今日頭條
官方微信
官方抖音
資訊頻道摘要:針對(duì)等保2.0的新變化,結(jié)合下一代云計(jì)算的發(fā)展趨勢(shì),指出云計(jì)算環(huán)境下開展安全工作的優(yōu)勢(shì)及挑戰(zhàn)。本文著重分析IaaS、PaaS和SaaS三種服務(wù)模式面臨的主要威脅,詳細(xì)闡述了云平臺(tái)風(fēng)險(xiǎn)評(píng)估流程,該流程在傳統(tǒng)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,融入云平臺(tái)特有的資產(chǎn)、威脅和脆弱性,能夠很好地覆蓋云平臺(tái)存在的風(fēng)險(xiǎn)。最后,對(duì)典型的幾種評(píng)估方法提出相關(guān)建議。
關(guān)鍵詞:信息安全 云計(jì)算 風(fēng)險(xiǎn)評(píng)估
1 云計(jì)算機(jī)發(fā)展趨勢(shì)及其安全挑戰(zhàn)
1.1 云計(jì)算發(fā)展趨勢(shì)
近幾年虛擬化、容器、邊緣計(jì)算、人工智能和區(qū)塊鏈得到快速發(fā)展,混合云、異構(gòu)云、邊緣云等逐漸興起。通過(guò)融合這些新興技術(shù),云平臺(tái)將變得更富彈性、更綠色、更可信和可靠。對(duì)于云服務(wù)來(lái)說(shuō),隨取隨用、按需使用、簡(jiǎn)單易用將是云應(yīng)用的未來(lái)。
1.2 云安全優(yōu)勢(shì)及挑戰(zhàn)
計(jì)算環(huán)境:相比于傳統(tǒng)計(jì)算中心,云計(jì)算平臺(tái)的結(jié)構(gòu)更加一致。同構(gòu)的設(shè)施平臺(tái)能更好地支持安全管理活動(dòng)的自動(dòng)化。同時(shí),安全響應(yīng)活動(dòng)也可從一致、同構(gòu)的云基礎(chǔ)設(shè)施獲益,如容錯(cuò)管理、系統(tǒng)維護(hù)。但云服務(wù)商通常把云計(jì)算平臺(tái)的安全措施及其狀態(tài)視為知識(shí)產(chǎn)權(quán)和商業(yè)秘密,客戶在缺乏必要的知情權(quán)的情況下,難以了解和掌握云服務(wù)商安全措施的實(shí)施情況和運(yùn)行狀態(tài),不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對(duì)租戶數(shù)據(jù)的非授權(quán)訪問(wèn)和使用。
資源可用性:基于云計(jì)算環(huán)境的冗余能力、可拓展性可以更好地應(yīng)對(duì)彈性伸縮需求或分布式拒絕服務(wù)攻擊。然而可用性高意味著需要投入更多的網(wǎng)絡(luò)和計(jì)算資源,這也就暴露了更多的風(fēng)險(xiǎn)面。
備份和恢復(fù):云提供商的備份和恢復(fù)策略、規(guī)程可能優(yōu)于用戶機(jī)構(gòu)并具備更高的魯棒性,能夠從嚴(yán)重事件中快速恢復(fù)。然而當(dāng)一個(gè)資源存在多個(gè)副本時(shí),各個(gè)副本內(nèi)容的一致性和剩余信息保護(hù)方面難以得到保證。
移動(dòng)端點(diǎn):云解決方案的體系結(jié)構(gòu)擴(kuò)展到了位于服務(wù)端點(diǎn)的云客戶端處,為移動(dòng)辦公人員帶來(lái)更高的生產(chǎn)效率。需要注意的是,移動(dòng)設(shè)備需要進(jìn)行正確的設(shè)置和保護(hù),包括限制在其上可以保留的數(shù)據(jù)類型。
數(shù)據(jù)集中:公有云環(huán)境下的數(shù)據(jù)維護(hù)和處理減少了移動(dòng)工作人員使用便攜式計(jì)算機(jī)、嵌入式設(shè)備、移動(dòng)存儲(chǔ)進(jìn)行傳播的風(fēng)險(xiǎn)以及因設(shè)備失竊、丟失帶來(lái)的風(fēng)險(xiǎn)。但云服務(wù)商如果沒(méi)有采取足夠的安全措施,將面臨數(shù)據(jù)泄漏和被篡改的安全風(fēng)險(xiǎn)。
