PEACH框架:云基础租户隔离安全架构

admin 2023年1月23日13:47:36评论41 views字数 2435阅读8分7秒阅读模式
无论是AWS、Azure、GCP还是Aliyun,要问整个云基础架构安全中什么是最核心的,我的答案是“Isolation is Key”。

一、租户隔离有哪些形式
1. Silo Isolation
SaaS提供商可以选择拥有部分(或全部)租户的场景部署在每个租户运行完全孤立的资源堆栈的模型中。

PEACH框架:云基础租户隔离安全架构

2. Pool Isolation
共享基础设施方法,隔离过程增加一定程度的复杂性。

PEACH框架:云基础租户隔离安全架构

3. The Bridge Model
有时解决方案需要Silo模型和Pool模型的混合。

PEACH框架:云基础租户隔离安全架构

4. Tier-Based Isolation
关于隔离的大部分讨论都集中在防止跨租户访问的机制上,但也有一些场景,产品的分层可能会影响隔离策略。

PEACH框架:云基础租户隔离安全架构

5. Database的多种Isolation方案

PEACH框架:云基础租户隔离安全架构


二、为什么要有类似PEACH一类的框架
第一部分中,可以看到有很多种租户隔离的方式,每种方式都不同程度适用于不同的产品架构,但是每个云厂商之间、每个云产品之间,他们的隔离方案往往是不同的,如何衡量租户隔离方案的可靠性就需要一个评估标准或者是自查列表。
业界没有共同语言来讨论租户隔离的最佳实践,因此每个供应商最终都依赖于不同的术语和实施标准来确定他们的安全边界,这使得评估其有效性变得困难。
对于供应商应采取哪些措施以确保其产品中的租户隔离,无论是在他们使用的边界还是实际实施方式方面,都没有基线。
透明度没有标准——虽然一些供应商非常乐意提供其安全边界的细节,但其他供应商却很少分享。这使得客户更难管理使用云应用程序的风险。

三、PEACH详解
1. 什么是PEACH
PEACH是由以下五个维度构成,来评估当前的隔离架构是否可靠以及后续的整改方向,正如PEACH官网所说,“它是一个循序渐进的框架”,这个思路我是很认可的,在以往的文章中也多次提到类似的方式,循环迭代是构建安全可靠环境的有效途径。
P:权限加固
租户和主机在服务环境中具有最小权限。
E:加密加固
属于每个租户的数据都使用唯一密钥加密,无论信息存储在何处。
A:认证加固
每个租户和控制平面之间的通信使用每个租户唯一的经过验证的密钥进行身份验证。
C:连接强化
默认情况下,所有主机间连接都被阻止,除非相关租户明确批准。
H:卫生(或者称之为痕迹清除)
清除散布在整个环境中的不必要的秘密、软件和日志,以避免留下线索或让恶意攻击者快速利用。

PEACH框架:云基础租户隔离安全架构

2. 如何使用PEACH
第一步:隔离审查
分析与面向客户的界面相关的风险,确定正在使用的安全边界,然后衡量它们的强度。
隔离审查的起点是映射面向客户的接口并确定每个接口的复杂性(作为漏洞的预测因素)以及它是在多个租户之间共享还是每个租户重复(逻辑上、虚拟上或物理上)。
第二步:确定安全边界
包括硬件、虚拟机、容器、数据/存储、网络、身份六个方面。

PEACH框架:云基础租户隔离安全架构


第三步:安全边界强度衡量
P:权限加固
租户和主机在服务环境中通常具有最小权限,从而遵循最小权限原则。
特别是,每个租户无权读取或写入其他租户的数据,除非相关租户明确批准,并且每个主机都没有对其他主机的读取或写入权限。
在执行操作之前验证权限。
E:加密加固
每个租户拥有并与之相关的数据(静态和传输中)均使用该租户独有的密钥进行加密,而与架构无关。
与每个租户的活动有关的日志由仅在租户和控制平面之间共享的秘密加密。
A:认证加固
每个租户和控制平面(双向)之间的通信使用每个租户唯一的密钥或证书进行身份验证。
身份验证密钥被验证,自签名密钥被阻止。
C:连接强化
默认情况下,所有主机间连接都被阻止,除非相关租户明确批准(例如,以便于数据库复制);主机不能连接到服务环境中的其他主机,控制平面使用的主机除外(即,中心辐射配置)。
主机不接受来自其他主机的传入连接请求,除非相关租户明确批准,但控制平面使用的请求除外(在预期攻击者设法克服其受感染主机上的连接限制的情况下)。
租户不能随意访问任何外部资源(无论是在服务环境内还是在 Internet 上),并且仅限于与预先批准的资源或租户明确批准的资源进行通信。
H:卫生(或者称之为痕迹清除)
秘密——接口和数据存储(以及底层主机,在虚拟化或容器化的情况下)不包含任何密钥或凭证,这些密钥或凭证将允许对其他租户的环境进行身份验证或解密其他租户的后端通信或日志。
软件——实例和数据存储(以及底层主机)不包含任何可以启用侦察或横向移动的内置软件或源代码。
日志——每个租户的日志都是隐藏的,其他租户无法访问;每个租户可访问的日志不包含与其他租户活动有关的任何信息。

PEACH框架:云基础租户隔离安全架构


第四步:风险缓解
1、降低复杂度
通过根据预期输入类型调整接口类型的大小,并根据行业最佳实践提高 API 安全性,可以(在一定程度上)降低接口复杂性和与之相关的风险。这些中的每一个都可以通过对用户可以执行的操作施加限制来降低复杂性,从而降低潜在攻击者的控制程度。

PEACH框架:云基础租户隔离安全架构

2、改善隔离
可以加强现有的安全边界(通过添加 PEACH 强化因子),用更强大的类型替换,或通过不同类型的额外边界来增强。这些中的每一个都通过阻止横向移动来降低剥削的影响。
一个强化良好的基于 IaaS 的安全边界(例如虚拟化)适用于确保租户隔离,而不管接口的复杂性。同样,应用程序级安全边界(例如容器化)通常足以隔离简单的接口,但其本身不足以隔离更复杂的接口。

PEACH框架:云基础租户隔离安全架构

3、增加重复
虽然安全边界可以阻止恶意租户试图横向移动,但我们可以通过将共享功能转移到供应商的信任边界之外并根据特定的组织原则(每个租户、每个区域等)复制它来进一步限制接口漏洞的影响。

PEACH框架:云基础租户隔离安全架构


四、避免过度隔离和可选参考
在租户隔离与这些其他因素之间取得平衡是很重要的。
另外云基础架构的环境异常复杂,PEACH框架在实际落地使用时,往往并不能完全适用,更多时候建议当作参考使用(笔者个人观点)。


关于PEACH的所有资料可以从白皮书中获得:
https://www.datocms-assets.com/75231/1671033753-peach_whitepaper_ver1-1.pdf


原文始发于微信公众号(电驭叛客):PEACH框架:云基础租户隔离安全架构

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月23日13:47:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PEACH框架:云基础租户隔离安全架构https://cn-sec.com/archives/1524619.html

发表评论

匿名网友 填写信息