建站
咨詢
售后
建站咨詢
新聞中心
隨著對微服務(wù)以及與云計(jì)算無關(guān)的應(yīng)用程序和數(shù)據(jù)的依賴性越來越高,保證數(shù)據(jù)的安全性需要一種新方法。
讓很多人都感到驚奇的是,只需點(diǎn)擊幾下鼠標(biāo),就可以啟動一個(gè)服務(wù)器集群,隨時(shí)處理任何規(guī)模的數(shù)據(jù)。
在以往,企業(yè)需要購買CPU、內(nèi)存、網(wǎng)絡(luò)、存儲等硬件設(shè)備,并花費(fèi)大量資金和精力構(gòu)建自己的數(shù)據(jù)中心,并將設(shè)備連接到全球互聯(lián)網(wǎng)。
現(xiàn)在,即使已經(jīng)擁有大規(guī)模數(shù)據(jù)中心的傳統(tǒng)大型組織也正在利用云計(jì)算技術(shù)的簡單性和可擴(kuò)展性。
但是,云原生環(huán)境中的安全性如何?基礎(chǔ)設(shè)施和應(yīng)用是否安全?
企業(yè)對構(gòu)建基礎(chǔ)設(shè)施的看法
沒有人開始通過訂購服務(wù)器來建立業(yè)務(wù)。企業(yè)首先確定想做的事情,開發(fā)了一個(gè)系統(tǒng)并進(jìn)行了部署。并不真正在乎刀片服務(wù)器的品牌,但I(xiàn)T系統(tǒng)必須不斷運(yùn)行,它們必須可靠、可用、及時(shí)和安全。
每個(gè)IaaS供應(yīng)商(無論是AWS、谷歌、微軟還是其他公司)都提供基礎(chǔ)設(shè)施安全性。通過使用其基礎(chǔ)設(shè)施,用戶將大量的安全職責(zé)委托給了云計(jì)算供應(yīng)商。目前,很多企業(yè)認(rèn)為AWS、谷歌和微軟等公司所做的工作比他們自己可以完成的工作更安全。
基礎(chǔ)設(shè)施的安全性
以下了解一下現(xiàn)代計(jì)算的分層模型。云計(jì)算基礎(chǔ)設(shè)施服務(wù)(IaaS)提供虛擬機(jī)——內(nèi)存、存儲、處理器和網(wǎng)絡(luò)。更高級別的服務(wù)提供操作系統(tǒng)、編排和對象存儲。
基礎(chǔ)設(shè)施的安全功能只能阻止來自其下一層的攻擊。例如,如果用戶選擇AmazonElasticBlockStorage(EBS)加密,則將在操作系統(tǒng)(OS)級別和硬件之間的虛擬化級別對實(shí)際數(shù)據(jù)存儲上的數(shù)據(jù)進(jìn)行加密。如果攻擊者闖入亞馬遜的數(shù)據(jù)中心并竊取了硬盤,將其帶回家,并將其連接到自己的計(jì)算機(jī),那么他看到的卻是加密的數(shù)據(jù)。
如果網(wǎng)絡(luò)攻擊者遠(yuǎn)程破壞了同一虛擬機(jī),則他可以像合法應(yīng)用程序一樣打開同一個(gè)EBS卷上的文件并透明地讀取數(shù)據(jù),因?yàn)樘摂M化層無法告訴誰正在嘗試讀取信息。
這同樣適用于其他基礎(chǔ)設(shè)施級別的安全功能,如防火墻。如果企業(yè)擁有服務(wù)器A和B,其中B是A的客戶端,可以定義防火墻規(guī)則來限制對運(yùn)行服務(wù)器A的訪問,因此只有服務(wù)器B可以訪問它。因此,侵入服務(wù)器B的攻擊者可以很容易地訪問服務(wù)器A。
一般來說,如果攻擊源位于保護(hù)層之上,則其安全保護(hù)無效。鑒于攻擊主要來自應(yīng)用層的方向,基礎(chǔ)設(shè)施級別的保護(hù)只提供一部分安全性。
雖然基礎(chǔ)設(shè)施可以限制應(yīng)用程序級別的活動以防止發(fā)生不必要的行為,但其結(jié)果將非常緊湊,并且維護(hù)成本非常高。這意味著其周界太寬而無法提供足夠的安全性,或者太窄而無法維護(hù)云原生世界的安全性。
真實(shí)應(yīng)用程序安全性的誤區(qū)
如果應(yīng)用程序可以自我保護(hù),那將是朝著全面云原生安全性邁出的一大步。當(dāng)然,業(yè)界人士并沒有將應(yīng)用程序視為需要保護(hù)的事物,而是開發(fā)了許多基礎(chǔ)設(shè)施安全功能來解決此問題。
