云安全实用指南--第6章网络安全

网络控制作为次要控制,帮助减少其他问题带来的影响。
如果所有地方的配置都绝对完美--漏洞打上补丁,不需要的服务关闭,所有服务在对任何用户或其他服务进行认证和授权时都完美无缺，那么完全不需要网络控制。

# 6.1 与传统IT的区别
“边界已死”，但管理员目前还重度依赖网络边界来实现安全
本地部署环境：非军事区(Demilitarized Zone,DMZ,又称边界网络)，谨慎地限制进入DMZ的流量以及从DMZ进入内部网络的流量。
云环境，按交付模式考虑合理的网络安全模型：

- IaaS环境,例如裸金属和虚拟机,从每个应用级隔离
 - 基于容器编排的环境,例如Docker/Kubernetes,应用拆解为微服务，每个独立应用内部还可以有更多粒度的网络控制
 - aPaaS 网络控制各不相同，组件隔离
 - serverless/FaaS 运行在不提供网络控制或只在前端提供网络控制的共享环境中
 - SaaS不提供网络控制,白名单方式

# 6.2 概念和定义
## 6.2.1 白名单与黑名单
IP白名单，IP地址很容易伪造，因此不能用黑白名单作为对系统进行认证的唯一方式，附加TLS
IP黑白名单并不适用于云环境
## 6.2.2 DMZ
在大部分情况下，会将简单/受信任程度最低的组件放到DMZ中,例如代理/负载均衡/静态内容web

## 6.2.3 代理
正向代理:client/proxy同属于一个LAN
反向代理:proxy/server同属于一个LAN(server是真实服务)
**反向代理可以用来提升安全性**

## 6.2.4 软件定义网络
软件定义网络(SDN)云提供商可能会基于SDN来实现你使用的虚拟网络

## 6.2.5 网络功能虚拟化
网络功能虚拟化(Network Features Virtualization,NFV),其思想不是需要一个专门的硬件装置来执行许多网络功能(防火墙/路由器/IDS/IPS)，使用NFV应用

## 6.2.6 overlay网络和封装
overlay是在云提供商的网络之上创建出的虚拟网络。
封装方式:

- vxlan
 - GRE
 - IP-in-IP

<center>
![ovarlay](https://leanote.com/api/file/getImage?fileId=5fc6f2bdab644126e70005a6)
</center>

## 6.2.7 虚拟私有云
私有云被单个公司拥有和运营，不被多个公司共享，私有欲可以位于一个公司的边界内部，并且没有来自外部的访问权限，也不共享资源。
云提供商可以通过软件定义网络或overlay网络实现VPC(virtual private cloud)

## 6.2.8 网络地址转换(NAT)
VPC内的系统使用的RFC1918协议，IP私有范围地址大致为：

- 10.
 - 192.168.
 - 172.16.
 - 172.31.
 
<center>
![NAT](https://leanote.com/api/file/getImage?fileId=5fc84548ab64416b310000a1)
</center>

## 6.2.9 IPv6
如果系统有IPv6地址，那么就需要确保维护了IPv6的白名单，虽然很多终端用户不知道IPv6，攻击者会**绕开IPv4的控制**

# 6.3 串联到示例应用中

## 6.3.1 流动数据加密
所有跨物理或虚拟网络交换机的通信都使用TLS，但同宿主机内组件的通信，Kubernetes中同一pod内不同容器之间的通信，可不采用TLS

Q:你自己控制的一些网络，是否需要对流经这些网络的流量进行加密？(内网流量是否需要加密？)
A:这些信息一旦被公开，就会对你造成损害的网络流量，推荐进行加密

<center>
![中间人攻击](https://leanote.com/api/file/getImage?fileId=5fcd84bfab644111a900007c)
</center>

云环境可以提供身份文档(identity document),有些云提供商在系统创建时会为这些系统提供身份文档(跟PKI公钥基础设施结合)

