雲安全
出自 MBA智库百科(https://wiki.mbalib.com/)
雲安全(cloud security)
目錄 |
雲安全是指基於雲計算商業模式應用的安全軟體、硬體、用戶、機構、安全雲平臺的總稱。雲安全通過網狀的大量客戶端對網路中軟體的行為進行監測,獲取互聯網中木馬、惡意程式的最新信息,並發送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端[1]。
雲安全的產生和原理[2]
在互聯網普及前,電腦安全問題基本局限在單機範疇,傳統安全廠商也主要做單機版殺毒軟體,對付病毒的方法都是依靠“殺毒引擎+特征碼”的“事後查殺”模式。反病毒行業目前一直沿用的方法是:發現病毒後,由反病毒公司的工程師解析病毒樣本,然後將針對該樣本的病毒碼上傳到病毒庫中,用戶通過定時或者手動更新病毒庫,來獲得殺毒軟體的升級保護。但這樣的傳統殺毒方式,病毒碼更新起來比較麻煩,用戶每天升級殺毒軟體也比較耗費記憶體和帶寬,很多人對此很反感。此外,日益發展的大量病毒變種,使得標準樣本收集、特征碼創建以及部署不再能充分發揮效用。
另外,繼續使用特征碼防護機制面臨的最大問題之一,是存在防護時間差的問題。一般來說,從一個病毒出現到被識別、分析、加入病毒特征碼庫到最終傳送給用戶電腦,通常要花費24~72小時。個人用戶和機構用戶在等待升級病毒庫的這段時間中,他們的終端電腦將會暴露在安全威脅之下,很容易受到攻擊。
起初病毒的設計是為了儘可能快速地進行傳播,因此很容易找到。隨著網路威脅的涌現,惡意軟體已經從爆發模式發展到隱蔽的“睡眠式”感染,從而讓傳統的保護技術更加難以探測。對於小規模,特定範圍傳播的病毒(這是電腦病毒發展的最新趨勢),反病毒軟體公司可能沒有得到病毒樣本,因此也無法提供特征代碼。那麼,對這些病毒,反病毒軟體就無法檢測到。即使反病毒軟體公司提供特征代碼,那也是在病毒傳播一段時間之後了,這段時間里,用戶也是不被保護的。
從安全防禦機構的角度來說,如果依然沿襲以往的反病毒模式,安全機構依靠自身部署的有限地域、有限數量的惡意軟體採集能力,無法在小規模爆發的惡意軟體變成大規模的破壞前及時地採集、分析並提出處理措施,從而遠遠落在攻擊者的腳步之後。基於“雲安全”的網路協作模式,能夠讓每一臺客戶電腦都變成安全機構的智能惡意軟體監測站,利用其主動防禦技術及時發現和提交“可疑的惡意軟體”,從而組成一個遍及全球和各領域的龐大惡意軟體監測網路,大幅度提高安全機構的安全信息總量和反應速度,使其基於“特征碼比對”或基於“行為模式分析”的解決方案的精確度能夠得到大幅度提高。
“雲計算”實現的安全,或稱“雲安全”,來源於其“雲網路——瘦客戶”的新型計算模型,如圖1所示,將大量的各種計算資源放置在網路中,將分佈處理、並行處理及網格計算的能力通過網路介面分享給客戶,在實現上,讓龐大的伺服器端(即“雲端”)承擔大規模集中信息採集、處理、計算、存儲、分析、檢測和監測工作,甚至直接在雲內將大部分流動的攻擊行為阻斷掉,而只讓客戶端承擔提交“潛在惡意軟體”和執行最終的“清除、隔離還是放行”的簡單任務。客戶端防護軟體將不再需要設計得龐大而全面,不再占據系統過多的寶貴計算和存儲資源。當然,對網路資源的使用是必須的。從客戶的角度而言,這種“提供強大靠山”的新型方式大大簡化了客戶端工作量,使原本弱小的普通客戶端告別了原本安全信息不對等的弱勢局面,將實時更新的強大入侵監測和分析能力“推送”到了每一臺客戶電腦。
引入“雲計算”架構後,殺毒行業真正實現了從殺毒到防毒的改變。把病毒碼放到伺服器的“雲端”,伺服器集群遇到進入用戶終端的病毒碼時可以自動查殺,這樣就可以使用戶終端變得很輕鬆,不用每天升級,也不必再因為殺毒軟體而占用記憶體和帶寬。不一定要等到用戶中毒之後再去解決,重要的是要預防問題。趨勢、熊貓、瑞星、賽門鐵克等殺毒廠商目前都在部署自己的雲電腦架構,用以組成“雲端”的伺服器集群從數百台到上萬台不等。在未來,用戶只要安裝了某一款接入“雲端”的殺毒軟體,在上網時,伺服器端會根據已經預存的海量病毒庫來判斷哪些網頁行為是惡意的,甚至是木馬程式,並自動為用戶清除。
那麼一旦出現了新的病毒,而伺服器“雲端”的資料庫中此前沒有該病毒碼,雲計算不再依靠某一公司的工程師們加班加點地去分析,而是根據事先設定好的數十項衡量標準對一種網頁新行為進行測評,如果發現某一代碼行為異常,則立即截斷其來回反饋的通道,不讓它進入用戶終端,直接在半路上查殺。
雲安全的本質[3]
人們常把雲計算服務比喻成自來水公司提供的供水服務。原來每個家庭和單位自己挖水井、修水塔,自己負責水的安全問題,例如避免受到污染、防止別人偷水等等。從這個比喻當中,我們窺見了雲計算的本質:雲計算只不過是服務方式的改變! 自己開發程式服務於本單位和個人,是一種服務方式;委托專業的軟體公司開發軟體滿足其自身的需求也是一種方式;隨時隨地享受雲中提供的服務,而不關心雲的位置和實現途徑,是一種到目前為止最高級的服務方式。
從這個比喻當中還看出雲安全的本質:就像我們天天使用的自來水一樣, 我們究竟要關心什麼安全問題呢?第一,我們關心自來水公司提供的水是否安全,自來水公司必然會承諾水的質量,並採取相應的措施來保證水的安全第二,用戶本身也要提高水的使用安全,自來水有多種,有僅供洗浴的熱水,有供打掃衛生的中水,有供飲用的水等等。例如,不能飲用中水,要將水燒開再用,不能直接飲用,這些安全問題都是靠用戶自己來解決。還有,第三個關於雲的安全問題是, 用戶擔心別人會把水費記到自己的賬單上來, 擔心自來水公司多收錢。
和自來水供應一樣,雲計算的安全問題也大致分為以下幾個方面:第一方面, 雲計算的服務提供商,他們的網路是安全的嗎,有沒有別人闖進去盜用我們的賬號?他們提供的存儲是安全的嗎?會不會造成數據泄密?這些都是需要雲計算服務提供商們來解決, 向客戶承諾的問題。就像自來水公司要按照國家有關部門法規生產水一樣,約束雲計算的服務提供商的行為和技術,也一定需要國家出台相應的法規。第二方面,客戶在使用雲計算提供的服務時也要註意:在雲計算服務提供商的安全性和自己數據的安全性上做個平衡,太重要的數據不要放到雲里,而是藏在自己的保險柜中; 或將其加密後再放到雲中,只有自己才能解密數據,將安全性的主動權牢牢掌握在自己手中,而不依賴於服務提供商的承諾和他們的措施。第三方面,客戶要保管好自己的賬戶,防止他人盜取你的賬號使用雲中的服務, 而讓你埋單。
不難看出, 雲計算所採用的技術和服務同樣可以被黑客利用來發送垃圾郵件, 或者發起針對下載、數據上傳統計、惡意代碼監測等更為高級的惡意程式攻擊。所以, 雲計算的安全技術和傳統的安全技術一樣: 雲計算服務提供商需要採用防火牆來保證不被非法訪問; 使用殺病毒軟體保證其內部的機器不被感染; 用入侵檢測和防禦設備防止黑客的入侵; 用戶採用數據加密、文件內容過濾等防止敏感數據存放在相對不安全的雲里。
