CISP-CSE是CISP系列的一个关于云计算安全的认证。CISP系列的认证,在国内,还是很有口碑的。这个认证培训,也是迎合了云计算的兴起和发展,对于云计算或云安全感兴趣的人以及从业者来说,还是很有价值的。我利用空闲时间线上参加了CISP-CSE培训课,并顺利通过了认证考试,虽然过程很辛苦,但是自我感觉收获颇丰。下面和诸位分享一下自己的学习、考证经验。
一是,通过培训,熟悉了云计算体系架构及云计算关键技术。
云计算,本质上来说,就是一种服务,或者是资源共享方式。在早期计算、存储、带宽资源比较贫瘠的时候,为了提高性能,主要采取集群的方式,提高系统的处理能力和存储能力。现在随着计算能力、存储能力和带宽的提升,个人电脑的计算能力大大富裕,一些IT人,需要同时运行多个不同类型的操作系统,例如Windows和Linux,就出现了虚拟化技术,例如VMware Workstation、VirtualBox等。在这之前,在同一台电脑上,可以运行Windows和Linux,但是不能同时运行,那个时候就是双系统引导,需要哪个系统,就需要重启系统,进入需要的系统。而在VMware中,可以同时运行多个不同类型的OS,而且,还可以在虚机和物理机系统之间进行切换,共享文件等,不但提高了硬件的利用率,而且简直不要太方便了。
在这种思路出现以后,一些大佬,特别是AWS亚马逊,最早把这些硬件放在一起,利用虚拟化技术,虚拟出一堆各种系统,还在这些系统上安装各种软件,然后出租给用户使用,这就是云的雏形了。后来随着技术的发展,云服务商,不仅提供各种不同类型和版本的系统平台,而且还包括了用户常用的软件和安全服务,对用户来说,太方便了。从租用云,到弄好自己的云主机,分分钟就搞定了。这在200x年的时候,是不可想象的。记得那个时候,安装一个系统,光安装操作系统以及各种驱动,就个把小时过去了,然后还需要一堆的应用软件,在网上一顿下载安装,半天都过去了,还要弄个杀毒软件啥的,简直要疯了都。根据这些情况,结合自己的理解,画了两个云技术的框架图,希望能帮助到各位。
图1 云计算抽象图
在图1中,可以看到利用虚拟化技术,虚拟出来许多的CPU、内存、硬盘、网络等,需要通过管理手段,形成某个客户的虚拟网络,同时记录相关资源分配,这个功能就是管理层的工作了,这个也叫做管理平面。
图2 云计算分布式部署图
图2中,如果云厂商在多个地方部署了数据中心,这些云之间还需要进行互访。跨云的主机互访,需要利用专门的一种VxLan协议,也叫大二层技术,也是一种叠加网络技术,具体细节,各位可自行研究了。
二是,通过培训,能够全面了解云计算面临的安全风险及应对措施。
云服务厂商把自己的一些资源包括计算资源、存储资源,通过虚拟化以后,形成各种类型和版本的包,通过网络提供给用户使用。这里面的安全风险,一是数据存储在云上了,不在用户本地了,用户不能直接控制自己的数据了,而且这个数据可能被黑客脱裤了,或者被云厂商非法访问,或者被给搞坏了。二是,在云上数据的泄漏。由于云上运行了大量的云主机,你的云主机可能与黑客的云主机位于同一个物理主机上,这样黑客就可以利用抓包等方式,获取你的数据了,而且在这种情况下,黑客通过自己的云主机攻击了你的云主机,由于数据不流出物理主机,可能云平台都没有日志,是不太悲催了,连个证据都没有!!三是云用户,只能看到自己的相关操作日志,无法看到云厂商对自己云主机或网络的访问情况,日志范围受限了,一旦云厂商有个别恶意员工,非法查看了你存储在云上的图片啊,视频啊,啥的,你也不知道。四是,一些传统应用,迁移到云上以后,仍然存在传统的安全风险,例如XSS、SQL注入、脱库等风险。
