今日頭條
官方微信
官方抖音
資訊頻道摘要:針對等保2.0的新變化,結(jié)合下一代云計算的發(fā)展趨勢,指出云計算環(huán)境下開展安全工作的優(yōu)勢及挑戰(zhàn)。本文著重分析IaaS、PaaS和SaaS三種服務(wù)模式面臨的主要威脅,詳細闡述了云平臺風(fēng)險評估流程,該流程在傳統(tǒng)風(fēng)險評估的基礎(chǔ)上,融入云平臺特有的資產(chǎn)、威脅和脆弱性,能夠很好地覆蓋云平臺存在的風(fēng)險。最后,對典型的幾種評估方法提出相關(guān)建議。
關(guān)鍵詞:信息安全 云計算 風(fēng)險評估
1 云計算機發(fā)展趨勢及其安全挑戰(zhàn)
1.1 云計算發(fā)展趨勢
近幾年虛擬化、容器、邊緣計算、人工智能和區(qū)塊鏈得到快速發(fā)展,混合云、異構(gòu)云、邊緣云等逐漸興起。通過融合這些新興技術(shù),云平臺將變得更富彈性、更綠色、更可信和可靠。對于云服務(wù)來說,隨取隨用、按需使用、簡單易用將是云應(yīng)用的未來。
1.2 云安全優(yōu)勢及挑戰(zhàn)
計算環(huán)境:相比于傳統(tǒng)計算中心,云計算平臺的結(jié)構(gòu)更加一致。同構(gòu)的設(shè)施平臺能更好地支持安全管理活動的自動化。同時,安全響應(yīng)活動也可從一致、同構(gòu)的云基礎(chǔ)設(shè)施獲益,如容錯管理、系統(tǒng)維護。但云服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權(quán)和商業(yè)秘密,客戶在缺乏必要的知情權(quán)的情況下,難以了解和掌握云服務(wù)商安全措施的實施情況和運行狀態(tài),不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對租戶數(shù)據(jù)的非授權(quán)訪問和使用。
資源可用性:基于云計算環(huán)境的冗余能力、可拓展性可以更好地應(yīng)對彈性伸縮需求或分布式拒絕服務(wù)攻擊。然而可用性高意味著需要投入更多的網(wǎng)絡(luò)和計算資源,這也就暴露了更多的風(fēng)險面。
備份和恢復(fù):云提供商的備份和恢復(fù)策略、規(guī)程可能優(yōu)于用戶機構(gòu)并具備更高的魯棒性,能夠從嚴重事件中快速恢復(fù)。然而當(dāng)一個資源存在多個副本時,各個副本內(nèi)容的一致性和剩余信息保護方面難以得到保證。
移動端點:云解決方案的體系結(jié)構(gòu)擴展到了位于服務(wù)端點的云客戶端處,為移動辦公人員帶來更高的生產(chǎn)效率。需要注意的是,移動設(shè)備需要進行正確的設(shè)置和保護,包括限制在其上可以保留的數(shù)據(jù)類型。
數(shù)據(jù)集中:公有云環(huán)境下的數(shù)據(jù)維護和處理減少了移動工作人員使用便攜式計算機、嵌入式設(shè)備、移動存儲進行傳播的風(fēng)險以及因設(shè)備失竊、丟失帶來的風(fēng)險。但云服務(wù)商如果沒有采取足夠的安全措施,將面臨數(shù)據(jù)泄漏和被篡改的安全風(fēng)險。
1.3 等保2.0中的新變化
與等保1.0的標(biāo)準體系相比,等保2.0在適用性、時效性、易用性、可操作性上得到進一步擴充和完善,以適應(yīng)云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新技術(shù)的發(fā)展。表1給出了等保2.0發(fā)生的重要變化。
2 云計算面臨的主要威脅
2.1 IaaS面臨的主要威脅
采用IaaS服務(wù)時,客戶可以用鏡像模板來創(chuàng)建虛擬機實例,并在虛擬機上部署自己的應(yīng)用軟件。客戶不需要負責(zé)底層的硬件資源和虛擬化軟件。因此除了硬件層和虛擬化軟件層的安全措施由云服務(wù)商負責(zé)實施外,位于其他層的安全措施由客戶負責(zé)實施,需要對這些安全措施實施有效監(jiān)管。
2.1.1 鏡像篡改
通過鏡像開通云主機,即可獲得一致的系統(tǒng)環(huán)境或軟件,從而避免復(fù)雜的配置過程,但如果該鏡像被惡意篡改,如被植入病毒,那么后續(xù)基于此鏡像創(chuàng)建的云主機都會遭到破壞。
2.1.3 虛擬機隔離
