大家好,我是來(lái)自火線(xiàn)安全的劉對(duì)。今天主要聊聊租戶(hù)在多云環(huán)境下責(zé)任邊界的劃分闻坚。
我這邊的分享是比較新手向的,也希望通過(guò)我的分享兢孝,大家能夠?qū)Χ嘣葡碌陌踩?zé)任邊界劃分和云上的一些概念有更深的理解窿凤。
根據(jù) IDC 的數(shù)據(jù),在短短 16 年內(nèi)跨蟹,全球整體云計(jì)算市場(chǎng)規(guī)模從零增長(zhǎng)到 2021 年的 7050 億美元雳殊,到 2025 年將預(yù)計(jì)達(dá)到 1.3 萬(wàn)億。
中國(guó)作為全球云計(jì)算市場(chǎng)中增長(zhǎng)最快的區(qū)域窗轩,2020 年市場(chǎng)規(guī)模達(dá)到 487.3 億美元夯秃,預(yù)計(jì) 2021-2025 年復(fù)合增長(zhǎng)率為26.0%,云將重塑整個(gè) IT 硬件痢艺、軟件和服務(wù)生態(tài)仓洼。
在《電子政務(wù)》2020年第3期中刊登了《東數(shù)西算:我國(guó)數(shù)據(jù)跨域流通的總體框架和實(shí)施路徑研究》,在 2022 年 2 月份堤舒,國(guó)家發(fā)改委等部門(mén)聯(lián)合印發(fā)文件色建,“東數(shù)西算”工程正式全面啟動(dòng)。 可以看到舌缤,不論是從云計(jì)算市場(chǎng)來(lái)看還是從國(guó)家戰(zhàn)略來(lái)看箕戳,云計(jì)算都必將是未來(lái)的趨勢(shì)某残。
多云即在多個(gè)云服務(wù)供應(yīng)商上部署云環(huán)境,多云可以為企業(yè)節(jié)約成本陵吸、提高靈活性玻墅、提高可靠性等等,根據(jù)《Flexera Releases 2021 State of the Cloud Report》中的統(tǒng)計(jì)信息壮虫,有 92% 的企業(yè)采用了多云的策略澳厢。
由于安全行業(yè)是一個(gè)伴生行業(yè),在云計(jì)算蓬勃發(fā)展旨指、絕大多數(shù)企業(yè)都采用多云策略的背景下赏酥,多云中的安全勢(shì)必會(huì)越來(lái)越被關(guān)注。
云上的安全和傳統(tǒng)的安全在某些地方有所不同谆构,其中不可忽視的一點(diǎn)就是:云上的安全有些地方是由云服務(wù)商負(fù)責(zé)的裸扶,而有些是地方則是由租戶(hù)自己去負(fù)責(zé)的,那么這個(gè)邊界該如何劃分搬素?這是個(gè)問(wèn)題呵晨。
在企業(yè)上云之前,也許有的企業(yè)會(huì)認(rèn)為云上的安全問(wèn)題應(yīng)該都是云服務(wù)商的責(zé)任熬尺,什么服務(wù)器的安全摸屠、數(shù)據(jù)庫(kù)的安全都應(yīng)該由他們來(lái)負(fù)責(zé)。然而實(shí)際上并不全是如此粱哼,這就好比一個(gè)人租了一輛車(chē)季二,這個(gè)人在開(kāi)車(chē)的時(shí)候,他的安全不全是由租車(chē)公司負(fù)責(zé)一樣揭措。
開(kāi)車(chē)的安全邊界是很容易區(qū)分的胯舷,例如疲勞駕駛、開(kāi)車(chē)接打電話(huà)這些都是屬于駕駛者本身的問(wèn)題绊含。這時(shí)也許有人會(huì)想桑嘶,那么如果我打車(chē)或者坐公交,那么這個(gè)時(shí)候的安全邊界又在哪里躬充?各位可以自己去思考一下逃顶。 那么其實(shí)在云上,也是有“租車(chē)”充甚、“打車(chē)”以政、“公交”之分的,不過(guò)它們是另一套叫法伴找。
IaaS 也就是基礎(chǔ)設(shè)施即服務(wù)妙蔗,云服務(wù)商提供服務(wù)器、操作系統(tǒng)疆瑰、硬盤(pán)等等眉反,然后自己在上面部署應(yīng)用。這就類(lèi)似于租車(chē)穆役,租車(chē)公司提供車(chē)輛寸五,然后自己開(kāi)到目的地。
PaaS 也就是平臺(tái)即服務(wù)耿币,云服務(wù)商提供已經(jīng)安裝好應(yīng)用的服務(wù)梳杏,比如 RDS、EKS等等淹接,這就類(lèi)似于出租車(chē)十性,不用自己開(kāi)車(chē)了,直接跟司機(jī)說(shuō)到哪里就行塑悼。
SaaS 就是軟件即服務(wù)劲适,這個(gè)是面向最終用戶(hù)的,用戶(hù)只需要使用已經(jīng)成型的軟件即可厢蒜,比如電子郵箱霞势、火線(xiàn)的安全云產(chǎn)品、釘釘?shù)鹊劝哐唬@就好比坐公交車(chē)愕贡,用戶(hù)只需要上車(chē)就行,連自己打車(chē)的這一步都省了巷屿。
