今日頭條
官方微信
官方抖音
資訊頻道摘要:針對等保2.0的新變化,結合下一代云計算的發展趨勢,指出云計算環境下開展安全工作的優勢及挑戰。本文著重分析IaaS、PaaS和SaaS三種服務模式面臨的主要威脅,詳細闡述了云平臺風險評估流程,該流程在傳統風險評估的基礎上,融入云平臺特有的資產、威脅和脆弱性,能夠很好地覆蓋云平臺存在的風險。最后,對典型的幾種評估方法提出相關建議。
關鍵詞:信息安全 云計算 風險評估
1 云計算機發展趨勢及其安全挑戰
1.1 云計算發展趨勢
近幾年虛擬化、容器、邊緣計算、人工智能和區塊鏈得到快速發展,混合云、異構云、邊緣云等逐漸興起。通過融合這些新興技術,云平臺將變得更富彈性、更綠色、更可信和可靠。對于云服務來說,隨取隨用、按需使用、簡單易用將是云應用的未來。
1.2 云安全優勢及挑戰
計算環境:相比于傳統計算中心,云計算平臺的結構更加一致。同構的設施平臺能更好地支持安全管理活動的自動化。同時,安全響應活動也可從一致、同構的云基礎設施獲益,如容錯管理、系統維護。但云服務商通常把云計算平臺的安全措施及其狀態視為知識產權和商業秘密,客戶在缺乏必要的知情權的情況下,難以了解和掌握云服務商安全措施的實施情況和運行狀態,不能有效監管云服務商的內部人員對租戶數據的非授權訪問和使用。
資源可用性:基于云計算環境的冗余能力、可拓展性可以更好地應對彈性伸縮需求或分布式拒絕服務攻擊。然而可用性高意味著需要投入更多的網絡和計算資源,這也就暴露了更多的風險面。
備份和恢復:云提供商的備份和恢復策略、規程可能優于用戶機構并具備更高的魯棒性,能夠從嚴重事件中快速恢復。然而當一個資源存在多個副本時,各個副本內容的一致性和剩余信息保護方面難以得到保證。
移動端點:云解決方案的體系結構擴展到了位于服務端點的云客戶端處,為移動辦公人員帶來更高的生產效率。需要注意的是,移動設備需要進行正確的設置和保護,包括限制在其上可以保留的數據類型。
數據集中:公有云環境下的數據維護和處理減少了移動工作人員使用便攜式計算機、嵌入式設備、移動存儲進行傳播的風險以及因設備失竊、丟失帶來的風險。但云服務商如果沒有采取足夠的安全措施,將面臨數據泄漏和被篡改的安全風險。
1.3 等保2.0中的新變化
與等保1.0的標準體系相比,等保2.0在適用性、時效性、易用性、可操作性上得到進一步擴充和完善,以適應云計算、物聯網、工業控制系統等新技術的發展。表1給出了等保2.0發生的重要變化。
2 云計算面臨的主要威脅
2.1 IaaS面臨的主要威脅
采用IaaS服務時,客戶可以用鏡像模板來創建虛擬機實例,并在虛擬機上部署自己的應用軟件。客戶不需要負責底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務商負責實施外,位于其他層的安全措施由客戶負責實施,需要對這些安全措施實施有效監管。
2.1.1 鏡像篡改
通過鏡像開通云主機,即可獲得一致的系統環境或軟件,從而避免復雜的配置過程,但如果該鏡像被惡意篡改,如被植入病毒,那么后續基于此鏡像創建的云主機都會遭到破壞。
2.1.3 虛擬機隔離
云計算平臺是一個多租戶共享的平臺,如果隔離機制控制不足,具有利害關系的租戶的虛擬機之間可能相互干擾,甚至存在越權訪問。圖1中使用了虛擬防火墻來隔離虛機,若防火墻失效或存在缺陷,有可能給租戶造成損失。
2.1.4 資源遷移
在虛擬環境中,虛擬機的遷移很常見。遷移虛擬機時,vSwitch(虛擬交換機)中對VM的引流策略以及相關的安全策略要能夠自動遷移到新主機,確保VM安全防護不因遷移而發生變化,如圖2所示。在虛擬資源遷移過程中,還需要采取校驗或密碼技術等措施保證虛擬資源數據的完整性,并在檢測到完整性受到破壞時也應該采取必要的恢復措施。
2.1.5 虛擬機逃逸
云計算底層是虛擬化系統,虛擬機的安全防護幾乎關乎整個云平臺安全的穩定運行。攻擊者可以利用虛擬化平臺漏洞突破虛擬機自身的限制,獲取宿主機操作系統的最高權限,最后感染宿主機或者在宿主機上運行惡意軟件,如圖3所示。
2.1.6 主機越權
提供虛擬資源的主機上通常存在管理組件,如Hypervisor,這些組件可以說是當前虛擬化的核心。由于它們可以協調各種硬件資源的分配,因此它的權限非常之大。云服務商也可能會使用其他云服務商的服務,使用第三方的功能、性能組件,造成云計算平臺復雜且動態變化。隨著復雜性的增加,云計算平臺實施有效的數據保護措施更加困難,客戶數據被未授權訪問、篡改、泄露和丟失的風險增大。如果管理組件或主機操作系統被攻擊,則運行在虛擬化組件之上的所有虛擬資源都會被波及。
