雲端安全機密管理與虛擬私有雲

16 分鐘閱讀

雲端安全議題日益受到重視,尤其在機密資訊的保護和存取控制方面。本文除了探討機密管理的挑戰和風險,也提供最佳實踐,例如輪換機密、避免硬編碼憑證,並強調DevSecOps的重要性。此外,文章也說明虛擬私有雲(VPC)如何透過網路分割強化安全,並深入解析存取控制中的權益、許可權、角色、憑證和資源等核心概念,並以圖表輔助說明。最後,文章比較了單一租戶和多租戶架構的優缺點,並提供 Kubernetes 的組態範例,展示如何在單一租戶環境中實作 Namespace 隔離,以提升安全性。

雲端安全:機密管理與虛擬私有雲的重要性

在雲端運算的世界中,企業面臨著多重的安全挑戰。隨著虛擬化和雲端服務的普及,如何妥善管理機密(secrets)成為了一項關鍵任務。機密管理不善可能導致資安漏洞、資料外洩等嚴重後果。

機密管理的挑戰

機密管理涉及多個層面,包括憑證、密碼、API金鑰等敏感資訊的管理。以下是一些常見的挑戰:

  • 靜態憑證:許多企業仍使用靜態憑證,這些憑證往往未被妥善管理,容易成為攻擊者的目標。
  • 特權擴散:雲端管理員控制檯提供了廣泛的超級使用者許可權,使得IAM使用者能夠快速建立和銷毀虛擬機器和應用程式。每個虛擬機器例項都有自己的許可權和機密,需要被妥善管理。
  • DevOps工具:DevOps環境中使用的各種工具和技術(如Chef、Puppet、Ansible、Salt、Docker容器等)都需要機密管理。這些工具之間的相互連結使得機密管理變得更加複雜。
  • 遠端存取:如何確保遠端存取或第三方存取的安全性?企業需要確保第三方組織能夠妥善管理機密。

手動機密管理的風險

將機密管理交由人工處理是一項高風險的安全措施。糟糕的機密衛生習慣,如缺乏機密輪換、預設機密、嵌入式機密和機密共用,意味著機密不太可能保持安全,從而開啟了資料外洩的機會。手動機密管理流程越多,安全漏洞和不良做法發生的可能性就越高。

機密管理的最佳實踐

為了有效實施機密管理,企業應遵循以下七項最佳實踐:

  1. 發現和識別所有型別的密碼、金鑰和其他機密,並將其納入集中管理。持續發現和新增新的機密,並移除已棄用的機密。
  2. 消除硬編碼/嵌入式機密,將其替換為對機密或密碼管理系統的API呼叫。
  3. 強制執行密碼和機密安全最佳實踐,包括密碼長度、複雜度、唯一性、過期和輪換等。
  4. 應用特權會話監控,記錄、稽核和監控所有特權會話,以提高監督和問責制。
  5. 將機密管理擴充套件到第三方,確保合作夥伴和供應商遵循最佳實踐,使用和管理機密。
  6. 應用威脅分析,持續分析機密使用情況,以檢測異常和潛在威脅。
  7. 採用DevSecOps文化,將安全融入DevOps生命週期中,確保所有人分享DevOps安全責任。

虛擬私有雲(VPC)

對於依賴多樣化和大量伺服器的組織來說,實施VPC以區分公共和私有基礎設施是一項絕對的安全要求。VPC的概念與VLAN(虛擬區域網路)類別似,但它在雲端使用軟體來建立網路段和存取。VPC是針對從雲端流向網路的流量而設計的概念等價物。

VPC的重要性

  • 保護基礎設施免受外部威脅:VPC可以隔離公共和私有基礎設施,降低攻擊風險。
  • 持續維護和審查:雲端管理員必須監控和維護VPC,以確保其安全性和風險可接受性。

VPC的實作和管理

  • 瞭解雲端提供商的安全和架構解決方案:不同的雲端服務提供商(CSP)具有不同的VPC監控和管理能力。
  • 虛擬防火牆:允許使用者鎖定網路並抵禦未經授權的活動。

總之,機密管理和VPC是雲端安全的兩個重要方面。企業需要採取全面的安全措施,包括實施最佳實踐、採用DevSecOps文化和組態VPC,以保護其雲端基礎設施和敏感資訊。

雲端定義:存取控制與安全要素

在雲端運算的脈絡下,存取控制是一個至關重要的議題。本章節將探討與存取控制相關的關鍵概念,包括權益(Entitlements)、許可權(Privileges)、權利(Rights)、角色(Roles)、憑證(Certificates)以及資源(Resources)。

