混合云環(huán)境下的網(wǎng)絡(luò)層安全挑戰(zhàn)

1. 混合云環(huán)境下的網(wǎng)絡(luò)安全變化

傳統(tǒng)IDC環(huán)境下，企業(yè)業(yè)務(wù)可能會(huì)面臨外部互聯(lián)網(wǎng)的DDOS攻擊以及網(wǎng)絡(luò)層的漏洞掃描和惡意流量攻擊等，因此一般會(huì)在機(jī)房出口處部署抗DDOS流量清洗設(shè)備、網(wǎng)絡(luò)層防火墻設(shè)備、網(wǎng)絡(luò)入侵檢測(cè)或入侵防御設(shè)備、防病毒網(wǎng)關(guān)或者統(tǒng)一威脅管理平臺(tái)等。
企業(yè)使用混合云后，網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)和安全控制需求仍然存在，但和傳統(tǒng)IDC環(huán)境相比，混合云業(yè)務(wù)部署可能涉及多家IDC、公有云廠商或者自建私有云等情況，導(dǎo)致信息安全需要在多個(gè)邊界進(jìn)行安全防護(hù)，同時(shí)VPC網(wǎng)段和IDC/私有云網(wǎng)段，不同VPC網(wǎng)段之間的通信訪問需求，也需要在混合云網(wǎng)絡(luò)內(nèi)部不同網(wǎng)段間進(jìn)行訪問控制和流量檢測(cè)，從而給混合云環(huán)境下的網(wǎng)絡(luò)安全帶來更多挑戰(zhàn)。
另外混合云環(huán)境下和邊界相關(guān)的安全問題也包括運(yùn)維通道相關(guān)的VPN和跳板機(jī)軟硬件產(chǎn)品，可通過SDP產(chǎn)品和多云管理平臺(tái)如TiOPS產(chǎn)品進(jìn)行替換，在此不做過多解釋。

2. 混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)

根據(jù)對(duì)傳統(tǒng)網(wǎng)絡(luò)安全的理解，混合云環(huán)境安全特性，以及對(duì)多家公有云廠商的安全產(chǎn)品調(diào)研，我們發(fā)現(xiàn)混合云環(huán)境下的網(wǎng)絡(luò)安全技術(shù)主要包括包括DDOS流量清洗、高防IP、云防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)或網(wǎng)絡(luò)入侵防御系統(tǒng)、虛擬交換機(jī)ACL規(guī)則、云主機(jī)安全組等。
DDOS流量清洗，主要用于防御互聯(lián)網(wǎng)上的DDOS攻擊行為，部署在企業(yè)云業(yè)務(wù)和互聯(lián)網(wǎng)邊界處。高防IP，用戶在業(yè)務(wù)在遭受大流量DDoS攻擊時(shí)，可通過配置高防IP，將攻擊流量引流到云廠商提供的高防IP地址，對(duì)攻擊流量進(jìn)行清洗過濾后再將正常流量轉(zhuǎn)發(fā)到源站IP，從而確保源站IP穩(wěn)定訪問。
防火墻，主要用于實(shí)現(xiàn)互聯(lián)網(wǎng)和VPC、VPC和VPC之間的網(wǎng)絡(luò)訪問控制和網(wǎng)絡(luò)安全。一些公有云廠商也會(huì)在云防火墻上集成NIPS、防病毒、用戶身份認(rèn)證管理等功能。
網(wǎng)絡(luò)入侵檢測(cè)/入侵防御系統(tǒng)，主要用于對(duì)網(wǎng)絡(luò)流量進(jìn)行檢查并基于規(guī)則進(jìn)行告警或阻斷。
虛擬交換機(jī)ACL規(guī)則，主要用于VPC內(nèi)子網(wǎng)間的訪問控制。
安全組，一種虛擬防火墻，具備狀態(tài)檢測(cè)和數(shù)據(jù)包過濾能力，用于實(shí)現(xiàn)云主機(jī)間網(wǎng)絡(luò)層的訪問控制。

