1、NFV 技术在云计算安全领域的应用趋势明显

随着云计算产业的不断成熟,凭借所具备的敏捷、低成本等优势,很多企业用户都选择将应用系统转移到云端。但是,在关注云基础设施的同时,云平台内部的安全问题也越来越多的得到用户的重视,即使用户通过本身的物理安全防护功能解决了云外网络层面的安全问题,但页面篡改、CC 攻击、信息泄露、后门控制、SQL 注入、跨站脚本等云内部的网络安全风险依然威胁着业务的可持续发展,每次安全的发生都给用户带来了巨大的损失。

安全问题是一个多层次因素叠加,因此,并不能依靠一个功能或产品来解决,需要的是综合的解决方案。在此背景下,随着云计算、SDN、虚拟化等理念及技术的成熟,NFV(Network Function Virtualization)即网络功能虚拟化在业内广为适用,在虚拟化、SDN 等技术的支持下,在通用的计算、存储、网络接口和交换架构之上构建的云计算虚拟化技术来承载标准化的虚拟网络功能,这也包括了各种各样的网络安全功能。因此,基于 NFV 的架构可为用户提供灵活多样的虚拟化安全服务策略。

2016 年 7 月,Gartner 公司发布了年度新兴技术成熟度曲线,软件定义安全将会成为未来技术发展的趋势之一,指出 SDN、NFV 等会重构现有的网络基础设施,在软件定义安全领域将提供一个全新的解决思路。

2016 新兴技术成熟度曲线图(来源:Gartner 2016 年 7 月)

品高公司在 2016 年也推出了 BingoNFV 架构,并结合 BingoSDN 的开放能力,与山石网科、亚信安全、启明星辰等安全领域的合作伙伴一起不断为用户提供完善的网络安全解决方案。

2、品高云云甲服务介绍

品高云在 V7.0 中推出的云甲服务,即是在 BingoNFV 的技术架构下提供的一系列网络安全服务,既包括了品高云原生提供的 WAF,也包括了山石网科·云格、亚信安全·服务器深度安全防护系统、启明星辰·Vetrix 在 IDS 和 IPS 方面提供防护的第三方安全产品。

云甲服务的部署架构图如下:

云甲服务的部署架构图

云甲中的 WAF 是为企业 web 应用提供防护的服务,用于针对 web 网站常见的攻击进行监测和拦截。支持 OWASP(开放式 Web 应用程序安全组织)标准,通过虚拟补丁快速适配更多 web 攻击类型。

除去品高云原生提供的 WAF 外,还兼容支持 openflow 协议的第三方安全产品(入侵检测、漏洞扫描、WAF 等)。目前,已接入了山石网科·云格、亚信安全·服务器深度安全防护系统、启明星辰·Vetrix。

  • 山石网科·云格通过虚机微隔离、可视化等技术,能够为用户提供全方位的云安全服务,包括流量及应用可视化,虚机之间威胁检测与隔离,网络攻击审计与溯源等。
  • 亚信安全·服务器深度安全防护系统 提供了一种全方位的服务器安全平台,覆盖到虚拟和云服务器以及虚拟桌面,确保服务器、应用程序和数据的安全。
  • 启明星辰·Vetrix 通过对于云中流量进行检测以达到对云平台防护的目的。

3、功能特色

3.1 完整的 NFV 架构

品高云为云甲服务提供了完整的 NFV 的技术架构,包括了品高云虚拟化资源池、云甲网元和 BingoNFV 管理器。

3.2 具备 WAF 防护功能

品高云云甲服务提供了原生的 WAF 防护功能,支持 OWASP 标准,通过虚拟补丁快速适配更多 web 攻击类型,有效防护 SQL 注入、XSS 跨站等 web 攻击,保障 web 应用的安全性。

3.3 可接入第三方安全产品

品高云云甲服务依托 NFV 的技术架构,通过 SDN 的开放能力和 AWS 标准 API,兼容支持 openflow 协议的第三方安全产品(入侵检测、漏洞扫描、WAF 等),可构建云计算安全生态。目前可支持山石网科·云格、亚信安全·服务器深度安全防护系统、启明星辰·Vetrix。

3.4 降低了部署工作复杂度

品高云云甲服务在 NFV 中由管理员统一管理,利用编排服务实现各种类型安全产品自动化部署,无须调整现有业务,用户通过部署模板直接使用,极大降低运维工作复杂度,提升了工作效率。

