安全边界和威胁

云可以根据其功能、用户和共同的安全问题抽象为一组逻辑组件,我们称之为安全域。威胁行为者和向量根据其动机和对资源的访问权限进行分类。我们的目标是根据您的风险/漏洞保护目标,让您了解与每个域相关的安全问题。

安全域

安全域包括在系统内共享共同信任要求和期望的用户、应用程序、服务器或网络。通常它们具有相同的 身份验证授权 (AuthN/Z) 要求和用户。

虽然您可能希望进一步分解这些域(我们稍后会讨论在何处这样做可能合适),但我们通常指的是四个不同的安全域,它们构成了部署任何 OpenStack 云所必需的最低限度。这些安全域是

  1. 公开

  2. 客户

  3. 管理

  4. 数据

我们选择这些安全域是因为它们可以独立映射或组合,以代表给定 OpenStack 部署中可能信任的大多数领域。例如,某些部署拓扑可能将客户域和数据域组合到一个物理网络上,而其他拓扑则将这些域分开。在每种情况下,云操作员都应了解适当的安全问题。安全域应根据您的特定 OpenStack 部署拓扑进行映射。域及其信任要求取决于云实例是公有、私有还是混合的。

../_images/untrusted_trusted.png

公有

公有安全域是云基础设施中完全不受信任的区域。它可以指整个互联网,或者仅仅指您没有管辖权的任何网络。任何通过此域传输具有保密性或完整性要求的的数据都应使用补偿控制进行保护。

此域应始终被视为不受信任的

客户

通常用于计算实例到实例之间的流量,客户安全域处理云上实例生成的数据,但不包括支持云运行的服务,例如 API 调用。

对实例使用没有严格控制或允许虚拟机无限制访问互联网的公有和私有云提供商应将此域视为不受信任的。如果实施了适当的控制措施以断言实例和所有相关租户都是可信任的,私有云提供商可能希望将此网络视为内部和受信任的

管理

管理安全域是服务交互的地方。有时被称为“控制平面”,此域中的网络传输机密数据,例如配置参数、用户名和密码。命令和控制流量通常驻在此域中,这需要强大的完整性要求。对该域的访问应受到高度限制和监控。同时,此域仍应采用本指南中描述的所有安全最佳实践。

在大多数部署中,此域被认为是受信任的。但是,在考虑 OpenStack 部署时,许多系统会将此域与其他域桥接,从而可能降低您可以信任此域的程度。有关更多信息,请参阅 桥接安全域

数据

数据安全域主要关注 OpenStack 内存储服务相关的的信息。通过此网络传输的大部分数据需要高水平的完整性和保密性。在某些情况下,根据部署类型,可能还需要强大的可用性要求。

此网络的信任级别在很大程度上取决于部署决策,因此我们不为其分配任何默认信任级别。

桥接安全域

桥接 是存在于多个安全域内的组件。任何桥接具有不同信任级别或身份验证要求的安全域的组件都必须经过仔细配置。这些桥接通常是网络架构中的薄弱点。桥接应始终配置为满足其桥接的任何域的最高信任级别的安全要求。在许多情况下,由于攻击的可能性,桥接的安全控制应成为主要关注点。

../_images/bridging_security_domains_1.png

上图显示了一个计算节点桥接数据域和管理域;因此,计算节点应配置为满足管理域的安全要求。同样,此图中的 API 端点桥接不受信任的公有域和管理域,应配置为防止来自公有域的攻击传播到管理域。

../_images/bridging_domains_clouduser.png

在某些情况下,部署者可能希望将桥接的安全级别提高到其所处的任何域的安全级别。鉴于 API 端点的上述示例,攻击者可能会从公有域针对 API 端点,利用它希望破坏或访问管理域。

