上海儀電Azure Stack技術系列8：Azure Stack 雲安全概述

1 概述

Azure Stack作為一款混合雲產品，安全防護及安全的業務提供是必備基礎能力，本篇將來探究一下Azure Stack在安全層面所提供的技術保障以及需要加固的方方面面。

1.1 雲安全的定義

早在2008年，當很多人還認為雲計算還處於概念階段時，趨勢科技和瑞星等安全廠商紛紛宣布「雲安全」計劃，在國內雲安全這一概念名詞由此誕生。「雲安全」計劃的提出是為了應對病毒的日益泛濫，做法是將病毒資料庫放在「雲」端，讓「雲」端對不安全鏈接直接判斷，阻止其進入用戶機器。雲安全一詞在國內大受殺毒廠商的追捧，其核心思想是利用大規模的雲計算來抵禦日益複雜多樣的黑客攻擊與病毒攻擊。

在國外，安全軟體處於雲端的做法，稱之為基於雲的安全軟體-Cloud-Based Security或者安全即服務-Security as a Service。

而本文所提及的雲安全（Cloud Security）,是雲計算安全性（Cloud computing security）的簡稱，顧名思義，是關注云計算業務系統本身的安全性，其概念採用維基百科的解釋：通過部署一套廣泛的策略、技術與控制方法, 來保護數據、應用程序、與雲計算的基礎設施的安全性。

1.2 雲計算環境下的安全問題

雲計算的安全疑慮很多，每個建設環節都可能導致安全問題，包括物理機房環境、網路、應用、數據存儲等各方面的安全。除去機房環境，可以簡單歸結為以下幾個方面：

1) 身份認證：雲計算服務商在對外提供服務的過程中，需要同時應對多租戶的運行環境，保證不同用戶只能訪問企業本身的數據、應用程序和存儲資源。

2) 數據保護：這是目前雲計算用戶最為擔心的安全風險。用戶數據在雲計算環境中進行傳輸和存儲時，用戶本身對於自身數據在雲中的安全風險並沒有實際的控制能力，數據安全完全依賴於服務商。

3) 數據隱私：雲計算環境存儲的用戶數據，離不開管理員的操作和審核，如果缺乏足夠的安全防護，將可能導致用戶數據被雲服務提供商竊取或無意泄露。

4) 應用程序安全：雲服務提供商必須確保通過雲所提供的應用程序服務是安全的，外包或包的代碼必須通過測試與可用性的驗收程序。

2 Azure Stack 安全機制

混合雲Azure Stack場景中，在公共雲供應商或者 Azure Stack 供應商和客戶之間有一條非常明顯的責任分界線。

當一個IaaS客戶角色轉變成一個 PaaS 或 SaaS 客戶角色，其相應的責任也會發生改變，一個 IaaS 層角色與 PaaS 層角色的責任是明顯不同的，比如我們管理一個運行在一台自己管理的虛機上SQL Server的責任，與管理一個 Azure SQL資料庫而不用管理運行該資料庫的虛機所面臨的責任是不一樣的。

Azure Stack的安全機制主要分為三個層面：硬體安全，平台層安全，租戶層安全。

Azure Stack擁有從物理層面到不同的 SaaS 服務層面的多種安全機制，以確保數據安全。在 Azure Stack 混合雲環境中，客戶不能夠訪問虛擬機管理程序層，PaaS/SaaS服務提供商同樣不能訪問。

2.1 硬體安全

Azure Stack 平台硬體層面的基本安全機制有安全啟動（Secure boot）和統一的可擴展固件介面（UEFI）。不同品牌的硬體提供商（Lenovo、Dell EMC、HPE等）針對 Azure Stack 的硬體層都提供了自己強有力的硬體安全解決方案，有效地解決 Azure Stack 的硬體安全問題，等 Azure Stack硬體 GA 後，我們會詳細地比較、分析、評價各廠商的硬體安全解決方案。

