杭州儀電Azure Stack技術(shù)系列8：Azure Stack 云安全概述

時間：2023-07-15 20:57:01 | 來源：網(wǎng)站運營

時間：2023-07-15 20:57:01 來源：網(wǎng)站運營

杭州儀電Azure Stack技術(shù)系列8：Azure Stack 云安全概述：

1 概述

Azure Stack作為一款混合云產(chǎn)品，安全防護及安全的業(yè)務提供是必備基礎能力，本篇將來探究一下Azure Stack在安全層面所提供的技術(shù)保障以及需要加固的方方面面。

1.1 云安全的定義

早在2008年，當很多人還認為云計算還處于概念階段時，趨勢科技和瑞星等安全廠商紛紛宣布“云安全”計劃，在國內(nèi)云安全這一概念名詞由此誕生。“云安全”計劃的提出是為了應對病毒的日益泛濫，做法是將病毒資料庫放在“云”端，讓“云”端對不安全鏈接直接判斷，阻止其進入用戶機器。云安全一詞在國內(nèi)大受殺毒廠商的追捧，其核心思想是利用大規(guī)模的云計算來抵御日益復雜多樣的黑客攻擊與病毒攻擊。

在國外，安全軟件處于云端的做法，稱之為基于云的安全軟件-Cloud-Based Security或者安全即服務-Security as a Service。

而本文所提及的云安全（Cloud Security）,是云計算安全性（Cloud computing security）的簡稱，顧名思義，是關(guān)注云計算業(yè)務系統(tǒng)本身的安全性，其概念采用維基百科的解釋：通過部署一套廣泛的策略、技術(shù)與控制方法, 來保護數(shù)據(jù)、應用程序、與云計算的基礎設施的安全性。

1.2 云計算環(huán)境下的安全問題

云計算的安全疑慮很多，每個建設環(huán)節(jié)都可能導致安全問題，包括物理機房環(huán)境、網(wǎng)絡、應用、數(shù)據(jù)存儲等各方面的安全。除去機房環(huán)境，可以簡單歸結(jié)為以下幾個方面：

1) 身份認證：云計算服務商在對外提供服務的過程中，需要同時應對多租戶的運行環(huán)境，保證不同用戶只能訪問企業(yè)本身的數(shù)據(jù)、應用程序和存儲資源。

2) 數(shù)據(jù)保護：這是目前云計算用戶最為擔心的安全風險。用戶數(shù)據(jù)在云計算環(huán)境中進行傳輸和存儲時，用戶本身對于自身數(shù)據(jù)在云中的安全風險并沒有實際的控制能力，數(shù)據(jù)安全完全依賴于服務商。

3) 數(shù)據(jù)隱私：云計算環(huán)境存儲的用戶數(shù)據(jù)，離不開管理員的操作和審核，如果缺乏足夠的安全防護，將可能導致用戶數(shù)據(jù)被云服務提供商竊取或無意泄露。

4) 應用程序安全：云服務提供商必須確保通過云所提供的應用程序服務是安全的，外包或包的代碼必須通過測試與可用性的驗收程序。

2 Azure Stack 安全機制

混合云Azure Stack場景中，在公共云供應商或者 Azure Stack 供應商和客戶之間有一條非常明顯的責任分界線。

當一個IaaS客戶角色轉(zhuǎn)變成一個 PaaS 或 SaaS 客戶角色，其相應的責任也會發(fā)生改變，一個 IaaS 層角色與 PaaS 層角色的責任是明顯不同的，比如我們管理一個運行在一臺自己管理的虛機上SQL Server的責任，與管理一個 Azure SQL數(shù)據(jù)庫而不用管理運行該數(shù)據(jù)庫的虛機所面臨的責任是不一樣的。

Azure Stack的安全機制主要分為三個層面：硬件安全，平臺層安全，租戶層安全。

Azure Stack擁有從物理層面到不同的 SaaS 服務層面的多種安全機制，以確保數(shù)據(jù)安全。在 Azure Stack 混合云環(huán)境中，客戶不能夠訪問虛擬機管理程序?qū)樱琍aaS/SaaS服務提供商同樣不能訪問。

2.1 硬件安全

Azure Stack 平臺硬件層面的基本安全機制有安全啟動（Secure boot）和統(tǒng)一的可擴展固件接口（UEFI）。不同品牌的硬件提供商（Lenovo、Dell EMC、HPE等）針對 Azure Stack 的硬件層都提供了自己強有力的硬件安全解決方案，有效地解決 Azure Stack 的硬件安全問題，等 Azure Stack硬件 GA 后，我們會詳細地比較、分析、評價各廠商的硬件安全解決方案。