云計算平臺是一個多租戶共享的平臺,如果隔離機制控制不足,具有利害關(guān)系的租戶的虛擬機之間可能相互干擾,甚至存在越權(quán)訪問。圖1中使用了虛擬防火墻來隔離虛機,若防火墻失效或存在缺陷,有可能給租戶造成損失。
2.1.4 資源遷移
在虛擬環(huán)境中,虛擬機的遷移很常見。遷移虛擬機時,vSwitch(虛擬交換機)中對VM的引流策略以及相關(guān)的安全策略要能夠自動遷移到新主機,確保VM安全防護不因遷移而發(fā)生變化,如圖2所示。在虛擬資源遷移過程中,還需要采取校驗或密碼技術(shù)等措施保證虛擬資源數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時也應(yīng)該采取必要的恢復(fù)措施。
2.1.5 虛擬機逃逸
云計算底層是虛擬化系統(tǒng),虛擬機的安全防護幾乎關(guān)乎整個云平臺安全的穩(wěn)定運行。攻擊者可以利用虛擬化平臺漏洞突破虛擬機自身的限制,獲取宿主機操作系統(tǒng)的最高權(quán)限,最后感染宿主機或者在宿主機上運行惡意軟件,如圖3所示。
2.1.6 主機越權(quán)
提供虛擬資源的主機上通常存在管理組件,如Hypervisor,這些組件可以說是當(dāng)前虛擬化的核心。由于它們可以協(xié)調(diào)各種硬件資源的分配,因此它的權(quán)限非常之大。云服務(wù)商也可能會使用其他云服務(wù)商的服務(wù),使用第三方的功能、性能組件,造成云計算平臺復(fù)雜且動態(tài)變化。隨著復(fù)雜性的增加,云計算平臺實施有效的數(shù)據(jù)保護措施更加困難,客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風(fēng)險增大。如果管理組件或主機操作系統(tǒng)被攻擊,則運行在虛擬化組件之上的所有虛擬資源都會被波及。
2.2 PaaS面臨的主要威脅
利用PaaS來開發(fā)和部署自己的軟件,需要對應(yīng)用的運行環(huán)境進行配置,控制自己部署的應(yīng)用。客戶需要對自己部署、自己使用的系統(tǒng)和應(yīng)用負責(zé),制定相應(yīng)的安全策略,實施必要的安全措施。
2.2.1 鏡像篡改
目前Docker Hub上的鏡像很多都存在安全漏洞,包含廣泛使用的mysql、redis、nginx鏡像等,而很多企業(yè)都是基于這些鏡像構(gòu)造自己的鏡像庫。可以說目前正在被企業(yè)使用的鏡像中很多是存在安全問題的。
2.2.2 容器逃逸
容器云平臺目前基本以Docker 容器和kubernetes 容器編排為主。由于Docker 容器與宿主機共享內(nèi)核、文件系統(tǒng)等資源,Docker 本身的隔離性不如虛擬機主機完善,因此如果Docker 自身出現(xiàn)漏洞,可能會波及問題容器所在的宿主機,由于Docker 容器所在的宿主機上可能存在當(dāng)前租戶的其他容器,也可能存在其他租戶的容器,所以問題最終可能會影響到其他的容器。
2.3 SaaS面臨的主要威脅
SaaS是采用先進技術(shù)上云的最好途徑,它消除了企業(yè)購買、構(gòu)建和維護基礎(chǔ)設(shè)施和應(yīng)用程序的需要。但隨著SaaS的日益普遍,關(guān)于SaaS的安全問題也隨之而來。以下幾個方面是saas主要的安全問題。
2.3.1 存儲數(shù)據(jù)泄露
在SaaS模式,企業(yè)數(shù)據(jù)存儲在SaaS供應(yīng)商的數(shù)據(jù)中心。因此,SaaS企業(yè)應(yīng)采取措施保障數(shù)據(jù)安全,防止由于應(yīng)用程序漏洞或者惡意特權(quán)用戶泄漏敏感信息。在一個多租戶SaaS的部署中,多個企業(yè)的數(shù)據(jù)可能會保存在相同的存儲位置,也會出現(xiàn)數(shù)據(jù)泄露問題。
2.3.2 傳輸數(shù)據(jù)泄露
在SaaS的部署模式中,企業(yè)和SaaS提供商之間的數(shù)據(jù)流在傳輸過程中必須得到保護,以防止敏感信息外泄。
2.3.3 鑒別信息泄露
一個SaaS供應(yīng)商可以提供完整的IAM和登錄服務(wù)。在這種情況下,用戶的信息、密碼等,都保留在SaaS供應(yīng)商的網(wǎng)站,因此應(yīng)該安全地存儲和處理。
3 云計算平臺風(fēng)險評估
