方 向 ） 通 信 不 在 本 报 告 的 范 围 之 内 （ 为 响应 市 场 发 展 趋 势 ， 在 核 心 SDP 规 范 和 本 报 告 的 未 来 修 订 中 ， 我 们 将 会 解 决 这 一 问 题 2） 。 服 务 器到 服 务 器 是 核 心 规 范 V1 中 所 提 到 的 一 个 支 持 模 型 ， 但 目 前 ， 该 模 型 还 未 像 用 户 到 服 务 模 型 那 样被 高 度 采 用 。 高 可 用 性 和 负 载 均 衡 不 在 本 报 告 讨 论 范 围 之 内 。 SDP 策 略 模 型 不 在 本 报 告 讨 论 范 围 之 内 。 报 告 中 讨 论 的 SDP 用 例 和 方 法 也 可 以 适 用 于 平 台即 服 务 的 系 统 PaaS， 这 取 决 于 它 们 如 何 支 持 和 管 理 网 络 访 问 控 制 3。在 撰 写 这 份 文 件 时 ， 我 们 努 力 做 到 内 容 聚 焦 。 我 们 考 虑 了 很 多 值 得 探 讨 的 话 题 ， 但 这 些 话 题要 么 更 适 合 包 含 在 整 个 V2规 范 中 ， 要 么 我 们 认 为 与 本 报 告 无 关 。 请 参 阅 “ 增 强 SDP规 范 的 建 议 ”部 分 ， 这 些 建 议 提 及 到 V2规 范 的 相 关 重 点 ， 比 IaaS有 更 广 泛 的 适 用 性 ， 其 非 常 重 要 。虽 然 我 们 避 开 了 这 些 话 题 ， 但 该 报 告 的 内 容 仍 超 过 了 目 标 页 数 ， 不 过 我 们 相 信 ， 在 平 衡 内 容长 度 和 范 围 方 面 我 们 做 出 了 正 确 的 选 择 。 该 报 告 也 将 为 我 们 下 一 次 内 容 的 修 订 提 供 了 良 好 的 基 础 。 2 注 意 ， 在 IaaS 环 境 中 ， 实 际 上 ， 在 某 些 情 况 下 ， 与 内 网 环 境 相 比 ， IAAS 网 络 安 全 组 更 容 易 控 制 东 西 方 向 流 量 ， 因 为 IAAS 网 络 安 全 组 默 认 地 拒 绝 跨 服务 器 流 量 ， 这 必 须 明 确 启 用 。3 例 如 ， 如 果 PAAS 系 统 支 持 源 IP 地 址 限 制 ， 则 它 可 以 被 配 置 为 只 接 受 来 自 SDP 网 关 的 访 问 ， 这 样 可 以 让 SDP 策 略 来 控 制 用 户 访 问 。 方 法 和 范 围 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 1 0 如 今 ， IT和 安 全 管 理 者 已 深 刻 认 识 到 ， 企 业 和 云 提 供 商 有 共 同 的 责 任共 同 面 对 IaaS安 全 挑 战 。 IaaS与 传 统 的 内 网 相 比 ， 有 着 不 同 的 （ 并 且 在 某些 方 面 更 具 挑 战 ） 用 户 访 问 需 求 和 安 全 需 求 ， 然 而 ， 这 些 需 求 并 不 能 完 全由 传 统 安 全 工 具 或 者 IaaS供 应 商 提 供 的 安 全 架 构 来 满 足 。例 如 ， 企 业 往 往 需 要 对 用 户 访 问 网 络 资 源 进 行 一 定 程 度 的 限 制 ， 但 传 统 的 网 络 访 问 控 制（ NAC） 和 虚 拟 局 域 网 （ VLAN） 解 决 方 案 在 IaaS 环 境 中 并 不 适 用 ， 因 为 它 是 多 租 户 、 虚 拟 化 的 网络 基 础 设 施 。 