云計算已在全球范圍內廣泛采用,而且預計未來幾年內還會得到進一步增長。業務敏捷性無疑已成為企業采用云計算的主要優勢和關鍵動力,原因在于可以更快地獲取和部署IT 資源。一經部署,這些資源便可按需增減以滿足需求。據RightScale“2017 云現狀報告”(在下方圖片中示出),報告中有 95% 的受訪者表示他們在使用云。顯然,所有云平臺(包括公有云和私有云)的采用都十分可觀,而且更重要的是,組織在構建其混合云環境時會利用多個供應商。

同時,Gartner 稱,安全性始終是采用云計算的最大妨礙因素。

這不足為奇,因為云服務本質上是共享且始終連接的動態環境,因而其在安全性方面便成為一個難題。將計算資源和數據遷移到公有云環境意味著,您需與云服務供應商共同承擔安全責任。盡管基礎設施保護由供應商提供,但您希望并需要能夠控制自己的數據,保持其完全私有性,且保護自己所有的云資產,同時還能保持遵守監管要求。Check Point CloudGuard使用高級威脅防護安全功能保護私有云和公有云中的應用程序與數據,同時實現與公有云和混合云環境的可靠連接。

本文件側重于架構設計和安全性。其實際是一個藍圖,允許您實現最佳安全控制和可見性,與云基礎設施的敏捷性、靈活性及自動化本質保持一致。關于詳細的操作指令,每個平臺皆存在獨立文檔,以提供關于解決方案創建及部署的實踐指導。

如上所述,組織希望更好地利用其IT 資源,并將其與云勢必提供的最新且最大的如下優勢特征相結合:敏捷性 - 縮短上市時間間隔靈活性 - 按需擴展和收縮資源有效性 - 僅根據使用的功能付費在設計基于云的環境時,基本要求便是相應架構需匹配您以及您客戶的業務用例,同時保持無懈可擊的卓越安全性。

本文件重點介紹以安全方式構建基于云的環境時,需遵循的必要原則和最佳實踐。

五大原則

1.具有高級威脅防護的邊界安全近年來,攻擊的頻率和時下所用惡意軟件的復雜程度都已明顯提高。這種情況的出現與漏洞掃描、Web 用程序攻擊和暴力攻擊相關的云事件不無關系。許多組織誤以為其云服務供應商(CSP) 會負責保護他們云中數據的安全。事實并非如此。

安全是CSP 的第一要務,但是他們通常按照所謂的“共享責任模式”范式進行操作。這實際意味著,CSP 承擔云“的”任何東西的完全所有權(和責任),而客戶自行承擔有關云“中”任何東西的全部責任。CSP 還為客戶提供若干免費的基本安全防護工具,但從最新的威脅和數據泄露事件來看,很明顯,更多高級威脅防護不可或缺,客戶需負責為自己的數據提供保護。

因此,組織必須使用一流的保護功能抵御現代攻擊,從而為其環境提供堅實屏障。這可在環境邊界之上應用,適用于進出環境的主要流量交匯處。

2.分區網絡分區通常旨在縮小網絡攻擊面,并限制惡意威脅在整個網絡內自由傳播的能力。最近的網絡攻擊很大程度上依賴于在網絡內橫向傳播,并感染該網絡內的其他機器。這種行為再一次說明通過應用程序或服務對網絡進行分割,并在這些網絡分段之間配置一流安全防護的必要性。安全執行在兩個層面完成。第一層處于訪問級別,其中防火墻策略用于允許某些流量正常流動,以認可正常的應用程序操作,但也可以攔截這些分段之間的有害流量。

在威脅防護的第二層之上,防火墻檢查訪問級別所允許的流量,但需要徹底對其進行檢查,以識別這些流中的惡意行為。這樣,應用程序間就可以相互安全通信。進一步講,云的軟件定義網絡(SDN) 功能還使我們能夠將這些高級保護檢查點置于單個主機之間(甚至在同一網絡分段內),并實現通常所說的“微分段”。

