樓蘭云：分享公有云運維安全常見四大難題及解決方案

樓蘭云：共享公有云運維平安常見四大難題及解決方案乘長假回顧十年工作，深感運維平安是企業(yè)平安保障的基石。平安運維和運維平安是兩個概念。運維是工程師對各種平安設(shè)備和軟件進行運維保障系統(tǒng)平安，而運維平安相比之下是涵蓋了整個云計算系統(tǒng)和平安有關(guān)的方方面面。本文主要探討公有云環(huán)境下運維平安常見的難題及解決方案。公有云運維平安四大風(fēng)險目前運用公有云的用戶可以分為兩類：一起先業(yè)務(wù)就部署在公有云上面，主要以新興互聯(lián)網(wǎng)公司為主。已經(jīng)有自建的IT環(huán)境，須要向公有云上遷移。伴隨著用戶IT環(huán)境從傳統(tǒng)自建IDC向公有云環(huán)境的轉(zhuǎn)變，運維工作也從內(nèi)網(wǎng)環(huán)境遷移到公網(wǎng)中，這對用戶來說是一個特別大的變更。本文主要探討傳統(tǒng)IT環(huán)境向公有云遷移面臨的運維平安問題，要知道，傳統(tǒng)IT環(huán)境下全部IT基礎(chǔ)設(shè)施和數(shù)據(jù)都是用戶自己掌控。從心理上來講用戶感覺會更平安，對公網(wǎng)的暴露面也更小。一旦用戶將業(yè)務(wù)和數(shù)據(jù)都遷移到公共云上，用戶可能會有擔(dān)心全感。事實上，公共云在基礎(chǔ)架構(gòu)平安性方面遠超一般用戶自建的IDC，主要體現(xiàn)在以下四個方面：因為公有云IDC機房建設(shè)規(guī)格特別高，所以公有云的IDC機房在電力、空調(diào)等方面可用性更有保障;公有云有比較好的網(wǎng)絡(luò)資源，所以公有云的網(wǎng)絡(luò)質(zhì)量更好;公有云的服務(wù)器都是批量選購 和檢測，并且一般都有牢靠的存儲系統(tǒng)，公有云的硬件牢靠性也更有保障;公有云系統(tǒng)、平安方面都有特別專業(yè)的團隊，都是業(yè)界頂級水平，運用公有云在系統(tǒng)、平安方面的風(fēng)險更小。但是，筆者從事運維工作十年，最近在公共云運維實踐過程中也發(fā)覺：計算環(huán)境從本地到云端自身平安性是提高了，但云上的運維工作卻面臨著一些新的平安風(fēng)險和挑戰(zhàn)。因為公共云的運維管理工作必需通過互聯(lián)網(wǎng)完成，和傳統(tǒng)IT環(huán)境運維有很大不同，總結(jié)起來風(fēng)險主要來自以下四個方面：運維流量被劫持：公共云場景下運維最大的變更就是運維通道不在內(nèi)網(wǎng)，而是完全通過互聯(lián)網(wǎng)干脆訪問公共云上的各種運維管理接口。很簡單被嗅探或中間人劫持攻擊，造成運維管理賬號和憑證泄露。運維管理接口暴露面增大：原來黑客須要入侵到內(nèi)網(wǎng)才能暴力破解運維管理接口的密碼，而現(xiàn)在公共云上的用戶一般都是將SSH、RDP或其它應(yīng)用系統(tǒng)的管理接口干脆暴露在互聯(lián)網(wǎng)。只能依靠認證這一道防線來保證平安，黑客僅需破解密碼或繞過認證機制就能干脆獲得管理員權(quán)限。賬號及權(quán)限管理困難：多人共享系統(tǒng)賬號密碼，都運用超級管理員權(quán)限，存在賬號信息泄露和越權(quán)操作風(fēng)險。操作記錄缺失：公共云中的資源可以通過管理限制臺、API、操作系統(tǒng)、應(yīng)用系統(tǒng)多個層面進行操作。假如沒有操作記錄，一旦出現(xiàn)被入侵或內(nèi)部越權(quán)濫用的狀況將無法追查損失和定位入侵者。這些風(fēng)險都是公共云場景下進行運維工作的常見風(fēng)險。