2.2 PaaS面臨的主要威脅
利用PaaS來開發和部署自己的軟件,需要對應用的運行環境進行配置,控制自己部署的應用。客戶需要對自己部署、自己使用的系統和應用負責,制定相應的安全策略,實施必要的安全措施。
2.2.1 鏡像篡改
目前Docker Hub上的鏡像很多都存在安全漏洞,包含廣泛使用的mysql、redis、nginx鏡像等,而很多企業都是基于這些鏡像構造自己的鏡像庫。可以說目前正在被企業使用的鏡像中很多是存在安全問題的。
2.2.2 容器逃逸
容器云平臺目前基本以Docker 容器和kubernetes 容器編排為主。由于Docker 容器與宿主機共享內核、文件系統等資源,Docker 本身的隔離性不如虛擬機主機完善,因此如果Docker 自身出現漏洞,可能會波及問題容器所在的宿主機,由于Docker 容器所在的宿主機上可能存在當前租戶的其他容器,也可能存在其他租戶的容器,所以問題最終可能會影響到其他的容器。
2.3 SaaS面臨的主要威脅
SaaS是采用先進技術上云的最好途徑,它消除了企業購買、構建和維護基礎設施和應用程序的需要。但隨著SaaS的日益普遍,關于SaaS的安全問題也隨之而來。以下幾個方面是saas主要的安全問題。
2.3.1 存儲數據泄露
在SaaS模式,企業數據存儲在SaaS供應商的數據中心。因此,SaaS企業應采取措施保障數據安全,防止由于應用程序漏洞或者惡意特權用戶泄漏敏感信息。在一個多租戶SaaS的部署中,多個企業的數據可能會保存在相同的存儲位置,也會出現數據泄露問題。
2.3.2 傳輸數據泄露
在SaaS的部署模式中,企業和SaaS提供商之間的數據流在傳輸過程中必須得到保護,以防止敏感信息外泄。
2.3.3 鑒別信息泄露
一個SaaS供應商可以提供完整的IAM和登錄服務。在這種情況下,用戶的信息、密碼等,都保留在SaaS供應商的網站,因此應該安全地存儲和處理。
3 云計算平臺風險評估
為了確保客戶實施的安全措施安全有效,客戶可自行或委托第三方評估機構對自己實施的安全策略進行評估。
目前,國內外多個標準化組織和機構都在開展云計算安全標準化工作,除此之外,各國也開展了云安全管理和合規方面的工作。下圖給出了國內外在云安全標準方面的成果。
3.2 云平臺風險評估
3.3.2 評估框架
云計算平臺安全風險評估關注云計算平臺業務層面的風險,其評估對象為云服務業務流程涉及的組件及設備,評估范圍覆蓋了云服務業務在信息系統層面的數據流、數據處理活動及其關聯關系。云平臺風險評估的框架如下圖5所示。
評估過程覆蓋了基礎設施、虛擬化控制、管理平臺和安全防護等多種類型的對象,針對多種指標進行綜合風險分析,并且在監管、業務和客戶的要求下做出相應的調整。
a.資產識別
云平臺安全風險評估不僅要識別云服務商自身資產,還需要識別云服務客戶業務數據資產,識別過程中,宜統計所有的信息資產,但可以根據云平臺的安全目標確定資產識別的細度。下表2是云平臺安全風險評估中需要重點考慮的客戶資產[3]。
b.威脅識別
首先,云計算平臺是一個共享的平臺,在云計算平臺上傳送惡意程序、垃圾數據等,比在傳統的系統上更具有危害性:其傳播速度更快、傳播范圍更廣,會產生更大、更嚴重的社會影響。其次,云計算平臺比以往任何一種計算機系統的規模都要大得多,其平均使用成本更低、部署時間更短,很容易被心懷惡意的人在短時間內大規模采購并部署,作為僵尸網絡、拒絕服務攻擊等的平臺,這將會產生更加嚴重的后果與影響。同時,由于云計算平臺的分布式結構,攻擊者在實施攻擊后更容易逃避安全監管,這為日后的追責帶來了困難。
c.脆弱性識別
脆弱性識別的依據需要結合國內外安全標準、行業規范、應用流程的安全要求,主要從技術和管理兩個方面進行,表3給出了云平臺典型的脆弱性[3]。技術脆弱性涉及網絡、人員、服務和數據等各個層面的安全問題。對應用在不同環境中的相同的弱點,其脆弱性嚴重程度是不同的,宜從組織云服務安全策略的角度考慮、判斷資產的脆弱性及其嚴重程度。
d.已有安全措施的確認
可按照服務模式、安全需求、運行監管、災難恢復能力和合同等方面來確認已有的安全防護手段,如下圖所示。