權益(Entitlements)

權益是指授予身份(identity)在特定資產上執行特定動作的批准。在雲端運算中,權益管理涉及授予、列舉、監控、復原和管理細粒度存取權的過程。雲端授權模型有兩種典型的場景:雲端強制執行場景(Cloud Enforcement Scenario)和雲端權益場景(Cloud Entitlements Scenario)。

在雲端強制執行場景中,身份請求對資源執行特定動作的授權。授權服務根據組態的策略傳回允許、拒絕或不適用的回應。

雲端權益場景

此場景涉及雲端權益點(Cloud Entitlement Point, CEP)向雲端授權服務查詢身份在當前上下文中的權益。雲端授權服務根據組態的策略傳回屬於該身份的權益集合。這些權益成為邏輯群組,可以在執行時列舉,以確定授權狀態和未來請求需要執行的動作。

此圖示展示了雲端權益場景的工作流程。

許可權(Privileges)

在雲端攻擊向量的背景下,許可權是指分配給帳戶的任何許可、權利或權益,這些許可、權利或權益將解析為允許執行的任務。與本地環境相比,雲端的許可權更加細粒度,因為它們可能對環境構成重大風險。

權利(Rights)

權利是指身份及其相關帳戶(或帳戶群組)為特定目的可以執行的任務。在雲端中,系統管理員將權利分配給由帳戶(使用者)或帳戶群組組成的身份。例如,操縱身份(存在、建立或刪除)需要根據角色的存取權來操縱包含這些物件的架構。

內容解密:

  • 權利通常翻譯為組織中角色的安全定義。
  • 角色(如稽核員)通常具有允許對日誌和報告進行廣泛唯讀存取的權利。

角色(Roles)

角色是一個抽象概念,根據技術或業務功能將相似的身份和帳戶分組。在業務術語中,這些集合描述了員工及其工作職能。例如,個人可以根據其工作角色(如「開發人員」或「法律團隊成員」)進行分類別。

內容解密:

  • 角色可以抽象為業務術語,如品質保證工程師或用於維護或佈署軟體的自動化流程。
  • 角色具有安全模型,只允許執行所需任務的活動。

憑證(Certificates)

憑證包含公鑰,是密碼系統的一部分,該系統使用成對的金鑰。憑證具有根據公鑰的指紋,用於明確識別系統。該指紋用於驗證身份並確定雲端服務應該使用哪個憑證進行身份驗證。

內容解密:

  • 如果憑證被洩露或偽造,則威脅行為者具有攻擊向量,可以誘騙毫無戒備的使用者和網際網路流量存取其惡意網站,冒充合法的雲端服務。

資源(Resources)

資源一詞在雲端運算中經常被誤用。在本地技術與雲端的背景下,資源的定義有所不同。在本地環境中,資源幾乎可以是任何有助於完成任務的系統,如資料函式庫、網頁伺服器、檔案儲存等。

內容解密:

  • 在本地環境中,資源與資產的不同之處在於,資源可能不是有形的,如實體伺服器上的元件和系統。

總而言之,這些概念共同構成了雲端安全和存取控制的基礎。瞭解這些定義對於制定有效的雲端安全策略至關重要。

雲端運算中的資源與相關概念

在雲端運算的脈絡下,資源的定義與本地佈署環境中的無形資源定義有所不同。雲端資源主要指的是可以動態管理或固定在離散引數上的計算服務,例如記憶體、CPU 和檔案儲存等。由於雲端資源對最終使用者而言不具備實體屬性,因此資產、系統等概念並未被納入雲端資源的定義範疇。

資源與資產的區別

雖然在討論雲端安全時,資源與資產這兩個術語經常被互動使用,但兩者之間存在著微妙的差異。資源通常指的是使某項服務能夠擴充套件和運作的動態過程,而資產則更傾向於指代像雲端中的網頁伺服器這樣的實體概念。瞭解這種差異對於描述消耗資源的攻擊與從資產中竊取資料的攻擊至關重要。

內容解密:

資源消耗攻擊可能成為入侵指標,而在根據消耗的定價模型下,高資源消耗通常意味著雲端營運成本的增加。

數位憑證授權單位(Certificate Authorities, CA)

數位憑證授權單位是一種受信任的實體,負責頒發安全套接層(SSL)數位憑證,這些憑證是公開金鑰和私密金鑰對的一部分。這些數位憑證用於將資源與公開金鑰進行密碼學連結,使用者端(如網頁瀏覽器)利用它們來驗證在網際網路上傳輸的資料的完整性和來源。

CA 的重要角色

CA 在網際網路的公開金鑰基礎設施(PKI)中扮演著至關重要的角色,主要職責包括:

  • 向評價良好的組織頒發數位憑證。
  • 驗證透過網際網路進行通訊的資源的可信度。
  • 驗證網域名稱和組織以防止欺騙和網域名稱搶注。
  • 維護憑證復原列表,以處理過期或因惡意使用而被復原的憑證。

內容解密:

CA 的運作需要對驗證過程收取一定的手續費,這是其商業模式的一部分。

許可權(Permissions)

許可權決定了身分(以及相關的帳戶或群組)可以在政策框架內執行的操作。許可權通常透過角色來劃分範圍,但也可以根據系統的需求細化到帳戶層級。基本的許可權定義包括讀取、寫入、刪除和拒絕等操作。

許可權模型的複雜性

在雲端運算中,許可權可以應用於其他身分、例項、檔案、日誌、執行階段環境等多個層面。正確組態許可權對於防止安全漏洞和不當的特權分配至關重要。

內容解密:

圖 4-4 展示了使用者、角色、權利、特權和資源之間的複雜互動關係。這種互動對於雲端管理員來說,需要仔細規劃以確保安全性。

容器(Containers)

容器是一種根據軟體虛擬化的技術,它允許主機作業系統的核心支援多個使用者空間例項。簡單來說,容器是一種軟體單元,它將原始碼及其所有依賴和函式庫封裝在一起,以便應用程式能夠在不同的計算環境中可靠地執行,而無需額外的負擔。

容器的優勢

容器是實作現代雲端運算效率和可擴充套件性的基礎元件。它們可以透過自動化快速建立和銷毀,以滿足應用程式的需求。Docker 容器是容器技術的一個特例,它提供了一個輕量級、獨立且可執行的軟體套件。

內容解密:

圖 4-5 展示了一個容器映像的概念。容器技術使得應用程式能夠在不同環境中保持一致性和可移植性,是現代雲端運算架構中的關鍵技術之一。

雲端運算中的隔離與分割技術

雲端運算環境中,為了確保應用程式和資料的安全性,各種隔離和分割技術被廣泛應用。其中,容器技術是一種根據Docker的專有實作,它利用容器來封裝應用程式及其執行所需的環境,從而提供了一個良好的安全層。即使某個容器被攻破,也可以輕易地將其銷毀並替換為根據原始容器映像建立的新容器。

分割技術

分割技術可以應用於記憶體、網路或其他資源,透過電子或物理安全控制措施來隔離不同的資源,從而建立一個可定義的邊界,保護資產免受惡意活動的影響。

記憶體分割

記憶體分割是一種記憶體管理技術,用於將電腦的記憶體(主記憶體或儲存)劃分為多個部分。這種技術常用於虛擬化例項,也可以在單個例項內部應用。如果計算裝置使用分割技術,對記憶體位置的參照將包括一個標識段的值和該段內的偏移量(記憶體位置),從而允許應用程式和作業系統識別儲存資訊的位置。

網路分割

網路分割是一種類別似的概念,但它適用於網路中的所有可定址資產。例如,可以將Web伺服器、資料函式庫伺服器和非管理員使用者工作站邏輯地分組到不同的網路段中。然後,VPC將提供適當的連線,從內部佈署技術或這些段之間。透過建立網路段並僅授予對每個段內必要資源的存取許可權(而不是在一個平面網路中,所有內容都是可見和可定址的),可以採用最小許可權網路存取的基本原則。

微分割技術

微分割是一種在分割環境中建立區域的方法,用於隔離工作負載,即使它們屬於同一資產型別,也可以單獨保護它們。微分割可以在本地或雲端實施,根據零信任等方法來限制工作負載之間的網路流量。

微分割的好處

  • 減少攻擊面: 微分割的資產通訊不再是平面的,無論裝置型別如何,都可以隔離和監控不當的網路流量。
  • 限制橫向移動: 在發生安全漏洞時,微分割限制了可以被攻破的目標,透過限制暴露的服務。
  • 法規遵從性: 微分割允許實施策略,以嚴格遵守資料治理和資料對映。
  • 策略管理: 無論是硬體還是SDN實施,都可以集中管理和監控網路、應用程式和區域存取的策略,以確保正確的資料流動。
  • 安全最佳實踐: 可以實施和強制執行安全、開發和營運的分離職責,用於生產程式碼佈署和生產雲端營運管理。

例項與單一租戶

在雲端運算中,「例項」是一個容易被誤解的術語。例項應該被理解為執行程式的單個副本。多個例項意味著該程式已被載入並在資產的記憶體中多次執行。在雲端的上下文中,它可以是任何資產,無論是靜止還是執行的。