藍圖中所涵蓋分區的另一方面是,從方法上執行流量限制和分區,以避免可能導致資產對外泄露的人為錯誤和錯誤配置引起的數據泄露。該方法的實踐方式是,例如系統性地攔截穿過網絡一個區段的橫向移動,同時允許其在另一個受到密切監控且已實施安全控制措施的替代受制區段上。

3.敏捷性云勢必提供的按需本質能夠高速運行業務,并真正實現敏捷應變。如果花費數周時間來配置服務器和服務,或如果安全運行成為業務的重大障礙,則幾乎不可能采用現代化的有效業務實踐,因為每個申請或審批流程都冗長且耗時。此藍圖的架構方式是在培養敏捷性的同時,確保在不失控且不增加運行風險的情況實現速度增長。

這可通過在組織中不同利益相關方之間創建范圍內的所有權委派來實現。通過這種方式,DevOps、應用程序所有者以及其他群組均可享有資源和環境上的更高權限級別。如此,他們可以自由創建并對其進行管理。伴隨更大權限而來的是更多責任,需要自行負責工作負載之內以及之間的訪問控制,同時讓網絡和安全團隊負責威脅防護和高級安全防護考量。

4.自動化、有效性及靈活性云自動化是一個寬泛的術語,與組織用以減少與配置和管理云計算工作負載相關之手動操作的流程和工具有關。顯然,這與安全運行也切實相關,因為在云環境中,手動保護工作負載和資源的傳統方式已不再適用。如果因安全運行要求而導致業務敏捷性受阻,則可能(通過使用變通方法)忽略前者,或是選擇性地以不妨礙業務的方式開放保護措施。就云安全運行而言,自動化對減少潛在風險和消除一些組織流程中的人為因素至關重要。藍圖本質上完全支持并促進流程和步驟的自動化實施,從使用預配置模板完成的環境配置階段,到使用動態自適應策略完成的日常策略操作,其中無需人為干預。

5.無邊界如前所述,通過多個云供應商啟動和運行其工作負載正日益成為企業客戶的慣例,而主要目的則是為了更好地支持其業務要求。在單一和異構環境中使用多個云計算供應商通常也稱為多云戰略。這一戰略的確前景看好。

若利用位于不同地理位置并擁有大量新興技術的多個云供應商,會面臨諸如以下安全挑戰:

a. 跨所有環境執行一致的安全策略

b. 從統一的中心點輕松管理安全狀況

c. 安全地連接各種云和位置

d. 允許應用程序輕松安全地與彼此進行通信,而無需考慮其位置如何e. 能夠提供深入不同位置之中以及之間流量流動的可見性藍圖能夠應對上述挑戰并提供支持,敦促企業遵循這一戰略。

下述藍圖架構旨在符合以上指導方針要求,并確保企業安全地遷移到云。      

該架構概念基于“中心輻射型”模式,其中將環境設置為一種通信線路的系統,其中的通信線路像鋼絲輻輪一樣布置,其內的所有分支都連接到一個中介器(中心)上,所有進出分支的流量都要遍歷通過中介器(中心)。藍圖中提議在同一環境中使用兩個這樣的中心,以便進行流量分離。

分支每個分支都是一個獨立的網絡環境,其包含一個或多個網絡子網的集合,典型的工作負載可從中安裝及運行。一個常見用例是包含多個虛擬服務器的分支,這些虛擬服務器組成部分或整個應用程序堆棧(Web、應用程序和數據庫)。

另一個用例是用作現有本地網絡擴展的分支,如一組用于測試的QA 服務器,或一組數據處理服務器,這些服務器利用云的按需配置降低成本并提高敏捷性。本藍圖屬于高級別的設計文檔,適用于所有領先的云環境,如AWS、Azure、Google、Oracle 云、阿里云等。