為了確保客戶實施的安全措施安全有效,客戶可自行或委托第三方評估機構(gòu)對自己實施的安全策略進行評估。
目前,國內(nèi)外多個標(biāo)準化組織和機構(gòu)都在開展云計算安全標(biāo)準化工作,除此之外,各國也開展了云安全管理和合規(guī)方面的工作。下圖給出了國內(nèi)外在云安全標(biāo)準方面的成果。
3.2 云平臺風(fēng)險評估
3.3.2 評估框架
云計算平臺安全風(fēng)險評估關(guān)注云計算平臺業(yè)務(wù)層面的風(fēng)險,其評估對象為云服務(wù)業(yè)務(wù)流程涉及的組件及設(shè)備,評估范圍覆蓋了云服務(wù)業(yè)務(wù)在信息系統(tǒng)層面的數(shù)據(jù)流、數(shù)據(jù)處理活動及其關(guān)聯(lián)關(guān)系。云平臺風(fēng)險評估的框架如下圖5所示。
評估過程覆蓋了基礎(chǔ)設(shè)施、虛擬化控制、管理平臺和安全防護等多種類型的對象,針對多種指標(biāo)進行綜合風(fēng)險分析,并且在監(jiān)管、業(yè)務(wù)和客戶的要求下做出相應(yīng)的調(diào)整。
a.資產(chǎn)識別
云平臺安全風(fēng)險評估不僅要識別云服務(wù)商自身資產(chǎn),還需要識別云服務(wù)客戶業(yè)務(wù)數(shù)據(jù)資產(chǎn),識別過程中,宜統(tǒng)計所有的信息資產(chǎn),但可以根據(jù)云平臺的安全目標(biāo)確定資產(chǎn)識別的細度。下表2是云平臺安全風(fēng)險評估中需要重點考慮的客戶資產(chǎn)[3]。
b.威脅識別
首先,云計算平臺是一個共享的平臺,在云計算平臺上傳送惡意程序、垃圾數(shù)據(jù)等,比在傳統(tǒng)的系統(tǒng)上更具有危害性:其傳播速度更快、傳播范圍更廣,會產(chǎn)生更大、更嚴重的社會影響。其次,云計算平臺比以往任何一種計算機系統(tǒng)的規(guī)模都要大得多,其平均使用成本更低、部署時間更短,很容易被心懷惡意的人在短時間內(nèi)大規(guī)模采購并部署,作為僵尸網(wǎng)絡(luò)、拒絕服務(wù)攻擊等的平臺,這將會產(chǎn)生更加嚴重的后果與影響。同時,由于云計算平臺的分布式結(jié)構(gòu),攻擊者在實施攻擊后更容易逃避安全監(jiān)管,這為日后的追責(zé)帶來了困難。
c.脆弱性識別
脆弱性識別的依據(jù)需要結(jié)合國內(nèi)外安全標(biāo)準、行業(yè)規(guī)范、應(yīng)用流程的安全要求,主要從技術(shù)和管理兩個方面進行,表3給出了云平臺典型的脆弱性[3]。技術(shù)脆弱性涉及網(wǎng)絡(luò)、人員、服務(wù)和數(shù)據(jù)等各個層面的安全問題。對應(yīng)用在不同環(huán)境中的相同的弱點,其脆弱性嚴重程度是不同的,宜從組織云服務(wù)安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴重程度。
d.已有安全措施的確認
可按照服務(wù)模式、安全需求、運行監(jiān)管、災(zāi)難恢復(fù)能力和合同等方面來確認已有的安全防護手段,如下圖所示。
3.3.3 云安全評估方法的特殊性
在對云平臺開展風(fēng)險評估工作時,需要結(jié)合多種評估方法,比如配置檢查、漏洞掃描,但云平臺引入了更多的有價值的資源,且與租戶存在服務(wù)水平約定,所以一些評估方法要結(jié)合云計算的特征做出調(diào)整,下圖展示了四種常見評估方法應(yīng)該涉及的內(nèi)容。
a.問卷調(diào)查
調(diào)查問卷是提供一套關(guān)于管理和操作控制的問題表格,供系統(tǒng)技術(shù)或管理人員填寫。問卷應(yīng)該包括組織的業(yè)務(wù)戰(zhàn)略、安全需求、管理制度、系統(tǒng)和數(shù)據(jù)的敏感性、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的內(nèi)容。
b.顧問訪談
