OWASP Cloud ‐ 10 Project 云安全十大风险 胡晓斌
什么是云安全 "云安全(Cloud Security)"是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件 行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。 云是一个信息的整体,是一个业务、资产的集合。 组成云的各个部分的安全
问责制和数据所有权
传统的数据中心特点 传统的数据中心 数据存放在本地基础设施中 数据是可控制的,逻辑上、物理上 风险可控
网络、设备、业务层面上存在诸多瓶颈 传统数据中心的不足 Infiniband 特点,高带宽,高速度,有FibreChannel高5倍的性能,在价格上则已与Fibre Channel在同一个数量级上 万兆以太网
传统数据中心的困扰
云服务代替传统数据中心
问责制和数据所有权 托管意味着失去控制权,这会造成严重的威胁。 存储在云端的数据的重要性决定了威胁的严重程度。非敏感数据(非正式的BLOG、微博、公共新闻以及新闻组 ) 托管在云中风险很低;高度敏感的业务数据(个人健康记录、犯罪记录、信用记录和工资信息),托管在云中的风险会很高。 数据存储的保密性。通过加密技术可以实现。 数据可能被云提供商托管在任何国家,可能存在法律差异化风险和成本的额外付出风险。 采用多租户架构,保证每个用户只能访问自己的数据。 数据删除后的痕迹可能导致信息泄露的风险
一个Twitter的案例 明确云提供商是如何确保数据安全,以及是如何去检测和报告一个威胁。 解决方案 明确云提供商是如何确保数据安全,以及是如何去检测和报告一个威胁。 明确数据存储的地理位置,确保提供商不会把数据存储在一个受相关限制的国家中。 明确第三方机构或当地政府在什么情况下可以从云提供商处抓取或没收数据,当出现此类事件时提供商应及时提前通知用户。 确保云提供商能基于用户指定的数据分类对数据做适当的保护, 并解决诸如HIPPA 隐私法中的相关问题。 默认情况下提供商拒绝所有对用户数据的访问,用户组织可以给需要访问的对象分配特定的访问权限。 云提供商要对静态和传输过程中的数据进行加密。 提供商对不同用户的数据进行逻辑上隔离,从而预防任何未经授权的访问、修改或删除数据。 明确云提供商是如何管理不同用户的密钥。提供商至少应当为每个用户使用一个加密密钥,而不是对所有用户使用相同密钥。 核实云提供商对删除的数据已经进行了彻底的销毁,不能再通过任何方式恢复。 如果数据被破坏,确保云提供商承担赔偿。 HIPPA健康保险流通与责任法案 塞班斯法案(Sarbanes-Oxley Act,简称SOX法案) 2009 年7 月15 日,Twitter 透露一个黑客通过劫持Twitter 员工的邮件账户获取了存储在Google Apps 上的大量公 司数据。尽管这次破坏是由于弱口令和密码重置造成的,不过这一事件已引起新的有关云计算安全和隐私问题更广泛的 关注。 一个Twitter的案例
用户身份统一
当企业需要转移服务和应用到不同云服务提供商时,如何保持用户的身份一致性是非常重要的,如果每个云服务提供商为用户创建多个不同的身份 ,这会导致管理变的越来越复杂。用户应当具有一个可在不同的云服务提供商间通用的唯一的身份验证(如SAML),这样用户即可不需要管理众多账号和证书,很好的提高了用户的使用体验。这使得后端数据在不同云提供商之间的整合变得更加容易。 SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。
合规性
合规性 各国监管法律的不同导致对数据安全的界定会有所不同 重要数据的物理存储可能跨越不同国家和地区。而不同国家有不同的司法系统,这就会带来潜在的法律风险。例如不同国家对数据丢失责任、数据知识产权保护、数据的公开政策(disclosure policy)的司法解释可能是不一样的。 各个CSP的服务模式差异很大。一旦选择了某一个CSP,就可能被其锁定。这就带来潜在的商业安全风险。例如将来一旦对某个CSP的安全实践不满意,或者是该CSP退出云计算领域,用户切换到其它CSP的成本是非常大的。如果该CSP更换运营模式或者底层架构,而用户可能不知情,这就会产生诸多风险。