中心如下圖所示,我們在環境中使用兩個中心。這樣可實現整個環境內的靈活性,并將通信類型進行系統性分離。一個中心旨在接收來自互聯網的傳入流量,另一個用于分支之間的橫向流量、進出公司網絡的流量以及傳出到互聯網或其他云環境的流量。環境內流量通過配置中心和分支間的路由及連接,可以將中心設定成進出環境的唯一路徑,以及環境中分支內部和分支之間流通的唯一路徑,因為分支間并沒有彼此直接連接,實際上只能通過其中一個中心進行訪問。這樣也能確定出環境的邊界和分區。

邊界安全邊界劃定在中心上進行(北和南)。推薦在邊界上啟用的安全保護包括防病毒軟件、防僵尸網絡和IPS。分區通過將資源置于不同的分支,并對進出分支的流量執行安全控制,從而實現分區。

藍圖中的三大主要分支類型是:僅面向互聯網(如上圖中的分支 1) - 這些分支連接至北向中心,因此只能通過來自互聯網的進站流量進行訪問。通常,這些分支將托管面向互聯網以及需要從互聯網訪問的前端服務器。從這些分支到企業資源或環境中其他分支的連接受到系統性攔截,且無法通過簡單配置啟用(以此避免人為失誤和錯誤,以防將保密資源泄露給公眾)。

僅面向私有(如上圖中的分支 2) - 此類分支只連接至南向中心,因此系統性地無法從互聯網訪問,而只能通過VPN 和/或直接連接至公司網絡或環境中其他分支進行訪問(根據南向防火墻的安全策略)。此類分支的一個實例就是托管數據庫(DB) 服務器。我們不希望可以從互聯網直接訪問這些服務器,但希望能夠具有安全的連接。

組合(如上圖中的分支 3) - 此類分支適用于既可以從互聯網訪問,也要求后端訪問其他分支或公司網絡的服務器。此類用例之一是網站服務器,一端連接到互聯網,另一端需要訪問應用程序服務器或數據庫服務器。

敏捷性

為實現和支持業務敏捷性,可以創建分支,并完全隸屬于組織中不同的LOB(業務部門)。事實上,只要符合組織策略,組織中的任何人都可成為分支所有者。分支創建后,其中的服務器、容器及其他任何工作負載均被分支所有者控制和維護。這樣可以實現分支內部自由運行,無論是創建、開發還是啟動服務或應用程序。同時也實現了云環境最大的敏捷性功能,不存在技術支持開銷,并與每個分支中的任何事件無關。自動化如上所述,藍圖的另一個重要方面是將IT 集成到云運行中。藍圖簡化了將 IT 引入云環境的流程,且有助于利用云的自動化和協調等最大功能。

這樣可讓IT 順利運行,使其成為業務的助力者,而非攔路石。通過使用預配置的虛擬防火墻部署模板,IT 只需“單擊按鈕”,甚至無需任何手動配置,即可安全地部署整個環境。這對于環境配置和日常運行都是如此,同時還支持靈活的環境即裝即用。以一個類似于上圖的環境為例。環境中的應用程序所有者添加了一個新的分支。Check Point 管理服務器(SMS) 自動識別此新分支,并自動形成所需的安全進出連接。這樣可提供對新建分支進出流量的全面可見性和控制,并確保符合IT 所確定的標準和策略。組織安全狀況可實現同樣程度的動態性,其中策略可以獲得預先批準,然后動態地分配至工作負載(如基于資源標記)。

更新即時完成,使企業主能夠按照自身的節奏進行,并確保符合公司的策略和標準。無邊界此設計本身還支持在單一云平臺的常規限制之外進行擴展,并能處理云平臺之間的連接,同時在整個環境中維護相同的架構原則和同等的安全狀況。此類多云架構的范例是將服務部署于AWS 和 Azure 的在線游戲公司,其背后的邏輯其實是“最佳”方法,即根據團隊的專業知識和技術優勢選擇每個平臺。例如,網站前端和應用程序層由AWS 托管,跨多個可用性區域以提供冗余,而身份和驗證功能則由Azure 集成 ID 服務提供,數據庫和存儲層托管在本地數據中心。

