混合云環(huán)境下的網(wǎng)絡(luò)層安全挑戰(zhàn)

1. 混合云環(huán)境下的網(wǎng)絡(luò)安全變化

傳統(tǒng)IDC環(huán)境下，企業(yè)業(yè)務(wù)可能會面臨外部互聯(lián)網(wǎng)的DDOS攻擊以及網(wǎng)絡(luò)層的漏洞掃描和惡意流量攻擊等，因此一般會在機(jī)房出口處部署抗DDOS流量清洗設(shè)備、網(wǎng)絡(luò)層防火墻設(shè)備、網(wǎng)絡(luò)入侵檢測或入侵防御設(shè)備、防病毒網(wǎng)關(guān)或者統(tǒng)一威脅管理平臺等。
企業(yè)使用混合云后，網(wǎng)絡(luò)層的安全風(fēng)險和安全控制需求仍然存在，但和傳統(tǒng)IDC環(huán)境相比，混合云業(yè)務(wù)部署可能涉及多家IDC、公有云廠商或者自建私有云等情況，導(dǎo)致信息安全需要在多個邊界進(jìn)行安全防護(hù)，同時VPC網(wǎng)段和IDC/私有云網(wǎng)段，不同VPC網(wǎng)段之間的通信訪問需求，也需要在混合云網(wǎng)絡(luò)內(nèi)部不同網(wǎng)段間進(jìn)行訪問控制和流量檢測，從而給混合云環(huán)境下的網(wǎng)絡(luò)安全帶來更多挑戰(zhàn)。
另外混合云環(huán)境下和邊界相關(guān)的安全問題也包括運維通道相關(guān)的VPN和跳板機(jī)軟硬件產(chǎn)品，可通過SDP產(chǎn)品和多云管理平臺如TiOPS產(chǎn)品進(jìn)行替換，在此不做過多解釋。

2. 混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)

根據(jù)對傳統(tǒng)網(wǎng)絡(luò)安全的理解，混合云環(huán)境安全特性，以及對多家公有云廠商的安全產(chǎn)品調(diào)研，我們發(fā)現(xiàn)混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)主要包括包括DDOS流量清洗、高防IP、云防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)或網(wǎng)絡(luò)入侵防御系統(tǒng)、虛擬交換機(jī)ACL規(guī)則、云主機(jī)安全組等。
DDOS流量清洗，主要用于防御互聯(lián)網(wǎng)上的DDOS攻擊行為，部署在企業(yè)云業(yè)務(wù)和互聯(lián)網(wǎng)邊界處。高防IP，用戶在業(yè)務(wù)在遭受大流量DDoS攻擊時，可通過配置高防IP，將攻擊流量引流到云廠商提供的高防IP地址，對攻擊流量進(jìn)行清洗過濾后再將正常流量轉(zhuǎn)發(fā)到源站IP，從而確保源站IP穩(wěn)定訪問。
防火墻，主要用于實現(xiàn)互聯(lián)網(wǎng)和VPC、VPC和VPC之間的網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)安全。一些公有云廠商也會在云防火墻上集成NIPS、防病毒、用戶身份認(rèn)證管理等功能。
網(wǎng)絡(luò)入侵檢測/入侵防御系統(tǒng)，主要用于對網(wǎng)絡(luò)流量進(jìn)行檢查并基于規(guī)則進(jìn)行告警或阻斷。
虛擬交換機(jī)ACL規(guī)則，主要用于VPC內(nèi)子網(wǎng)間的訪問控制。
安全組，一種虛擬防火墻，具備狀態(tài)檢測和數(shù)據(jù)包過濾能力，用于實現(xiàn)云主機(jī)間網(wǎng)絡(luò)層的訪問控制。

3. 公有云廠商網(wǎng)絡(luò)安全技術(shù)比較

不同公有云廠商在網(wǎng)絡(luò)安全方面一般都會提供包括安全組、虛擬交換機(jī)ACL訪問控制、DDOS流量清洗或高防IP等基礎(chǔ)的網(wǎng)絡(luò)安全服務(wù)。部分成熟的公有云廠商，也會提供云防火墻、網(wǎng)絡(luò)入侵檢測/入侵防御系統(tǒng)或防病毒等網(wǎng)絡(luò)安全服務(wù)。
云廠商名稱網(wǎng)絡(luò)層安全技術(shù)/服務(wù)簡要說明 阿里云DDOS高防IP國內(nèi)清洗中心超過8個，單中心帶寬大于1T，10T+總防御帶寬。電信、聯(lián)通、移動、教育等20線獨家防御云防火墻南北4-7層流量和東西4層流量的控制檢測實現(xiàn)IPS，實時流量監(jiān)控，虛擬補(bǔ)丁功能集成安全組功能進(jìn)行統(tǒng)一管理騰訊云DDOS防護(hù)免費基礎(chǔ)防護(hù)，高防IP等云防火墻提供互聯(lián)網(wǎng)邊界、VPC 邊界的網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)通過旁路部署方式，無變更無侵入地對網(wǎng)絡(luò)4層會話進(jìn)行實時阻斷樣本智能分析平臺惡意樣本智能分析鑒定平臺，支持常見可執(zhí)行文件（包括32位和64位）、腳本、文檔、壓縮包、ELF 文件、APK 文件等多種，幫助檢測惡意文件、后門、APT攻擊等高級威脅檢測系統(tǒng)采用鏡像流量旁路進(jìn)行檢測天翼云Anti-DDoS流量清洗Anti-DDoS服務(wù)作為安全服務(wù)的基礎(chǔ)服務(wù)，目前屬于免費服務(wù)。DDoS高防IP付費增值服務(wù)云下一代防火墻通過虛擬機(jī)方式部署，可串聯(lián)或單臂連接到虛擬網(wǎng)絡(luò)中（如：虛擬應(yīng)用服務(wù)器前端的網(wǎng)關(guān)，或者是VPC網(wǎng)絡(luò)的邊界網(wǎng)關(guān)）。集成用戶認(rèn)證、訪問控制、入侵防御、病毒過濾、授權(quán)管理等多種功能華為云Anti-DDoS流量清洗免費提供基礎(chǔ)DDoS 防護(hù)，防護(hù)能力最高可達(dá)5Gbps。本服務(wù)默認(rèn)開啟DDoS高防AAD10+清洗節(jié)點，8T+ DDoS高防總體防御能力，單用戶T級防御能力，抵御各類網(wǎng)絡(luò)層、應(yīng)用層DDoS/CC攻擊百度智能云流量審計分析IDS云上旁路入侵檢測DDOS防護(hù)服務(wù)DDoS防護(hù)服務(wù)為百度智能云上客戶提供5Gb的免費DDoS防護(hù)能力。當(dāng)業(yè)務(wù)遭受超過5Gb的DDoS攻擊時，可以將攻擊流量引向高防中心浪潮云DDOS高防適用區(qū)域：華北一、華北二UcloudDDOS攻擊防護(hù)針對IP進(jìn)行海量DDoS清洗能力金山云高防IP防護(hù)能力按次購買，100G包年僅需28000