2.2 平臺層安全

Azure Stack相對于微軟的公有云 Azure是一個獨立的平臺，但安全管理方面有很大的相似性：

1. Azure Stack和Azure 工程師沒有訪問客戶數(shù)據(jù)的默認權(quán)限，只在必要時，在監(jiān)督的條件下被授予訪問。
2. Azure Stack 和 Azure 平臺管理員只將客戶數(shù)據(jù)用于跟客戶簽訂的承包服務，如故障排除和改進的功能，如保護免受惡意軟件兼容。

在 Azure Stack中，作為一個服務提供商只能訪問管理門戶admin portal，可通過并僅能通過管理門戶或者管理 API 創(chuàng)建用戶訂閱，管理 Azure Stack 架構(gòu)，監(jiān)控平臺健康狀態(tài)，查看審計日志信息，但沒有權(quán)限查看正常用戶的數(shù)據(jù)與業(yè)務。

Azure Stack 實現(xiàn)平臺的安全，主要基于兩個安全原則：1. Assume breach2. Hardened by default

2.2.1 “Assume breach”原則

基于“Assume breach”安全原則，如果平臺檢測到任何黑客攻擊行為，不僅可以有效阻斷，還可以有效限定被攻擊的范圍，減少被攻擊損失。

如果一個 Azure Stack組件被黑客攻破，也不會導致整個平臺癱瘓，有效保證其他組件的安全。通常，管理員角色最易受到攻擊，Azure Stack通過一個預定義的約束管理經(jīng)驗模型，保證如果一個管理員證書被攻破，攻擊者只能訪問該管理員被限制訪問的組件。

為了實現(xiàn) Azure Stack 平臺的安全，微軟制定了多種安全機制：

1. 約束管理，Azure Stack 提供了非常精細的，基于角色的訪問控制

• 最低權(quán)限賬戶 ，用于不同服務的服務賬戶只擁有最低的權(quán)限。
• 只能通過管理門戶或管理 API 進行平臺管理。
• 刪除了任何面向客戶的域管理員賬戶。
• 不存在任何超級用戶。

1. 鎖定基礎設施

• 啟用應用程序白名單，只有經(jīng)過微軟或 Azure Stack OEM 簽名的應用才能運行，未簽名或第三方簽名的應用一概不允許運行。
• 默認的最小通信特權(quán)，Azure Stack 內(nèi)部的功能組件只能與特定的目的組件交換數(shù)據(jù)。
• 啟用網(wǎng)絡訪問控制ACL，防護墻默認規(guī)則阻斷一切網(wǎng)絡訪問，除非是必要的。 ACL 不只存在于 VM 和虛擬網(wǎng)絡層面，有效屏蔽網(wǎng)絡風險，可參考如下網(wǎng)絡訪問控制模型：

1. 為了提高檢測能力，Azure Stack啟用每個基礎架構(gòu)組件的安全和審計日志，可以監(jiān)控任何入侵。
2. 隔離host，杜絕 Azure Stack 賬戶直接訪問底層host

• 微軟與 OEM 廠商提供host的全生命周期的管理，提供不影響用戶業(yè)務及數(shù)據(jù)的加固服務，比如提供固件、驅(qū)動、操作系統(tǒng)補丁升級等服務。

2.2.2 “Hardened by default”原則

Azure Stack 默認啟用許多安全控制機制，比如：

1. 靜態(tài)數(shù)據(jù)加密，Azure Stack 所有的存儲都應用 BitLocker加密，同時提供三備份機制。
2. 基礎架構(gòu)組件之間，采用強身份驗證。
3. 基于 Security Compliance Manager，在底層操作系統(tǒng)上使用預定義安全模板。
4. 在底層操作系統(tǒng)，禁用傳統(tǒng)舊協(xié)議，比如SMB1，NTLMv1，MS-CHAPv2，Digest。
5. 應用Windows Server 2016的安全功能:

• 憑證保護 ，所有域密碼采用基于虛擬化的安全隔離，保證只有特定有權(quán)限的系統(tǒng)軟件可以訪問。
• 代碼完整性 ，憑證保護的一個功能，確保只有通過代碼完整性檢查的代碼才能得到執(zhí)行。
• 反惡意軟件 ，使用 Windows Defender 加固支持平臺的底層虛擬機上。
• 使用 Server Core，以減少被攻擊面并限制使用某些功能。

2.3 租戶層安全

上一章節(jié)，我們介紹了平臺層的安全機制，相對租戶層不可見的平臺層安全機制，Azure Stack 對租戶層用戶也提供了多種安全機制。

資源管理器ARM 本身有一個 Role-Based Access 模型，用來定義一個用戶可以訪問訂閱、資源組。其中，ARM 內(nèi)部的訪問能夠使用默認定義角色或者自定義角色。