当然,云作为一个商用产品,能走红,还是针对以上问题采取了应对措施,能够让租户放心的。一是通过对用户的云主机进行加密处理,防止云主机镜像和数据被非法访问;二是设置了相关的路由规则,不允许同一物理主机上的云主机的互访,必须通过云平台转发,这样就可在云平台留下各种流量证据了;三是为防止云上数据损坏,一般都将一份数据同时保留多个副本,而且这些副本之间保持同步,四是为了提高安全性,云厂商还在云上内置了一些免费的安全模块,包括主机防火墙、入侵检测、防病毒啊等,这一点,不同云厂商提供的免费安全模块,可能不一样。这里还有一点需要说明一下,在物理世界,我们的主机接入网络,需要用网线接入交换机,然后接到路由器或者防火墙,然后,然后就能上网啦,当然还需要配置,比如IP地址、掩码,网关啥的,这里就省略了哈。而在云上,没有地方插网线了,怎么办?其实,仔细想想,在物理世界,光插了网线,也不一定能上网对吧,主要靠路由表,对你的数据进行转发,发送出去,然后将返回的数据,再转发回你的主机。那么在云上,也是类似,通过在你的云主机和云上的虚拟路由器或交换机上,写入转发规则(类似路由表),就可以上网了,而且这里的IP、掩码、网关啥的还可进行自动化配置,使用更方便了。
三是,通过培训,能够全面了解云计算、云原生与传统网络安全的区别。
云与传统网络,最大的区别,在于能够提供弹性支持。比如,你正在玩游戏,需要很多的资源,包括CPU、GPU和内存等资源,这个时候,利用云主机,你可以将云主机的CPU提高到64核、内存增大到256GB等,当你不玩游戏了,你只需要能够运行基本的一些远程访问啊等功能,这个时候,你又可以将CPU减少的4核,内存减小到4GB等,以免浪费钱。大家都知道,云厂商收费,是按照CPU核心数、内存大小以及存储空间大小收费的。如果你运行的是为全球和火星提供服务的那种宇宙级别的应用,你还可以设置自动弹性,例如当每个云服务器的CPU利用率超过85%或者和内存利用率超过80%,你就可以设置规则,让云进行扩大,例如,资源增加30%,当CPU利用率低于30%或者和内存利用率超过20%的时候,自动缩回,资源释放30%,当然,这个比率是个概数。因为通常云的伸缩,是按照一个或多个云主机进行伸缩的,这个叫水平伸缩。还有一个叫垂直伸缩,具体什么原理,大家可以查查哈。
当我们把传统的应用,迁移到云上以后,通常都是运行的一个虚拟机或者容器里面,那么在伸缩的时候,就是以一个容器或虚机为单位进行伸缩。我们知道虚拟机里面对运行我们的应用,有关的其实非常少,这种方式,资源利用率太低了。那么怎么提高资源利用率,而且支持自动伸缩呢?这就是云原生了。在云原生中,一个大的应用,被分为多个小块,可以叫做微服务。每一个微服务,都有自动伸缩的功能,能够自动加入一个负载均衡组或者退出。这样当一个应用在负荷大的时候,并不一定每一个组件都需要伸缩,那么利用微服务架构,就能针对那个组件(微服务)负荷大,就对他进行伸缩,是不是就提高了效率。这个打一个比方,传统应用,就像是mp3音乐,你想声音大一点,就只能里面的每一种声音都放大或者减小。而云原生,更像是乐队演奏,例如需要萨克斯声音大些,那就增加几个萨克斯演奏手,觉得小提琴声音大了,就减少几个拉小提琴的,非常灵活,资源利用率也非常高。
四是,通过培训,深入加深了对云上数据存储及安全管理的方式的认识。
云上,存储了大量用户的数据,这些数据需要快速的读写。如果采用传统的树形目录组织,读写效率太低。因此,一些天才,发明了一种叫做对象存储的方式,能够大大提高数据读写速度。对象存储方式,将数据本身和数据的相关属性(也叫元数据)分开存储,例如名称、数据存储路径、数据类别、级别、安全属性等,这些都与数据本身分开存储。在读写的时候,首先读取元数据,得到数据的存储路径等,然后才去访问数据本身。对象存储方式及读写如下图所示。
图3 对象存储示意图
暂时就想到了这么多,另外在培训中,老师也穿插介绍了OpenStack、K8S、Docker容器等典型的云计算相关工具平台,对于了解云计算的落地,也是非常有好处的。
最后,我想说,云计算是许多技术的综合应用,要想深入了解云计算,能够在云上开发应用,能够对云进行安全运维,这个培训对于了解云架构、主要原理、关键技术及安全防护等,大家对云安全感兴趣或自己岗位有这方面需求的话,还是很推荐大家去报名学习的。
我当时联系报名的老师的联系方式放在文章最后了,有兴趣的同学可以联系,对接老师人非常nice。费用也给大家参考下:培训考试费一共是9600元/人,培训是线上的,一共5天;考试是线下的,半天考试,全国各地都能参加。