1.3 等保2.0中的新變化
與等保1.0的標(biāo)準(zhǔn)體系相比,等保2.0在適用性、時(shí)效性、易用性、可操作性上得到進(jìn)一步擴(kuò)充和完善,以適應(yīng)云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)的發(fā)展。表1給出了等保2.0發(fā)生的重要變化。
2 云計(jì)算面臨的主要威脅
2.1 IaaS面臨的主要威脅
采用IaaS服務(wù)時(shí),客戶可以用鏡像模板來(lái)創(chuàng)建虛擬機(jī)實(shí)例,并在虛擬機(jī)上部署自己的應(yīng)用軟件。客戶不需要負(fù)責(zé)底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務(wù)商負(fù)責(zé)實(shí)施外,位于其他層的安全措施由客戶負(fù)責(zé)實(shí)施,需要對(duì)這些安全措施實(shí)施有效監(jiān)管。
2.1.1 鏡像篡改
通過(guò)鏡像開通云主機(jī),即可獲得一致的系統(tǒng)環(huán)境或軟件,從而避免復(fù)雜的配置過(guò)程,但如果該鏡像被惡意篡改,如被植入病毒,那么后續(xù)基于此鏡像創(chuàng)建的云主機(jī)都會(huì)遭到破壞。
2.1.3 虛擬機(jī)隔離
云計(jì)算平臺(tái)是一個(gè)多租戶共享的平臺(tái),如果隔離機(jī)制控制不足,具有利害關(guān)系的租戶的虛擬機(jī)之間可能相互干擾,甚至存在越權(quán)訪問(wèn)。圖1中使用了虛擬防火墻來(lái)隔離虛機(jī),若防火墻失效或存在缺陷,有可能給租戶造成損失。
2.1.4 資源遷移
在虛擬環(huán)境中,虛擬機(jī)的遷移很常見(jiàn)。遷移虛擬機(jī)時(shí),vSwitch(虛擬交換機(jī))中對(duì)VM的引流策略以及相關(guān)的安全策略要能夠自動(dòng)遷移到新主機(jī),確保VM安全防護(hù)不因遷移而發(fā)生變化,如圖2所示。在虛擬資源遷移過(guò)程中,還需要采取校驗(yàn)或密碼技術(shù)等措施保證虛擬資源數(shù)據(jù)的完整性,并在檢測(cè)到完整性受到破壞時(shí)也應(yīng)該采取必要的恢復(fù)措施。
2.1.5 虛擬機(jī)逃逸
云計(jì)算底層是虛擬化系統(tǒng),虛擬機(jī)的安全防護(hù)幾乎關(guān)乎整個(gè)云平臺(tái)安全的穩(wěn)定運(yùn)行。攻擊者可以利用虛擬化平臺(tái)漏洞突破虛擬機(jī)自身的限制,獲取宿主機(jī)操作系統(tǒng)的最高權(quán)限,最后感染宿主機(jī)或者在宿主機(jī)上運(yùn)行惡意軟件,如圖3所示。
2.1.6 主機(jī)越權(quán)
提供虛擬資源的主機(jī)上通常存在管理組件,如Hypervisor,這些組件可以說(shuō)是當(dāng)前虛擬化的核心。由于它們可以協(xié)調(diào)各種硬件資源的分配,因此它的權(quán)限非常之大。云服務(wù)商也可能會(huì)使用其他云服務(wù)商的服務(wù),使用第三方的功能、性能組件,造成云計(jì)算平臺(tái)復(fù)雜且動(dòng)態(tài)變化。隨著復(fù)雜性的增加,云計(jì)算平臺(tái)實(shí)施有效的數(shù)據(jù)保護(hù)措施更加困難,客戶數(shù)據(jù)被未授權(quán)訪問(wèn)、篡改、泄露和丟失的風(fēng)險(xiǎn)增大。如果管理組件或主機(jī)操作系統(tǒng)被攻擊,則運(yùn)行在虛擬化組件之上的所有虛擬資源都會(huì)被波及。