4. 混合云環(huán)境下的網(wǎng)絡(luò)分層防護(hù)方案

混合云環(huán)境下，企業(yè)可以使用綜合考慮各個云廠商自身提供的網(wǎng)絡(luò)層安全服務(wù)以及云安全市場中其他安全廠商提供的網(wǎng)絡(luò)產(chǎn)品或服務(wù)，從邊界DDOS防護(hù)、邊界云防火墻、VPC間防火墻、虛擬子網(wǎng)間訪問控制及云主機(jī)間的訪問控制等多個層次，構(gòu)建企業(yè)混合云業(yè)務(wù)的網(wǎng)絡(luò)層縱深防御體系。

l互聯(lián)網(wǎng)邊界處，使用DDOS清洗服務(wù)或高防IP，過濾DDOS攻擊；

l互聯(lián)網(wǎng)邊界處，使用云防火墻和IPS技術(shù)，實現(xiàn)網(wǎng)絡(luò)層訪問控制、流量監(jiān)控告警和入侵防護(hù)功能，包括不公有同云廠商集成提供的暴力破解、虛擬補(bǔ)丁、信息竊取、防病毒等功能；

lVPC和VPC邊界處，部署VPC邊界防火墻，對VPC之間的訪問和流量進(jìn)行管理；

lVPC內(nèi)不同網(wǎng)段間，可使用虛擬交換機(jī)策略，管理同一VPC內(nèi)不同子網(wǎng)間的訪問；

l云主機(jī)之間，使用安全組策略，管理同一VPC內(nèi)不同云主機(jī)之間的訪問；

5. 混合云環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對

混合云環(huán)境下，因為應(yīng)用系統(tǒng)部署、應(yīng)用架構(gòu)調(diào)用、業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)及使用人員的復(fù)雜性，導(dǎo)致安全人員難以追溯并理清楚各類訪問需求和訪問路徑，無法在用戶和應(yīng)用訪問路徑的關(guān)鍵節(jié)點采取合適的安全防護(hù)措施。不過安全仍然可以從以下兩方面積極應(yīng)對：

1）梳理訪問關(guān)系

l梳理IDC、公有云、私有云中各類應(yīng)用和應(yīng)用分配的網(wǎng)段；

l梳理應(yīng)用、VPC間訪問和調(diào)用關(guān)系并進(jìn)行分類、分級匯總；

l梳理使用人員，包括外部業(yè)務(wù)用戶，內(nèi)部運維、開發(fā)、測試，內(nèi)部業(yè)務(wù)用戶，第三方人員等；

l梳理使用人員訪問各應(yīng)用的訪問路徑，并進(jìn)行分類、分級匯總；

l明確關(guān)鍵資產(chǎn)的訪問對象和訪問路徑；

2）訪問路徑的縱深安全控制

l結(jié)合資產(chǎn)價值進(jìn)行訪問路徑風(fēng)險評估，包括現(xiàn)有主要控制措施，補(bǔ)償性控制措施等；

l基于縱深安全防御理念，在各個訪問通道的關(guān)鍵邊界處，進(jìn)行訪問控制、流量檢測、攻擊流量阻斷、虛擬補(bǔ)丁等，同時在訪問資產(chǎn)前，加強(qiáng)對用戶和訪問設(shè)備的身份鑒別、權(quán)限管理等安全措施。

l明確混合云環(huán)境下的網(wǎng)絡(luò)安全目標(biāo)：基于業(yè)務(wù)/應(yīng)用/VPC/人員訪問需求，在網(wǎng)絡(luò)層面實現(xiàn)基本的網(wǎng)絡(luò)隔離和訪問控制功能，對訪問流量進(jìn)行檢測告警，對異常訪問流量進(jìn)行阻斷等。

l對于一些場景如企業(yè)內(nèi)部員工訪問云上SaaS應(yīng)用，可選擇和使用CASB產(chǎn)品對訪問資產(chǎn)和路徑進(jìn)行安全控制；

l考慮使用SDP/ZTNA產(chǎn)品，減少可見攻擊面，加強(qiáng)用戶身份、設(shè)備認(rèn)證和權(quán)限管理，替代VPN訪問通道；