另 一 个 例 子 ： 在 IaaS 环 境 中 ， 所 有 用 户 都 需 要 对 云 资 源 进 行 “ 远 程 访 问 ” ， 最 成熟 的 手 段 无 它 ， 只 有 VPN。 但 是 ， 随 着 当 今 移 动 办 公 、 跨 公 司 协 作 或 动 态 云 环 境 等 场 景 广 泛 存 在企 业 当 中 ， VPN 通 过 管 理 IP 地 址 和 端 口 的 访 问 控 制 并 不 适 用 。 企 业 越 来 越 需 要 以 用 户 为 中 心 建 立安 全 和 访 问 模 型 。 使 用 软 件 定 义 边 界 （ SDP） 架 构 ， 企 业 用 户 可 以 安 全 地 访 问 他 们 的 IaaS 资 源 ， 且 不 妨 碍 业 务用 户 或 IT生 产 力 。 事 实 上 ， 当 正 确 部 署 时 ， SDP 可 以 成 为 改 变 网 络 安 全 在 整 个 企 业 中 实 践 的 催 化剂 无 论 是 在 内 网 还 是 公 有 云 的 环 境 。 有 了 SDP， 企 业 可 以 有 一 个 集 中 管 控 并 且 策 略 驱 动 的 网络 安 全 平 台 ， 覆 盖 他 们 的 整 个 基 础 设 施 （ 无 论 是 在 内 网 还 是 公 有 云 环 境 ） 和 他 们 的 整 个 用 户 群 体 ，这 是 一 个 引 人 注 目 的 愿 景 。 事 实 上 ， SDP 也 正 在 实 现 这 一 愿 景 。 目 前 ， 世 界 各 地 的 许 多 企 业 组 织都 在 使 用 SDP 来 增 强 他 们 的 网 络 安 全 ， 减 少 网 络 攻 击 面 ， 增 加 业 务 和 IT 人 员 的 生 产 力 ， 并 减 少他 们 的 合 规 负 担 同 时 节 省 资 金 。 本 研 究 的 重 点 是 如 何 将 SDP部 署 于 （ IaaS） 基 础 设 施 的 环 境 中 ， 重 点 为 以 下 用 例 ： 开 发 人 员 安 全 访 问 IaaS环 境 业 务 用 户 安 全 访 问 内 部 公 司 应 用 服 务 管 理 员 安 全 访 问 公 共 对 外 服 务 在 创 建 新 服 务 器 实 例 时 更 新 用 户 的 访 问 权 限 服 务 提 供 商 的 硬 件 管 理 后 台 访 问 多 企 业 帐 户 访 问 控 制此 外 ， 本 研 究 报 告 还 解 释 了 为 什 么 传 统 的 网 络 安 全 方 法 不 适 用 于 IaaS 环 境 ， 以 及 SDP 部 署在 混 合 环 境 中 的 价 值 。 执 行 摘 要 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 1 1 云 安 全 联 盟 公 布 了 一 个 值 得 关 注 的 网 络 安 全 威 胁 的 报 告 ， 以 此 帮 助 企 业 对 云 计 算 的 采 用 做 出明 智 的 风 险 管 理 决 策 。 该 报 告 反 映 了 安 全 专 家 在 CSA 社 区 中 就 最 重 要 的 云 上 的 安 全 问 题 所 达 成 的一 致 意 见 ： SDP 可 有 效 减 少 受 攻 击 面 ， 缓 解 或 者 彻 底 消 除 安 全 报 告 中 提 到 的 威 胁 、 风 险 和 漏 洞 ，从 而 帮 助 企 业 能 够 集 中 资 源 于 其 他 领 域 。下 表 列 出 了 十 二 大 威 胁 （ 十 二 大 网 络 安 全 威 胁 ） ， 并 分 析 SDP对 于 解 决 这 些 威 胁 的 作 用 ：安 全 威 胁 SDP作 用 1 数 据 泄 露 SDP通 过 添 加 预 验 证 和 预 授 权 层 来 减 少 公 开 暴 露 的 主 机 的 攻 击 面 ， 实 现服 务 器 和 网 络 的 安 全 性 的 “ 最 小 访 问 权 限 ” 模 型 ， 从 而 有 助 于 减 少 数 据泄 露 的 许 多 攻 击 方 式 。