3. 公有云廠商網(wǎng)絡(luò)安全技術(shù)比較

不同公有云廠商在網(wǎng)絡(luò)安全方面一般都會(huì)提供包括安全組、虛擬交換機(jī)ACL訪問控制、DDOS流量清洗或高防IP等基礎(chǔ)的網(wǎng)絡(luò)安全服務(wù)。部分成熟的公有云廠商，也會(huì)提供云防火墻、網(wǎng)絡(luò)入侵檢測(cè)/入侵防御系統(tǒng)或防病毒等網(wǎng)絡(luò)安全服務(wù)。
云廠商名稱網(wǎng)絡(luò)層安全技術(shù)/服務(wù)簡(jiǎn)要說明 阿里云DDOS高防IP國內(nèi)清洗中心超過8個(gè)，單中心帶寬大于1T，10T+總防御帶寬。電信、聯(lián)通、移動(dòng)、教育等20線獨(dú)家防御云防火墻南北4-7層流量和東西4層流量的控制檢測(cè)實(shí)現(xiàn)IPS，實(shí)時(shí)流量監(jiān)控，虛擬補(bǔ)丁功能集成安全組功能進(jìn)行統(tǒng)一管理騰訊云DDOS防護(hù)免費(fèi)基礎(chǔ)防護(hù)，高防IP等云防火墻提供互聯(lián)網(wǎng)邊界、VPC 邊界的網(wǎng)絡(luò)訪問控制網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)通過旁路部署方式，無變更無侵入地對(duì)網(wǎng)絡(luò)4層會(huì)話進(jìn)行實(shí)時(shí)阻斷樣本智能分析平臺(tái)惡意樣本智能分析鑒定平臺(tái)，支持常見可執(zhí)行文件（包括32位和64位）、腳本、文檔、壓縮包、ELF 文件、APK 文件等多種，幫助檢測(cè)惡意文件、后門、APT攻擊等高級(jí)威脅檢測(cè)系統(tǒng)采用鏡像流量旁路進(jìn)行檢測(cè)天翼云Anti-DDoS流量清洗Anti-DDoS服務(wù)作為安全服務(wù)的基礎(chǔ)服務(wù)，目前屬于免費(fèi)服務(wù)。DDoS高防IP付費(fèi)增值服務(wù)云下一代防火墻通過虛擬機(jī)方式部署，可串聯(lián)或單臂連接到虛擬網(wǎng)絡(luò)中（如：虛擬應(yīng)用服務(wù)器前端的網(wǎng)關(guān)，或者是VPC網(wǎng)絡(luò)的邊界網(wǎng)關(guān)）。集成用戶認(rèn)證、訪問控制、入侵防御、病毒過濾、授權(quán)管理等多種功能華為云Anti-DDoS流量清洗免費(fèi)提供基礎(chǔ)DDoS 防護(hù)，防護(hù)能力最高可達(dá)5Gbps。本服務(wù)默認(rèn)開啟DDoS高防AAD10+清洗節(jié)點(diǎn)，8T+ DDoS高防總體防御能力，單用戶T級(jí)防御能力，抵御各類網(wǎng)絡(luò)層、應(yīng)用層DDoS/CC攻擊百度智能云流量審計(jì)分析IDS云上旁路入侵檢測(cè)DDOS防護(hù)服務(wù)DDoS防護(hù)服務(wù)為百度智能云上客戶提供5Gb的免費(fèi)DDoS防護(hù)能力。當(dāng)業(yè)務(wù)遭受超過5Gb的DDoS攻擊時(shí)，可以將攻擊流量引向高防中心浪潮云DDOS高防適用區(qū)域：華北一、華北二UcloudDDOS攻擊防護(hù)針對(duì)IP進(jìn)行海量DDoS清洗能力金山云高防IP防護(hù)能力按次購買，100G包年僅需28000

