上海華訊網(wǎng)絡(luò)系統(tǒng)有限公司作為大中華區(qū)首家AWS安全能力(AWS Security Competency)認(rèn)證合作伙伴,在本次亞馬遜re:Invent上格外關(guān)注安全主題,其中“AWS視角下的零信任”,這個分享是頗為引起共鳴的一個�����。
上海華訊網(wǎng)絡(luò)系統(tǒng)有限公司作為大中華區(qū)首家AWS安全能力(AWS Security Competency)認(rèn)證合作伙伴����,我們在本次亞馬遜re:Invent上格外關(guān)注安全主題��,其中“AWS視角下的零信任”�,這個分享是頗為引起共鳴的一個。在實(shí)際的安全咨詢和公有云項(xiàng)目中�����,我們不斷地思考如何構(gòu)建適合于公有云的安全模型,如何組合����、平衡紛繁復(fù)雜的安全產(chǎn)品和服務(wù),以合理的成本為我們在云中的數(shù)字資產(chǎn)提供較為全面完整的安全保護(hù)���。
目前����,較為流行的安全模型或理念是零信任安全模型�����。零信任安全模型不是單一地以網(wǎng)絡(luò)相關(guān)的控制為基礎(chǔ)��,既“雖然訪問來自可信的網(wǎng)絡(luò)域����,但仍不信任訪問者的身份或所使用的設(shè)備,需要滿足更多的安全防護(hù)機(jī)制”�,其核心在于全面分析和適度完整���。當(dāng)前安全領(lǐng)域的產(chǎn)品與解決方案普遍都是基于零信任安全模型發(fā)展演進(jìn)的��。無論數(shù)字化工作空間���、無邊界網(wǎng)絡(luò)���,還是下一代防火墻,其本質(zhì)都是在網(wǎng)絡(luò)中心安全模型(既基于物理或邏輯的位置尋址進(jìn)行安全控制的模型)的基礎(chǔ)上�����,增加對人和設(shè)備的識別和控制��,構(gòu)建以身份為中心的安全模型�����。
為什么零信任安全模型對于公有云環(huán)境如此重要�?參看下圖可看出,公有云環(huán)境所面臨的安全風(fēng)險結(jié)構(gòu)與傳統(tǒng)數(shù)據(jù)中心有較大不同���。
好在AWS提供了從方法到工具一整套安全體系以幫助用戶應(yīng)對這些安全風(fēng)險���。AWS安全專家Quint在亞馬遜re:Invent的分享中指出����,AWS是傾向于將網(wǎng)絡(luò)中心安全模型與身份中心安全模型合二為一的�。用通俗的話說,就是既關(guān)心從哪里來到哪里去�,也關(guān)心是誰,用什么方式���。在過去�����,由于軟硬件及網(wǎng)絡(luò)的邊界的存在���,網(wǎng)絡(luò)中心安全模型和身份中心安全模型往往是割裂的,通常由不同的安全產(chǎn)品和解決方案防護(hù)���,甚至是由不同的團(tuán)隊(duì)負(fù)責(zé)�,這給實(shí)現(xiàn)零信任安全模型帶來了很大挑戰(zhàn)���。云計(jì)算技術(shù)將軟硬件打包抽象為服務(wù)���,使這種安全模型的融合成為可能����。
云原生和應(yīng)用架構(gòu)現(xiàn)代化等新發(fā)展趨勢給安全架構(gòu)的全面完整提出了更高的要求���,需要考慮的層面更多。亞馬遜re:Invent在分享中以Endpoint為例���,向我們展示了AWS如何通過創(chuàng)新式的設(shè)計(jì)�,來應(yīng)對這種挑戰(zhàn)��,幫助用戶構(gòu)建零信任安全模型�。
一個典型的服務(wù)就是終端節(jié)點(diǎn)(Endpoint)。在示例中�,附加到Endpoint的Policy定義了兩個Condition。其中���,aws:SourceVpce指定了訪問服務(wù)的Endpoint來源����,aws:PrincipalARN指定了可訪問服務(wù)的IAM Role��,即網(wǎng)絡(luò)中心安全模型和身份中心安全模型同時出現(xiàn)在終端節(jié)點(diǎn)策略中�����。對于傳統(tǒng)網(wǎng)絡(luò)工程師來說,Endpoint是一個全新的網(wǎng)絡(luò)概念�����。Amazon VPC終端節(jié)點(diǎn)有三種類型��,分別是接口終端節(jié)點(diǎn)(Interface Endpoint)����、網(wǎng)關(guān)終端節(jié)點(diǎn)(Gateway Endpoint)和網(wǎng)關(guān)負(fù)載均衡終端節(jié)點(diǎn)(Gateway Load Balancer Endpoint)。
