大家可能還記得Alexander Adamov在2015年5月的一篇關(guān)于“云端檢測針對性的網(wǎng)絡(luò)攻擊”的文章，現(xiàn)在他給我們帶來了OpenStack東京安全峰會的一些內(nèi)容。

[[156919]]

漏洞管理和安全測試

漏洞郵件列表可以有效防止更多信息曝光，但漏洞管理流程將變得形式化，因此郵件列表并不是向下游利益相關(guān)者提供信息的唯一手段，我們可以從etherpad上獲得更多的信息。一款新的名為Syntribos的Python API安全測試工具在會上提出來，在未來它可以用作滲透測試工具，Syntribos設(shè)計的初衷是自動檢測常見的潛在安全漏洞，如SQL注入、LDAP注入，緩沖區(qū)溢出等等。此外，Syntribos還可以通過模糊HTTP請求的方式確定新的安全缺陷，我們可以從etherpad或者查看Syntribos工具獲得更多相關(guān)信息。Identity Federation in focus

會上討論了使用Barbican服務(wù)來進(jìn)行身份驗(yàn)證的問題，當(dāng)存儲圖像或者運(yùn)行解密圖像的加密秘鑰時云服務(wù)提供商的信任問題就暴露出來。由Barbican提供的存儲秘鑰和解密圖像應(yīng)該被刪除后使用，但是假如云服務(wù)提供商留下了解密數(shù)據(jù)或者無意間暴露了秘鑰呢?IBM的Steve Martinelli、Rackspace公司的Joe Savak、Douglas Mendizábal，CERN(歐洲核子研究中心)的Marek Dennis以及Cisco的Klaas Wierenga介紹了不同領(lǐng)域的驗(yàn)證應(yīng)用。在panel discussion中，驗(yàn)證被認(rèn)為會越來越受歡迎，并且在學(xué)術(shù)領(lǐng)域中被廣泛使用。Dennis介紹了認(rèn)證工作是如何幫助CERN(歐洲核子研究中心)的研究人員專注于發(fā)現(xiàn)宇宙的基本結(jié)構(gòu)：不用刻意去管理提供給科學(xué)家訪問的PB級大型強(qiáng)子對撞機(jī)的傳感器收集的數(shù)據(jù)權(quán)限賬戶。FWaaS

我們看一下FWaaS的線路圖，防火墻作為服務(wù)插件的發(fā)展是持續(xù)的。包括以下一些重要內(nèi)容：我們應(yīng)該考慮設(shè)置FWaaS區(qū)域、服務(wù)鏈、容器、虛擬端口，而不是當(dāng)前形勢下只適用于路由器。例如，一個基于zone的防火墻在不需要設(shè)置多個ACI的基礎(chǔ)上可以過濾任何給定的網(wǎng)絡(luò)流量，提高服務(wù)的抽象層次。通過這種方式，用戶只需要在安全區(qū)域設(shè)置一個適當(dāng)?shù)墓?jié)點(diǎn)。Mitaka重新設(shè)計的自由FWaaS API，實(shí)現(xiàn)以下目標(biāo)：基于端口的功能、增加安全組、基于IPTables的參考實(shí)現(xiàn)、服務(wù)團(tuán)隊(duì)我們在N-cycle的工作重心將放在可伸縮性，HA以及基于zone的防火墻。在O-cycle的工作重心將放在防火墻和安全組上。Mirantis貢獻(xiàn)FWaaS文檔確保OpenStack和私有云之間的流量安全(英特爾、Midokura)