4. 混合云環(huán)境下的網(wǎng)絡(luò)分層防護(hù)方案

混合云環(huán)境下，企業(yè)可以使用綜合考慮各個(gè)云廠商自身提供的網(wǎng)絡(luò)層安全服務(wù)以及云安全市場(chǎng)中其他安全廠商提供的網(wǎng)絡(luò)產(chǎn)品或服務(wù)，從邊界DDOS防護(hù)、邊界云防火墻、VPC間防火墻、虛擬子網(wǎng)間訪問控制及云主機(jī)間的訪問控制等多個(gè)層次，構(gòu)建企業(yè)混合云業(yè)務(wù)的網(wǎng)絡(luò)層縱深防御體系。

l互聯(lián)網(wǎng)邊界處，使用DDOS清洗服務(wù)或高防IP，過濾DDOS攻擊；

l互聯(lián)網(wǎng)邊界處，使用云防火墻和IPS技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)層訪問控制、流量監(jiān)控告警和入侵防護(hù)功能，包括不公有同云廠商集成提供的暴力破解、虛擬補(bǔ)丁、信息竊取、防病毒等功能；

lVPC和VPC邊界處，部署VPC邊界防火墻，對(duì)VPC之間的訪問和流量進(jìn)行管理；

lVPC內(nèi)不同網(wǎng)段間，可使用虛擬交換機(jī)策略，管理同一VPC內(nèi)不同子網(wǎng)間的訪問；

l云主機(jī)之間，使用安全組策略，管理同一VPC內(nèi)不同云主機(jī)之間的訪問；

5. 混合云環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對(duì)

混合云環(huán)境下，因?yàn)閼?yīng)用系統(tǒng)部署、應(yīng)用架構(gòu)調(diào)用、業(yè)務(wù)數(shù)據(jù)流轉(zhuǎn)及使用人員的復(fù)雜性，導(dǎo)致安全人員難以追溯并理清楚各類訪問需求和訪問路徑，無法在用戶和應(yīng)用訪問路徑的關(guān)鍵節(jié)點(diǎn)采取合適的安全防護(hù)措施。不過安全仍然可以從以下兩方面積極應(yīng)對(duì)：

1）梳理訪問關(guān)系

l梳理IDC、公有云、私有云中各類應(yīng)用和應(yīng)用分配的網(wǎng)段；

l梳理應(yīng)用、VPC間訪問和調(diào)用關(guān)系并進(jìn)行分類、分級(jí)匯總；

l梳理使用人員，包括外部業(yè)務(wù)用戶，內(nèi)部運(yùn)維、開發(fā)、測(cè)試，內(nèi)部業(yè)務(wù)用戶，第三方人員等；

l梳理使用人員訪問各應(yīng)用的訪問路徑，并進(jìn)行分類、分級(jí)匯總；

l明確關(guān)鍵資產(chǎn)的訪問對(duì)象和訪問路徑；

2）訪問路徑的縱深安全控制

l結(jié)合資產(chǎn)價(jià)值進(jìn)行訪問路徑風(fēng)險(xiǎn)評(píng)估，包括現(xiàn)有主要控制措施，補(bǔ)償性控制措施等；

l基于縱深安全防御理念，在各個(gè)訪問通道的關(guān)鍵邊界處，進(jìn)行訪問控制、流量檢測(cè)、攻擊流量阻斷、虛擬補(bǔ)丁等，同時(shí)在訪問資產(chǎn)前，加強(qiáng)對(duì)用戶和訪問設(shè)備的身份鑒別、權(quán)限管理等安全措施。

l明確混合云環(huán)境下的網(wǎng)絡(luò)安全目標(biāo)：基于業(yè)務(wù)/應(yīng)用/VPC/人員訪問需求，在網(wǎng)絡(luò)層面實(shí)現(xiàn)基本的網(wǎng)絡(luò)隔離和訪問控制功能，對(duì)訪問流量進(jìn)行檢測(cè)告警，對(duì)異常訪問流量進(jìn)行阻斷等。

l對(duì)于一些場(chǎng)景如企業(yè)內(nèi)部員工訪問云上SaaS應(yīng)用，可選擇和使用CASB產(chǎn)品對(duì)訪問資產(chǎn)和路徑進(jìn)行安全控制；

l考慮使用SDP/ZTNA產(chǎn)品，減少可見攻擊面，加強(qiáng)用戶身份、設(shè)備認(rèn)證和權(quán)限管理，替代VPN訪問通道；