2.2 PaaS面臨的主要威脅
利用PaaS來(lái)開發(fā)和部署自己的軟件,需要對(duì)應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置,控制自己部署的應(yīng)用。客戶需要對(duì)自己部署、自己使用的系統(tǒng)和應(yīng)用負(fù)責(zé),制定相應(yīng)的安全策略,實(shí)施必要的安全措施。
2.2.1 鏡像篡改
目前Docker Hub上的鏡像很多都存在安全漏洞,包含廣泛使用的mysql、redis、nginx鏡像等,而很多企業(yè)都是基于這些鏡像構(gòu)造自己的鏡像庫(kù)。可以說(shuō)目前正在被企業(yè)使用的鏡像中很多是存在安全問(wèn)題的。
2.2.2 容器逃逸
容器云平臺(tái)目前基本以Docker 容器和kubernetes 容器編排為主。由于Docker 容器與宿主機(jī)共享內(nèi)核、文件系統(tǒng)等資源,Docker 本身的隔離性不如虛擬機(jī)主機(jī)完善,因此如果Docker 自身出現(xiàn)漏洞,可能會(huì)波及問(wèn)題容器所在的宿主機(jī),由于Docker 容器所在的宿主機(jī)上可能存在當(dāng)前租戶的其他容器,也可能存在其他租戶的容器,所以問(wèn)題最終可能會(huì)影響到其他的容器。
2.3 SaaS面臨的主要威脅
SaaS是采用先進(jìn)技術(shù)上云的最好途徑,它消除了企業(yè)購(gòu)買、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序的需要。但隨著SaaS的日益普遍,關(guān)于SaaS的安全問(wèn)題也隨之而來(lái)。以下幾個(gè)方面是saas主要的安全問(wèn)題。
2.3.1 存儲(chǔ)數(shù)據(jù)泄露
在SaaS模式,企業(yè)數(shù)據(jù)存儲(chǔ)在SaaS供應(yīng)商的數(shù)據(jù)中心。因此,SaaS企業(yè)應(yīng)采取措施保障數(shù)據(jù)安全,防止由于應(yīng)用程序漏洞或者惡意特權(quán)用戶泄漏敏感信息。在一個(gè)多租戶SaaS的部署中,多個(gè)企業(yè)的數(shù)據(jù)可能會(huì)保存在相同的存儲(chǔ)位置,也會(huì)出現(xiàn)數(shù)據(jù)泄露問(wèn)題。
2.3.2 傳輸數(shù)據(jù)泄露
在SaaS的部署模式中,企業(yè)和SaaS提供商之間的數(shù)據(jù)流在傳輸過(guò)程中必須得到保護(hù),以防止敏感信息外泄。
2.3.3 鑒別信息泄露
一個(gè)SaaS供應(yīng)商可以提供完整的IAM和登錄服務(wù)。在這種情況下,用戶的信息、密碼等,都保留在SaaS供應(yīng)商的網(wǎng)站,因此應(yīng)該安全地存儲(chǔ)和處理。
3 云計(jì)算平臺(tái)風(fēng)險(xiǎn)評(píng)估
為了確保客戶實(shí)施的安全措施安全有效,客戶可自行或委托第三方評(píng)估機(jī)構(gòu)對(duì)自己實(shí)施的安全策略進(jìn)行評(píng)估。
目前,國(guó)內(nèi)外多個(gè)標(biāo)準(zhǔn)化組織和機(jī)構(gòu)都在開展云計(jì)算安全標(biāo)準(zhǔn)化工作,除此之外,各國(guó)也開展了云安全管理和合規(guī)方面的工作。下圖給出了國(guó)內(nèi)外在云安全標(biāo)準(zhǔn)方面的成果。
3.2 云平臺(tái)風(fēng)險(xiǎn)評(píng)估
3.3.2 評(píng)估框架
