1.3 云扫描服务

1.3.1 云扫描简介

在云计算盛行的当今,安全服务化逐渐成为市场的主流。从之前章节的介绍中我们不难看出,众多主流的扫描器厂商都在对自己的产品进行云化、服务化输出,以安全即服务(Security as a Service,SaaS)的方式对外提供,例如Tenable、Qualys等。

1.云扫描服务架构

相比本地部署的软、硬件扫描产品,云化的扫描服务在架构上会有所不同。图1-30展示的是一个比较通用的云扫描架构,这个架构主要分为两个区域——云扫描平台和企业IT环境。

图1-30 云扫描架构

(1)云扫描平台

这是云扫描服务提供商自身的运营平台,所有主要功能都由这个平台提供,比如支撑平台运行的底层基础架构(计算、存储、网络等)、基于多租户的管理控制台、执行具体扫描任务的漏洞扫描器以及网站漏洞扫描器等。其中,管理控制台为租户提供了各种必需的管理功能,比如设定扫描范围、下发扫描任务、读取扫描结果、生成扫描报告等。为了提高效率和稳定性,漏洞扫描器和网站漏洞扫描器有可能在全网范围内进行分布式的部署。

(2)企业IT环境

对于企业内部的IT环境,云扫描平台的扫描器是无法直接到达的,这时就需要在企业IT环境中部署一个或多个漏洞扫描器,主要针对企业内网进行漏洞扫描。扫描任务由云扫描平台进行下发,扫描结果会上传到云扫描平台,并由其进行统一的汇总、展示。

2.云扫描服务范围

由于云扫描平台的部署位置和部署架构的特点,云扫描服务除了可以满足企业传统的扫描需求(例如资产扫描、漏洞扫描、网站扫描)外,还可以针对企业的互联网暴露面进行安全扫描。云扫描服务的范围通常可分为以下3种。

(1)企业内网扫描

云扫描服务可以实现对企业内网的扫描工作,包括资产扫描、漏洞扫描、网站扫描。这个功能是基于部署在企业IT环境的漏洞扫描器实现的。漏洞扫描器通常都是以软件或虚拟镜像的方式提供的,根据实际网络环境可以部署一个或多个,扫描后的数据会上传到云扫描平台进行统一的汇总、展示、生成报表等。

(2)网站扫描

云扫描服务不仅可以对企业内部的网站进行漏洞扫描,还可以对能够通过互联网直接访问的网站进行扫描。针对那些直接暴露在互联网的网站,企业不需要单独部署扫描器,云扫描平台通常会默认提供对其的扫描。

(3)互联网暴露面扫描

企业的互联网暴露面就像晒太阳一样,穿得越少,被晒黑的面积就越大,防晒霜涂抹得越少,被晒伤的可能性就越大。这和企业安全防护是一个道理,企业在互联网上暴露的资产越少,受攻击的范围就越小,对资产的安全防护越到位,被入侵的可能性就会越小。

图1-31所示是很多大型企业的典型IT架构,分支和总部之间通过VPN连接,很多分支机构因为各种各样的原因,还会有本地的互联网出口,甚至还有直接对外开展的业务。这种架构的性价比虽然很高,但是潜在的安全风险也比较多,最直接的一个就是互联网暴露面太大,攻击者可以进行攻击的点很多,这会给企业的防御造成很大困难,任何一个相对薄弱的环节都有可能成为攻击者进入企业的突破口。

图1-31 有多个互联网连接的企业架构

图1-32所示为企业IT架构,这种架构虽然实现费用相对高些,但是企业的互联网暴露面明显变小了,攻击者可以进攻的范围变小了,企业的防守范围也相应变小,这样很多防御和管理手段都可以更容易落地执行,整体的防御效果也更好。

图1-32 有唯一互联网连接的企业架构

企业的互联网暴露面包括直接从互联网可以访问到的IP地址、端口以及运行的服务(例如网站)。由于这些资产直接暴露在互联网上,因此它们就变得尤为重要,发生任何问题都有可能造成业务中断、数据丢失,甚至企业信誉受损等。云扫描服务恰恰可以帮助企业从互联网侧对企业的资产进行扫描,无论是图1-31还是图1-32中所示的IT架构,都可以通过云扫描服务的方式检查企业暴露出来的安全风险,从而制定相应策略,把企业的安全风险降到最低。