合规性的意义 IBM全球云战略。抢占云资源,使美国最终获取信息霸权。 美国最早在军事领域部署云计算,2月6日IBM开始为美国空军构建一个足以保护国防和军事资料的“云端计算网络系统”。IBM宣布,已和美国空军签约,将为其9个指挥中心、100座军事基地,和散居全球之70万军员所使用的USAF网络,设计和建立一个云端计算环境。 IBM在国内的动作迅速。先是欲借无锡,打开强力挺进中国云计算市场的通路。又携手东营共建“黄河三角洲云计算中心” 。而且,还将其他100个中国城市作为潜在的云计算客户,并希望吸引20万家独立软件公司使用自己的数据中心。今年6月,又在北京建立了一个铁路创新中心,以期掌控中国重要的铁路建设信息。 未来的云环境下,资源更加集中,谁掌握了这些资源,谁就掌握了未来。 尽快完善云计算相关法规,完善云计算在国内的合规性,规避云带来的风险已经是当务之急。 美国,中国,香港警察抓兔子的故事,说明中国往往做事更看重眼前利益和既得利益,忽略对于一些规章制度的建设
业务的持续性和适应性
业务持续性是用来确保IT组织的业务在遇到灾难的情况下可以正常运行的特性 维护业务的持续性是一个公司或组织必须具备的操作预案,以确保一些关键的业务功能对客户、提供商、监管机构和其他必须能够访问这些功能的实体是可用的。这些活动包括许多常规操作如项目管理、系统备份、变更控制和帮助台(helpdesk)。适应性是系统必须具备的一个特征,这使系统本身能够适应自然或人为事件所造成的灾难性故障后果。 在使用云的情况下,企业维护业务持续性的责任必须授权下放给云提供商。组织失去了制定和执行业务持续性计划的控制权。灾难发生时,组织可能会面临没有能力维护适当业务持续性的风险。
为了减轻这种风险,公司或组织在使用云的时候,应该遵循下面几点: 解决方案 为了减轻这种风险,公司或组织在使用云的时候,应该遵循下面几点: 确保云提供商能够完全理解用户恢复时间目标(Recovery Time Objectives :RTOs),并将其明确的写到合同关系中。 确认云提供商已经实施了业务连续性策略,并且通过了董事会的批准。 检查一下云提供商是否已经具备有效的管理支持和对业务连续性定期的审查程序。 确认一下云提供商的业务连续性程序是否已经经过认证并且/或者能够符合国际公认的标准比如BS25999. 案例: windows Azure,微软的云计算平台,在2009 年3 月曾经中断服务一个周末。如果你的公司正在使用该服务,那么这次中断服务对你的公司的运营造成什么影响?微软有职责去解决这个问题,而不是你们公司的IT 团队。
用户隐私和数据的二次利用
数据被存储在云端,如何确保CSP不会将其用于其它目的? 用户隐私和数据的二次利用 数据被存储在云端,如何确保CSP不会将其用于其它目的? 通过CSP获取的信息和通过用户行为挖掘出的信息具有很高的价值。例如某些社交网站通过对用户聊天记录的监控可以得到用户的假期计划,然后适时的为用户提供各种旅馆、航班等广告。 Google 和其他社交网站收集隐私数据并利用它。
评估和审视云基础设施中数据管理的隐私需求。 CSP 的隐私评估需要考虑安全控制是否存在,包括物理存储和数据跨云的分发。 对正在进行的风险管理和遵守情况,云提供商扩展一个有效的监控和可审计的程序是非常必要的。 对于潜在的和正在使用云计算的用户来说,当他们使用云的时候,作者在评估CSPs的安全隐私风险以及他们开发的方法中的亲身体会,能够帮助他们学会如何有效地管理安全和隐私风险。
服务和数据传输安全
服务和数据传输安全 数据在云中传输的过程中如何保证其安全性 云中,复杂度日益增加,动态数据越来越多,交互日益频繁,一旦发生攻击,传统的安全措施是否能够应对这个数量级的攻击或扫描?