與傳統安全不一樣的地方, 是隨著服務方式的改變,在雲計算時代,安全設備和安全措施的部署位置有所不同安全責任的主體發生了變化。在自家掘井自己飲用的年代,水的安全性由自己負責,在自來水時代, 水的安全性由自來水公司作出承諾, 客戶只須在使用水的過程中註意安全問題即可。原來, 用戶自己要保證服務的安全性,現在由雲計算服務提供商來保證服務提供的安全性。
雲安全的特點[4]
針對雲計算服務模式和資源池的特征,雲安全繼承了傳統信息安全特點,更凸顯了傳統信息安全在數據管理、共用虛擬安全、安全管理等問題, 同時改變了傳統信息安全的服務模式,主要包括:
1.共用虛擬安全
在雲計算中心,虛擬化技術是實現資源分配和服務提供的最基礎和最核心的技術。通過虛擬化技術,將不同的硬體、軟體、網路等資源虛擬為一個巨大的資源池,根據用戶的需求,動態提供所需的資源。因此,虛擬化技術的安全性在雲中顯得格外重要。虛擬機的安全除了傳統上虛擬機監督程式的安全性以及虛擬機中惡意軟體等造成的安全問題和隱私泄露之外,虛擬化技術本身的安全問題在雲中也顯得非常重要,而且這其中許多問題在雲計算之前並未得到人們的重視。在雲中,一臺物理伺服器通常會運行多台虛擬機,併為多個用戶提供服務。這些用戶共用同一物理設備,這就為攻擊者提供了發起攻擊的可能性。此外,資源的動態分配使得雲中虛擬機的遷移成為了普遍現象,而針對虛擬機遷移的遷移攻擊也成為了雲中不可忽視的安全問題。虛擬化的安全需要從多個層面和角度進行考慮,才能夠確保雲計算平臺的虛擬化安全。
2.數據失控挑戰
在雲計算應用中,用戶將數據存放在遠程的雲計算中心,失去了對數據的物理控制,對數據的安全與隱私的保護完全由雲計算提供商提供。這一特性使得雲計算提供商即使聲明瞭其提供的安全性,也無法說服用戶完全的信任雲。相比於傳統的客戶/伺服器模式,用戶對雲的依賴性更高,所有操作均放在雲端執行。因此,在雲計算中,我們面臨著如何使得用戶能夠信任雲,或者在不能完全信任的平臺下仍然進行存儲和計算,能夠檢驗數據是否受到保護、計算任務是否正確執行的問題。雲計算中心通常都會向用戶聲明其提供的安全性,使用戶能夠放心使用其提供的服務,然而如何驗證其是否提供了聲明的安全服務是用戶能夠信任雲的關鍵。因此通過技術手段使得用戶可以確信其數據和計算是安全且保密的,則對打消用戶對雲計算安全與隱私問題的顧慮有著極大的幫助。
3.安全即服務模式
雲計算作為一種新的模式,雖然帶來了一些新的安全威脅,但也為傳統信息安全與隱私問題的解決提供了新的途徑。在雲計算之前,敏感數據大量分散在網路中,許多站點並沒有很好的措施保障數據的安全,容易造成數據泄露。而利用雲計算強大的計算與存儲能力,可以將安全以服務的形式(安全即服務)提供給用戶,使得客戶能夠隨時使用到更好更安全的服務。安全即服務可以在反病毒、防火牆、安全檢測和數據安全等多個方面為用戶提供服務,實現安全服務的專業化、社會化。雲安全服務中心可以通過搭建信息安全服務平臺,集中對信息安全的相關威脅進行處理,能夠及時為用戶提供良好的安全保護。
雲安全的技術核心[5]
實現雲安全有六大核心技術:
(1)Web信譽服務。藉助全信譽資料庫,雲安全可以按照惡意軟體行為分析所發現的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數,從而追蹤網頁的可信度。然後將通過該技術繼續掃描網站並防止用戶訪問被感染的網站。
(2)文件信譽服務。文件信譽服務技術,它可以檢查位於端點、伺服器或網關處的每個文件的信譽,檢查的依據包括已知的良性文件清單和已知的惡性文件清單。
(3)行為關聯分析技術。通過行為分析的“相關性技術”可以把威脅活動綜合聯繫起來,確定其是否屬於惡意行為。
(4)自動反饋機制。雲安全的另一個重要組件就是自動反饋機制,以雙向更新流方式在威脅研究中心和技術人員之間實現不間斷通信。通過檢查單個客戶的路由信譽來確定各種新型威脅。
(5)威脅信息總匯。
(6)白名單技術僻。作為一種核心技術,白名單與黑名單(病毒特征碼技術實際上採用的是黑名單技術思路)並無多大區別,區別僅在於規模不同。現在的白名單主要被用於降低誤報率。
雲安全的關鍵技術[2]
基於信譽的安全技術補充了傳統安全技術的不足,通過收集匿名用戶使用情況的樣本,從而辨別URI/WEB/郵件/文件安全與否。技術的核心集中在如何憑藉指定URI/WEB/郵件/文件的部分使用情況信息來辨別該URI/WEB/郵件/文件是否安全。基於信譽的安全技術充分利用多方數據資源,包括由數億用戶電腦上的代理提供的匿名數據、軟體發行商提供的數據以及在針對大型企業用戶發起的數據收集項目中獲得的數據。這些數據會持續不斷地更新到信譽引擎,以此確定每一URI/WEB/郵件/文件的安全信譽等級,絕不需要對該URI/WEB/郵件/文件進行掃描。從技術實現的角度而言,“雲安全”全球化的信息採集和分析模式使其可以採用新的防禦模式和技術,主要歸納為以下幾點:
(1)雙向自動反饋機制。“雲計算”防惡意軟體技術不再需要客戶端保留惡意軟體庫特征,所有的信息都將存放於互聯網中。當全球任何角落的終端用戶連接到互聯網後,與“雲端”的伺服器保持實時聯絡,當發現異常行為或惡意軟體等風險後,自動提交到“雲端”的伺服器群組中,由“雲計算”技術進行集中分析和處理。之後,“雲計算”技術會生成一份對風險的處理意見,同時對全世界的客戶端進行統一分發。客戶端可以自動進行阻斷攔截、查殺等操作。將惡意軟體特征庫放置於“雲”中,不但可以節省因惡意軟體不斷泛濫而造成的軟硬體資源開支,而且還能獲得更加高效的惡意軟體防範能力。
(2)根據資源的URL地址來判斷風險程度。“雲安全”可以從整個互聯網上收集源信息,判斷用戶的互聯網搜索、訪問、應用的對象是不是惡意信息。這種模式與病毒代碼的比對不同,病毒代碼是用特征碼進行識別。傳統病毒代碼分析依靠大量人工,而“雲安全”則利用基於歷史用戶反饋的統計學分析方式不停地對互聯網進行判斷。只要全球範圍內有1%的用戶提交需求給“雲端”伺服器,15分鐘之後全球的“雲安全”庫就會對該URL的訪問行為進行策略控制。