---

**tips:**
要验证一个面向公网的TLS接口是否配置合理，最快的方式是使用在线测试，如[**SSL Lab**](https://www.ssllabs.com/ssltest/index.html)

---

## 6.3.2 防火墙和网络分段
防火墙两个目的：

- 边界控制,将你的系统与世界的其他部分隔离开来
 - 内部分段，在不同的系统集合之间做隔离

在云中，防火墙有三种主要实现：

- (1) 虚拟防火墙设备
    - 下一代应用，将白名单与额外的一些功能相结合如WAF/IDS/IPS
 - (2) 网络ACL
 - (3) 安全组
 
## 6.3.3 边界控制
在AWS、IBM Cloud中，我们创建一个VPC(虚拟私有云)，其中包含一个web服务器(DMZ)使用的公网子网，以及一个应用服务器使用的私有子网。利用子网创建虚拟网络，允许哪些流量从公网进入VPC

## 6.3.4 内部分段
## 6.3.5 服务端点
## 6.3.6 容器防火墙和网络隔离
kubernetes是最流行的编排方案，使用Kubernetes网络策略(network policy),在每个worker节点启用本地防火墙

## 6.3.7 允许管理员级访问
管理员需要一种能进入边界来管理应用方式
### 6.3.7.1 堡垒机(跳板机)
堡垒机也叫跳板机，是用于管理员级访问的系统，它可以从受信任程度较低的网络访问。
在这种网络设置中，所有和内部网络的通信都必须通过堡垒机，堡垒机具有如下安全性:

- 和vpn类似，它可以减少你的攻击面
 - 支持会话录制(通过检查分析进而可以抓住内部攻击者，并且可以发现对窃取的凭证的使用)
 - 堡垒机可以执行协议转换(远程主机内的用户使用浏览器发起https连接之后转换为远程协议连接，制造更多障碍)

### 6.3.7.2 VPN
vpn就像搭设一根网络从一个地方连接到另一个地方，这个连接是通过一个跨非受信网络的加密会话实现。
vpn有两种主要功能：

- 站点到站点通信
    - 两组独立的系统通过一个加密隧道跨非受信网络
 - 客户端到站点通信
    - 个人用户用移动设备或pc可以虚拟地进入一个远程网络

## 6.3.8 WAF和RASP
WAF只是一个智能代理，它接收请求并检查其中是否有一些恶意行为，例如SQL注入
如果它认为请求是安全的，就将其发送给后端系统。WAF比防火墙好，防火墙TCP/IP,WAF应用层
**RASP尝试在应用层拦截漏洞利用行为，RASP需要嵌入到应用代码中**

## 6.3.9 DDOS防御
DDOS交付模型SaaS，建议使用云提供商的的产品和服务，你需要将所有的流量路由到提供商哪里，并对你的规则进行调优

## 6.3.10 入侵检测与防御系统
IDS/IPS 明文形式,基于规则触发

## 6.3.11 出向过滤
限制你信任组件的出向(outbound),执行出向过滤(egress filtering):

- 攻击者希望窃取你的数据的一个副本，然后将其转移到一个你控制之外的地方
    - 数据渗透，除了限制正常的连接外，你必须同时限制其他数据渗透比如DNS隧道/ICMP隧道
 - 出向过滤有助于防御水坑攻击，虽然这种攻击方式更多的是针对终端用户，而不是服务器
    - 所有组件从一个内部受信源接受更新，但由于人为错误，某个服务被配置为以未授权方式访问更新服务器，攻击者入侵后会给该服务一个恶意更新
 
---

**水坑攻击**
比如受害者经常访问一个网站，黑客攻克此网站，并设置陷阱植入攻击代码，一旦攻击目标访问该网站就会“中招”

---

## 6.3.12 数据丢失防护(DLP)
负责监控环境中哪些存储不当或正在离开环境的敏感数据
出向控制的web代理可以配置DLP技术，当它检测到数据中含有信用卡信息时，会alert

# 7.总结
扫描:nmap、nessus/BurpSuite
步骤：

- 1.画出你的应用部署架构图，包括信任边界
 - 2.确保你的入向连接使用TLS，以及所有需要跨网络传输的组件到组件的通信都默认开启TLS
 - 3.确保实施了应用边界和内部分段，并为管理员管理系统提供一种安全的方式，可以通过堡垒机/VPN/或其他云提供商提供的方式
 - 4.如果有需要设置WAF/RASP/IDS/IPS
 - 5.如果有需要设置DDOS
 - 6.至少设置一些出向过滤
 - 7.定期检查配置，确保他们是正确且有用的

信息安全从业人员^_^

导航

最近发表

友情链接