多租户和物理安全
多租户模式下的风险 不适当的逻辑安全控制:物理资源(CPU、网络、存储/数据库、应用栈)在多用户中共享,也就是说依赖逻辑的隔离和其他控制来保证某个用户无法威胁其他用户的安全(保密性、完整性、可用性) 恶意的或者无知的用户:如果供应者(如软件)在多用户中存在比较弱的不合理的控制,那么某个恶意的或者无知的用户可能降低其他用户的安全性。 共享服务可能成为单故障点:如果供应者没有很好地构建公共服务,这样由于某个用户的误用或者滥用,共享服务很容易成为单一故障点; 不协调的变更控制和错误配置:当多用户正在共享底层结构时,所有的变更均需要协调和测试; 混合租户数据:为了减少成本,提供者可能把多个用户的数据存储在相同的数据库单元和备份单元。尤其是如果用户数据存储在共享的媒介里(如数据库、备份空间、案卷保管处),一旦数据毁坏,多用户均面临挑战; 性能风险:某个用户对服务大量应用,会影响其他用户应用该服务的质量;
Xaas模式下的风险 Saas(software‐as‐a‐service):多个客户端(租户)可能共享一个应用软件栈(数据库、app/web 服务器、网络)。那意味着多用户的数据可能存储在同一个数据库,可能一起备份和一起存档,可能在共同的网络设备上传输(未加密的),而且被公共的程序处理。这就更加强调了在应用软件之间的逻辑安全构建,来分离本用户和其他用户。 Paas(Platform‐as‐a‐service): 多个用户共享平台栈。平台栈的漏洞会影响到所有的用户,包括共享的数据备份和存档。 Iaas(Infrastructur‐as‐a‐service):跨虚拟机的攻击,跨网络流量窃听。一般会发生安全性较低的设备上,比如那些经常不被关注安全性、系统补丁的主机,尤其是受到黑客攻击、控制的主机。
对策 多租户架构设计:提供者需要提供多用户的架构,而不是单纯使用那些不是为多租户设计的服务。多用户的构建应该考虑合理的逻辑隔离,提高公共服务和单点故障的保障能力,同时给消费者(用户)提供更多的透明度。 数据加密:对数据进行加密以及对各个用户的数据进行隔离,加强对用户密钥的管理。在一个虚拟的环境中,这意味着加密可以在每个虚拟终端完成,密钥管理由租户完成,而不是服务提供商。 变更控制管理:需要对所有的变更(尤其是通用共享的服务变更)进行很好的计划,制定发布周期来完成用户到新的基础设施的迁移。对于SaaS 提供商(或者SaaS 模式)来说,用户需要逐步迁移到新的基础设施,(对这些行为,提供者需要计划额外的资源)提供者需要有多用户到基层资源和服务的映射表, 以便于基层资源的任何变更均被很好的计划 透明性/管理审计:用户需要知道管理者有权访问它们的资源/服务。其中之一的办法就是允许具有审计能力的管理者访问栈的各个层(操作系统、网络、应用软件、数据库),这些层是可以被用户审计的。提供者可能仍在管理,但是在很严格的可审计环境中进行管理; 虚拟私有云(VPC):私有云存在于共享或者公共云中。VPC 把公共云分隔成互相隔离的虚拟基础架构,并且通过加密网络链接访问租户的内部资源。 第三方评估:可以代替完成审计评估任务,当用户出于安全考虑要求审计而被云提供商拒绝。 用户隔离:用户可能一直想和云提供商协商或要求拥有它们自己的物理隔离的基础设施,数据库、存储、网络,……在安全领域,隔离起着重要作用,但也确实增加了用户/客户的成本。 1 多租户架构设计:提供者需要提供多用户的架构,而不是单纯使用那些不是为多租户设计的服务。多用户的构建应该考虑合理的逻辑隔离,提高公共服务和单点故障的保障能力,同时给消费者(用户)提供更多的透明度。 