(3)Web信譽服務。藉助全球域信譽資料庫,Web信譽服務按照惡意軟體行為分析所發現的網站頁面、歷史位置變化和可疑活動跡象等因素來指定信譽分數,從而追蹤網頁的可信度。然後將通過該技術繼續掃描網站並防止用戶訪問被感染的網站。為了提高準確性,降低誤報率,Web信譽服務為網站的特定網頁或鏈接指定信譽分值,而不是對整個網站進行分類或攔截,因為通常合法網站只有一部分受到攻擊。而信譽可以隨時間而不斷變化。通過信譽分值的比對,就可以知道某個網站潛在的風險級別。當用戶訪問具有潛在風險的網站時,就可以及時獲得系統提醒或阻止,從而幫助用戶快速地確認目標網站的安全性。通過Web信譽服務,可以防範惡意程式源頭。由於對“零日攻擊”的防範是基於網站的可信度而不是真正的內容,因此能有效預防惡意軟體的初始下載,用戶進入網路前就能夠獲得防護能力。
(4)電子郵件信譽服務。電子郵件信譽服務按照已知垃圾郵件來源的信譽資料庫檢查IP地址,同時利用可以實時評估電子郵件發送者信譽的動態服務對IP地址進行驗證。信譽評分通過對口地址的行為、活動範圍以及以前的歷史不斷分析而加以細化。按照發送者的IP地址,惡意電子郵件在“雲”中即被攔截,從而防止僵屍或僵屍網路等Web威脅到達網路或用戶的電腦。
(5)文件信譽服務。文件信譽服務技術可以檢查位於端點、伺服器或網關處的每個文件的信譽。檢查的依據包括已知的良性文件清單和已知的惡性文件清單,即現在所謂的防病毒特征碼。高性能的內容分髮網絡和本地緩衝伺服器將確保在檢查過程中使延遲時間降到最低。由於惡意信息被保存在“雲”中,所以可以立即到達網路中的所有用戶。此外,與占用端點空間的傳統防病毒特征碼文件下載相比,這種方法降低了端點記憶體和系統消耗。
(6)行為關聯分析技術。利用行為分析的相關性技術把威脅活動綜合聯繫起來,確定其是否屬於惡意行為。按照啟髮式觀點來判斷Web威脅的單一活動是否實際存在威脅,可以檢查潛在威脅不同組件之間的相互關係。來自世界各地的研究將補充客戶端反饋內容,全天候威脅監控和攻擊防禦,以探測、預防並清除攻擊,綜合應用各種技術和數據收集方式——包括蜜罐、網路爬行器、反饋以及內部研究獲得關於最新威脅的各種情報。
雲安全的策略、方法與實踐[6]
雲計算安全是雲計算服務提供商和雲計算用戶之間共同的責任,但兩者之間的界限有些模糊,這個界限直接取決於所應用的雲計算模式的類型。雲計算有3種雲服務模式:IaaS、PaaS、SaaS。由於這三類雲計算服務自身特點,以及用戶對雲計算資源的控制能力不同,使得雲服務提供商和雲用戶各自承擔的安全形色、職責也有所不同。在雲計算應用中,為了避免服務糾紛,有必要對雲服務提供商與用戶進行各自的責任劃分與界定。
IaaS雲服務提供商主要負責為用戶提供基礎設施服務,如提供包括伺服器、存儲、網路和管理工具在內的虛擬數據中心,雲計算基礎設施的可靠性、物理安全、網路安全、信息存儲安全、系統安全是其基本職責範疇,包括虛擬機的入侵檢測、完整性保護等;而雲計算用戶則需要負責其購買的虛擬基礎設施以上層面的所有安全問題,如自身操作系統、應用程式的安全等。
PaaS雲服務提供商主要負責為用戶提供簡化的分散式軟體開發、測試和部署環境,雲服務提供商除了負責底層基礎設施安全外,還需解決應用介面安全、數據與計算可用性等;而雲計算用戶則需要負責操作系統或應用環境之上的應用服務。
SaaS雲服務提供商需保障其所提供的SaaS服務從基礎設施到應用層的整體安全,雲計算用戶則需維護與自身相關的信息安全,如身份認證賬號、密碼的防泄露等。下麵將對這3種服務方式的雲安全策略與實踐作進一步的探討和論述。
IaaS(Infrastructure as a Service,基礎設施即服務)通過互聯網提供了數據中心、基礎設施硬體和軟體資源。IaaS可以提供伺服器、操作系統、網路、磁碟存儲、資料庫和/或信息資源。IaaS在信息安全方面需要考慮的因素包括以下幾個方面。
1.物理環境的安全
傳統的企業IT建設,企業需要購置全部的硬體、網路、存儲、軟體以及業務應用系統,企業需要自己管理數據中心,開發、部署、維護業務應用系統。在這種情形下,企業全面掌控設備、系統以及至關重要的各種業務數據。但當企業應用遷移到雲端以後,企業的業務數據被存放在雲服務供應商的數據中心內,企業就會更加關心雲服務提供商數據中心的物理安全。誰能夠進入數據中心?進入數據中心以後的操作是否會受到控制和監視?進入數據中心以後,能夠到達的區域是否能夠控制?是否能夠對進入數據中心人員進行全程錄像監視?等等。所有這些都對雲服務提供商數據中心的管理提出更高的要求。
下麵以微軟的Business Productivity Online Service雲服務為例,說明雲服務提供商對物理安全的考慮因素。
針對某些防護措施,使用技術系統實現自動化的訪問身份驗證和授權,使得物理安全能夠隨著安全技術的進步同步進化。而從傳統的,部署在企業內部的計算硬體和軟體中的企業級應用,轉變為利用軟體即服務,以及軟體外加服務,這屬於另一種進化。這些變動使得組織為了確保資產安全而進行額外的調整成為必需。
OSSC(線上安全與合規管理團隊)管理了所有微軟數據中心的物理安全,這是確保設施的正常運作及保護客戶數據的前提條件。所有設施的安全設計和運維都使用了已確立的,並且非常嚴格的規程,因此微軟可確保通過不同的邊界層,對外向和內向邊界提供更進一步的控制。
所實施的安全系統結合使用了包括攝像頭、生物驗證、讀卡器,以及報警器等技術解決方案,並依然實施了傳統的安全機制,如鎖和門禁。對於所有設施,還應用了運維控制機制,以便進行自動化監控,併在遇到異常情況和問題時提供前期預警,並對數據中心的物理安全規程提供可審計的文檔材料,充分履行了所有義務。下麵提供了額外的範例,介紹微軟是如何對物理安全應用所需限制的。
(1)限制可訪問數據中心的人員:微軟提供了可供數據中心員工和承包商審閱的安全需求,除了針對站點人員的契約條款,在數據中心內部保持設置運作的人員還應用了一層額外的安全機制。通過最小特權策略對訪問進行限制,這樣只有必要的人員才能獲得授權並管理客戶的應用程式和服務。
(2)解決高業務影響力數據的需求:在數據中心內,對於提供聯機服務的資產,除了中低等敏感度的內容,如果處理的是歸類為高度敏感的內容,而不是中等或低等敏感的內容,微軟還制定了更嚴格的最低需求。在標準安全協議中,對於站點項的身份認證、訪問令牌,以及日誌和監管等內容明確列出了需要何種類型的身份驗證。如果要訪問高敏感度資產,則需要多因素身份驗證。
(3)集中進行物理資產的訪問管理:隨著Microsoft繼續提供更多數量的數據中心用於提供聯機服務,還專門開發了一個用於對物理資產的訪問控制進行管理的工具,該工具還可通過集中的工作流程提供包含申請、批准,以及交付數據中心訪問等活動的可審計的記錄。該工具的運作遵循了提供訪問所需的最低特權的原則,並可編入工作流,以便能夠獲得來自多個身份驗證方的審批。該工具可根據站點情況進行配置,針對報表和合規性審計,還可提供更高效的歷史記錄訪問功能。
2.網路與主機安全
