Cloud Security Auditing: Challenges and Emerging Approaches Jungwoo Ryoo, Syed Rizvi, William Aiken, and John Kissell | Pennsylvania State University November/December 2014 Copublished by the IEEE Computer and Reliability Societies 雲端安全審核:挑戰和新辦法 這篇主要是要探討組織的IT資源導入雲端之後的威脅,帶來了安全審核的新挑戰。然後研究者就去採訪了很多經驗豐富的雲端安全審核人員。 報告者:吳慧菱 報告日期:2015/03/19
目錄 前言 挑戰 透明度 加密 主機託管 規模、範圍和複雜性 新辦法 雲端安全審計標準
前言 1 雲端運算及服務在全球已經不再僅僅是崛起的新興科技,雲端運算及服務已經逐漸成為企業組織及個人日常作業或生活中的一環。 雖然雲端運算及服務提供了諸多便利性及優勢,但在國際間的多項調查結果顯示,有超過半數到7成的企業組織明確表達資訊安全議題將會是他們決定是否要導入雲端運算及服務的最主要的要素之一。 *原文網址:資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7711#ixzz3UjpnAQZR
挑戰 (1/2) 根據研究者的採訪,最直接、最明顯的挑戰在於雲端安全審計人員對於雲端計算是否有足夠的認識。 必須熟悉雲端計算的術語 有一個雲端系統的構成和傳遞方法的知識 雲端計算都有它自己的一套安全挑戰。雲端基礎設施服務機構、雲端服務提供商(CSPs)和最終用戶之間的恆定三方協商的結果,以保證工作效率,同時保持合理的安全程度。
挑戰 (2/2) 表1.雲端特定的審計挑戰 3 挑戰 傳統的IT安全審計實務 雲端運算的具體挑戰 潛在的雲安全審計解決方案 透明度 數據和資訊安全管理系統是更容易獲得。 資料和安全是由第三方來管理。 服務等級協議應列出CSP政策和保證,同時雲端服務提供商為客戶提供的審計結果。 加密 數據所有者有控制權。 雲端服務提供商(CSPs)可能負責加密。 使用第三方和相同型態加密。 主機託管 這種情況極少發生。 雲端服務提供商在很大程度上取決於這一點。 規範和加強監督。 規模、範圍和複雜性 這些都是比較少。 審計師必須了解和認識這些差異。 實施持續教育和新的認證課程。 那這方面的知識,就是要確保審計人員要注意可能在雲端安全審計流程非常重要的安全因素,包括透明度;加密;託管;和規模、範圍和複雜性(見表1)。
透明度 (1/2) 透明度可以讓企業更輕鬆地識別潛在的安全風險和威脅,以及為他們的企業創建和制定正確的對策和建議。通過存取準確的資訊,雲端服務用戶(CSUs)可以減少出現威脅的風險。 CSP與最終用戶必須要有一個穩固的平衡,CSP是否公開其存取控制機制允許員工在家裡或出差時存取雲?允許的話,又如何去防止他人冒用合法用戶? 4
透明度 (2/2) 正常情況下,雲端運算系統是一個很大的數據中心,以及一個可能由第三方外包商管理它們,而客戶端不會知道是誰在處理數據。若要揭露這種不良情況相關的風險,雲端安全審計就必須努力揭示以下這些細節給客戶端: 數據隱私 數據安全性 匿名性 通信能力 責任性 可靠性 政府監管的透明度 5
加密 (1/2) 如果雲被破壞,其中的資訊將會立即讓駭客取得。為了防止這種情況,客戶可以在發送給雲端提供商之前,將其內部的所有數據進行加密,但這種方法會引入了系統管理員濫用特權的風險。 6
加密 (2/2) 根據研究者們經採訪後,得到隱私平衡的鬥爭也會發生在不同的雲端計算局面。然而,在雲端系統中,審計組織和審計人員之間的這種合作可能不會一樣高效率或可行,因為所有的數據駐留在一個第三方的基礎架構(CSP的數據中心)。 即使在審計情況下,CSP未必願意或能夠披露某些加密資訊。為了幫助緩解這個雲的具體問題,PCI數據安全標準(DSS)雲端技術聯盟(SIG)大力鼓勵的加密密鑰和加密算法的資料“儲存並獨立於雲端服務的管理。” 7 傳統的IT基礎設施面臨著許多加密的關切。
主機託管 雲端計算的核心好處是多個用戶組織可以共享一個服務機構的實體系統。雖然這是一個很大的降低成本的方法,共享技術基礎設施帶來同樣巨大的安全問題。這是至關重要的,雲端服務供應商保持用戶系統從獲取管理權限才能在實體硬體,以防止濫用服務,並獲得其他客戶的數據。 8
規模、範圍和複雜性 (1/3) 在雲端計算,一台實體機器通常承載很多虛擬機,從而徹底地提高了被審計的主機數量。然而,當標準化就位(例如,在安全驗證Master VM圖像的形式),儘管雲端計算元素的規模大,審計過程也可以順暢和更快。 9
規模、範圍和複雜性 (2/3) 審計的範圍來自IT元素的審計數量增加的規模問題的結果。如果一個虛擬機管理程序有威脅的分離虛擬機中的一個漏洞,雲端服務用戶(CSUs)會為他們相鄰的那些屬於其他組織的虛擬機感到不安,包括他們的競爭對手。此外,許多雲端環境有無形和邏輯元素的審計,包括虛擬交換機和防火牆。因此,審計人員必須了解在雲端中的具體技術可能威脅雲端服務用戶的安全明顯的差異。 10
規模、範圍和複雜性 (3/3) 由於增加的規模和範圍,該系統的複雜性也增加。雲端審計人員應該採取這種複雜性考慮,分配比在傳統的IT審計過程有更多的時間和資源。 另外,雲端計算能夠為一個的雲端服務供應商來儲存一個組織多國的數據和資訊。這些國家適用不同的法律和法規,因此客戶組織的合理性要求不再綁定到雲端服務用戶的實際位置。因此,雲端安全審計人員查出了其中在雲端服務供應商儲存雲端服務用戶數據和資訊是很重要的。 11
新辦法 12 無論雲端計算和傳統的IT安全審計都必須符合某種形式的標準,不同於傳統的IT安全審計,由於雲端計算安全審計沒有全面的認證,以彌補其龐大的安全問題數量。因此,雲端安全審計人員經常使用傳統的IT安全審計標準來進行評估。
新辦法 在採訪的專業雲端安全審計人員後,研究者們發現三個關於雲端安全標準化審計的建議: 不需要一個新的標準 13 在採訪的專業雲端安全審計人員後,研究者們發現三個關於雲端安全標準化審計的建議: 不需要一個新的標準 因為大多數傳統的IT審計標準是技術中立的設計,現有的標準仍然適用 保持著名的IT安全審計準則的技術中立性質 開發一種專門用於雲安全審計全新的標準
雲端安全審計標準 表2. 適用於雲端安全審計標準 13 標準 類型 強度 主辦單位 Service Organization Control(SOC)2 審計外包服務 技術中立 美國註冊會計師協會 ISO 27001、27002 傳統的安全審計 ISO NIST800-53 rev. 4 聯邦政府審計 國家標準技術研究所 雲端安全聯盟(CSA) 雲端計算專業審計 致力於雲端安全審計 CSA 支付卡產業(PCI) 資料安全標準(DSS) PCI合格安全性評估雲端計算的補充 雲端特定並提供指導 PCI DSS 表2總結了廣泛的標準範圍和雲安全審計的範圍,其中應用最廣泛的IT安全審計標準是ISO27000系列。