4、技术架构

云甲服务技术架构图

品高云虚拟化资源池: 虚拟化资源池为云甲服务的部署提供了所需要的计算、存储和网络资源。

BingoNFV 管理器: 具备云甲服务中各类网元的编排与管理的功能,由平台管理员或云运维人员在 BingoNFV 中统一编排与管理。用户可利用平台管理员或云运维人员部署的服务模板直接获取各类云甲服务。

云甲网元: 网元是在 BingoNFV 中编排与管理的虚拟网络功能(VNF),用户可通过由平台管理员或云运维人员在 BingoNFV 中统一编排的网元模板一键获取云甲服务。目前已提供 WAF 和山石网科云格、亚信安全·服务器深度安全防护系统、启明星辰·Vetrix 这四类网元。

5、功能实践——WAF

本次云甲服务功能实践是以交付 WAF,防止 SQL 注入攻击为例。

WAF 是品高云云甲服务原生提供的安全功能,可以有效的解决 WEB 应用安全问题, 对如 IP 黑名单,SQL 注入攻击,跨站脚本(XSS)攻击等 WEB 应用攻击进行拦截。

SQL 注入攻击是黑客对数据库进行攻击的常用手段之一。SQL 注入是从正常的客户端口访问,而且表面看起来跟一般的 Web 页面访问没什么区别,隐蔽性极强,不易被发现,所以一般的防火墙都不会对 SQL 注入发出警报。SQL 攻击一般可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权,因此,危害相当严重。

本次功能实践的步骤包括创建网元、关联实例、添加防护规则、防护测试。

5.1 创建网元

通过 BCC(BingoCloudOS Control Center 品高云管控中心),进入【高级服务→云甲】在 WAF 管理中点击新建,并填写网元名称以及相应的云网络信息,点击提交,则 WAF 网元创建成功。

本次操作实践我们将网元名称定为 WAF,云网络选择管控网络,所在区域选择测试 1 区。

图 1 创建网元页面

5.2 关联实例

1. 在【基础服务→计算→实例】中,选择本次操作实践所要保护 Web 站点实例 web-server。

图 2 所选的 web 站点实例

2. 登录实例 web-server,查看数据库 myapp 信息。

图 3 查看 web 站点的数据库信息

3. 在网元信息中查看网元对应负载均衡 ID6078167B,并在【高级服务→负载均衡】中查找并关联上一步所选择的实例。

图 4-1 查看网元对应负载均衡 ID

图 4-2 通过负载均衡关联目标 web 实例

5.3 添加防护规则

1. 返回网元管理详情中,点击过滤规则设置,添加” 过滤 SQL 注入攻击” 规则,并设定名称为 SQL 注入。

图 5 新建过滤规则页面

2.SQL 注入规则新建完成后查看同步完成情况,同步完成则表示规则已添加成功。

图 6 过滤规则已同步完成

5.4 防护测试

1. 访问实例 web-server,即访问负载均衡 IP,并输入 SQL 攻击命令 drop database myapp(数据库删除命令),并分别查看 web 实例数据库和页面变化情况。

通过 myapp 数据库登录页面可发现 SQL 攻击被拦截。

图 7myapp 数据库登录页面

2. 查看实例 web-server 的 myapp 数据库,运行正常,没有被删除,则表示 WAF 对“SQL 命令注入”防护成功。

图 8myapp 数据库运行正常

3. 将过滤“SQL 注入”攻击规则关闭。

图 9 关闭 SQL 注入规则

4. 再次访问实例 web-server,发现已无法登录。

图 10 登录 myapp 数据库页面

5. 再次查看实例 web-server 的 myapp 数据库,发现数据库 myapp 被攻击 ,数据库已被删除。

图 11myapp 数据库已被删除

通过以上操作实践,已验证应用云甲服务中的 WAF 服务,可以有效的解决 WEB 应用所遇到的“SQL 注入攻击”问题。

品高云云甲服务已经在品高云 7.0 版本中正式发布,可以有效的解决 WEB 应用安全问题, 对如 IP 黑名单,SQL 注入攻击,跨站脚本(XSS)攻击等 WEB 应用攻击进行拦截,过滤恶意访问,避免网站资产数据泄露,保障网站的安全和可用性。对于这项服务感兴趣的读者,可以访问品高云 7.0 的亮点功能介绍,也可以通过视频的方式更加直观的了解。

品高云 7.0 的亮点功能介绍连接:http://cloudos.bingocloud.cn/templates/newlook.html