事實(shí)上���,Endpoint大致可以看作將網(wǎng)絡(luò)接口���、網(wǎng)關(guān)、負(fù)載均衡和應(yīng)用防火墻四類傳統(tǒng)網(wǎng)絡(luò)組件融合抽象成的網(wǎng)絡(luò)云服務(wù)�����,這種功能上的整合無疑大幅降低了網(wǎng)絡(luò)的復(fù)雜度和構(gòu)建成本����,幫助用戶更容易地實(shí)現(xiàn)零信任安全模型����。更重要的是�,終端節(jié)點(diǎn)策略的邏輯和編寫方式,與基于身份的策略(Identity-based policy)�、基于資源的策略(resource-based policy)����,以及Organization的服務(wù)控制策略(Service Control Policy,SCP)是高度一致的���,從而在整個AWS環(huán)境形成了一套多層次的安全策略體系����。
除了亞馬遜re:Invent分享中提到的例子����,Amazon Elastic Kubernetes Service(Amazon EKS)也是一個很好實(shí)現(xiàn)身份中心安全模型的服務(wù)。在容器架構(gòu)下���,我們可以通過IAM roles for service account或Pod execution role���、Service-Linked role�、Cluster IAM role以及Node IAM role將AWS身份中心的安全模型擴(kuò)展到容器環(huán)境中�,實(shí)現(xiàn)容器的管理平面和計(jì)算平面到其他云服務(wù)和資源的零信任控制。
零信任安全模型其實(shí)并不局限于身份維度���。在實(shí)際項(xiàng)目中���,我們其實(shí)可以通過Policy condition key將其他維度增加到安全模型中。例如�,aws:CurrentTime和aws:EpochTime可以在時間維度增加控制,aws:UserAgent可以在客戶端維度增加控制����。另外,web identity federation和SAML-based AWS STS federation可以將身份中心安全模型擴(kuò)展到IAM身份以外��,增加更多可控維度��,如根據(jù)用戶的部門或職級進(jìn)行控制等����。
Quint舉的另一個例子是Amazon WorkSpaces的應(yīng)用。虛擬桌面是構(gòu)建新型安全邊界的另一種手段����,其本質(zhì)是將高度可控的訪問終端設(shè)備限定在AWS環(huán)境范圍內(nèi)�,為應(yīng)用訪問增加了身份和其他安全控制維度��,適合于一些應(yīng)用類型復(fù)雜��,不易實(shí)現(xiàn)零信任安全模型的場景��。除了Amazon WorkSpaces���,像AWS System Manager和Amazon Cognito這樣的服務(wù),也都可以幫助用戶將AWS的身份中心安全模型擴(kuò)展到非AWS的系統(tǒng)和應(yīng)用中����。