2 数据加密:对数据进行加密以及对各个用户的数据进行隔离,加强对用户密钥的管理。在一个虚拟的环境中,这意味着加密可以在每个虚拟终端完成,密钥管理由租户完成,而不是服务提供商。 3 变更控制管理:需要对所有的变更(尤其是通用共享的服务变更)进行很好的计划,制定发布周期来完成用户到新的基础设施的迁移。对于SaaS 提供商(或者SaaS 模式)来说,用户需要逐步迁移到新的基础设施,(对这些行为,提供者需要计划额外的资源)提供者需要有多用户到基层资源和服务的映射表, 以便于基层资源的任何变更均被很好的计划。 4 透明性/管理审计:用户需要知道管理者有权访问它们的资源/服务。其中之一的办法就是允许具有审计能力的管理者访问栈的各个层(操作系统、网络、应用软件、数据库),这些层是可以被用户审计的。提供者可能仍在管理,但是在很严格的可审计环境中进行管理; 5 虚拟私有云(VPC):私有云存在于共享或者公共云中。VPC 把公共云分隔成互相隔离的虚拟基础架构,并且通过加密网络链接访问租户的内部资源。 6 第三方评估:可以代替完成审计评估任务,当用户出于安全考虑要求审计而被云提供商拒绝。 7 用户隔离:用户可能一直想和云提供商协商或要求拥有它们自己的物理隔离的基础设施,数据库、存储、网络,……在安全领域,隔离起着重要作用,但也确实增加了用户/客户的成本。
影响范围分析和法律支持
影响范围分析和法律支持 发生信息安全事件时,在同一个云提供商上部署的应用程序和托管服务可能难以追查记录,因为日志记录可能分散到多台主机和数据中心,这些不同的主机和数据中心可能位于不同的国家,因此受不同的法律管制着。 此外,由于属于多个客户的日志文件和数据也可能共同位于相同的硬件和存储设备,因此,需要加强对执法部门和取证恢复技术的关注。
基础设施安全
可能存在的基础设施安全 系统和网络设备的默认配置 已存在的服务,包括活跃而未使用的,避免被扫描 被利用的服务如果不被控制,则可能成为到别的服务的跳板 管理访问可能被滥用,或者通过管理员或者通过被利用的管理帐号。此外,管理访问可能会导致意外的中断。 代码漏洞被利用
对策 对操作系统,应用程序和配置进行加固 分层解决方案的架构 分离的基础设施组件,例如,使用ACL 基于角色的管理者访问和受限的管理者权限 定期脆弱性评估
非生产环境暴露
非生产环境暴露 云中的数据有是公开访问的,这对于云中所存在的非生产环境是巨大的威胁,如果不加以控制,用户可能会有访问到这些环境的可能 非生产环境可能使用通用的认证证书。在非生产环境中使用的密码可能不符合该组织的标准密码策略。在这种情况下,未经授权访问变得非常容易。 组织可以通过从相应的生产环境中复制数据的方式来构建一个非生产环境。在这种情况下,未经授权用户能够窃取敏感的生产数据,例如信用卡和社会安全号码。
对策 确保访问非生产环境所使用的认证证书是健壮的,符合与生产环境相同的标准 非生产环境中所使用的数据不是生产环境的数据拷贝。
思考与讨论
思考与讨论 我们举国面临的最严重的国家经济和国家安全挑战之一”, “从现在起,我们的数字基础设施将被视为国家战略资产”——奥巴马。 云计算时代如何检测云中的漏洞,如何对风险进行评估 云计算的时代,我们还可以做些什么 云安全,会催生哪些产品 云计算时代,传统网络或数据中心中的一些业务是否会在云中继续下去(等保,风险评估,Web安全等) 云安全最重要的核心风险是什么?国家安全风险和企业经济信息失控风险 美国可能通过云计算的推广牢牢掌握了对全球信息的绝对制导权 ——信息霸权 我们举国面临的最严重的国家经济和国家安全挑战之一”, “从现在起,我们的数字基础设施将被视为国家战略资产”——奥巴马。
谢谢!