傳統的信息安全時代,信息安全和信息應用相對獨立發展,很少有交集,信息安全分散割據化,應用封閉化,硬件盒子化。信息安全主要採用隔離威脅的防禦手段,採用保證物理安全的物理隔離,保障連接安全的內外網安全隔離,保障數據傳輸安全的加密隔離。產生了一大批信息安全隔離硬件,如各種類型的防火牆(FireWall)和應用防火牆(WAF),入侵檢測系統/入侵防禦系統(IDS/IPS)、統一威脅(UTM)、SSL網關、加密機等。隨著雲計算的發展,傳統的隔離威脅的防禦理念已經不能滿足信息安全發展了,雲防禦是大勢所趨。雲防禦包括縱深防禦、軟件定義安全、設備虛擬化。
1.縱深防禦
縱深防禦(Defense in Depth),可以簡稱DID。公有云是以多租戶共享的典型場景,在防禦中,可信邊界被徹底打破,威脅不僅可以從邊界外侵入,也可能會從相鄰的租戶侵入,無論採用什麼樣的單點防禦技術,都有可能發生意外情況。比如在典型開源IaaS平臺OpenStack 的G版本應用場景中,很多租戶通過虛擬機監視器共享相同的物理操作系統的資源時,網絡隔離是在一張共享的二層網絡上實現的,攻擊者通常通過Oday漏洞實現虛擬逃逸到宿主機,讀取宿主機上的所有虛擬機內存,並控制所有虛擬機。同時,節點間通訊API都默認可信的,攻擊者通過宿主機與集群消息隊列交互,並控制集群消息隊列,整個OpenStack集群失手。因此,單層防禦在可信邊界逐漸消弱,攻擊平面不斷增加下已經很難實現安全防禦,而縱深防禦可以很大程度提高信息安全防衛的能力。縱深防禦一般採用多點聯動防禦和入侵容忍技術。多點防禦是指各個安全節點獨立防禦,節點之間缺少聯繫,沒有構成實質聯動。而現實中,只有各個節點協同合作、互補不足,才能帶來更好的防禦效果。如將防火牆、入侵檢測系統/入侵防禦系統、統一威脅、SSL、加密機等相互有機聯動,能夠更加準確有把握地鎖定入侵者。入侵容忍技術是指當某臺Nova節點受到攻擊者控制時,通過一定安全設計手段避免消息隊列或其他虛擬機受到攻擊。
縱深防禦體系防護可以分為內核級和應用級,其中內核級的防護包括操作系統加固和內核級熱補丁修復,應用級的防護包括危險應用隔離和“非白即黑”白名單策略。具體如下:
一是操作系統安全機制加固。傳統漏洞安全防禦中,一般傳統漏洞安全防護中採用打補丁實現修復,這種方式屬於頭疼醫頭,腳疼醫腳,治標不治本。在縱深防禦中從治本的角度,採用了系統加固的方式,通過實現一次加固,可以終身有效,從攻擊原理上在底層杜絕各種漏洞造成安全威脅。
二是系統漏洞熱補丁修復。在已知攻擊手段的原理基礎上,通過加固方案可以解決大部分漏洞防禦修復,但極個別的漏洞無法實現修復,特別是採用了全新攻擊邏輯和攻擊思路的漏洞無法修復。對此,在加固功能升級之前,可以採用熱補丁的方法實現臨時快速防護。
三是危險應用隔離。所謂危險應用隔離即是採用“沙箱”技術將危險應用進行安全隔離。沙箱是一個虛擬系統程序,可以按照安全策略對程序行為的執行環境加以限制。在沙盤環境中允許終端運行瀏覽器及其他程序,在運行中產生的變化隨後可以刪除。
四是“非白即黑”白名單。對各種應用的操作系統來說,如果存在漏洞,隨時都處在被漏洞利用攻擊的危險中。對於Windows系統來說,對多數安全漏洞採用攻擊利用都是通過文件的方式實現的。對此,只要能夠嚴格控制文件打開執行,就能夠保護系統不受漏洞的安全威脅。目前,對未知威脅防護採用非白即黑的安全策略是一種行之有效的主流方式,效果比較不錯。主要技術包括MD5識別文件和構建高純度文件白名單庫,採用非白即黑的管控策略防止陌生文件在系統上的打開和執行。
閱讀更多 每日撩科技 的文章