雲服務依靠互聯網提供服務。因此,雲服務提供商的網路接入能力是正常、持續提供服務的關鍵。所有的請求、數據、回應都將通過網路進行通信。因此,雲服務提供商在網路的邊際應該提供諸如防火牆、防毒牆、入侵檢測與防護系統等安全措施。
微軟已經有多年的雲服務提供經驗,早在1994年就開始運營MSN,並且有200多個面向企業提供的雲服務。現在,BPOS的運行也取得了可觀的付費用戶。在網路安全方面,微軟的實踐經驗如下。
對於數據中心的設施和網路連接,微軟應用了需要的各種安全保護層。例如,在控制和管理方面,都應用了相關的安全控制。另外還實施了某些特殊的硬體,如負載均衡器、防火牆,以及入侵檢測設備,以便管理大量的拒絕服務(DoS)攻擊。網路管理團隊則應用了層次式的訪問控制列表(ACL),以便按照需要對虛擬本地網路(VLAN)和應用程式進行分段。對於使用網路硬體,Microsoft使用了應用程式網關功能執行深入的數據包檢測,並針對可疑網路通信執行操作,如發送警報,或直接攔截。
對於微軟雲環境,還提供了全局冗餘的內部和外部DNS基礎架構。冗餘可提供容錯機制,這一功能是通過DNS伺服器群集實現的。另外還有其他控制可減緩分散式拒絕服務(DDoS)和緩存投毒或污染等攻擊。例如,DNS伺服器和DNS區域的ACL只允許通過授權的人員對DNS記錄進行寫入。來自最新版安全DNS軟體的新安全功能,如查詢標識符隨機化等,也已經被所有DNS伺服器使用。DNS群集還被進行著持續的監控,以預防未經授權的軟體和DNS區域配置變動,及服務中斷等問題的產生。DNS是連接全球互聯網中的一部分,要求很多機構的合作參與才能提供所需的服務。Microsoft參與了很多此類活動,例如,DNS運作分析和研究團(DNS—OARC),該團是由全球各地的DNS專家組成的。
在主機安全方面,IaaS服務提供商應當提供針對操作系統的安全加固、病毒防範以及入侵檢測及防護等功能。同時,應該加強對操作系統的日誌管理和監視。微軟在這方面的實踐是這樣的。
為了提供可靠的、受到良好管理的、安全的,以及無漏洞的服務,環境規模和複雜度的增長必須進行妥善的管理。
對基礎架構資產進行每天一次的掃描即可對主機系統的漏洞提供最新視圖,並使得OSSC能夠與產品和服務交付團隊的合作伙伴配合,在不造成微軟的聯機服務運作中斷的情況下對相關風險進行管理。
由內部和外部人員執行的滲透實驗對微軟雲基礎架構安全控制的效力提供了重要的驗證。這些審查的結果和對結果進行的持續評估可被用於後續的掃描、監控,以及風險彌補工作。
通過用自動化的方式部署標準強度的操作系統映像,並積極使用主機策略控制功能,如組策略,使得微軟可以控制微軟雲基礎架構中新增的伺服器。一旦部署完成,微軟的運維審查流程和補丁管理工作就會提供持續的保護,減緩主機系統的安全風險。
OSSC藉助審計和報表實現檢測控制,並且在發生事件後,可提供深入信息甚至法庭證據。由邊界防火牆、入侵檢測設備,及網路設備生成的日誌將通過SYSLOG協議進行集中收集,並作為文件保存。這些文件中包含的針對特定事件的記錄則可解析並上傳到中央SQLServer資料庫。上傳的記錄可使用自動化工具進行分析,以便能找出針對被監控環境的異常行為或惡意活動的模式,如果對活動進行調查發現操作可能是被批准的,則還會觸發SIM團隊的警報。處理完每個日誌文件後,還會對文件生成密碼哈希,並將其與相關文件狀態保存在同一個資料庫中。創建哈希後,每個數據文件會被壓縮並存儲在冗餘的文件歸檔伺服器中。哈希值使得在需要進行額外分析時,審計和調查人員能夠驗證存儲在檔案中的原始日誌文件的完整性。
對於微軟雲基礎設施中的一些重要伺服器,如域控制器、安全伺服器,以及包含敏感信息的伺服器,其審計日誌會通過微軟System Center Operations Manager 2007的Audit Collection Services(ACS)功能進行近乎實時的收集,並保存在SQLServer資料庫中。由於這些環境會收集到大量數據,因此重要或相關事件(也叫作“感興趣的事件”)會從中提取出來,然後轉發到另一個SQL資料庫,針對該資料庫,OSSC會使用自動化的工具執行詳細的分析,並尋找可疑活動。從事件日誌中收集的信息包括用戶登錄、安全策略配置的變動,以及未經授權的系統或應用程式文件訪問。與由邊界和網路設備生成的記錄類似,從審計日誌中提取的感興趣的事件可以看作是控制失敗,對伺服器配置進行未經授權的修改,以及其他惡意活動的證據。
另外,針對微軟Operations Manager(MOM)和微軟System Center Operations Manager創建的自定義的管理包則提供了實時警報和健康監控功能。這樣即可從另一個角度瞭解安全問題、影響系統完整性的改動,以及特定系統的策略違背情況。這些MOM和System Center Operations Manager事件會被整合到標準的運維框架中。微軟內部運維團隊採用的方法也需要使用這些內容減緩不那麼緊迫的問題。
從不同日誌文件中提取的信息可用於事件創建、報表生成,以及歷史趨勢等用途,所有這些內容都可用於驗證控制框架中控制機制的效力。
3.服務連續性
IaaS服務提供商應該保證數據中心的運行連續性,保證根據SLA的定義,保障服務連續性。IaaS服務連續性涉及技術和運營管理。技術方麵包括:負載均衡技術、群集技術、系統高穩定性技術、虛擬化高可用性技術等。管理方麵包括:運行監控、安全管理、補丁管理等。
PaaS雲提供給用戶的能力是在雲基礎設施之上部署用戶創建或採購的應用,這些應用使用服務商支持的編程語言或開發工具,用戶並不管理或控制底層的雲基礎設施,包括網路、伺服器、操作系統或存儲等,但是可以控制部署的應用以及應用主機的某個環境配置。
PaaS(Platform as a Service,平臺即服務)提供了應用基礎設施,軟體開發者可以在這個基礎設施之上建設新的應用,或者擴展已有的應用,同時卻不必購買開發、質量控制或生產伺服器。Salesforce.tom的Force.tom、Google的App Engine和微軟的Azure(微軟雲計算平臺)都採用了PaaS的模式。這些平臺允許企業創建個性化的應用,也允許獨立軟體廠商或者其他的第三方機構針對垂直細分行業建立新的解決方案。
PaaS在信息安全方面需要考慮的因素包括以下幾個方面。
1.身份與訪問管理
身份與訪問管理涉及對使用者的身份認證/單點認證、授權以及用戶身份生命周期的管理。
(1)身份認證/單點登錄:如何在企業中啟用單點登錄,以簡化應用程式訪問過程中的用戶體驗,並降低與額外的用戶憑據有關的風險和管理負擔?服務提供商是否支持使用單點登錄所必需的,基於標準的聯合身份驗證技術?