下圖描述了Azure Stack基于角色的訪問控制模型(參照微軟官方Azure RBAC)：

在 Azure Stack 租戶層所采用的一些安全策略：

1. Azure Stack 的資源策略，用于增強 ARM 傳統(tǒng)的訪問規(guī)則，如允許用戶只提供一定類型的虛擬機或強制標記某一個對象。
2. 網(wǎng)絡安全組，Azure Stack網(wǎng)絡的防火墻訪問規(guī)則，控制網(wǎng)絡、虛機的訪問。
3. 虛擬網(wǎng)絡層 ，作為Azure Stack 的軟件定義網(wǎng)絡解決方案，有效地杜絕傳統(tǒng)的2層攻擊。
4. TLS/SSL，默認情況下，所有的平臺服務和 API 都應用 TLS /SSL保證安全。
5. 支持互聯(lián)網(wǎng)安全協(xié)議IPsec。
6. Azure Key Vault，幫助你輕松管理云應用和服務的加密密鑰。

3 Azure Stack未提供的安全防護

Azure Stack 本身提供了用戶身份認證、權(quán)限的租戶隔離和虛擬化資源共享業(yè)務安全問題的解決方案，但是對于用戶應用數(shù)據(jù)的安全問題則有賴于用戶自己解決，這其中包括如下三個方面：

1) 客戶虛擬機和應用集群的統(tǒng)一、自動化管理，比如大數(shù)據(jù)集群管控。

2) 客戶數(shù)據(jù)的自動備份、保護機制，比如數(shù)據(jù)脫敏，數(shù)據(jù)防泄漏等。

3) 客戶虛擬機和客戶網(wǎng)絡的安全防護，比如更符合客戶習慣的身份認證與訪問控制，惡意軟件防護，防火墻等。

針對Azure Stack 未提供的用戶應用、數(shù)據(jù)方面的安全問題，技術(shù)層面需要 CMP和系列安全防護融合的綜合解決方案。通過 CMP 可以實現(xiàn)客戶虛擬機和應用集群的統(tǒng)一、自動化管理和客戶數(shù)據(jù)的自動備份和保護，而客戶虛擬機和網(wǎng)絡的安全防護則需要通過專業(yè)的安全防護解決方案來解決。

針對混合云，一個專業(yè)的安全解決方案，可以提供私有云和公有云統(tǒng)一的安全管理平臺，保護IT環(huán)境免遭數(shù)據(jù)泄露和業(yè)務中斷，降低運營成本，獲得如下六個方面的功能防護：

1) 入侵檢測：

• 通過屏蔽已知漏洞，主動防御各種已知和零時差 攻擊
• 檢查所有傳入和傳出流量中是否存在協(xié)議偏差、 策略違規(guī)或帶攻擊跡象的內(nèi)容
• 虛擬修補幫助確保符合 PCI DSS、HIPAA 等主要 法規(guī)
• 抵御 SQL 注入、跨站點腳本以及其他 Web 應用 程序漏洞
• 對訪問網(wǎng)絡的應用程序加強監(jiān)視或控制。

2) 防惡意軟件：

• 確保工作負載免受惡意軟件攻擊
• 隔離惡意軟件，保護實例免受復雜攻擊(包括勒索軟件)
• 把可疑對象提交給亞信安全TM深度發(fā)現(xiàn)TM分析 器，以供進行沙盒分析

3) 防火墻，雙向有狀態(tài)防火墻，兼容各類主流協(xié)議。

• 通過創(chuàng)建防火墻邊界來阻止攻擊，可減少攻擊面
• 限制為只能通過必要的端口和協(xié)議進行通信
• 集中管理服務器防火墻策略，包括用于常見服務

4) Web 信譽，對百萬計的 web站點評級分類，訪問低信譽網(wǎng)站時主動提醒。

5) 完整性監(jiān)控，保護系統(tǒng)文件和注冊表，阻止對系統(tǒng)關(guān)鍵資源的更改。

• 監(jiān)控和跟蹤系統(tǒng)更改，并實時報告惡意和意外更 改
• 利用事件標記自動復制類似事件的操作

6) 日志審查，智能提取日志中的安全事件。

• 收集操作系統(tǒng)和應用程序日志，并分析其中的可疑行為、安全事件和管理事件
• 通過識別重要安全事件確保滿足合規(guī)性要求 (PCI DSS)
• 將事件轉(zhuǎn)發(fā)到SIEM 系統(tǒng)或集中的日志記錄服務器，以進行關(guān)聯(lián)、報告及歸檔

作者：張會峰

參考

1. What is Cloud-Based Security?
2. Azure 門戶中基于角色的訪問控制入門
3. Security and Compliance in Azure Stack
4. Azure Stack Security
5. Azure Stack—Secure by design

如果對文章內(nèi)容感興趣請聯(lián)系：
儀電（集團）有限公司Azure Stack技術(shù)支持團隊( gaoc@rc.inesa.com / niuhx@rc.inesa.com)

公眾號請關(guān)注：儀享天開
轉(zhuǎn)載請注明：轉(zhuǎn)載自Azure Stack Notes博客(http://a-stack.com)