公有云運維平安八大措施阿里云在創(chuàng)立第一天就認定平安是頭等重要的事情。針對這些問題，阿里云供應(yīng)了多種平安防護措施供用戶運用。用戶可以利用阿里云平臺產(chǎn)品自身的平安機制、云盾、云市場中的第三方平安產(chǎn)品協(xié)作，來緩解或消退這些風(fēng)險。加強運維平安工作可以實行的具體措施如下：1.運用VPC網(wǎng)絡(luò)幫助用戶基于阿里云(://click.aliyun/m/2185/)構(gòu)建出一個隔離的網(wǎng)絡(luò)環(huán)境。用戶可以完全掌控自己的虛擬網(wǎng)絡(luò)，包括選擇自有IP地址范圍、劃分網(wǎng)段、配置路由表和網(wǎng)關(guān)等。從運維平安的角度動身運用VPC網(wǎng)絡(luò)還須要再對VPC網(wǎng)絡(luò)內(nèi)部網(wǎng)段進行劃分，一般建議分為三個網(wǎng)段：互聯(lián)網(wǎng)應(yīng)用組、內(nèi)網(wǎng)應(yīng)用組、平安管理組。三個網(wǎng)段之間采納平安組隔離，并設(shè)置相應(yīng)的訪問限制策略，限制全部實例SSH、RDP等運維管理端口只允許平安管理組訪問。建議策略如下：互聯(lián)網(wǎng)應(yīng)用組建議策略平安管理組建議策略內(nèi)網(wǎng)應(yīng)用組建議策略2.搭建從運維工作地到阿里云的加密運維通道，用戶可以在阿里云平安市場購買專業(yè)的VPN設(shè)備來搭建加密運維通道，保證運維流量不被劫持。運維用的VPN一般建議采納L2TP/IPSECVPN，可以采納SiteToSite或撥號兩種模式。假如是有大量運維人員在固定辦公地點辦公可以運用SitetoSite模式，建立一條從運維辦公地到公共云的長連接加密通道，公共云上的平安管理組網(wǎng)段就相當(dāng)于本地運維網(wǎng)絡(luò)的延長。假如運維人員較少并且常常移動辦公，可以采納撥號VPN的模式，須要運維時再撥號連入平安管理組網(wǎng)段。當(dāng)然也可以同時采納這兩種模式，兼顧固定地點和移動辦公運維。最終再建議假如運用撥號模式VPN時，肯定要啟用雙因素認證，協(xié)作數(shù)字證書或動態(tài)口令令牌運用，提高VPN接入平安性。3.運用阿里云RAM，將阿里云主賬號與日常運維賬號分別，限定運維賬號管理權(quán)限和范圍。這樣即使運維賬號信息泄露也不會危及整個云基礎(chǔ)設(shè)施平安。RAM最佳實踐如下：為根賬戶和RAM用戶啟用MFA建議您為根賬戶綁定MFA，每次運用根賬戶時都強制運用多因素認證。假如您創(chuàng)建了RAM用戶，并且給用戶授予了高風(fēng)險操作權(quán)限(比如，停止虛擬機，刪除存儲桶)，那么建議您給RAM用戶綁定MFA。具體了解多因素認證請參考管理MFA設(shè)備運用群組給RAM用戶安排權(quán)限一般狀況下，您不必對RAM用戶干脆綁定授權(quán)策略，更便利的做法是創(chuàng)建與人員工作職責(zé)相關(guān)的群組(如admins、developers、accounting等)，為每個群組綁定合適的授權(quán)策略，然后把用戶加入這些群組。群組內(nèi)的全部用戶共享相同的權(quán)限。這樣，假如您須要修改群組內(nèi)全部人的權(quán)限，只需在一處修改即可。當(dāng)您的組織人員發(fā)生調(diào)動時，您只需更改用戶所屬的群組即可。將用戶管理、權(quán)限管理與資源管理分別一個好的分權(quán)體系應(yīng)當(dāng)支持權(quán)力制衡，盡可能地降低平安風(fēng)險。