PEACH框架:云基础租户隔离安全架构
2023-1-23 08:5:10
Author: 电驭叛客(查看原文)
阅读量:12
收藏
无论是AWS、Azure、GCP还是Aliyun,要问整个云基础架构安全中什么是最核心的,我的答案是“Isolation is Key”。SaaS提供商可以选择拥有部分(或全部)租户的场景部署在每个租户运行完全孤立的资源堆栈的模型中。有时解决方案需要Silo模型和Pool模型的混合。关于隔离的大部分讨论都集中在防止跨租户访问的机制上,但也有一些场景,产品的分层可能会影响隔离策略。5. Database的多种Isolation方案第一部分中,可以看到有很多种租户隔离的方式,每种方式都不同程度适用于不同的产品架构,但是每个云厂商之间、每个云产品之间,他们的隔离方案往往是不同的,如何衡量租户隔离方案的可靠性就需要一个评估标准或者是自查列表。业界没有共同语言来讨论租户隔离的最佳实践,因此每个供应商最终都依赖于不同的术语和实施标准来确定他们的安全边界,这使得评估其有效性变得困难。对于供应商应采取哪些措施以确保其产品中的租户隔离,无论是在他们使用的边界还是实际实施方式方面,都没有基线。透明度没有标准——虽然一些供应商非常乐意提供其安全边界的细节,但其他供应商却很少分享。这使得客户更难管理使用云应用程序的风险。PEACH是由以下五个维度构成,来评估当前的隔离架构是否可靠以及后续的整改方向,正如PEACH官网所说,“它是一个循序渐进的框架”,这个思路我是很认可的,在以往的文章中也多次提到类似的方式,循环迭代是构建安全可靠环境的有效途径。属于每个租户的数据都使用唯一密钥加密,无论信息存储在何处。每个租户和控制平面之间的通信使用每个租户唯一的经过验证的密钥进行身份验证。默认情况下,所有主机间连接都被阻止,除非相关租户明确批准。清除散布在整个环境中的不必要的秘密、软件和日志,以避免留下线索或让恶意攻击者快速利用。分析与面向客户的界面相关的风险,确定正在使用的安全边界,然后衡量它们的强度。隔离审查的起点是映射面向客户的接口并确定每个接口的复杂性(作为漏洞的预测因素)以及它是在多个租户之间共享还是每个租户重复(逻辑上、虚拟上或物理上)。包括硬件、虚拟机、容器、数据/存储、网络、身份六个方面。租户和主机在服务环境中通常具有最小权限,从而遵循最小权限原则。特别是,每个租户无权读取或写入其他租户的数据,除非相关租户明确批准,并且每个主机都没有对其他主机的读取或写入权限。每个租户拥有并与之相关的数据(静态和传输中)均使用该租户独有的密钥进行加密,而与架构无关。与每个租户的活动有关的日志由仅在租户和控制平面之间共享的秘密加密。每个租户和控制平面(双向)之间的通信使用每个租户唯一的密钥或证书进行身份验证。默认情况下,所有主机间连接都被阻止,除非相关租户明确批准(例如,以便于数据库复制);主机不能连接到服务环境中的其他主机,控制平面使用的主机除外(即,中心辐射配置)。主机不接受来自其他主机的传入连接请求,除非相关租户明确批准,但控制平面使用的请求除外(在预期攻击者设法克服其受感染主机上的连接限制的情况下)。租户不能随意访问任何外部资源(无论是在服务环境内还是在 Internet 上),并且仅限于与预先批准的资源或租户明确批准的资源进行通信。秘密——接口和数据存储(以及底层主机,在虚拟化或容器化的情况下)不包含任何密钥或凭证,这些密钥或凭证将允许对其他租户的环境进行身份验证或解密其他租户的后端通信或日志。软件——实例和数据存储(以及底层主机)不包含任何可以启用侦察或横向移动的内置软件或源代码。日志——每个租户的日志都是隐藏的,其他租户无法访问;每个租户可访问的日志不包含与其他租户活动有关的任何信息。通过根据预期输入类型调整接口类型的大小,并根据行业最佳实践提高 API 安全性,可以(在一定程度上)降低接口复杂性和与之相关的风险。这些中的每一个都可以通过对用户可以执行的操作施加限制来降低复杂性,从而降低潜在攻击者的控制程度。可以加强现有的安全边界(通过添加 PEACH 强化因子),用更强大的类型替换,或通过不同类型的额外边界来增强。这些中的每一个都通过阻止横向移动来降低剥削的影响。一个强化良好的基于 IaaS 的安全边界(例如虚拟化)适用于确保租户隔离,而不管接口的复杂性。同样,应用程序级安全边界(例如容器化)通常足以隔离简单的接口,但其本身不足以隔离更复杂的接口。虽然安全边界可以阻止恶意租户试图横向移动,但我们可以通过将共享功能转移到供应商的信任边界之外并根据特定的组织原则(每个租户、每个区域等)复制它来进一步限制接口漏洞的影响。另外云基础架构的环境异常复杂,PEACH框架在实际落地使用时,往往并不能完全适用,更多时候建议当作参考使用(笔者个人观点)。https://www.datocms-assets.com/75231/1671033753-peach_whitepaper_ver1-1.pdf
文章来源: http://mp.weixin.qq.com/s?__biz=MzU3MDg0MDgwNw==&mid=2247484094&idx=1&sn=27b74d78c6f71232fdf5cf1b2c879183&chksm=fce80136cb9f8820c41de8c9763b84bb21c321ad5f1db068fb53c376432c0fae45b9eed1adf9#rd
如有侵权请联系:admin#unsafe.sh