2.2 平台層安全

Azure Stack相對於微軟的公有雲 Azure是一個獨立的平台，但安全管理方面有很大的相似性：

1. Azure Stack和Azure 工程師沒有訪問客戶數據的默認許可權，只在必要時，在監督的條件下被授予訪問。
2. Azure Stack 和 Azure 平台管理員只將客戶數據用於跟客戶簽訂的承包服務，如故障排除和改進的功能，如保護免受惡意軟體兼容。

在 Azure Stack中，作為一個服務提供商只能訪問管理門戶admin portal，可通過並僅能通過管理門戶或者管理 API 創建用戶訂閱，管理 Azure Stack 架構，監控平台健康狀態，查看審計日誌信息，但沒有許可權查看正常用戶的數據與業務。

Azure Stack 實現平台的安全，主要基於兩個安全原則：1. Assume breach2. Hardened by default

2.2.1 「Assume breach」原則

基於「Assume breach」安全原則，如果平台檢測到任何黑客攻擊行為，不僅可以有效阻斷，還可以有效限定被攻擊的範圍，減少被攻擊損失。

如果一個 Azure Stack組件被黑客攻破，也不會導致整個平台癱瘓，有效保證其他組件的安全。通常，管理員角色最易受到攻擊，Azure Stack通過一個預定義的約束管理經驗模型，保證如果一個管理員證書被攻破，攻擊者只能訪問該管理員被限制訪問的組件。

為了實現 Azure Stack 平台的安全，微軟制定了多種安全機制：

1. 約束管理，Azure Stack 提供了非常精細的，基於角色的訪問控制

• 最低許可權賬戶 ，用於不同服務的服務賬戶只擁有最低的許可權。
• 只能通過管理門戶或管理 API 進行平台管理。
• 刪除了任何面向客戶的域管理員賬戶。
• 不存在任何超級用戶。

1. 鎖定基礎設施

• 啟用應用程序白名單，只有經過微軟或 Azure Stack OEM 簽名的應用才能運行，未簽名或第三方簽名的應用一概不允許運行。
• 默認的最小通信特權，Azure Stack 內部的功能組件只能與特定的目的組件交換數據。
• 啟用網路訪問控制ACL，防護牆默認規則阻斷一切網路訪問，除非是必要的。 ACL 不只存在於 VM 和虛擬網路層面，有效屏蔽網路風險，可參考如下網路訪問控制模型：

1. 為了提高檢測能力，Azure Stack啟用每個基礎架構組件的安全和審計日誌，可以監控任何入侵。
2. 隔離host，杜絕 Azure Stack 賬戶直接訪問底層host

• 微軟與 OEM 廠商提供host的全生命周期的管理，提供不影響用戶業務及數據的加固服務，比如提供固件、驅動、操作系統補丁升級等服務。

2.2.2 「Hardened by default」原則

Azure Stack 默認啟用許多安全控制機制，比如：

1. 靜態數據加密，Azure Stack 所有的存儲都應用 BitLocker加密，同時提供三備份機制。
2. 基礎架構組件之間，採用強身份驗證。
3. 基於 Security Compliance Manager，在底層操作系統上使用預定義安全模板。
4. 在底層操作系統，禁用傳統舊協議，比如SMB1，NTLMv1，MS-CHAPv2，Digest。
5. 應用Windows Server 2016的安全功能:

• 憑證保護 ，所有域密碼採用基於虛擬化的安全隔離，保證只有特定有許可權的系統軟體可以訪問。
• 代碼完整性 ，憑證保護的一個功能，確保只有通過代碼完整性檢查的代碼才能得到執行。
• 反惡意軟體 ，使用 Windows Defender 加固支持平台的底層虛擬機上。
• 使用 Server Core，以減少被攻擊面並限制使用某些功能。

2.3 租戶層安全

上一章節，我們介紹了平台層的安全機制，相對租戶層不可見的平台層安全機制，Azure Stack 對租戶層用戶也提供了多種安全機制。

資源管理器ARM 本身有一個 Role-Based Access 模型，用來定義一個用戶可以訪問訂閱、資源組。其中，ARM 內部的訪問能夠使用默認定義角色或者自定義角色。