剩 余 风 险 ： 数 据 泄 露 的 几 个 其 他 攻 击 方 式 不 适 用 于 SDP， 包 括 钓 鱼 、 错误 配 置 和 终 端 保 护 。 授 权 用 户 对 授 权 资 源 的 恶 意 访 问 将 不 会 被 SDP直 接阻 止 。2 弱 身 份 、 密 码 与 访问 管 理 过 去 ， 企 业 VPN访 问 密 码 被 盗 往 往 导 致 企 业 数 据 丢 失 。 这 是 因 为 VPN通 常允 许 用 户 对 整 个 网 络 进 行 广 泛 的 访 问 ， 从 而 成 为 弱 身 份 、 密 码 与 访 问 管理 中 的 薄 弱 环 节 。相 比 之 下 ， SDP不 允 许 广 泛 的 网 络 访 问 ， 并 限 制 对 这 些 主 机 的 访 问 权限 。 这 使 得 安 全 体 系 结 构 对 弱 身 份 、 证 书 和 访 问 管 理 有 更 大 的 弹 性 。SDP还 可 以 在 用 户 访 问 资 源 之 前 执 行 强 认 证 。剩 余 风 险 ： 企 业 必 须 有 一 个 积 极 的 参 与 者 来 调 整 IAM流 程 ， 并 确 保 访 问策 略 被 正 确 定 义 。 过 于 宽 泛 的 准 入 政 策 会 给 企 业 带 来 风 险 。 3 不 安 全 的 界 面 和API 保 护 用 户 界 面 不 被 未 授 权 用 户 访 问 是 SDP的 核 心 能 力 。 使 用 SDP， 未 经 授权 的 用 户 （ 即 攻 击 者 ） 无 法 访 问 UI， 因 此 无 法 利 用 任 何 漏 洞 。SDP还 可 以 通 过 在 用 户 设 备 上 运 行 的 进 程 来 保 护 API。 目 前 SDP部 署 的 主要 焦 点 一 直 是 保 护 用 户 对 服 务 器 的 访 问 。服 务 器 到 服 务 器 的 访 问 至 今 还 不 是 SDP的 一 个 重 点 ， 但 是 我 们 希 望 这 将在 不 久 的 将 来 被 包 含 在 SDP范 围 内 。剩 余 风 险 ： 服 务 器 到 服 务 器 API调 用 在 这 个 时 候 不 是 SDP的 常 见 用 例 ， 因此 这 种 API服 务 可 能 不 会 受 到 SDP系 统 的 保 护 。4 系 统 和 应 用 程 序 漏洞 SDP显 著 减 少 攻 击 面 ， 通 过 将 系 统 和 应 用 程 序 的 漏 洞 隐 藏 起 来 ， 对 于 未授 权 用 户 不 可 见 。剩 余 风 险 ： 授 权 用 户 可 以 访 问 授 权 的 资 源 ， 存 在 潜 在 的 攻 击 可 能 性 。 其它 安 全 系 统 如 SIEM或 IDS必 须 用 来 监 控 访 问 和 网 络 活 动 （ 见 下 文 的 内 部恶 意 人 员 威 胁 ） 。 软 件 定 义 边 界 和 云 安 全 联 盟 提 出 的 十 二 大 安 全 威 胁 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 1 24抗 DDoS SDP工 作 组 对 这 个 问 题 提 供 了 一 些 有 趣 的 研 究 ， 一 些 正 在 进 展 中 的 的 性 能 指 标 来 对 比 传 统 TCP连 接 和 SPA对 服 务 器 的 负 载 的 影 响 。 值 得注 意 的 是 ， 基 于 UDP的 SPA甚 至 比 基 于 TCP的 SPA更 有 弹 性 ， 因 为 它 消 耗 更 少 的 服 务 器 资 源 ， 并 能 更 好 地 抵 御 无 效 的 数 据 包 流 量 攻 击 。 