3.3.3 云安全評估方法的特殊性
在對云平臺開展風險評估工作時,需要結合多種評估方法,比如配置檢查、漏洞掃描,但云平臺引入了更多的有價值的資源,且與租戶存在服務水平約定,所以一些評估方法要結合云計算的特征做出調整,下圖展示了四種常見評估方法應該涉及的內容。
a.問卷調查
調查問卷是提供一套關于管理和操作控制的問題表格,供系統技術或管理人員填寫。問卷應該包括組織的業務戰略、安全需求、管理制度、系統和數據的敏感性、系統規模和結構等方面的內容。
b.顧問訪談
現場訪談是由評估人員到現場訪談系統技術或管理人員并收集系統在物理、環境和操作方面的信息。訪談內容至少應該包括:是否有數據存儲完整性檢測的設計;是否有清除數據副本的手段和措施;詢問對持續大流量攻擊進行識別、報警和阻斷的能力,是否有專門的設備對網絡入侵進行防范;詢問虛擬機之間、虛擬機與宿主機之間隔離的手段;退出云計算服務或變更云服務商的初步方案,對客戶的相關人員進行操作和安全培訓的方案。
c.安全滲透測試
由于基礎設施的影響,SaaS環境可能不允許進行滲透測試,在PaaS、IaaS中允許進行云滲透測試,但需要一定的協調。值得注意的是,合同中的SLA將決定應該允許何種類型的測試,以及多久進行一次測試。
d.安全漏洞掃描
云計算具備按需自助服務、無處不在的網絡接入、資源池、敏捷的彈性和可度量的服務這五個特征,云平臺漏洞掃描也可以按照這五個方面來進行[2]。
未經授權的管理界面訪問:按需自助服務云計算特性需要一個管理界面,可以向云服務的用戶開放訪問。這樣,未經授權的管理界面訪問對于云計算系統來說就算得上是一個具有特別相關性的漏洞,可能發生未經授權的訪問的概率要遠遠高于傳統的系統,在那些系統中管理功能只有少數管理員能夠訪問。
互聯網協議漏洞:無處不在的網絡接入云計算特性意味著云服務是通過使用標準協議的網絡獲得訪問。在大多數情況下,這個網絡即互聯網,必須被看作是不可信的。這樣一來,互聯網協議漏洞也就和云計算發生了關系,比如導致中間人攻擊的漏洞。
數據恢復漏洞:關于資源池和彈性的云特性意味著分配給一個用戶的資源將有可能在稍后的時間被重新分配到不同的用戶。從而,對于內存或存儲資源來說,有可能恢復出前面用戶寫入的數據。
逃避計量和計費:可度量的服務云特性意味著,任何云服務都在某一個適合服務類型的抽象層次(如存儲,處理能力以及活躍帳戶)上具備計量能力。計量數據被用來優化服務交付以及計費。有關漏洞包括操縱計量和計費數據,以及逃避計費。
e.安全配置檢查
為了及時發現云平臺配置風險,云平臺配置檢查可以從身份認證、網絡訪問控制、數據安全、日志審計、基礎安全防護五個維度進行安全配置的檢測,相關檢查項[4]可參考表4。
4 結束語
本文在對云計算發展趨勢及等保2.0的新要求進行分析的基礎上,結合三種云計算服務模式的特點和傳統的信息安全風險評估方法,對如何在云計算模式下進行信息安全風險評估進行了闡述,詳細論述了云平臺安全風險評估中對資產、威脅和脆弱性進行評估時,要考慮到的一些指標。相信隨著云計算的深入發展,國內云計算安全標準化工作的推進,各種安全實踐會不斷成熟,將進一步豐富云計算平臺及云服務風險評估理論。
參考文獻:
[1] GB/T31167-2014 信息安全技術 云計算服務安全指南
[2] E.St?cker,T.Walloschek, B.Grobauer, "Understanding Cloud ComputingVulnerabilities,"https://www.infoq.com/articles/ieee-cloud-computing-vulnerabilities/, 2011
[3] DB44/T2010-2017 云計算平臺信息安全風險評估指南
[4] 阿里云, 云平臺配置檢查. https://help.aliyun.com/document_detail/101898.html, 2019
作者介紹:
易發波,1986.11,男,漢,湖北恩施人,咨詢服務顧問,2016年6月畢業于電子科技大學計算機系統結構專業,碩士,目前從事云計算安全咨詢工作,在計算和網絡虛擬化方面有豐富的安全防護設計及風險識別經驗,當前主要研究云計算平臺安全防護檢測方法。
來源: 工控安全應急保障中心
北京市公安局海淀分局備案號:11010802023656號