云计算安全到底是什么？

当前位置：首页 > 网络安全 > 正文

作者：s0nnet 发布：2018-09-23 16:24 分类：网络安全围观：7,475 次抢沙发

本文系笔者的老板云舒在公司内部的一次关于《云计算平台安全科普》的技术分享。结合笔者自己对云计算网络安全的的理解以及查阅相关资料的补充，现简单概括并梳理成文。限于云安全范围较广，本文仅讨论云平台底层技术的网络安全问题。更多其他方面的可以继续关注笔者的后期文章。

一、两种最基本的云计算

1. 弹性计算(XEN、KVM、VMware) ：一台变多台

优点：得到灵活性，提高资源使用效率；

不足：运维和安全变得复杂；

2. 并行计算(Hadoop、Storm)：多台变一台

优点：得到更强的计算能力；

不足：系统逻辑更复杂，编程接口有学习门口

Note：弹性计算咋们普通开发者都有接触，阿里云、腾讯云的ECS服务器就属于这类产品。而并行计算目前主要使用的是GPU计算，当然目前各大云厂商也提供了各种并行计算的服务，可以小到按函数服务收费。

二、弹性计算的特点

（1）灵活

业务规模可以随时自动化收缩（API可以操作一切配置）

VM可实时迁移，用户可自定义跨区域网络结构（大二层网络）

（2）共享

VM共享硬件资源

用户共享网络资源

Note：广义上讲，云计算分为三大块：云计算，云存储，云网络。云端计算，主要体现在它的并行化和可弹性伸缩；云存储目前发展的技术也比较成熟，如Google的GFS，Hadoop的HDFS等，面向用户端的产品也比较多，如百度云等；云网络，主要讲的是在当今虚拟化（XEN、KVM、VMware）环境下的网络架构，当然如今流行的docker、k8s的容器云的网络理论上也属于云网络的范畴。

三、云计算安全相比传统安全的特点

（1）多租户

云为更多的个人或者组织服务，多租户的方式，对云的安全提出了新的挑战；

（2）数据在云端

云用户的数据以前存放在本地，现在放到云端，如何保证用户的数据安全，也有了新的挑战；

（3）虚拟化层的安全

云基于虚拟化技术，虚拟化层的漏洞，会严重影响云的安全，比如之前暴露的虚拟机逃逸，虚拟机内存泄漏等安全漏洞。

（4）云环境变化频率高

云的特点就是弹性灵活，云的规模，用户数，网络，都在不断变化，即使用户自己的应用，也在不断的变化，对安全方面提出了新的挑战。

（5）云在法律和合规性方面，面临挑战

比如数据不能在境外存放，甚至像金融行业，有明确的要求，数据必须存放在本地。

Note：整体来说，云的安全有利也有弊。如今大多数的网站已经在云上了，对于一个发现的安全问题，通过云WAF很容易在短时间内控制漏洞问题产生的危害（如今的脚本小子几乎无法造成很大威胁）。但是另一方面，对于未知的安全漏洞，威胁也是巨大的，一个未知的安全漏洞或许在逃过云防火墙后对公有云上的广大租户造成较大的损失。

四、云安全面临的挑战

（1）云厂商内部的挑战

利用镜像挂载、克隆等虚拟化技术盗取云主机内部数据；

盗取客户残留数据：被删除的卷，被删除的对象存储数据等；

盗取传输过程中的数据，尤其是未加密的传输。

（2）恶意云用户导致的问题

相互攻击；

虚拟机逃逸；

VM流量不可监控；

广播报以及其他恶意报文。

（3）应用层的安全问题

Web漏洞、Sql注入、DDos攻击，这和传统安全查不多，不过由于云规模大，造成的危害也更大；

云厂商可用性问题：数据中心停电，网络问题、数据误删等各位问题。

五、解决攻击：隔离

5.1 隔离的前提：考虑到VM会迁移，策略必须可跟随迁移

（1）三层隔离：基于iptables的分布式防火墙；分布式交换机，如OVS、vSphere DS；

（2）二层隔离：VXLAN->VPC

Note：隔离是保证云环境安全的一个业界成熟的底层技术措施。只有在保证ISO网络模型的底层是相对安全的，上层的网络才能够安全稳定的运行。

5.2 VXLAN报文结构

VXLAN的出现主要是解决VLAN数据不足的问题。因为VLAN头是12bit，也就是说，VLAN tag最多只有2^12=4096个。这根本无法满足云网络环境的需求。基于此，在VLAN包（二层网络）的里，，又封装了一层包头，形成大二层网络(即：VXLAN)。

VXLAN是一种将二层数据帧封装在UDP报文中的技术。VXLAN将原始二层帧，加上VXLAN报头，封装在UDP协议中，以此穿越三层网络。VXLAN 的报文头有24bit，所以单一VXLAN网络最多可以划分 2^24次方（1600多万个）个隔离的网络域。

5.3 VXLAN数据流

VXLAN使用VTEPs间无状态的隧道在三层网络中传递二层数据。一个以单播为例的VXLAN数据包封装与解封装路径如上图所示。Host-A与Host-B通过在VTEP-1和VTEP-2上建立的隧道，VXLAN子网10，实现相互通信。此案例假定两边的地址学习已经完成，且在两边的VTEP上存在相应的MAC-to-VTEP映射。

七、VXLAN的效果

（1）不同用户在二层隔离，安全可靠；

（2）对广播报有一定抑制效果；

（3）用户可以跨域区域定义自己的私网；

（4）基于VTEP实现service chain

八、相互攻击问题-过滤

（1）伪造报文过滤：ETH、ARP、IP

（2）限制特殊报文速率：ARP、SYN、UDP、ICMP

（3）实施点：分布式防火墙

九、流量不可监控的问题

9.1 思科方案

VN-LINK技术将虚拟化网络模拟成传统网络；

网络设备上解决问题，划分SA和NETOPS

9.2 其他方案

分布式虚拟交换机

宿主机上解决问题，SA、NETOPS不分家

9.3 VNLINK数据图

cisco VN-Link提供了实时、协调的网络和安全服务配置，以VM为中心的管理模式，使服务器管理员能快速进行网络设计、配置、VLAN创建、应用安全、监控和故障排除等工作，减少虚拟环境中的意外错误配置、网络环创建、安全漏洞和问题解决缓慢等风险。

9.4 VNLINK网络架构

Cisco Nexus 1000V交换机采用Cisco NX-OS软件，其设计旨在取代配备VMware ESX的基本交换机。 Cisco Nexus 1000V提供了一个与VMware ESX内核紧密耦合的、丰富的VM管理特性集。Cisco Nexus 1000V 适用于 1-Gbps 和 10-Gbps 架构，并且需与现有网络基础设施集成。

十、广播包抑制

（1）Response Cache

（2）Response Proxy

（3）PPS Limit

（4）实施点：分布式防火墙；VXLAN、VTEP

十一、虚拟机逃逸

（1）组团队研究，挖漏洞；

（2）跟进官方漏洞；

（3）宿主机部署HIDS

参考资料：

云计算安全有哪些可以研究的？：https://www.zhihu.com/question/28832666

VXLAN 技术解析-（1）VXLAN简述：https://blog.51cto.com/c2014/1829179

这篇博文由 s0nnet 于2018年09月23日发表在网络安全分类下，通告目前不可用，你可以至底部留下评论。
如无特别说明，计算机技术分享发表的文章均为原创，欢迎大家转载，转载请注明: 云计算安全到底是什么？ | 计算机技术分享
关键字: 云计算安全

【上一篇】深入学习Go语言标准库sync【下一篇】谈谈欺骗防御技术