5 账 号 劫 持 基 于 会 话 cookie的 帐 户 劫 持 被 SDP完 全 消 除 。 如 果 没 有 预 先 认 证 和 预 先授 权 ， 并 且 携 带 适 当 的 SPA数 据 包 ， 应 用 服 务 器 会 默 认 拒 绝 来 自 恶 意 终端 的 网 络 连 接 请 求 。 因 此 ， 即 使 网 络 请 求 中 携 带 被 劫 持 的 会 话 cookie，也 不 会 被 SDP网 关 准 入 。剩 余 风 险 ： 钓 鱼 或 密 码 窃 取 仍 然 是 一 个 风 险 ， 但 SDP可 以 通 过 执 行 强 身份 验 证 来 降 低 这 种 风 险 ， 并 有 基 于 诸 如 地 理 定 位 等 属 性 来 控 制 访 问 的 策略 。6 内 部 恶 意 人 员 威 胁 SDP将 限 制 内 部 人 员 造 成 安 全 威 胁 的 能 力 。 适 当 配 置 的 SDP系 统 将 具 有 限制 用 户 仅 能 访 问 执 行 业 务 功 能 所 需 的 资 源 ， 而 所 有 其 他 资 源 都 将 被 隐藏 。剩 余 风 险 ： SDP不 阻 止 授 权 用 户 对 授 权 资 源 的 恶 意 访 问 。7 高 级 持 续 威 胁 攻 击（ APTs） APTS本 质 上 是 复 杂 的 、 多 方 面 的 ， 不 会 被 任 何 单 一 的 安 全 防 御 所 阻 止 。SDP通 过 限 制 受 感 染 终 端 寻 找 网 络 目 标 的 能 力 ， 并 且 在 整 个 企 业 中 实 施多 因 子 认 证 ， 有 效 减 少 攻 击 面 ， 从 而 降 低 APT的 存 在 可 能 性 和 传 播 。剩 余 风 险 ： 预 防 和 检 测 APTS需 要 多 个 安 全 系 统 和 过 程 结 合 起 来 进 行 深 入 的 防 御 。8 数 据 丢 失 SDP通 过 执 行 最 小 权 限 原 则 ， 并 将 网 络 资 源 对 未 授 权 用 户 隐 藏 起 来 ， 来减 少 数 据 丢 失 的 可 能 性 。 SDP还 可 以 通 过 适 当 的 DLP解 决 方 案 来 增 强 。剩 余 风 险 ： SDP不 阻 止 授 权 用 户 对 授 权 资 源 的 恶 意 访 问 。9 尽 职 调 查 不 足 SDP不 适 用 这 种 情 况10 滥 用 和 非 法 使 用 云服 务 SDP并 不 直 接 适 用 ， 但 SDP供 应 商 的 产 品 可 能 有 能 力 检 测 和 了 解 云 服 务 使用 状 况 。11 DDoS攻 击 SDP架 构 中 的 单 包 授 权 （ SPA） 技 术 使 得 SDP控 制 器 和 网 关 对 阻 止 DDoS攻击 更 有 弹 性 。 SPA与 典 型 的 TCP握 手 连 接 相 比 可 花 费 更 少 的 资 源 ， 使 服 务器 能 够 大 规 模 处 理 、 丢 弃 恶 意 的 网 络 请 求 数 据 包 。 与 TCP相 比 ， 基 于 UDP的 SPA进 一 步 提 高 了 服 务 器 的 可 用 性 。 剩 余 风 险 ： 虽 然 SPA显 著 降 低 了 由 无 效 SPA包 所 施 加 的 计 算 负 担 ， 但 它 仍然 是 非 零 的 ， 因 此 面 向 公 众 的 SDP系 统 仍 然 可 能 受 到 大 规 模 DDoS攻 击 的影 响 。12 共 享 技 术 问 题 SDP可 以 由 云 服 务 提 供 商 使 用 ， 以 确 保 管 理 员 对 硬 件 和 虚 拟 化 基 础 设 施的 访 问 管 理 。 