(2)身份周期管理:管理用戶的交付,以確保用戶許可權的精確和及時管理。企業還應考慮採用聯合身份驗證(如基於聲明的安全性),以增強現有用戶權利在內部系統和雲服務之間的便攜性。
基於雲的服務要求安全地跨域協作,並保護防範人員和設備身份的誤用。任何負責身份和訪問控制的系統,尤其是針對高價值資產的此類系統,都應使用基於用戶面對面證明機制的身份框架,或者類似強度的其他流程,並使用強壯的加密憑據。這些憑據有助於實現“基於聲明”的訪問控制系統,此類系統可對系統中任何實體的聲明進行身份驗證。該驗證系統的強度則應在保護系統用戶的隱私方面進行合理的權衡。為了幫助實現這一平衡,對於任何特定的事務或服務的連接,系統都應允許強聲明在不需要獲取任何非必要信息的情況下進行傳輸和驗證。
安全的身份管理是任何環境的基礎,但在雲計算的環境中,可能會變得更加複雜。典型的雲系統通常包含多種身份聲明提供程式,並使用相對獨立的流程,因此必須充分理解並證實其可信。將服務遷往雲端往往會產生多個問題:身份的所有權歸誰?針對身份和訪問管理可實施怎樣的控制?組織是否可更改聲明提供程式?聯合身份驗證功能如何用於不同提供程式?身份驗證和授權如何與身份進行捆綁?如何與組織範圍之外的,使用不同身份提供程式的人建立自由式的協作?
任何需要與不同應用程式進行交互的身份環境都必須使用身份聲明,並需要在雲端和本地建立雙向的,安全的數據訪問控制遷移機制。這樣的環境必須可被組織,以及使用雲服務的個人所管理。
在幫助每個參與者理解某個身份提供程式可提供何種程度的信任和責任方面,身份提供程式的資質和聲譽系統扮演了重要的角色。在這種情況下,提供強憑據需求的數字化身份系統即可根據互動式聲明,同時對內部和雲提供商的用戶進行驗證,可極大地改善安全性和數據完整性。
在進行身份與訪問管理時,需要考慮的因素如表1所示。
表1 需要考慮的因素
| 領域 | 任務 | 雲的考慮 |
| 身份管理 | 通過使用基於標準的身份基礎架構,讓身份和訪問策略獲得最大便攜性 | ·企業中使用的很多身份基礎架構都基於封閉的或古老的標準,無法很好地跨越互聯網防火牆的約束,並且無法與其他供應商的身份產品進行交互 ·為了最大程度地反覆使用現有企業身份基礎架構(如Active Directory)實現單點登錄,企業應考慮採用新的,基於標準的聯合身份驗證技術,如WS-Security、WS.Federation,以及SAML令牌 ·使用標準協議的產品使得企業可以反覆使用(某些)現有的身份基礎架構投資,創建信任策略,並與服務提供商就訪問策略進行交流 |
| 通過服務提供商讓企業實現單點登錄 | ·並非所有服務提供商可針對現有的內部身份基礎架構提供單點登錄服務。這種情況下,用戶需要記住多個憑據,和有可能導致更大的管理負擔,並產生憑據被攻陷的可能 ·就算可使用單點登錄服務,可能也需要大量技術準備和基礎架構,才能整合並遷移兩套系統。例如,要同步兩個目錄,有差異的身份架構還需要進行處理,而身份數據則需要定期保持同步 ·聯合身份驗證在長期範圍內可降低同步出錯的可能性和工作量,但要求企業的身份系統具備一定的成熟度。大部分企業的身份系統尚不能達到所需的成熟度 | |
| 定義並傳播用戶訪問策略到服務提供程式 | ·在現有系統中已經定義好的許可權、訪問權力及特權等可能需要複製給服務提供商,並必須定期進行重覆的用戶訪問,同時由於加劇了管理負擔,可能導致同步的雙方遇到更多錯誤 ·在很多情況下,授權策略代表著企業用戶和服務提供商之間的差異之處,因此授權策略的表現形式可能需要進行轉換,以維持相同的含義 ·基於聲明的技術可極大地改善身份信息和授權策略的便攜性,然而大部分現有系統並不支持基於聲明的技術 | |
| 身份的交付 | ·企業需要向服務提供商交付新賬戶,要交付的用戶信息可能包含訪問服務所需的憑據,追蹤應用程式設置和選項所需的新用戶配置文件,以及分配給用戶的應用程式許可 ·同理,如果用戶不再需要訪問雲服務,則需要撤銷交付的賬戶 ·這些交付和撤銷交付任務屬於身份管理方面的負擔,但可交由自動化流程處理 ·為服務提供商用手工方式交付和撤銷交付的用戶易於出錯,並導致安全隱患 | |
| 單點登錄 | 使得用戶無需擁有和管理多個登錄憑據,即可針對多個應用程式進行身份驗證的功能 | ·使得企業用戶能夠用一套企業身份和憑據同時登錄內部和雲中的應用程式 ·企業應考慮使用聯合身份驗證技術在內部和雲中的應用程式之間實現單點登錄,該技術有助於降低身份管理工作的負擔和減少錯誤 |
| 授權 | 控制對特定應用程式/服務的訪問功能的策略和機制 | ·針對內部和雲中應用程式的訪問進行控制 ·需要針對現有系統和服務提供商,將授權策略的呈現方式保持一致,這樣做有助於確保強制實施正確的訪問控制 ·基於聲明的授權可增強現有訪問策略的便攜性,然而需要在企業和應用程式服務提供商之間的一方或雙方使用基於聲明的身份驗證基礎架構 |
| 自動化的用戶交付 | 通過自動化流程創建和更新身份憑據、配置文件,及用戶訪問策略,可跨多種身份基礎架構進行存儲 | ·使得內部和雲端的用戶憑據、配置文件,及用戶訪問策略能自動創建、同步,並更新 ·提供一種機制,以確保內部和雲平臺用於對授權用戶進行身份驗證的身份信息保持一致 |
2.信息保護
服務運行過程中所涉及數據的敏感度是決定服務是否能夠由服務提供商進行管理的主要因素,如果可以,又應使用怎樣的訪問控制機制以確保事務中可以滿足合規性義務的要求。通過實施有效的數據分類方法即可瞭解事務中所涉及數據的類型,並可確定在不同情況下需要使用的控制機制,這樣有助於組織更容易地做決策。無論數據保存在哪裡,如何傳輸,組織都需要確定自己對於數據處理和信息管理的接受程度。這一基本原則也適用於今天的內部環境。
另外,還需要瞭解在交付雲服務的過程中可能遭遇的挑戰,包括數據主權、信息的訪問,以及數據的分隔和處理。
多年來,已經針對數據的保護制定了相關的規章制度。這些制度通常都針對特定的司法制度,用於對數據的權威性劃定限制或範圍。隨著雲計算的到來,數據可能會保管在最初確定的範圍之外,或位於多種不同的範圍或位置中。在客戶的司法範圍或位置之外承載數據可能導致有關信息管理和訪問方面的問題,即誰或哪些實體對數據擁有“主權”。目前一些較新的雲服務正在嘗試通過允許客戶指定數據的物理存儲位置,解決這些挑戰。
當信息的管理和控制從一方轉交給另一方,組織可能會失去保護、獲取,或移動信息的能力。因此一定要理解誰控制了訪問信息所需的身份和身份驗證系統,備份數據都保存在哪裡,是否支持對數據進行加密,加密解決方案有哪些相關成本(例如功能的缺失),以及如果對服務提供商的選擇存在分歧,如何獲取對數據的訪問和管理。例如,是否可以確保如果服務被取消,服務提供商無法保留任何數據。