在運用RAM時，您應(yīng)當(dāng)考慮創(chuàng)建不同的RAM用戶，其職責(zé)分別是RAM用戶管理、RAM權(quán)限權(quán)限、以及各產(chǎn)品的資源操作管理。為用戶登錄配置強密碼策略假如您允許用戶更改登錄密碼，那么應(yīng)當(dāng)要求他們創(chuàng)建強密碼并且定期輪換。您可以通過RAM限制臺為RAM用戶創(chuàng)建密碼策略，如最短長度、是否須要非字母字符、必需進行輪換的頻率等等。定期輪轉(zhuǎn)用戶登錄密碼和訪問密鑰建議您或RAM用戶要定期輪換登錄密碼或訪問密鑰。在您不知情的時候，假如出現(xiàn)憑證泄露，那么憑證的運用期限也是受限制的。您可以通過設(shè)置密碼策略來強制RAM用戶輪換登錄密碼或訪問密鑰的周期。撤銷用戶不再須要的權(quán)限當(dāng)一個用戶由于工作職責(zé)變更而不再運用權(quán)限時，您應(yīng)當(dāng)剛好將該用戶的權(quán)限進行撤銷。這樣，假如在不知情的時候，當(dāng)用戶的訪問憑證泄露時對您帶來的平安風(fēng)險最小。將限制臺用戶與API用戶分別不建議給一個RAM用戶同時創(chuàng)建用于限制臺操作的登錄密碼和用于API操作的訪問密鑰。通常只給員工創(chuàng)建登錄密碼，給系統(tǒng)或應(yīng)用程序只創(chuàng)建訪問密鑰。運用策略限制條件來增加平安性建議您給用戶授權(quán)時設(shè)置策略限制條件，這樣可以增加平安性。比如，授權(quán)用戶Alice可以關(guān)停ECS實例，限制條件是Alice必需在指定時間、并且您公司網(wǎng)絡(luò)中執(zhí)行該操作。不要為根賬戶創(chuàng)建訪問密鑰由于根賬戶對名下資源有完全限制權(quán)限，所以為了避開因訪問密鑰泄露所帶來的災(zāi)難性損失，我們不建議創(chuàng)建根賬號訪問密鑰并運用該密鑰進行日常工作。創(chuàng)建根賬號的訪問密鑰須要通過登錄阿里云限制臺才能完成，該操作須要多因素認證，并且還支持嚴格的風(fēng)控檢查。只要根賬戶不主動創(chuàng)建訪問密鑰，賬號名下的資產(chǎn)平安風(fēng)險可控。遵循最小授權(quán)原則最小授權(quán)原則是平安設(shè)計的基本原則。當(dāng)您須要給用戶授權(quán)時，請授予剛好滿意他工作所需的權(quán)限，而不要過渡授權(quán)。比如，在您的組織中，假如Developers組員(或者一個應(yīng)用系統(tǒng))的工作職責(zé)只須要讀取OSS存儲桶里的數(shù)據(jù)，那么就只給這個組(或應(yīng)用系統(tǒng))授予OSS資源的只讀權(quán)限，而不要授權(quán)OSS資源的全部權(quán)限，更不要授予對全部產(chǎn)品資源的訪問權(quán)限。4.Linux運用密鑰登錄，不要運用賬號密碼登錄，一勞永逸的解決賬號暴力破解問題。具體配置方法如下(Ubuntu14.04.1為例)：一.生成密鑰的公鑰和私鑰#ssh-keygen-trsaGeneratingpublic/privatersakeypair.?Enterfileinwhichtosavethekey(/root/.ssh/id_rsa):?Createddirectory'/root/.ssh'.?Enterpassphrase(emptyfornopassphrase):#輸入密碼?Entersamepassphraseagain:#輸入密碼?Youridentificationhasbeensavedin/root/.ssh/id_rsa.?Yourpublickeyhasbeensavedin/root/.ssh/id_rsa.pub.?Thekeyfingerprintis:?1c:37:a8:a3:65:a2:4a:89:ab:46:30:ad:54:d1:40:ebroot@iZ28vo50eu5Z二.