根據CSA(Cloud Security Alliance,云安全聯盟)在今年年初發布的《Cloud Adoption,Practices and Priorities Survey Report》調研報告,73%的受訪對象表示,安全仍舊是企業上云的首要顧慮。
由于云服務器替代傳統服務器承載了與企業生存發展息息相關的互聯網業務,使得用戶對云安全的疑問很大程度上聚焦在云服務器的安全上。
云服務器安全嗎?
這個問題不僅僅限定在看不到摸不著的虛擬化層面。讓用戶感觸更為深刻的是:突然發現,之前很多常見和常用的安全防護系統,特別是“硬件盒子”,都從采購名單上消失了。云計算環境對于安全防護的改變可見一斑。
這樣一來,云服務器的安全該如何實現呢?
云服務器的安全威脅
正像云計算對于互聯網業務革命性的改變一樣,對安全的改變也是徹底的,不僅體現在安全防護理念上,還有對安全交付方式的改變。
不過,安全的本質并沒有因為云計算技術的引入發生改變。
事實上,部署在傳統環境下的服務器和云環境下的服務器,從安全威脅角度上講沒有太多不同。
從上圖可見,云服務器的安全威脅主要包括:
自身存在的脆弱性,例如漏洞(包括虛擬化層面)、錯誤的配置、不該開放的端口等;
外部威脅,例如后門、木馬、暴力破解攻擊等。
不管是部署在傳統數據中心還是云數據中心中,服務器安全都要面對和解決上述兩個方面的威脅。
對于云服務器來說,首先需要解決的是自身脆弱性的問題,特別是漏洞。
存在漏洞的系統就像一間打開窗戶的房間,不管安裝了多么先進的門禁系統,也無法阻擋小偷的光臨。
此外,對服務器關鍵配置和端口的檢查和監控,一方面可以減少攻擊面,另一個方面可以隨時掌握系統安全狀態。
從外部威脅角度上講,暴力破解仍舊是云服務器最大的網絡威脅。暴力破解防護需要覆蓋系統、應用和數據庫三個層面,任何一個層面的缺失都會增大系統遭受入侵的概率。
最后,能否快速發現和清除云服務器上的病毒、木馬和后門是對防護能力的重大考驗。
云服務器的雙重挑戰
云服務器安全主要面臨來自內部和外部的雙重挑戰。
首先,云服務器的脆弱性突出體現在未被修復的漏洞上。
根據國外某安全機構的統計,在金融行業,漏洞平均修復時間長達176天。采用云計算后這個數字稍微有所改善,然而,云服務器漏洞的平均修復時間仍舊是50天。無論是176天還是50天,對于進攻一方來說,足夠遍歷整個服務器。
其次,根據國外某安全公司的測試,“黑客”成功入侵AWS服務器只需要4個小時。表面看是系統脆弱性導致,背后實際上是黑客的暴力破解行為。
在云計算環境中,大部分云服務提供商并不提供暴力破解防護服務,而是建議用戶在服務器上安裝三方防護軟件。事實上,市面流行的云服務器安全軟件一般只提供操作系統層面的暴力破解防護,并沒有覆蓋到應用和數據庫層面。應用和數據庫層面的缺失無疑是在云服務器防護上玩起了“鋸箭”法——操作系統我管,上面的找別人。
第三,絕大多數云服務器安全系統/方案體現為單點防護。
單點防護具有兩個特點:橫向上,針對服務器個體的防護以及縱向上在服務器一個層面進行防護。
橫向上的單點防護體現為每個云服務器都是彼此孤立的個體。在木馬、后門變異樣本層出不窮的今天,如果惡意樣本采集不是實時的,分析和策略分享、下發不能快速完成,將無異于將主動權拱手讓給入侵者。
縱向上的單點體現在,同時也是常見云服務器安全軟件的“通病”,無論是網絡、系統、應用和數據防護都依靠安裝在云服務器上的軟件來完成。先不說防護效果,啟用防護功能需要調用大量的系統資源,等同于發起一場自殘式的拒絕服務攻擊。
最后,安全攻防的背后是人的技能、智慧以及經驗的對抗。
在特定情況下,要求人員介入,快速完成樣本收集、取證、分析和攻擊阻斷。然而,對于大多數企業來說,建立一支具有專業技能的安全攻防團隊是不現實的。
因此,云服務器的安全防護是對平臺化、體系化以及包括快速響應、技術經驗在內運營能力的全面挑戰,而不是簡簡單單安裝一個主機防護軟件就可以實現的。
云服務器防護
一個完整和全面的云服務器防護方案應該包含對內部脆弱性(漏洞、配置、端口等)的快速定位、修復以及對外部威脅的迅速發現和阻斷。
對于內部脆弱性,特別是嚴重威脅云服務器安全的漏洞,不僅要求精準定位,對于絕大部分漏洞來說,自動化的漏洞修復將有效提升安全防護的效率和效果。對于關鍵服務器或有嚴格合規/業務規定的服務器,云服務商應該提供漏洞修復的風險提示,這個工作不應該交給用戶。云盾安騎士軟件提供自動化漏洞修復功能,以及針對補丁的風險評估及修復建議。
其次,對于云服務器首要的外部威脅——暴力破解,防護系統必須涵蓋系統、應用和數據庫。