其他考慮事項統

一管理多云環境中的運行安全性是一個挑戰,因為涉及到管理和控制使用不同管理工具的多個位置的資源。顯然在這種狀況下,即使環境中已解決連接性問題或安全事件,試圖維護統一的策略也會非常麻煩并且效率低下。

R80.10 管理服務器 (SMS) 是一個集成式安全管理解決方案,包含策略、日志記錄、監控、事件關聯和報告,所有功能集中在使用統一安全策略的單一系統中,使得管理者能夠輕松識別整個環境中的安全風險并維護策略安全。統一的策略讓組織能夠將其安全定義轉換成一組簡單的規則,從而在整個組織中簡化策略的管理和執行。

冗余和彈性

作為經驗法則,此藍圖為本地故障事件而創建,具有內置彈性。其在環境的多層上實現。

1. 數據中心級別冗余 – 環境內置到多個(2 個或以上)區域中,每個區域代表一個獨立的數據中心(例如,獨立的網絡、電力、空調,甚至單獨的建筑物)。

2. 軟件級別冗余 – 在整個環境中,網關以 N+1* 冗余性部署。這可根據網關的位置和角色轉換為兩個獨立的解決方案。

a. 在北向中心,基于 http/https 的連接從互聯網傳入,網關以彈性方式實施,其中網關數量基于流經網關的負載而動態變化。此類擴展(也稱水平擴展**)在負載增加時會增加其他網關,并在幾分鐘內投入使用(網關初始化需要五到七分鐘),負載將在網關之間實現平衡。負載減少時,則會移除池中不需要的網關,以實現環境在成本和性能方面的高效。

b. 在南向中心,網關部署為活動備份群集。此擴展機制稱為垂直擴展***。當通過該中心的負載增加時,會分別向各個網關增加更多的資源。* N+1 冗余是一種彈性形式,確保在組件出現故障時的系統可用性。組件 (N) 至少有一個獨立的備份組件 (+1)。** 水平擴展是指通過向資源池增加更多機器進行擴展*** 垂直擴展是指通過在現有機器中提升能力(CPU、內存)進行擴展故障轉移北向中心的網關出現故障時,該網關上的連接不會保留,新的連接將被重新平衡到環境中工作正常的網關。

基于http/https 的連接本質上并無狀態。用戶體驗僅僅是在幾秒內刷新瀏覽器。在南向中心,連接更加多樣化、復雜,且通常有狀態,連接在群集成員之間不斷進行同步?；顒泳W關的故障轉移將導致備用成員重新獲得所有活動連接,并成為活動成員。連接相關性北向中心連接相關性基于客戶的IP 地址和端口號,因此從互聯網發起連接時,負載平衡器會選擇目標網關以發送連接,并且只要會話在進行中,就一直保持該目標。南向中心相關性基于活動成員,因此所有流量總是導向到活動成員。推薦規模通常基于環境內的性能需求及所需的安全級別調整解決方案。

推薦的典型環境組成為:

1. 在北向中心,推薦至少 2 個網關 (N+1),每個配置 4 個虛擬 CPU 內核,8GB 內存。如上所述,擴展是水平進行,因此環境中的負載增長時,新的附加網關會自動添加到環境中。2. 在南向中心,推薦群集包括

2 個網關,每個配置 8 個虛擬 CPU 內核,8GB 內存。增長是垂直進行,意味著會向每個網關增加更多資源(CPU/ 內存)。

災難恢復

對大多數組織而言,通常會建立彈性的架構以應對嚴重事件。通過此藍圖提供的靈活性,可以輕松創建和維護災難恢復站點,作為架構中的另一個站點。而且,可將基礎架構縮小至零冗余,但又足以支持高峰負載。