此外,自我保護(hù)應(yīng)用程序很難配置和維護(hù)。他們的安全級別無處不在。實(shí)際上,在這種類型的環(huán)境中,要實(shí)現(xiàn)真正的應(yīng)用程序安全性非常困難,因?yàn)樗鼈兊陌姹究赡軙兴煌⑶宜鼈兊膩碓匆哺鞑幌嗤?/p>
SSL/TLS無效的情況
這個(gè)安全協(xié)議,實(shí)際上是保護(hù)TCP連接的行業(yè)標(biāo)準(zhǔn),它是在上世紀(jì)90年代開發(fā)的。盡管它的設(shè)計(jì)堪稱典范,但對于討論的主題而言,重要的是傳輸層安全協(xié)議(TLS)連接旨在在瀏覽器應(yīng)用程序和Web服務(wù)器軟件之間創(chuàng)建。它不是基礎(chǔ)設(shè)施功能,甚至不是網(wǎng)絡(luò)驅(qū)動程序的功能。它是純粹應(yīng)用程序級別的功能,這意味著在理想情況下只有應(yīng)用程序才能訪問通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)。
隨著時(shí)間的推移,服務(wù)器端安全傳輸層協(xié)議(TLS產(chǎn)品不斷發(fā)展,如RSA的傳輸層安全協(xié)議(TLS)服務(wù)器終端硬件。傳輸層安全協(xié)議(TLS)終止已經(jīng)成為一種常見的做法,這意味著傳輸層安全協(xié)議(TLS)連接到達(dá)一個(gè)反向代理軟件或硬件,其唯一的目標(biāo)是解除連接的保護(hù),并將其轉(zhuǎn)發(fā)到不受保護(hù)的正確Web服務(wù)器。
為什么這么做?
一方面,它不那么安全,但是很難在整個(gè)服務(wù)器園區(qū)中維護(hù)傳輸層安全協(xié)議(TLS)證書和密鑰。當(dāng)明確內(nèi)部服務(wù)之間的通信也必須受到保護(hù)時(shí),不同的云計(jì)算供應(yīng)商會有不同的答案。Istio等獨(dú)立于云計(jì)算的解決方案以及其他附帶解決方案的解決方案在受保護(hù)的應(yīng)用程序旁邊放置了一個(gè)額外的容器,可以像使用Web服務(wù)器一樣執(zhí)行傳輸層安全協(xié)議(TLS)終止,但是這種方法無效。
傳輸層安全協(xié)議(TLS)的使用差強(qiáng)人意,因?yàn)楹茈y使用它來配置和維護(hù)應(yīng)用程序。傳輸層安全協(xié)議(TLS)需要持續(xù)的重新配置(證書續(xù)訂)和密鑰保護(hù)(其密鑰丟失將會危及整個(gè)TLS系統(tǒng))。所有應(yīng)用程序的配置都有些不同,這使維護(hù)變得很困難。當(dāng)然,某些應(yīng)用程序根本不支持傳輸層安全協(xié)議(TLS)。
當(dāng)然,這個(gè)簡單的傳輸層安全協(xié)議(TLS)示例通過在應(yīng)用程序中添加廣泛的安全功能突出了操作問題。此外,業(yè)務(wù)和應(yīng)用程序開發(fā)都集中在功能上。安全是次要的,如果有的話。
真正的解決方案是什么?
業(yè)務(wù)驅(qū)動的思維推動了基礎(chǔ)設(shè)施內(nèi)的安全性;它應(yīng)該是開箱即用的。在很多情況下是這樣的——但是基礎(chǔ)設(shè)施的安全性是有限的。以基礎(chǔ)設(shè)施為中心的應(yīng)用程序安全性方法也不起作用。
其答案是,其安全必須在應(yīng)用程序級別,而不是應(yīng)用程序的一部分。
臺灣云服務(wù)器1G CPU 2核 帶寬 2m 59元
臺灣云服務(wù)器2G CPU 2核 帶寬 2m 135元
臺灣云服務(wù)器4G CPU 4核 帶寬 3m 289元
臺灣云服務(wù)器8G CPU 4核 帶寬 3m 489元
臺灣云服務(wù)器16G CPU 8核 帶寬 5m 899元
臺灣云服務(wù)器32G CPU 8核 帶寬 5m 1499元
詳情可咨詢官網(wǎng)客服:631063699
另提供臺灣中華電信機(jī)房租用,E5200cpu 2g內(nèi)存320G硬盤,10M帶寬,可綁定2個(gè)ip,月租1099元!
新聞標(biāo)題:當(dāng)今云安全方法的錯誤承諾
標(biāo)題網(wǎng)址:http://www.ef60e0e.cn/article/sscph.html