零信任安全模型的建立,主要是通過多維度安全策略進(jìn)行實(shí)現(xiàn)�����,而以AWS為代表的公有云服務(wù)�,已經(jīng)在一定程度上實(shí)現(xiàn)了對多維度安全策略的支持,是一個“相對完美的解決方案”���。但這并不是一個開箱即用的過程����,需要從架構(gòu)角度進(jìn)行精細(xì)化的分析。通常來說�����,可以將云服務(wù)進(jìn)一步抽象為平臺服務(wù)和承載服務(wù)兩類����。對于承載服務(wù),又通常劃分為管理平面(如Amazon EKS中用戶不可見的管理節(jié)點(diǎn)���、Amazon EMR中用戶可見的Master節(jié)點(diǎn))��、計(jì)算平面(如Amazon EKS中的Node Group)和數(shù)據(jù)平面(如Amazon Elastic Block Store(Amazon EBS)��、Amazon Simple Storage Service(Amazon S3)���、Amazon RDS)三部分。
對于不同的服務(wù)和組成部分����,往往需要使用不同的手段來進(jìn)行網(wǎng)絡(luò)、身份和其他維度的控制����。對于身份�,往往又區(qū)分為平臺用戶�����、系統(tǒng)及環(huán)境用戶���、終端應(yīng)用用戶�����、設(shè)備及服務(wù)等幾類身份����。零信任安全模型需要對這些不同架構(gòu)邊界之間的訪問關(guān)系進(jìn)行詳細(xì)的分析�,將安全融入到架構(gòu)中�,這也是AWS強(qiáng)調(diào)的Security By Design的意義所在。
限于篇幅����,這里無法進(jìn)行更多的舉例展開和代碼分析,但更重要的是���,零信任安全模型是一個思考框架而不是一個技術(shù)或方法�����。希望通過本文的拆解舉例����,能夠幫助您更好地理解AWS云服務(wù)的設(shè)計(jì)理念和運(yùn)作邏輯,設(shè)計(jì)出更符合自己需求的零信任安全模型����。
最后,我們總結(jié)了在構(gòu)建公有云零信任安全模型實(shí)踐中的一些經(jīng)驗(yàn)與建議���,供大家參考:
1�����、將身份和設(shè)備管理納入云架構(gòu)中統(tǒng)一考慮����,充分利用AWS IAM的Federation特性���,以及云服務(wù)對IAM Role的支持�,考慮設(shè)備安全和管理解決方案。
2�����、設(shè)定權(quán)限邊界和使用IAM訪問分析���,以及借助AWS Marketplace中的Cloud Workload Protection(CWP)等第三方安全產(chǎn)品��,幫助構(gòu)建身份中心安全體系���。
3、從架構(gòu)角度�,而不是根據(jù)經(jīng)驗(yàn)和單一方案來進(jìn)行安全設(shè)計(jì),尤其是從未使用過的云服務(wù)���。安全產(chǎn)品的功能往往存在交疊的情況���,只有從架構(gòu)角度而不是產(chǎn)品角度進(jìn)行考慮才能做到合理取舍���。
4���、除了架構(gòu)層面的維度��,還要從云資源的生命周期角度考慮安全����。也就是說���,除了運(yùn)行外�,構(gòu)建����、交付和銷毀的過程也需要考慮安全。
5����、在混合云環(huán)境中,可以考慮使用統(tǒng)一的安全解決方案構(gòu)建零信任安全模型����,但要注意第三方方案無法覆蓋的盲點(diǎn)。
6���、除了防護(hù)體系�����,以下安全支撐體系也需要著重考慮:安全信息管理(包括收集�����、存儲��、查詢����、可視化、分析支持�����、智能分析等)���、DevSecOps����、安全自動化運(yùn)維����。
7����、風(fēng)險識別與評估體系�����,平衡安全成本與風(fēng)險��,通常使用公有云原生的安全特性與安全服務(wù)可以幫助用戶簡化安全架構(gòu)和降低安全成本��。
立即登錄��,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于AWS云計(jì)算�,本站不擁有所有權(quán)���,不承擔(dān)相關(guān)法律責(zé)任���。文章內(nèi)容系作者個人觀點(diǎn),不代表快出海對觀點(diǎn)贊同或支持�。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除���!
閩公網(wǎng)安備 35010202001226號