當(dāng)這三種模式理解了固以,云上責(zé)任邊界劃分也就容易了。
根據(jù)國(guó)家現(xiàn)行標(biāo)準(zhǔn) GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》中的內(nèi)容嘱巾,在 IaaS 服務(wù)類(lèi)別下憨琳,虛擬化計(jì)算資源層的安全措施由租戶(hù)和云服務(wù)商分擔(dān)。租戶(hù)負(fù)責(zé)自己部署的操作系統(tǒng)浓冒、運(yùn)行環(huán)境和應(yīng)用的安全栽渴。云服務(wù)商負(fù)責(zé)虛擬機(jī)監(jiān)視器及底層資源的安全。
在PaaS服務(wù)類(lèi)別下稳懒,軟件平臺(tái)層的安全措施由租戶(hù)和云服務(wù)商分擔(dān)闲擦。租戶(hù)負(fù)責(zé)自己開(kāi)發(fā)和部署的應(yīng)用及其運(yùn)行環(huán)境的安全,其他安全措施由云服務(wù)商實(shí)施场梆。
在SaaS服務(wù)類(lèi)別下墅冷,應(yīng)用軟件層的安全措施由租戶(hù)和云服務(wù)商分擔(dān),其他安全措施由云服務(wù)商實(shí)施或油。 其實(shí)說(shuō)到這里是有些抽象的寞忿,所以接下來(lái),將以 TerraformGoat 靶場(chǎng)中的阿里云 SSRF 場(chǎng)景為例顶岸,詳細(xì)講解責(zé)任的區(qū)分腔彰。
TerraformGoat 是一個(gè)多云靶場(chǎng)搭建工具叫编,通過(guò) TerraformGoat 的演示我們可以對(duì)多云場(chǎng)景下的風(fēng)險(xiǎn)以及責(zé)任邊界有個(gè)更清晰的認(rèn)識(shí)。 這里將以 TerraformGoat 中的阿里云 SSRF 場(chǎng)景為例霹抛,首先搭建靶場(chǎng)搓逾,這里直接使用 docker 搭建即可。
接著開(kāi)始部署場(chǎng)景杯拐,首先切換到對(duì)應(yīng)場(chǎng)景的目錄下霞篡,配置好阿里云的AK,然后初始化 Terraform端逼,再應(yīng)用場(chǎng)景即可朗兵。
稍等一會(huì)兒,在 Outputs 里就可以看到 SSRF 靶場(chǎng)的地址了顶滩,使用瀏覽器就可以訪(fǎng)問(wèn)這個(gè)靶場(chǎng)了余掖。
在這個(gè)部署靶場(chǎng)的過(guò)程中,TerraformGoat 會(huì)在阿里云上創(chuàng)建一個(gè)實(shí)例诲祸,并允許 8080 端口的請(qǐng)求浊吏,接著開(kāi)始在實(shí)例上部署 SSRF 靶場(chǎng)。
在這個(gè)場(chǎng)景中救氯,租戶(hù)所面臨的風(fēng)險(xiǎn)以及責(zé)任又該如何劃分呢找田?我們下面來(lái)好好討論一下。
我們先來(lái)看看這個(gè)場(chǎng)景中存在的風(fēng)險(xiǎn)着憨,在這個(gè)場(chǎng)景中墩衙,主要的風(fēng)險(xiǎn)點(diǎn)是站點(diǎn)存在 SSRF 漏洞,導(dǎo)致了攻擊者可以進(jìn)行讀取實(shí)例元數(shù)據(jù)甲抖、內(nèi)網(wǎng)探測(cè)等等操作漆改。
這樣的一個(gè)風(fēng)險(xiǎn)是應(yīng)該歸租戶(hù)還是云廠商呢?首先我們需要確定這個(gè)場(chǎng)景是屬于 Iaas 還是 PaaS 或 SaaS 模式准谚。
由于在這個(gè)場(chǎng)景中挫剑,需要在阿里云上創(chuàng)建實(shí)例,并在實(shí)例上部署應(yīng)用柱衔,所以不難判斷出這是一個(gè) IaaS 模式樊破,接著再根據(jù)之前 IaaS 下的責(zé)任劃分圖表去判斷對(duì)應(yīng)的責(zé)任邊界。
在這個(gè)圖表中唆铐,云廠商負(fù)責(zé)底層硬件設(shè)施哲戚,例如服務(wù)器、交換機(jī)艾岂、硬盤(pán)等等的安全顺少,而租戶(hù)則負(fù)責(zé)上層的應(yīng)用軟件部分,其中虛擬化計(jì)算資源是由兩者分擔(dān)的。那么這就很容易判斷了脆炎,這里的 SSRF 漏洞很明顯是產(chǎn)生在應(yīng)用軟件層的梅猿,因此這個(gè)是屬于租戶(hù)的責(zé)任。
那么也許會(huì)有風(fēng)險(xiǎn)產(chǎn)生在虛擬化計(jì)算資源層的場(chǎng)景出現(xiàn)腕窥,這時(shí)又該如何劃分粒没,其實(shí)也很簡(jiǎn)單,舉個(gè)例子就很清楚了簇爆。