下圖描述了Azure Stack基於角色的訪問控制模型(參照微軟官方Azure RBAC)：

在 Azure Stack 租戶層所採用的一些安全策略：

1. Azure Stack 的資源策略，用於增強 ARM 傳統的訪問規則，如允許用戶只提供一定類型的虛擬機或強制標記某一個對象。
2. 網路安全組，Azure Stack網路的防火牆訪問規則，控制網路、虛機的訪問。
3. 虛擬網路層 ，作為Azure Stack 的軟體定義網路解決方案，有效地杜絕傳統的2層攻擊。
4. TLS/SSL，默認情況下，所有的平台服務和 API 都應用 TLS /SSL保證安全。
5. 支持互聯網安全協議IPsec。
6. Azure Key Vault，幫助你輕鬆管理雲應用和服務的加密密鑰。

3 Azure Stack未提供的安全防護

Azure Stack 本身提供了用戶身份認證、許可權的租戶隔離和虛擬化資源共享業務安全問題的解決方案，但是對於用戶應用數據的安全問題則有賴於用戶自己解決，這其中包括如下三個方面：

1) 客戶虛擬機和應用集群的統一、自動化管理，比如大數據集群管控。

2) 客戶數據的自動備份、保護機制，比如數據脫敏，數據防泄漏等。

3) 客戶虛擬機和客戶網路的安全防護，比如更符合客戶習慣的身份認證與訪問控制，惡意軟體防護，防火牆等。

針對Azure Stack 未提供的用戶應用、數據方面的安全問題，技術層面需要 CMP和系列安全防護融合的綜合解決方案。通過 CMP 可以實現客戶虛擬機和應用集群的統一、自動化管理和客戶數據的自動備份和保護，而客戶虛擬機和網路的安全防護則需要通過專業的安全防護解決方案來解決。

針對混合雲，一個專業的安全解決方案，可以提供私有雲和公有雲統一的安全管理平台，保護IT環境免遭數據泄露和業務中斷，降低運營成本，獲得如下六個方面的功能防護：

1) 入侵檢測：

• 通過屏蔽已知漏洞，主動防禦各種已知和零時差 攻擊
• 檢查所有傳入和傳出流量中是否存在協議偏差、 策略違規或帶攻擊跡象的內容
• 虛擬修補幫助確保符合 PCI DSS、HIPAA 等主要 法規
• 抵禦 SQL 注入、跨站點腳本以及其他 Web 應用 程序漏洞
• 對訪問網路的應用程序加強監視或控制。

2) 防惡意軟體：

• 確保工作負載免受惡意軟體攻擊
• 隔離惡意軟體，保護實例免受複雜攻擊(包括勒索軟體)
• 把可疑對象提交給亞信安全TM深度發現TM分析 器，以供進行沙盒分析

3) 防火牆，雙向有狀態防火牆，兼容各類主流協議。

• 通過創建防火牆邊界來阻止攻擊，可減少攻擊面
• 限制為只能通過必要的埠和協議進行通信
• 集中管理伺服器防火牆策略，包括用於常見服務

4) Web 信譽，對百萬計的 web站點評級分類，訪問低信譽網站時主動提醒。

5) 完整性監控，保護系統文件和註冊表，阻止對系統關鍵資源的更改。

• 監控和跟蹤系統更改，並實時報告惡意和意外更 改
• 利用事件標記自動複製類似事件的操作

6) 日誌審查，智能提取日誌中的安全事件。

• 收集操作系統和應用程序日誌，並分析其中的可疑行為、安全事件和管理事件
• 通過識別重要安全事件確保滿足合規性要求 (PCI DSS)
• 將事件轉發到SIEM 系統或集中的日誌記錄伺服器，以進行關聯、報告及歸檔

作者：張會峰

參考

1. What is Cloud-Based Security?
2. Azure 門戶中基於角色的訪問控制入門
3. Security and Compliance in Azure Stack
4. Azure Stack Security
5. Azure Stack—Secure by design

如果對文章內容感興趣請聯繫：

儀電（集團）有限公司Azure Stack技術支持團隊( gaoc@rc.inesa.com / niuhx@rc.inesa.com)

公眾號請關註：儀享天開

轉載請註明：轉載自Azure Stack Notes博客(http://a-stack.com)

推薦閱讀：