OpenStack 的设计使得安全域的分离很困难。由于核心服务通常会桥接至少两个域,因此在应用安全控制时必须特别注意。

威胁分类、行为者和攻击向量

大多数类型的云部署,无论是公有还是私有,都会受到某种形式的攻击。在本章中,我们对攻击者进行分类,并总结了每个安全域中潜在的攻击类型。

威胁行为者

威胁行为者是一种抽象的方式,用于指您可能试图防御的一类对手。行为者越强大,成功攻击缓解和预防所需的安全控制成本就越高。安全性是成本、可用性和防御之间的权衡。在某些情况下,可能无法保护云部署免受我们描述的所有威胁行为者的攻击。部署 OpenStack 云的人员将不得不决定他们的部署/使用方式的平衡点在哪里。

情报机构

本指南认为这是最有能力的对手。情报机构和其他国家行为者可以投入巨大的资源来攻击目标。他们拥有的能力超越了任何其他行为者。在没有到位极其严格的控制措施(包括人力和技术)的情况下,很难防御这些行为者。

严重的有组织犯罪

能力强大且以经济驱动的攻击者群体。能够为内部漏洞开发和研究提供资金。近年来,俄罗斯商业网络等组织的兴起表明网络攻击已成为一种商品。工业间谍活动属于严重的有组织犯罪集团。

能力强大的组织

这指的是通常没有商业资金支持但可能对服务提供商和云运营商构成严重威胁的“黑客行动主义者”类型的组织。

动机充足的个人

单独行动,这些攻击者有许多化身,例如失职或恶意的员工、不满意的客户或小规模的工业间谍活动。

脚本小子

自动化的漏洞扫描/利用。非目标攻击。通常只是一个麻烦,但这些行为者的妥协对组织的声誉构成了重大风险。

../_images/threat_actors.png

公有和私有云注意事项

私有云通常由企业或机构在其网络内和防火墙后面部署。企业将对允许退出其网络的数据制定严格的策略,甚至可能为特定目的使用不同的云。私有云的用户通常是拥有云的组织的员工,并且能够对其行为负责。员工通常在访问云之前参加培训课程,并且可能会定期参加安全意识培训。与此形成对比的是,公有云无法对其用户、云用例或用户动机做出任何声明。这立即将客户安全域推入公有云提供商的完全不受信任的状态。

公有云攻击面的一个显着差异是,它们必须为其服务提供互联网访问。实例连接、通过互联网访问文件以及与云控制结构(例如 API 端点和仪表板)交互的能力是公有云的必备条件。

公有和私有云用户的隐私问题通常截然相反。私有云中生成和存储的数据通常由云运营商拥有,他们能够部署诸如 数据丢失防护 (DLP) 保护、文件检查、深度包检查和指令性防火墙等技术。相反,隐私是采用公有云基础设施的主要障碍之一,因为许多上述控制措施不存在。

出站攻击和声誉风险

应仔细考虑云部署的潜在出站滥用。无论是公有还是私有云,云往往拥有大量的资源。攻击者已在云中建立了一个存在点,无论是通过黑客攻击还是授权访问(例如失职员工),都可以将这些资源用于针对互联网的大规模攻击。具有计算服务的云非常适合 DDoS 和暴力破解引擎。这个问题对于公有云来说更为紧迫,因为他们的用户通常无法问责,并且可以快速启动许多一次性实例进行出站攻击。如果公司因托管恶意软件或对其他网络发动攻击而声名狼藉,可能会对其声誉造成重大损害。预防方法包括出站安全组、出站流量检查、客户教育和意识,以及欺诈和滥用缓解策略。

攻击类型

下图显示了来自前一节中描述的攻击者可能预期的典型攻击类型。请注意,总会有此图表的例外情况。

../_images/high-capability.png

攻击类型

每种攻击的规范防御超出了本文档的范围。上图可以帮助您就应防御哪些类型的威胁和威胁行为者做出明智的决定。对于商业公有云部署,这可能包括防止严重犯罪。对于那些为政府用途部署私有云的人员,应实施更严格的保护机制,包括精心保护的设施和供应链。相反,那些建立基本的开发或测试环境的人可能需要较少的限制性控制(频谱中间)。