云計(jì)算平臺(tái)安全風(fēng)險(xiǎn)評(píng)估關(guān)注云計(jì)算平臺(tái)業(yè)務(wù)層面的風(fēng)險(xiǎn),其評(píng)估對(duì)象為云服務(wù)業(yè)務(wù)流程涉及的組件及設(shè)備,評(píng)估范圍覆蓋了云服務(wù)業(yè)務(wù)在信息系統(tǒng)層面的數(shù)據(jù)流、數(shù)據(jù)處理活動(dòng)及其關(guān)聯(lián)關(guān)系。云平臺(tái)風(fēng)險(xiǎn)評(píng)估的框架如下圖5所示。
評(píng)估過(guò)程覆蓋了基礎(chǔ)設(shè)施、虛擬化控制、管理平臺(tái)和安全防護(hù)等多種類型的對(duì)象,針對(duì)多種指標(biāo)進(jìn)行綜合風(fēng)險(xiǎn)分析,并且在監(jiān)管、業(yè)務(wù)和客戶的要求下做出相應(yīng)的調(diào)整。
a.資產(chǎn)識(shí)別
云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估不僅要識(shí)別云服務(wù)商自身資產(chǎn),還需要識(shí)別云服務(wù)客戶業(yè)務(wù)數(shù)據(jù)資產(chǎn),識(shí)別過(guò)程中,宜統(tǒng)計(jì)所有的信息資產(chǎn),但可以根據(jù)云平臺(tái)的安全目標(biāo)確定資產(chǎn)識(shí)別的細(xì)度。下表2是云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估中需要重點(diǎn)考慮的客戶資產(chǎn)[3]。
b.威脅識(shí)別
首先,云計(jì)算平臺(tái)是一個(gè)共享的平臺(tái),在云計(jì)算平臺(tái)上傳送惡意程序、垃圾數(shù)據(jù)等,比在傳統(tǒng)的系統(tǒng)上更具有危害性:其傳播速度更快、傳播范圍更廣,會(huì)產(chǎn)生更大、更嚴(yán)重的社會(huì)影響。其次,云計(jì)算平臺(tái)比以往任何一種計(jì)算機(jī)系統(tǒng)的規(guī)模都要大得多,其平均使用成本更低、部署時(shí)間更短,很容易被心懷惡意的人在短時(shí)間內(nèi)大規(guī)模采購(gòu)并部署,作為僵尸網(wǎng)絡(luò)、拒絕服務(wù)攻擊等的平臺(tái),這將會(huì)產(chǎn)生更加嚴(yán)重的后果與影響。同時(shí),由于云計(jì)算平臺(tái)的分布式結(jié)構(gòu),攻擊者在實(shí)施攻擊后更容易逃避安全監(jiān)管,這為日后的追責(zé)帶來(lái)了困難。
c.脆弱性識(shí)別
脆弱性識(shí)別的依據(jù)需要結(jié)合國(guó)內(nèi)外安全標(biāo)準(zhǔn)、行業(yè)規(guī)范、應(yīng)用流程的安全要求,主要從技術(shù)和管理兩個(gè)方面進(jìn)行,表3給出了云平臺(tái)典型的脆弱性[3]。技術(shù)脆弱性涉及網(wǎng)絡(luò)、人員、服務(wù)和數(shù)據(jù)等各個(gè)層面的安全問(wèn)題。對(duì)應(yīng)用在不同環(huán)境中的相同的弱點(diǎn),其脆弱性嚴(yán)重程度是不同的,宜從組織云服務(wù)安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。
d.已有安全措施的確認(rèn)
可按照服務(wù)模式、安全需求、運(yùn)行監(jiān)管、災(zāi)難恢復(fù)能力和合同等方面來(lái)確認(rèn)已有的安全防護(hù)手段,如下圖所示。
3.3.3 云安全評(píng)估方法的特殊性