單一租戶是一種解決方案佈署架構,其中為單個客戶佈署應用程式和支援基礎設施的單個例項,通常使用某種形式的分割。單一租戶通常用於在本地佈署解決方案,也用作實施SaaS的模型,當佈署模型在成本和安全性方面是令人滿意的。

例項的定義

例項適用於雲端中任何可以被複製且可能存在多個相同副本的資產。當只有一個版本,沒有副本,也沒有複製它的機會時,通常被稱為例項,但這是不正確的。因此,只有當例項符合可複製資料型別定義時,才能被稱為例項,而當它是唯一的時,不應該使用該術語。

單一租戶雲端佈署架構深度解析

單一租戶架構的核心特性

在雲端運算領域中,單一租戶(Single-Tenant)佈署模型為客戶提供專屬的應用程式例項,確保高度的自訂化和安全性。此架構下,服務提供商負責管理基礎設施,而客戶保有對實施細節的控制權,包括更新和維護。

單一租戶 SaaS 應用程式的主要特點包括:

  • 高度使用者參與、控制和自訂化,以滿足業務需求
  • 藉由例項隔離,避免多租戶分享可能帶來的問題,確保高可靠性和安全性
  • 使用者端管理更新和修補程式的變更控制,允許客戶在準備就緒時才進行更新
  • 客戶例項的效能和正常運作時間幾乎不受其他客戶影響
  • 敏感資料儲存在獨立例項中,與同一供應商的其他租戶隔離,增強安全性
  • 提供更簡單的遷移路徑,方便未來轉移到其他雲端服務供應商

單一租戶架構的優勢與挑戰

組織在評估雲端佈署方案時,若其他條件(如價格、安全性和服務等級協定)相當,則可能傾向選擇單一租戶佈署模式。在設計單一租戶架構時,每個租戶都有自己的軟體、資料函式庫和網頁伺服器等例項,各租戶的資料和執行環境相互隔離。

單一租戶架構的優點包括:

  • 提高安全性和可靠性
  • 提供更佳的自訂化選項
  • 簡化遷移流程

然而,單一租戶架構也面臨一些挑戰:

  • 對雲端服務供應商而言,設定、運算資源、自訂化、安全性和維護成本較高
  • 更新、升級或管理每個租戶需要更多時間和資源
  • 每個租戶可能需要進行相同的設定,缺乏多租戶模型的效率
  • 資源專用可能導致閒置或效率低下

與多租戶架構的比較

單一租戶架構與多租戶(Multi-Tenant)架構形成對比。在多租戶模型中,單一軟體應用程式例項服務多個客戶,透過資源分享和分段技術實作高效運作。相較於單一租戶架構,多租戶架構具有以下優勢:

  • 降低營運成本
  • 更有效地利用分享資源
  • 降低維護成本
  • 提升整體運算能力

安全性考量

從雲端攻擊向量的角度來看,單一租戶模型中的個別例項缺陷或缺失的安全性修補程式可能被利用於每個租戶。由於例項間的隔離,攻擊者需要針對每個租戶進行攻擊,這降低了全面性資料洩露的風險。然而,若存在影響所有租戶的漏洞或安全衛生不良(如分享憑證),則仍可能對整體環境造成威脅。

程式碼範例與安全組態

# Kubernetes 組態範例,展示單一租戶環境下的 Namespace 隔離
apiVersion: v1
kind: Namespace
metadata:
  name: tenant-specific-namespace
spec:
  # 設定資源限制和隔離策略
  limits:
    - maxPods: 10
  # 網路策略設定
  networkPolicies:
    - ingress:
      - from:
        - podSelector:
            matchLabels:
              access: granted

內容解密:

此 YAML 組態檔案定義了一個 Kubernetes Namespace,用於在單一租戶環境中實作隔離。透過設定資源限制和網路策略,可以確保每個租戶的資源使用和網路存取受到控制。

  1. Namespace 定義:建立一個名為 tenant-specific-namespace 的 Namespace,以隔離不同租戶的資源。
  2. 資源限制:透過 limits 部分設定最大 Pod 數量,防止資源過度使用。
  3. 網路策略:定義網路策略,限制哪些 Pod 可以存取該 Namespace 中的服務,增強安全性。

這種組態方式有助於在單一租戶架構中實作更細粒度的安全控制和資源管理。

多租戶架構在雲端服務中的重要性與挑戰

多租戶(Multitenancy)是雲端運算和軟體即服務(SaaS)中的一個重要概念,指的是多個客戶分享同一套應用程式和基礎設施,但彼此的資料和執行環境卻是相互隔離和安全的。在理解多租戶之前,我們需要先了解其背後的原理和優勢,以及它所帶來的風險和挑戰。