有 关 服 务 提 供 商 的 硬 件 管 理 控 制 面 板 访 问 ， 请 参 阅 下 面 的讨 论 用 例 。剩 余 风 险 ： 云 服 务 提 供 商 除 了 SDP之 外 ， 还 必 须 使 用 各 种 安 全 系 统 和 流程 。 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 1 3 IaaS 安 全 概 述业 界 对 云 上 运 行 的 应 用 程 序 的 安 全 性 往 往 存 在 诸 多 误 解 。 众 所 周 知 ， 如 果 部 署 恰 当 ， 基 于云 的 应 用 程 序 比 起 内 部 部 署 更 安 全 。 但 是 ， 云 环 境 遵 循 的 是 与 传 统 内 部 部 署 不 一 样 的 安 全 模 型 ，而 这 些 不 同 可 能 无 意 间 导 致 安 全 降 低 。 因 此 ， 5向 云 端 迁 移 工 作 业 务 系 统 不 会 自 动 让 工 作 更 安 全 ，无 论 厂 商 还 是 企 业 都 需 要 谨 慎 考 量 并 采 取 行 动 。IaaS 供 应 商 通 常 会 创 建 和 推 动 “ 责 任 共 享 模 型 ” ， 这 个 模 型 定 义 了 IaaS 供 应 商 负 责 云 的安 全 ， 而 客 户 （ 企 业 ） 负 责 自 己 在 云 中 的 安 全 。 下 图 是 融 合 了 几 个 领 先 IaaS 供 应 商 6的 理 念 而创 建 的 责 任 共 享 模 型 。 许 多 企 业 正 在 尝 试 拥 抱 云 安 全 责 任 共 享 概 念 ， 尤 其 是 IaaS提 供 商 的 工 具 集 由 自 己 创 建 时 更 是如 此 。 这 些 工 具 倾 向 基 于 静 态 IP 地 址 而 不 是 基 于 用 户 （ 或 身 份 ） ， 客 户 不 能 通 过 这 种 方 法 行 之有 效 地 管 理 基 于 用 户 的 云 资 源 的 访 问 。 因 此 ， 客 户 公 司 依 赖 应 用 级 的 身 份 验 证 来 保 护 对 这 些 资 源的 访 问 ， 致 使 内 网 里 任 何 人 都 可 对 整 个 云 网 络 进 行 访 问 。从 安 全 角 度 来 看 这 自 然 存 在 相 应 风 险 基 于 网 络 级 的 资 源 访 问 有 太 多 可 以 被 未 经 身 份 验 证的 攻 击 者 利 用 的 弱 点 。 同 时 还 有 一 个 合 规 问 题 企 业 经 常 要 在 敏 感 和 受 控 环 境 中 报 告 “ 谁 访 问了 什 么 ” 。如 上 图 所 示 ， SDP 架 构 在 与 IaaS 供 应 商 的 责 任 共 享 模 型 中 有 重 要 作 用 。 通 过 SDP， 云 客 户可 以 在 他 们 自 身 的 安 全 共 享 控 制 部 分 采 用 更 有 效 的 方 式 5 例 如 ， 2017年 1月 在 不 安 全 的 、 公 开 的 NoSQL 数 据 库 上 进 行 的 ransom攻 击 是 一 个 很 好 的 例 子 ， 这 些 数 据 库 大 多 运 行 在 IaaS环 境 中6 特 别 是 这 些 来 自 于 AWS模 型 Mircosoft Azure模 型 SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 1 4 技 术 原 理IaaS参 考 架 构本 文 读 者 对 IaaS的 组 件 和 架 构 很 熟 悉 , 不 需 在 此 介 绍 。 下 图 是 一 个 对 公 有 云 和 私 有 云 部 署都 适 用 的 IaaS环 境 的 简 化 架 构 。 