在對(duì)云平臺(tái)開展風(fēng)險(xiǎn)評(píng)估工作時(shí),需要結(jié)合多種評(píng)估方法,比如配置檢查、漏洞掃描,但云平臺(tái)引入了更多的有價(jià)值的資源,且與租戶存在服務(wù)水平約定,所以一些評(píng)估方法要結(jié)合云計(jì)算的特征做出調(diào)整,下圖展示了四種常見(jiàn)評(píng)估方法應(yīng)該涉及的內(nèi)容。
a.問(wèn)卷調(diào)查
調(diào)查問(wèn)卷是提供一套關(guān)于管理和操作控制的問(wèn)題表格,供系統(tǒng)技術(shù)或管理人員填寫。問(wèn)卷應(yīng)該包括組織的業(yè)務(wù)戰(zhàn)略、安全需求、管理制度、系統(tǒng)和數(shù)據(jù)的敏感性、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的內(nèi)容。
b.顧問(wèn)訪談
現(xiàn)場(chǎng)訪談是由評(píng)估人員到現(xiàn)場(chǎng)訪談系統(tǒng)技術(shù)或管理人員并收集系統(tǒng)在物理、環(huán)境和操作方面的信息。訪談內(nèi)容至少應(yīng)該包括:是否有數(shù)據(jù)存儲(chǔ)完整性檢測(cè)的設(shè)計(jì);是否有清除數(shù)據(jù)副本的手段和措施;詢問(wèn)對(duì)持續(xù)大流量攻擊進(jìn)行識(shí)別、報(bào)警和阻斷的能力,是否有專門的設(shè)備對(duì)網(wǎng)絡(luò)入侵進(jìn)行防范;詢問(wèn)虛擬機(jī)之間、虛擬機(jī)與宿主機(jī)之間隔離的手段;退出云計(jì)算服務(wù)或變更云服務(wù)商的初步方案,對(duì)客戶的相關(guān)人員進(jìn)行操作和安全培訓(xùn)的方案。
c.安全滲透測(cè)試
由于基礎(chǔ)設(shè)施的影響,SaaS環(huán)境可能不允許進(jìn)行滲透測(cè)試,在PaaS、IaaS中允許進(jìn)行云滲透測(cè)試,但需要一定的協(xié)調(diào)。值得注意的是,合同中的SLA將決定應(yīng)該允許何種類型的測(cè)試,以及多久進(jìn)行一次測(cè)試。
d.安全漏洞掃描
云計(jì)算具備按需自助服務(wù)、無(wú)處不在的網(wǎng)絡(luò)接入、資源池、敏捷的彈性和可度量的服務(wù)這五個(gè)特征,云平臺(tái)漏洞掃描也可以按照這五個(gè)方面來(lái)進(jìn)行[2]。
未經(jīng)授權(quán)的管理界面訪問(wèn):按需自助服務(wù)云計(jì)算特性需要一個(gè)管理界面,可以向云服務(wù)的用戶開放訪問(wèn)。這樣,未經(jīng)授權(quán)的管理界面訪問(wèn)對(duì)于云計(jì)算系統(tǒng)來(lái)說(shuō)就算得上是一個(gè)具有特別相關(guān)性的漏洞,可能發(fā)生未經(jīng)授權(quán)的訪問(wèn)的概率要遠(yuǎn)遠(yuǎn)高于傳統(tǒng)的系統(tǒng),在那些系統(tǒng)中管理功能只有少數(shù)管理員能夠訪問(wèn)。
互聯(lián)網(wǎng)協(xié)議漏洞:無(wú)處不在的網(wǎng)絡(luò)接入云計(jì)算特性意味著云服務(wù)是通過(guò)使用標(biāo)準(zhǔn)協(xié)議的網(wǎng)絡(luò)獲得訪問(wèn)。在大多數(shù)情況下,這個(gè)網(wǎng)絡(luò)即互聯(lián)網(wǎng),必須被看作是不可信的。這樣一來(lái),互聯(lián)網(wǎng)協(xié)議漏洞也就和云計(jì)算發(fā)生了關(guān)系,比如導(dǎo)致中間人攻擊的漏洞。