多租戶的定義與運作原理

多租戶是一種軟體營運模式,多個客戶(企業、使用者、組織等)在分享的環境中使用相同的應用程式。儘管這些客戶分享相同的基礎設施和應用程式,但他們的資料和執行環境在邏輯上是相互隔離的。多租戶架構透過在多個層面進行邏輯分割,確保不同客戶之間的資料不會互相干擾。

舉例來說,社交媒體應用程式允許多個使用者儲存和存取照片和帖子,但每個使用者的偏好、群組和好友列表都是相互獨立的。即使這些資料儲存在相同的託管服務中,使用者之間也不能存取對方的私人內容。這種模式同樣適用於線上銀行系統,不同客戶的帳戶資訊是相互隔離的,除非獲得明確授權,否則無法存取他人的帳戶餘額或進行交易。

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title 雲端安全機密管理與虛擬私有雲

package "Docker 架構" {
    actor "開發者" as dev

    package "Docker Engine" {
        component [Docker Daemon] as daemon
        component [Docker CLI] as cli
        component [REST API] as api
    }

    package "容器運行時" {
        component [containerd] as containerd
        component [runc] as runc
    }

    package "儲存" {
        database [Images] as images
        database [Volumes] as volumes
        database [Networks] as networks
    }

    cloud "Registry" as registry
}

dev --> cli : 命令操作
cli --> api : API 呼叫
api --> daemon : 處理請求
daemon --> containerd : 容器管理
containerd --> runc : 執行容器
daemon --> images : 映像檔管理
daemon --> registry : 拉取/推送
daemon --> volumes : 資料持久化
daemon --> networks : 網路配置

@enduml

此圖示展示了多租戶架構的基本原理:多個客戶分享相同的應用程式和基礎設施,但他們的資料是相互隔離的。

多租戶的優勢

多租戶架構為軟體提供商、雲端服務提供商和終端使用者帶來了多項好處:

  • 資源管理最佳化:透過在多個租戶之間分享例項和基礎設施,資源利用率得到提高,計算能力得到最佳化。
  • 營運成本降低:由於資源分享,雲端服務提供商和應用程式供應商能夠以更低的成本為大量客戶提供服務。
  • 資料分析與分享:透過在不同租戶之間分享經過處理的資料,所有客戶都能受益。例如,某供應商遭受了網路攻擊,可以與其他客戶分享攻擊指標,以減少未來攻擊的風險。

多租戶優勢分析

多租戶架構能夠提高資源利用率,降低營運成本,並促進資料分享和分析,從而為所有相關方帶來好處。

多租戶的挑戰與風險

儘管多租戶具有諸多優勢,但也存在一些挑戰和風險:

  • 安全性和合規性:某些組織(如政府機構)可能由於監管要求無法將資料儲存在分享基礎設施中。此外,一個客戶的安全問題或資料損壞可能會影響到其他分享相同資源的租戶。
  • 資源競爭:如果某個租戶佔用了過多的資源,可能會影響到其他租戶的效能。雖然這通常不應該發生,但未經測試的使用案例或網路攻擊(如DDoS)可能會影響整個服務。
  • 更新管理:當雲端服務提供商推播更新時,所有租戶都會同時接收到變更。如果更新存在錯誤或引入了漏洞,所有使用者都可能受到影響。終端使用者無法透過自己的變更控制來緩解這種風險,因為更新是由應用程式供應商和雲端服務提供商控制的。

風險管理與防範措施

為了應對多租戶架構中的風險,雲端服務提供商和應用程式供應商需要加強安全措施、進行嚴格的測試,並最佳化資源管理,以確保不同租戶之間的隔離和資料安全。

多租戶實務挑戰與改進方向

大多數雲端服務提供商實施多租戶的方式是透過分享軟體例項並根據每個租戶的組態資訊進行自定義。這種方法類別似於將一隻棒球手套同時提供給不同球隊、不同聯賽的多名球員使用。每位球員有不同的手部尺寸,長期使用後,手套會適應不同球員的手型,從而影響其效能。這種比喻反映了許多雲端服務提供商在實施多租戶時面臨的一個現實問題:單一解決方案難以完美適應所有客戶的需求。

提升多租戶架構的彈性與安全性

為了應對這些挑戰,雲端服務提供商需要不斷改進多租戶架構,提高其彈性和安全性。這包括最佳化資源分配、加強安全防護措施,以及開發更靈活的自定義選項,以滿足不同客戶的多樣化需求。

玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。