將生成的私鑰(id_rsa)下載到本地的windows機器上，并把公鑰導(dǎo)入到.ssh/authorized_keys文件中去#cd/root/.ssh/#catid_rsa.pub>authorized_keys三.設(shè)置sshd服務(wù)器服務(wù)，打開以下設(shè)置：RSAAuthenticationyesPubkeyAuthenticationyesAuthorizedKeysFile/root/.ssh/authorized_keys修改以下設(shè)置：ChallengeResponseAuthenticationnoPasswordAuthenticationnoUsePAMno四.重啟ssh服務(wù)#servicesshrestart五.導(dǎo)入私鑰到遠程工具中，比如xshell。5.可以修改ECSWindows服務(wù)器的默認遠程桌面3389端口，以降低針對遠程桌面的惡意掃描和攻擊。具體配置方法如下：一.運用工具進行自動修改您可以在云市場中購買和運用【3389遠程端口修改工具】進行3389默認端口的自動修改。二.手工修改：1)【起先】----【運行】中輸入"regedit"打開注冊表編輯器;2)依次綻開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp"注冊表項;3)其下的"PortNumber”鍵值所對應(yīng)的端口號就是遠程桌面端口，將其修改為用戶須要的端口即可;4)再依次綻開注冊表中"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp"注冊表項;5)同樣根據(jù)上面的方法將"PortNumber"鍵值進行更改保存。留意：修改后須要檢查防火墻、tcp/ip篩選中是否有平安規(guī)則限制，并須要重啟服務(wù)器后生效。1)Windows2003開啟端口方法：遠程登陸服務(wù)器后，進入限制面板雙擊“windows防火墻”，打開防火墻后，點擊“例外”選項卡可以看到服務(wù)器上已添加的開放端口，點擊“添加端口”，在彈出的框中輸入您須要添加的端口號，確定完成。再進入限制面板點擊“網(wǎng)絡(luò)連接”，在外網(wǎng)網(wǎng)卡上點擊鼠標(biāo)右鍵“屬性”，并雙擊“Internet協(xié)議(TCP/IP)”，點擊“高級”，在彈出的框中點擊“選項”，點擊“屬性”，在TCP/IP篩選的彈出框中，添加TCP協(xié)議的端口，確定后重啟服務(wù)器，端口就開通了。2)Windows2008開啟端口方法：遠程登陸服務(wù)器后，進入限制面板--wiindows防火墻，打開windows防火墻，選擇“高級設(shè)置”，左上方選擇“入站規(guī)則”，在右上方選擇“新建規(guī)則”，進入規(guī)則向?qū)ы撁孢x擇“端口”，下一步協(xié)議選擇“TCP”，選擇特定本地端口填寫您要開啟的端口號，下一步選擇“允許連接”，下一步設(shè)置允許應(yīng)用到的規(guī)則域區(qū)域，建議全部選擇，下一步設(shè)置端口名稱，完成即可。6.安裝云盾安騎士客戶端，安騎士不僅能攔截密碼破解和發(fā)覺異地登錄問題，還能提高主機平安防護實力，舉薦用戶都安裝。7.運用集中的特權(quán)及賬號管理系統(tǒng)統(tǒng)一管理運維賬號和權(quán)限，比如阿里云平安市場中的專業(yè)堡壘機，解決系統(tǒng)賬號復(fù)用、運維權(quán)限混亂、運維過程不