英特爾公司在Midokura公司的幫助下，給出了基于英特爾平臺安全控制器的掃描網(wǎng)絡(luò)流量的安全措施(他們承諾在未來合適的時機(jī)開放源碼)。這種實(shí)現(xiàn)方式是全新的，至少在目前看來還不成熟，但是我認(rèn)為這種方法很有前途。云提供商遲早會開始考慮部署一個一體化的安全解決方案，通過API方式可以自動部署云。這使得配置、調(diào)整、規(guī)模等在面對威脅時能夠得到保護(hù)，此外，因?yàn)榕cIntel TXT集成在同樣的硬件層面，它的安全解決方案是極為可靠的。這個會議中有以下幾個熱點(diǎn)：80%的云端流量是東西向的英特爾安全控制(ISC)平臺包括McAfee虛擬網(wǎng)絡(luò)安全平臺、防火墻、通過開放API編程的第三方安全應(yīng)用程序。ISC使用VLAN標(biāo)記來綁定安全策略，并且進(jìn)出服務(wù)虛擬機(jī)的包都被重新定向掃描?；旧希⑻貭柊踩刂破脚_將掃描所有的進(jìn)出網(wǎng)絡(luò)的流量和通過API部署的安全解決方案;他們還從PLUMgrid引入了虛擬域的概念，包括來自外部網(wǎng)絡(luò)虛擬機(jī)的網(wǎng)絡(luò)流量。這些虛擬域增加了靈活性，例如減少了來自互聯(lián)網(wǎng)和私有網(wǎng)絡(luò)的損害。保障OpenStack基礎(chǔ)設(shè)施安全(Awnix、PLUMgrid)

前美國國防部工程師、Awnix CEO Rick Kundiger表示：防火墻、VLAN和ACI并不能保證云安全。他提出的解決方案是利用SDN創(chuàng)建一個安全租戶防火墻，安全組，IDS,IPS,UTM等等。通過這種方式，一旦哪個租戶被盜用，網(wǎng)關(guān)IP就可能被更改連接到內(nèi)部網(wǎng)絡(luò)。還討論了自動檢測和補(bǔ)救的問題。比較可取的安全建議是高粒度的防火墻規(guī)則，即使攻擊者進(jìn)入了一個服務(wù)器，他們也無法在同樣的項(xiàng)目下傳播。由PLUMgrid跨計算域提供的Linux網(wǎng)絡(luò)項(xiàng)目IOVisor，在虛擬機(jī)和容器之間采取同樣的工作方式。這種方式統(tǒng)一管理網(wǎng)絡(luò)安全，它是Linux內(nèi)核的一部分，IOVisor還可以根據(jù)用戶發(fā)送的可疑數(shù)據(jù)包進(jìn)行追蹤調(diào)查。保護(hù)混合云(FlawCheck)

在初創(chuàng)公司FlawCheck的演講中，他們用自帶的惡意軟件/漏洞靜態(tài)簽名引擎來檢測Docker容器。根據(jù)他們的報告，大多數(shù)的預(yù)定義容器都是極為脆弱的。事實(shí)上42%的用戶表示，在Docker容器上運(yùn)行的應(yīng)用程序是“惡意軟件和漏洞”。難怪Docker沒有安全檢測，事實(shí)證明30%的容器都有漏洞。整體看OpenStack東京安全峰會

在東京我們可以看到更多的話題，我們可以從英特爾和Midokura,Awnix PLUMGrid,FlawCheck、Vulnerability Management Team在嘗試對“如何保護(hù)云免受網(wǎng)絡(luò)攻擊”這一問題的回答。他們的工作是OpenStack安全項(xiàng)目的一部分，在揭露和修復(fù)漏洞上游代碼并將之交付下游利益相關(guān)者的工作上作出重大貢獻(xiàn)。例如Bandit工具和全新的安全測試工具Syntribos發(fā)布的這個版本，可以在這方面得到應(yīng)用。然而修復(fù)安全漏洞并不足以保護(hù)云免受黑客的攻擊，Intel和PLUMgrid公司意識到這一點(diǎn)并提出了旨在提高云安全架構(gòu)的解決方案。在容器方面，我們看到了極為嚴(yán)重的情況，但是我們也看到了開源的Linux內(nèi)核模塊IOVisor正在試圖解決這個問題。綜上所述，我們看到接口統(tǒng)一和集中安全編排的趨勢，這將為安全策略的實(shí)施和數(shù)字取證帶來更多的靈活性和簡單性。

原文鏈接：http://www.sdnlab.com/14943.html