比如在實(shí)例所關(guān)聯(lián)的虛擬專(zhuān)有網(wǎng)絡(luò) VPC 中創(chuàng)建了一條允許 22 端口訪(fǎng)問(wèn)的的安全組規(guī)則,那么這個(gè)開(kāi)放 22 端口的風(fēng)險(xiǎn)其實(shí)就是屬于租戶(hù)的爽撒,但如果在安全組里 22 端口是禁止訪(fǎng)問(wèn)的入蛆,但攻擊者卻繞過(guò)了安全組策略,那么這或許就是云廠商的責(zé)任了硕勿。
再比如租戶(hù)的控制臺(tái)密碼泄露是屬于租戶(hù)的責(zé)任哨毁,但由于控制臺(tái)存在 XSS 漏洞導(dǎo)致租戶(hù)的賬號(hào)被盜取,這就是云廠商的責(zé)任源武。
相信通過(guò)以上的內(nèi)容扼褪,對(duì)于租戶(hù)和云廠商的責(zé)任邊界劃分,心里已經(jīng)有個(gè)大概的輪廓了粱栖,總的來(lái)說(shuō)话浇,不管這些風(fēng)險(xiǎn)是屬于租戶(hù)的責(zé)任還是云廠商的責(zé)任,整體業(yè)務(wù)的安全都是需要租戶(hù)和云廠商共同的努力才行闹究。
最后幔崖,我們來(lái)簡(jiǎn)單看一下對(duì)于這些云上的風(fēng)險(xiǎn)租戶(hù)一般是如何去發(fā)現(xiàn)以及應(yīng)對(duì)的。
目前比較常見(jiàn)的云安全工具主要有 CASB渣淤、CWPP赏寇、CSPM 等等,這里將簡(jiǎn)單分別介紹一下每種工具价认,企業(yè)可以根據(jù)自己的情況去選擇對(duì)應(yīng)的云安全工具嗅定。
CASB 云訪(fǎng)問(wèn)安全代理,本質(zhì)上是云服務(wù)的防火墻用踩,CASB 可以解決識(shí)別企業(yè)影子資產(chǎn)以及滿(mǎn)足監(jiān)管合規(guī)的需求渠退。通過(guò) CASB 的跟蹤、報(bào)告捶箱、記錄和事件監(jiān)控功能智什,CASB 可以識(shí)別企業(yè)中所有的云服務(wù),包括一些可能客戶(hù)自身都不知道的云服務(wù)丁屎,CASB 可以對(duì)這些影子服務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估并在必要的時(shí)候觸發(fā)警報(bào)荠锭。通過(guò) CASB 的審計(jì)和報(bào)告功能,還可以滿(mǎn)足一些監(jiān)管合規(guī)的需求晨川。
CWPP 云工作負(fù)載保護(hù)平臺(tái)证九,CWPP 可以解決在企業(yè)既有多云删豺、混合云又有物理機(jī)、虛擬機(jī)愧怜、容器等等的情況下呀页,如何統(tǒng)一管理的問(wèn)題。CWPP 可以為所有類(lèi)型的工作負(fù)載提供安全保護(hù)拥坛,包括物理服務(wù)器蓬蝶、虛擬機(jī)、容器猜惋、serverless 等等丸氛,CWPP 可以為這些工作負(fù)載提供統(tǒng)一的可視化和管控能力。
CSPM 云安全態(tài)勢(shì)管理著摔,也有的翻譯成云安全配置管理缓窜,CSPM 主要是解決多云環(huán)境中企業(yè)錯(cuò)誤配置的問(wèn)題,在企業(yè)中谍咆,一個(gè)云上的錯(cuò)誤配置可能就會(huì)產(chǎn)生極大的安全隱患禾锤,尤其是在云服務(wù)越來(lái)越來(lái)的情況下。CSPM 可以對(duì)這些云服務(wù)的配置進(jìn)行分析與管理摹察,從而幫助企業(yè)發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)恩掷。企業(yè)也可以通過(guò) CSPM 去檢測(cè)自己的云服務(wù)配置是否合規(guī),通過(guò) CSPM 企業(yè)可以降低被攻擊時(shí)所產(chǎn)生的影響港粱。
對(duì)于租戶(hù)螃成,可以根據(jù)自身的情況以及需求去選擇對(duì)應(yīng)的云安全工具,從而提高自身的安全能力查坪。
這是給大家提供的一些參考資料寸宏,歡迎探討。
獲取完整版PPT偿曙,請(qǐng)?zhí)顚?xiě)問(wèn)卷:
https://wenjuan.feishu.cn/m?t=svCwWH1yEyDi-67t2&mode=sidebar-semi
視頻回放鏈接:
火線(xiàn)沙龍第26期——多云環(huán)境的風(fēng)險(xiǎn)發(fā)現(xiàn)
https://www.bilibili.com/video/BV1PL4y1w7sc/