數(shù)據(jù)恢復(fù)漏洞:關(guān)于資源池和彈性的云特性意味著分配給一個(gè)用戶的資源將有可能在稍后的時(shí)間被重新分配到不同的用戶。從而,對(duì)于內(nèi)存或存儲(chǔ)資源來(lái)說(shuō),有可能恢復(fù)出前面用戶寫入的數(shù)據(jù)。
逃避計(jì)量和計(jì)費(fèi):可度量的服務(wù)云特性意味著,任何云服務(wù)都在某一個(gè)適合服務(wù)類型的抽象層次(如存儲(chǔ),處理能力以及活躍帳戶)上具備計(jì)量能力。計(jì)量數(shù)據(jù)被用來(lái)優(yōu)化服務(wù)交付以及計(jì)費(fèi)。有關(guān)漏洞包括操縱計(jì)量和計(jì)費(fèi)數(shù)據(jù),以及逃避計(jì)費(fèi)。
e.安全配置檢查
為了及時(shí)發(fā)現(xiàn)云平臺(tái)配置風(fēng)險(xiǎn),云平臺(tái)配置檢查可以從身份認(rèn)證、網(wǎng)絡(luò)訪問(wèn)控制、數(shù)據(jù)安全、日志審計(jì)、基礎(chǔ)安全防護(hù)五個(gè)維度進(jìn)行安全配置的檢測(cè),相關(guān)檢查項(xiàng)[4]可參考表4。
4 結(jié)束語(yǔ)
本文在對(duì)云計(jì)算發(fā)展趨勢(shì)及等保2.0的新要求進(jìn)行分析的基礎(chǔ)上,結(jié)合三種云計(jì)算服務(wù)模式的特點(diǎn)和傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法,對(duì)如何在云計(jì)算模式下進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了闡述,詳細(xì)論述了云平臺(tái)安全風(fēng)險(xiǎn)評(píng)估中對(duì)資產(chǎn)、威脅和脆弱性進(jìn)行評(píng)估時(shí),要考慮到的一些指標(biāo)。相信隨著云計(jì)算的深入發(fā)展,國(guó)內(nèi)云計(jì)算安全標(biāo)準(zhǔn)化工作的推進(jìn),各種安全實(shí)踐會(huì)不斷成熟,將進(jìn)一步豐富云計(jì)算平臺(tái)及云服務(wù)風(fēng)險(xiǎn)評(píng)估理論。
參考文獻(xiàn):
[1] GB/T31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南
[2] E.St?cker,T.Walloschek, B.Grobauer, "Understanding Cloud ComputingVulnerabilities,"https://www.infoq.com/articles/ieee-cloud-computing-vulnerabilities/, 2011
[3] DB44/T2010-2017 云計(jì)算平臺(tái)信息安全風(fēng)險(xiǎn)評(píng)估指南
[4] 阿里云, 云平臺(tái)配置檢查. https://help.aliyun.com/document_detail/101898.html, 2019
作者介紹:
易發(fā)波,1986.11,男,漢,湖北恩施人,咨詢服務(wù)顧問(wèn),2016年6月畢業(yè)于電子科技大學(xué)計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)專業(yè),碩士,目前從事云計(jì)算安全咨詢工作,在計(jì)算和網(wǎng)絡(luò)虛擬化方面有豐富的安全防護(hù)設(shè)計(jì)及風(fēng)險(xiǎn)識(shí)別經(jīng)驗(yàn),當(dāng)前主要研究云計(jì)算平臺(tái)安全防護(hù)檢測(cè)方法。
來(lái)源: 工控安全應(yīng)急保障中心
北京市公安局海淀分局備案號(hào):11010802023656號(hào)