Thử nghiệm so sánh tính an toàn của AWS, Google Cloud và Microsoft Azure

cloudFun

Piic.png

Việc cô lập mạng là một phần quan trọng trong mọi phương thức an ninh nhiều lớp. Mọi người, từ những doanh nghiệp nhỏ tới những tổ chức lớn, đều sử dụng nó ở các mức độ khác nhau. Các mạng mang tính đòi hỏi khắt khe hơn thường cần đến một mức độ lọc bên ngoài cao nhằm ngăn chặn hành động ăn cắp dữ liệu và làm giảm tác động của những hành động vi phạm.

SensorFu lựa chọn thí nghiệm trên AWS, Google Cloud và Azure do đây là những nhà cung cấp dịch vụ đám mây phổ biến nhất. Họ cũng cung cấp một loạt các tính năng mạng cho các tổ chức lớn hơn có mong muốn mô phỏng cơ sở hạ tầng tại chỗ của họ trong đám mây.

SensorFu tạo ra một mạng đơn giản gồm 2 máy chủ, sau đó cố gắng lấy thông tin ra từ máy chủ “nhà kho” (hình bên dưới) bằng các biện pháp giả lập, truyền liên mạng, ẩn kết nối mạng. Mạng 10.10.10.0 đã được thiết lập tường lửa chặt chẽ, và mọi con đường dẫn tới các mạng khác đều đã bị xóa bỏ.



Ảnh 2.png


NHỮNG TÍNH NĂNG CHUNG

Tất cả những nhà cung cấp mà SensorFu nghiên cứu đều có một kiến trúc mạng bậc cao tương tự nhau. Trong kiến trúc này, chúng ta có một máy chủ siêu dữ liệu cho mỗi máy, và máy chủ này sẽ cung cấp thông tin cho các hệ điều hành như SSH và dữ liệu cấu hình. Máy chủ siêu dữ liệu thường cũng là một hệ thống phân giải tên miền DNS. Những mạng phụ cũng không phải là những miền quảng bá L2 truyền thống, mà thay vào đó là một nhóm những địa chỉ với hệ thống tường lửa và các quy luật định tuyến chung.

Có một điều khá thú vị là mỗi nền tảng có một cách riêng để sử dụng những “mạng phụ ảo” này. Trên nền tảng đám mây của Google, mỗi bản mạch giao tiếp mạng sử dụng một mặt nạ mạng 32-bit, và các mạng phụ được xác định cụ thể trên bảng định hướng. Aruze có một mặt nạ mạng phổ thông nhưng mọi điểm truy cập ARP đều hướng tới cổng mạng với địa chỉ MAC 12:34:56:78:9a:bc.


NHỮNG PHÁT HIỆN

Những điểm tích cực


Do những mạng ảo của cả ba nhà cung cấp đều không phải miền quảng bá L2 truyền thống, mọi lưu lượng mạng đều phải thông qua một kiểu định tuyến L3 ảo. Điều này dẫn tới việc áp dụng các chính sách định tuyến và tường lửa ở cấp máy chủ, và việc này hoàn toàn có lợi đối với an ninh mạng. Bên cạnh đó chúng ta còn có những biện pháp phòng chống giả mạo, điều rất khó có thể đạt được (ở cùng một mức độ) trong những mạng truyền thống. Đây là một ví dụ thực tế trong thế giới thực về những ích lợi của phân khúc vi mô.

Không một thử nghiệm giả mạo hay ẩn kết nối mạng nào thành công cả. Việc nghiên cứu siêu máy chủ do mỗi nền tảng sử dụng cũng không thể tìm ra bất cứ cách đơn giản nào để khai thác chúng ngoài một cách vô cùng rõ ràng dưới đây.

Những điểm hạn chế

Mỗi nhà cung cấp dịch vụ đám mây đều sử dụng một kiểu máy chủ siêu dữ liệu để cung cấp thông tin cho mỗi máy ảo của khách trên nền tảng của họ. Tự thân điều này không xấu, nhưng các máy việc sử dụng các máy chủ cho phép chúng ta truyền dữ liệu ra ngoài mạng trong Google Cloud và Azure.


Máy chủ siêu dữ liệu của Google Cloud (169.254.169.254) có vai trò của một máy chủ DNS, và không có cách nào để định hình điều này theo chắc năng cả. Máy chủ siêu dữ liệu này cũng đã được đưa vào danh sách trắng để không một tường lửa hay quy luật định hướng nào có thể gây ảnh hưởng tới nó, do đó bạn không thể chặn lưu lượng DNS được. Điều này nghĩa là chúng ta luôn có cách để truyền trông tin ra khỏi mạng thông qua DNS.

Về cơ bản thì Azure cũng giống như vậy. Một trong những máy chủ siêu dữ liệu của Azure (168.63.129.16) cũng giải quyết những truy vấn DNS, và được đưa vào danh sách trắng để không có cách nào chặn được việc truyền DNS ra khỏi mạng. Bạn có thể thiết lập một máy chủ DNS khác để sử dụng ở mức độ hệ điều hành, nhưng bạn luôn có thể truy cập một máy chủ siêu dữ liệu nếu bạn biết địa chỉ của nó. Azure hiện đang sử dụng cả một máy chủ siêu dữ liệu thứ hai tại địa chỉ 169.254.169.254.


AWS là nhà cung cấp tốt nhất trong số cả ba nhà cung cấp được nói tới. Bạn có thể tắt máy chủ DNS tích hợp và chỉ định máy chủ của bạn. Trong trường hợp này, máy chủ DNS của bạn sẽ tuân theo cùng một tường lửa và quy luật định hướng như mọi địa chỉ IP khác, và bạn có thể đạt được một mức cô lập mạng khá tốt.

Tư liệu về mỗi nền tảng đều khá tốt – ít nhất là ở những điểm liên quan tới tường lửa và định hướng dữ liệu. Tuy nhiên có một vấn đề chung giữa những tư liệu về máy chủ siêu dữ liệu của mạng. Khó tìm được bất kỳ tư liệu nào về những danh sách trắng ẩn, và trong trường hợp tệ nhất (Azure), lượng tư liệu chỉ nhiều bằng một bài đăng.

Kết luận

Ngoài những vấn đề với độ phân giải của máy chủ siêu dữ liệu, cả ba nền tảng đám mây đều hoạt động tốt. Thử nghiệm không thể làm thất thoát dữ liệu với bất kỳ một cách nào khác cả. Nhưng trong trạng thái hiện tại của chúng, chỉ AWS có thể đạt được sự cô lập mạng một cách đạt chuẩn.

Trên quan điểm của một mạng tại chỗ truyền thống, việc tạo ra một mạng độc lập trên mọi nền tảng đã được thử nghiệm có thể là một nhiệm vụ khó khăn do chúng không hoạt động như những mạng truyền thống với các công tắc và bộ định tuyến, và trên mỗi nền tảng chúng ta còn phải xét tới cả những sắc thái. Việc thực nghiệm là vô cùng quan trọng. Nó có thể cho chúng ta thấy những điểm đã bị bỏ qua, hoặc những điểm không xuất hiện trong bất kỳ từ liệu nào.

Nguồn: Medium
 
Top