最後,如果數據被存儲在公共雲中,承載數據的基礎設施可能是與其他組織所共用的。此時依然可以藉助強數據保護實踐確保數據按照正確的方式進行分隔和處理。因此在批准在雲端處理數據之前,組織一定要明確誰可以訪問自己的數據,並考慮相關風險是否是可接受的。另外還需要明確雲服務提供商的架構,以確信如何保護共用的虛擬機防範來自相同物理硬體上,被惡意用戶使用的其他虛擬機進行的各種形式的潛在攻擊。
設計信息保護時,需要考慮的因素如表2所示。
表2 需要考慮的因素
| 領域 | 任務 | 雲的考慮 |
| 數據安全性 | 防範偶然的數據外泄 | ·在多租戶環境中,數據被存儲在共用的基礎架構中,與共用的物理磁碟或資料庫一樣,這種做法可能具有較高風險,因為有可能無意中在數據中混合了其他租戶的數據 ·因此有可能無意中將重要的業務信息外泄給未經授權的實體 |
| 保證數據通過公眾網路傳輸,及保存在外部時的隱私 | ·保存在外包位置的數據可能會被第三方運營商訪問,可能會導致機密信息被泄露的可能性 ·數據還需要通過公眾網路訪問,因此存在被入侵者嗅探通過互聯網傳輸過程中的明文數據的可能 | |
| 確保通過公眾網路傳輸,及保存在外部時的數據完整性 | ·保存在外包位置的數據可能會被第三方運營商訪問,可能會導致對業務信息進行未經授權的修改 ·數據通過互聯網傳輸時不受保護,無法證實可靠性,因此存在中間人攻擊的可能 ·內部的用戶需要驗證內容的完整性和內容的來源 | |
| 知識產權保護 | 保護運行在雲平臺中的應用程式內嵌入的業務邏輯和交易秘密 | ·如果公司將包含專有業務邏輯和數據結構的程式上傳到雲平臺和服務中,併在雲中運行,源代碼是否很易於被覆制和竊取 |
| 保存存儲在雲中的數字內容資產 | ·如果公司在外包的存儲供應商處保存具有轉售價值的信息和內容,這些內容是否可受到保護 | |
| 加密 | 保護存儲的或傳輸中的數據的隱私 | ·保護在雲應用程式和用戶之問傳輸的機密信息 ·保護保存在雲服務提供商處存儲的機密業務信息和業務邏輯,及數字化內容 |
| 數字簽名 | ·保護傳輸中信息的完整性 ·驗證存儲後信息的 | ·保護通過公眾互聯網傳輸的數據,防範經過授權的中間人篡改 ·確保保存在雲服務提供商處的業務信息、業務邏輯,及數字化內容不被未經授權者篡改 |
3.服務連續性
如果要將關鍵業務流程遷移到雲計算模型下,還需要對內部安全流程進行更新,以允許多個雲提供商可以在需要時參與到這一流程中。這其中包括的流程有安全監控、審計、法定責任、事件響應,以及業務連續性等。這一協作必須被包含到客戶和雲提供商最初的雲交付工作中,並需要照顧到所有參與方的需求。對於某些應用或服務,服務的安全需求非常簡單直觀,但對其他服務(例如,涉及高價值資產的服務),則需要考慮並建立更加嚴格的需求,包括物理安全需求、額外的日誌,以及更深入的管理員背景核查等。
任何雲服務協議都應包含有關性能問題、管理等問題的詳細規劃,按照需要照顧到網路和映像方面的法定責任,並包含在服務的交付遇到中斷後,負責進行修複的特定責任聯繫人和流程。最終,該協議應當定義雲服務應以怎樣的價格提供何種程度的安全監控和審計功能。
SaaS應用提供給用戶的能力是使用服務商運行在雲基礎設施之上的應用,用戶使用各種客戶端設備通過瀏覽器來訪問應用。
SaaS在信息安全方面需要考慮的因素包括以下幾種。
1.工程安全
SaaS安全非常重要的一方面是在服務設計、開發時引入安全的設計、編碼的考慮和評估。微軟自2002年以來,一直致力於安全開發周期(SDL)的實踐活動,並取得了積極的效果。微軟SDL實踐的情況如下。
任何開發軟體的組織都應當遵循一定的設計和開發流程,以在自己的產品中包含安全和隱私保護功能。雲計算環境的設計和開發也是如此,並且往往需要一種流程,能夠將安全和隱私保護貫徹到應用程式和軟體開發的整個過程中一無論是由組織的開發部門,或者雲提供商和/或其他第三方開發的程式皆是如此。雖然作為一項收益,雲運營商可以提供整合式安全技能,但依然需要確保提供商的開發和維護流程在每個開發階段都考慮到安全和隱私保護。微軟的應用程式開發工作使用了安全開發生命周期技術,並已將其擴展到雲計算環境中開發工作的每個階段。
(1)需求。這一階段的主要目標是確定主要安全目標,否則需要在確保最大程度的軟體安全性的同時,確保客戶易用性、規劃,以及計劃方面的影響降到最低。
(2)設計。這一階段的關鍵安全步驟包括記錄潛在的攻擊面,以及建立威脅模型。
(3)實施。在這一階段中,開發團隊必須採取措施以確保代碼中不存在已知安全漏洞,為此需要遵守一定的代碼編寫標準,並針對軟體的進化使用分析工具。
(4)確認。在這一階段,團隊必須確保代碼滿足前期階段中建立的安全和隱私信條,團隊還需要完成公開發佈的隱私評估。
(5)發佈。在這一階段需要進行最終的安全審查,這種審查有助於確定產品是否已經足夠安全,並可以發佈,為此需要確保軟體滿足所有標準的安全需求,並滿足任何額外的,與特定項目有關的安全需求。
(6)響應。軟體發佈後,提供商還需要準備安全響應小組,以找出、監控、解決,以及響應安全事件和微軟軟體的安全漏洞。提供商還需要管理涉及整個公司範圍的安全更新發佈流程,並承擔單點協調和溝通的工作。
在對雲服務提供商進行評估時,應詢問有關提供商的特定安全開發流程方面的問題。這些流程應反映上述每個通用階段,因為上述每個領域對整體的安全開發流程都至關重要。另外還需要討論這一安全流程在長期時間內的性質,包括威脅模型的更新頻率,安全響應小組的職能,以及客戶如何獲得有關安全更新的通知等。
2.應用安全設計框架
在應用設計、編碼時,在實行SDL的同時,需要採用安全設計框架以加強SaaS服務的安全性。應用安全設計框架如表3所示。
表3 應用安全設計框架
| 熱點 | 描述 |
| 審計和日誌 | 審計和日誌代表與安全相關事件的記錄、監控及查看方式。例如:誰在何時做過什麼 |
| 身份驗證 | 身份驗證是證明身份的過程,通常需通過憑據進行,如用戶名和密碼 |
| 授權 | 授權是指應用程式為角色、資源及運作提供訪問控制的方法 |
| 通信 | 通信主要決定數據通過線路傳輸的方式,傳輸安全和消極加密就是在這裡實現的 |
| 配置管理 | 配置管理是指從安全的角度看,應用程式處理配置和管理應用程式的方式。例如:應用程式以誰的身份運行?連接到哪個資料庫?應用程式的管理方式如何?設置是如何進行保護的 |
| 演算法 | 演算法代表應用程式保持機密和完整性的方式,例如:如何保護秘密(機密)?如何證明數據或庫未被篡改(完整性)?如何提供演算法上足夠強大的隨機數 |
| 例外管理 | 例外管理是指處理應用程式錯誤和例外的方法,例如:如果應用程式出錯,隨後應用程式將執行什麼操作?從錯誤中可獲得多少信息?是否為最終用戶返回友好的錯誤信息?是否將重要的例外信息傳遞給調用方?應用程式故障的後果是否可承受 |