该 图 显 示 了 一 个 包 含 两 组 IaaS 资 源 (虚 拟 机 )， 分 成 两 个 私 有 云 网 络 的 IaaS 云 环 境 。 这些 私 有 云 网 络 可 以 对 应 不 同 的 帐 户 , 或 云 环 境 中 不 同 的 私 有 区 域 (如 AWS 虚 拟 私 有 云 )。 从 网络 访 问 的 角 度 来 看 ,这 些 私 有 云 网 络 受 到 云 防 火 墙 的 保 护 , 防 火 墙 在 逻 辑 上 控 制 这 些 网 络 的 访问 进 出 。 对 进 入 这 些 私 有 云 网 络 (间 )的 访 问 控 制 很 快 就 会 变 得 复 杂 ,不 同 的 云 提 供 者 有 不 同 的工 具 集 。 本 文 中 , 我 们 有 意 省 略 路 由 表 、 网 关 或 NACLs 等 构 件 的 复 杂 性 , 以 便 我 们 能 够 集 中精 力 于 管 理 用 户 访 问 IaaS 资 源 所 面 临 的 挑 战 。这 个 简 单 的 模 型 不 管 供 应 商 是 谁 ， 我 们 都 可 以 持 续 地 谈 论 云 安 全 性 和 网 络 。 具 体 地 说 , 我们 将 在 本 研 究 中 使 用 以 下 术 语 :术 语 描 述 示 例 云 防 火 墙 控 制 云 环 境 的 网 络 流 量 进 出 的 安 全 构 件 。通 过 将 服 务 器 实 例 分 配 给 云 防 火 墙 组 来 进行 管 理 。 AWS: Security GroupAzure: Network SecurityGroup私 有 云 网 络 云 环 境 中 由 单 个 帐 户 控 制 的 独 立 网 络 区域 。 可 能 包 括 多 个 子 网 , 并 且 可 以 由 一 个企 业 中 的 许 多 人 访 问 。 AWS: Virtual Private CloudAzure: Virtual NetworkIaaS 系 统 支 持 为 服 务 器 实 例 指 派 name- AWS Tags SDP 工 作 组 | 软 件 定 义 边 界 在 IaaS 中 的 应 用2 0 1 7 云 安 全 联 盟 版 权 所 有 1 5 标 签 value键 值 对 。 这 些 标 签 在 IaaS 系 统 中没 有 语 义 含 义 , 但 可 以 作 为 一 个 SDP 系统 进 行 访 问 策 略 决 策 的 基 础 ， 非 常 有 用 。 Azure Tags直 接 连 接 IaaS供 应 商 与 电 信 运 营 商 合 作 , 提 供 从 企业 内 部 网 络 到 IaaS 环 境 的 专 用 网 络 连 接(通 常 使 用 MPLS)。 具 有 可 靠 和 专 用 带 宽的 优 点 , 通 常 可 以 将 其 细 分 为 多 个 虚 拟 网络 。 AWS Direct ConnectAzure Express Route为 什 么 IaaS的 安 全 性 更 复 杂 ？IaaS的 网 络 访 问 存 在 一 个 重 大 的 安 全 挑 战 。 作 为 云 安 全 责 任 共 享 模 型 的 一 部 分 , 网 络 安 全 直接 依 赖 于 企 业 。 将 私 有 云 资 源 公 开 到 公 共 互 联 网 通 常 不 是 一 个 可 接 受 的 选 项 仅 依 赖 于 身 份 验 证 来 保 护 ， 显 然 不 符 合 安 全 和 合 规 要 求 。 因 此 , 企 业 需 要 在 网 络 层 弥 补 这 一 差 距 。由 于 如 下 几 个 原 因 ， 这 是 一 个 典 型 的 复 杂 的 安 全 挑 战 。位 置 只 是 一 个 普 通 的 属 性 而 已不 同 的