| 敏感數據 | 敏感數據是指應用程式所處理的數據在記憶體中、網路中,以及存儲過程中的保護方法,例如:應用程式如何處理敏感數據 |
| 會話管理 | 會話是指用戶和應用程式之間一系列的相關操作,例如:應用程式如何處理和保護用戶會話 |
| 驗證 | 驗證是指應用程式在開始處理之前篩選、接受或拒絕所輸入內容的方法,或對輸出進行整理的方法,實際上就是對來自進入點的輸入內容,以及對從退出點輸出的內容進行約束的方法。消息驗證則代表針對架構對消息載荷、消息大小、消息內容,及字元串進行驗證的方法。例如:如何知道應用程式收到的輸入信息是有效安全的?如何信任來自資料庫和文件共用等來源的數據 |
雲安全常見問題[6]
雲計算所帶來的新興安全問題主要包含以下幾個方面。
1.雲計算資源的濫用
由於通過雲計算服務可以用極低的成本輕易取得大量計算資源,於是已有黑客利用雲計算資源濫發垃圾郵件、破解密碼及作為僵屍網路控制主機等惡意行為。濫用雲計算資源的行為,極有可能造成雲服務供應商的網路地址被列入黑名單,導致其他用戶無法正常訪問雲端資源。例如,亞馬遜EC2雲服務曾遭到濫用,而被第三方列入黑名單,導致服務中斷。之後,亞馬遜改採用申請制度,對通過審查的用戶,解除發信限制。此外,當雲計算資源遭濫用作為網路犯罪工具後,執法機關介入調查時,為保全證據,有可能導致對其他用戶的服務中斷。例如,2009年4月,美國FBI在德州調查一起網路犯罪時,查扣了一家數據中心的電腦設備,導致該數據中心許多用戶的服務中斷。
2.雲計算環境的安全保護
當雲服務供應商某一服務或客戶遭到入侵,導致資料被竊取時,極有可能會影響到同一供應商其他客戶的商譽,使得其他客戶的終端用戶不敢使用該客戶提供的服務。此外,雲服務供應商擁有許多客戶,這些客戶可能彼此間有競爭關係,而引發強烈地利用在同一雲計算環境之便動機,去竊取競爭對手的機密資料。
另一個在國內較少被討論的雲安全問題是在多用戶環境中,用戶的活動特征亦有可能成為泄密的渠道。2009年在ACM上發表的一份研究報告,即提出了在同一物理伺服器上攻擊者可以對目標虛擬機發動SSH按鍵時序攻擊。
以上安全問題的對策,有賴於雲服務供應商對雲計算環境中的系統與數據的有效隔離。但不幸的是,大多數的雲服務供應商都有免責條款,不保證系統安全,並要求用戶自行負起安全維護的責任。
3.雲服務供應商信任問題
傳統數據中心的環境中,員工泄密時有所聞,同樣的問題,極有可能發生在雲計算的環境中。此外,雲服務供應商可能同時經營多項業務,在一些業務和計劃開拓的市場甚至可能與客戶具有競爭關係,其中可能存在著巨大的利益衝突,這將大幅增加雲計算服務供應商內部員工竊取客戶資料的動機。此外,某些雲服務供應商對客戶知識產權的保護是有所限制的。選擇雲服務供應商除了應避免競爭關係外,亦應審慎閱讀雲服務供應商提供的合約內容。此外,一些雲服務供應商所在國家的法律規定,允許執法機關未經客戶授權,直接對數據中心內的資料進行調查,這也是選擇雲服務供應商時必須註意的。在歐盟和日本的法律限制涉及個人隱私的數據不可傳送及儲存於該地區以外的數據中心。
4.雙向及多方審計
其實問題1到3都與審計有關。然而,在雲計算環境中,都涉及供應商與用戶間雙向審計的問題,遠比傳統數據中心的審計來得複雜。國內對雲計算審計的討論,很多都是集中在用戶對雲服務供應商的審計。而在雲計算環境中,雲服務供應商也必須對用戶進行審計,以保護其他用戶及自身的商譽。此外,在某些安全事故中,審計對象可能涉及多個用戶,複雜度更高。為維護審計結果的公信力,審計行為可能由獨立的第三方執行,雲服務供應商應記錄並維護審計過程所有稽核軌跡。如何有效地進行雙向及多方審計,仍是雲安全中重要的討論議題,應逐步制定相關規範,未來還有很多的工作需要做。
5.系統與數據備份
很多人都有這樣的認為,即雲服務供應商已做好完善的災備措施,並且具有持續提供服務的能力。事實上,已有許多雲服務供應商因網路、安全事故或犯罪調查等原因中斷服務。此外,雲服務供應商亦有可能因為經營不善宣告倒閉,而無法繼續提供服務。面對諸如此類的安全問題,用戶必須考慮數據備份計劃。
另外一個值得註意的問題是,當不再使用某一雲服務供應商的服務時,如何能確保相關的數據,尤其是備份數據,已被完整刪除,這是對用戶數據隱私保護的極大挑戰。這有待於供應商完善的安全管理及審計制度。
雲安全的應用研究方向[6]
雲安全的應用研究方向主要有3個方向。
1.雲計算安全
主要研究如何保障雲計算應用的安全,包括雲計算平臺系統安全、用戶數據安全存儲與隔離、用戶接入認證、信息傳輸安全、網路攻擊防護,乃至合規審計等多個層面的安全。
2.網路安全設備、安全基礎設施的“雲化”
網路安全設備的“雲化”是指通過採用雲計算的虛擬化和分散式處理技術,實現安全系統資源的虛擬化和池化,有效提高資源利用率,增加安全系統的彈性,提升威脅響應速率和防護處理能力,其研究主體是傳統網路信息安全設備廠商。
對於雲安全服務提供商或電信運營商來說,其主要研究領域是如何實現安全基礎設施的“雲化”來提升網路安全運營水平,主要研究方向是採用雲計算技術及理念新建、整合安全系統等安全基礎設施資源,優化安全防護機制。例如通過雲計算技術構建的超大規模安全事件、信息採集與處理平臺,可實現對海量信息的採集、關聯分析,提高全網安全態勢把控能力、風險控制能力等。
3.雲安全服務
雲安全服務是雲計算應用的一個分支,主要是基於雲安全業務平臺為客戶提供安全服務,雲安全服務可提供比傳統安全業務更高可靠性、更高性價比的彈性安全服務,而且用戶可根據自身安全需求,按需定購服務內容,降低客戶使用安全服務的門檻。雲安全業務按其服務模式可分為兩類,若該服務直接向客戶提供,則屬於SaaS業務;若作為一種能力開放給第三方或上二層應用,則可歸類為PaaS業務。
雲安全的標準化組織[6]
目前,雲安全研究還處於起步階段,業界尚未形成相關標準。但業已有70個以上的業界組織正在制定雲計算相關標準,其中超過40個宣稱有包含安全相關的議題。例如,美國的National Institute of Standards and Technology(NIST)已成立雲計算工作小組,並且也發佈了少數研究成果,但還沒有提出具體的標準。歐盟的European Network and Information Security Agency(ENISA)也發佈了雲安全風險評估與雲安全框架等相關研究成果。目前以Cloud Security Alliance(CSA)所發佈的雲安全研究成果,涵蓋面最為完整,但仍有很多領域的成果未發佈。
其次業界在雲計算應用安全方面的研究相對較多的是一些CSA、CAM等相關論壇。而在安全雲研究方面,主要由各安全設備廠家自行對自有安全產品進行“雲化”研發,在業界並未形成相關標準組織或論壇。
CSA是目前業界比較認可的雲安全研究論壇,其發佈的《雲安全指南》是一份雲計算服務的安全實踐手冊,準備或已經採用了雲計算服務的IT團隊從中可以獲得在如何選擇雲服務提供商、如何簽署合約、如何實施項目和監視服務交付等商業活動中的安全註意事項,這些推薦事項可以用來保證企業安全策略的正確順利實施,避免出現因安全事件、法律法規方面的疏忽或合同糾紛等帶來的商業損失。目前已有越來越多的IT企業、電信運營商加入到該組織中來。
另外,歐洲網路信息安全局(ENISA)和CSA聯合發起了一個項目——Common Assurance Metric-Beyondthe Cloud(簡稱CAM)。CAM項目的研發目標是開發一個客觀、可量化的測量標準,供客戶評估和比較雲計算服務提供商安全運行的水平。CAM計劃於2010年底提出內容架構。學術界也成立了ACM Cloud Computing Security Workshop等專屬學術交流論壇。此外,ACM Conferenceon Compmer and Communications Security(CCS)也有雲安全專屬的分組。目前相關的學術研究,主要關註Web安全、數據中心及虛擬環境安全。
至於黑客界,也分別在BlackHatUSA2009及2010的大會上,發表了雲端服務及虛擬化環境的安全漏洞、利用雲端服務作為僵屍網路惡意控制主機及虛擬環境中密碼方法的弱點等研究成果。
由於雲安全的許多領域正在積極發展,估計短期內很難有統一的雲安全標準。但根據業界專屬需求或特定部署方式制定的標準,較有可能於近期內發佈。
雲安全的發展趨勢[7]
雲安全通過網狀的大量客戶端對網路中軟體行為的異常監測,獲取互聯網中木馬、惡意程式的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。雲安全的策略構想是:使用者越多,每個使用者就越安全,因為如此龐大的用戶群,足以覆蓋互聯網的每個角落,只要某個網站被掛馬或某個新木馬病毒出現,就會立刻被截獲。
雲安全的發展像一陣風,瑞星、趨勢、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛士、卡卡上網安全助手等都推出了雲安全解決方案。瑞星基於雲安全策略開發的2009新品,每天攔截數百萬次木馬攻擊,其中2009年1月8日更是達到了765萬餘次。趨勢科技雲安全已經在全球建立了五大數據中心,幾萬部線上伺服器。據悉,雲安全可以支持平均每天55億條點擊查詢,每天收集分析2.5億個樣本,資料庫第一次命中率就可以達到99%。藉助雲安全,趨勢科技現在每天阻斷的病毒感染最高達1000萬次。
雲安全的核心思想是建立一個分散式統計和學習平臺,以大規模用戶的協同計算來過濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計算出一個唯一的“指紋”,通過比對“指紋”可以統計相似郵件的副本數,當副本數達到一定數量,就可以判定郵件是垃圾郵件;其次,由於互聯網上多台電腦比一臺電腦掌握的信息更多,因而可以採用分散式貝葉斯學習演算法,在成百上千的客戶端機器上實現協同學習過程,收集、分析並共用最新的信息。反垃圾郵件網格體現了真正的網格思想,每個加入系統的用戶既是服務的對象,也是完成分散式統計功能的一個信息節點,隨著系統規模的不斷擴大,系統過濾垃圾郵件的準確性也會隨之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智慧的方法更成熟,不容易出現誤判假陽性的情況,實用性很強。反垃圾郵件網格就是利用分佈互聯網裡的千百萬台主機的協同工作,來構建一道攔截垃圾郵件的“天網”。反垃圾郵件網格思想提出後,被IEEE Cluster2003國際會議選為傑出網格項目,在2004年網格計算國際研討會上作了專題報告和現場演示,引起較為廣泛的關註,受到了中國最大郵件服務提供商網易公司的重視。既然垃圾郵件可以如此處理,病毒、木馬等亦然,這與雲安全的思想就相距不遠了。
雲安全與傳統網路安全的區別[6]
雲安全包括兩種含義,分別是雲計算應用的安全以及雲計算技術在網路安全領域的具體應用。
雲計算安全與傳統信息安全並無本質區別,但由於雲計算自身的虛擬化、無邊界、流動性等特性,使得其面臨較多新的安全威脅;同時雲計算應用導致IT資源、信息資源、用戶數據、用戶應用的高度集中,帶來的安全隱患與風險也較傳統應用高出很多。例如,雲計算應用使企業的重要數據和業務應用都處於雲服務提供商的雲計算系統中,雲服務提供商如何實施嚴格的安全管理和訪問控制措施,避免內部員工或者其他使用雲服務的用戶、外部攻擊者等對用戶數據的竊取及濫用的安全風險。如何實施有效的安全審計、對數據的操作進行安全監控、如何避免雲計算環境中多客戶共存帶來的潛在風險、數據分散存儲和雲服務的開放性以及如何保證用戶數據的可用性等,這些都對現有的安全體系帶來新的挑戰。
許多安全問題並非是雲計算環境所特有的,不論是黑客入侵、惡意代碼攻擊、拒絕服務攻擊、網路釣魚或敏感信息外泄等,都是存在已久的信息安全問題。許多人對雲安全的顧慮甚為擔憂,源自於混雜了互聯網固有的安全問題和雲計算所帶來的新興安全問題。例如,2009年12月,Zeus惡意代碼被入侵到亞馬遜(Amazon)服務,形成惡意控制主機事件,被許多人視為新興的雲安全問題。然而,同樣的安全問題也存在傳統的計算環境,這個事件再次說明瞭雲安全和傳統信息安全在許多方面的本質是一樣的。
另外,在現有網路安全形勢日益嚴峻的形勢下,傳統的網路安全系統與防護機制在防護能力、響應速度、防護策略更新等方面越來越難以滿足日益複雜的安全防護需求。面對各類惡意威脅、病毒傳播的互聯網化,必須要有新的安全防禦思路與之抗衡,而通過將雲計算技術引入到安全領域,將改變過去網路安全設備單機防禦的思路。通過全網分佈的安全節點、安全雲中心超大規模的計算處理能力,可實現統一策略動態更新,全面提升安全系統的處理能力,併為全網防禦提供了可能,這也正是安全互聯網化的一個體現。
- ↑ 孫義明,薛菲,李建萍編著.網路中心戰支持技術.國防工業出版社,2010.11.
- ↑ 2.0 2.1 孫繼銀,張宇翔,申巍葳編著.網路竊密、監聽及防泄密技術.西安電子科技大學出版社,2011.03.
- ↑ 陳尚義.雲安全的本質和麵臨的挑戰[J].信息安全與通信保密,2009(11)
- ↑ 俞能海,徐甲甲,張浩.關註雲安全[J].中國國情國力,2013(8)
- ↑ 郎薇薇.雲計算與雲安全[J].辦公自動化:綜合月刊,2012(8)
- ↑ 6.0 6.1 6.2 6.3 6.4 雷萬雲等編著.雲計算 技術、平臺及應用案例.清華大學出版社,2011.05.
- ↑ 潘明惠著.網路信息安全工程原理與應用.清華大學出版社,2011.06.
學到了