現(xiàn)場訪談是由評估人員到現(xiàn)場訪談系統(tǒng)技術(shù)或管理人員并收集系統(tǒng)在物理、環(huán)境和操作方面的信息。訪談內(nèi)容至少應(yīng)該包括:是否有數(shù)據(jù)存儲完整性檢測的設(shè)計;是否有清除數(shù)據(jù)副本的手段和措施;詢問對持續(xù)大流量攻擊進行識別、報警和阻斷的能力,是否有專門的設(shè)備對網(wǎng)絡(luò)入侵進行防范;詢問虛擬機之間、虛擬機與宿主機之間隔離的手段;退出云計算服務(wù)或變更云服務(wù)商的初步方案,對客戶的相關(guān)人員進行操作和安全培訓(xùn)的方案。
c.安全滲透測試
由于基礎(chǔ)設(shè)施的影響,SaaS環(huán)境可能不允許進行滲透測試,在PaaS、IaaS中允許進行云滲透測試,但需要一定的協(xié)調(diào)。值得注意的是,合同中的SLA將決定應(yīng)該允許何種類型的測試,以及多久進行一次測試。
d.安全漏洞掃描
云計算具備按需自助服務(wù)、無處不在的網(wǎng)絡(luò)接入、資源池、敏捷的彈性和可度量的服務(wù)這五個特征,云平臺漏洞掃描也可以按照這五個方面來進行[2]。
未經(jīng)授權(quán)的管理界面訪問:按需自助服務(wù)云計算特性需要一個管理界面,可以向云服務(wù)的用戶開放訪問。這樣,未經(jīng)授權(quán)的管理界面訪問對于云計算系統(tǒng)來說就算得上是一個具有特別相關(guān)性的漏洞,可能發(fā)生未經(jīng)授權(quán)的訪問的概率要遠遠高于傳統(tǒng)的系統(tǒng),在那些系統(tǒng)中管理功能只有少數(shù)管理員能夠訪問。
互聯(lián)網(wǎng)協(xié)議漏洞:無處不在的網(wǎng)絡(luò)接入云計算特性意味著云服務(wù)是通過使用標(biāo)準協(xié)議的網(wǎng)絡(luò)獲得訪問。在大多數(shù)情況下,這個網(wǎng)絡(luò)即互聯(lián)網(wǎng),必須被看作是不可信的。這樣一來,互聯(lián)網(wǎng)協(xié)議漏洞也就和云計算發(fā)生了關(guān)系,比如導(dǎo)致中間人攻擊的漏洞。
數(shù)據(jù)恢復(fù)漏洞:關(guān)于資源池和彈性的云特性意味著分配給一個用戶的資源將有可能在稍后的時間被重新分配到不同的用戶。從而,對于內(nèi)存或存儲資源來說,有可能恢復(fù)出前面用戶寫入的數(shù)據(jù)。
逃避計量和計費:可度量的服務(wù)云特性意味著,任何云服務(wù)都在某一個適合服務(wù)類型的抽象層次(如存儲,處理能力以及活躍帳戶)上具備計量能力。計量數(shù)據(jù)被用來優(yōu)化服務(wù)交付以及計費。有關(guān)漏洞包括操縱計量和計費數(shù)據(jù),以及逃避計費。
e.安全配置檢查
為了及時發(fā)現(xiàn)云平臺配置風(fēng)險,云平臺配置檢查可以從身份認證、網(wǎng)絡(luò)訪問控制、數(shù)據(jù)安全、日志審計、基礎(chǔ)安全防護五個維度進行安全配置的檢測,相關(guān)檢查項[4]可參考表4。
4 結(jié)束語
本文在對云計算發(fā)展趨勢及等保2.0的新要求進行分析的基礎(chǔ)上,結(jié)合三種云計算服務(wù)模式的特點和傳統(tǒng)的信息安全風(fēng)險評估方法,對如何在云計算模式下進行信息安全風(fēng)險評估進行了闡述,詳細論述了云平臺安全風(fēng)險評估中對資產(chǎn)、威脅和脆弱性進行評估時,要考慮到的一些指標(biāo)。相信隨著云計算的深入發(fā)展,國內(nèi)云計算安全標(biāo)準化工作的推進,各種安全實踐會不斷成熟,將進一步豐富云計算平臺及云服務(wù)風(fēng)險評估理論。
參考文獻:
[1] GB/T31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南
[2] E.St?cker,T.Walloschek, B.Grobauer, "Understanding Cloud ComputingVulnerabilities,"https://www.infoq.com/articles/ieee-cloud-computing-vulnerabilities/, 2011
[3] DB44/T2010-2017 云計算平臺信息安全風(fēng)險評估指南
[4] 阿里云, 云平臺配置檢查. https://help.aliyun.com/document_detail/101898.html, 2019
作者介紹:
易發(fā)波,1986.11,男,漢,湖北恩施人,咨詢服務(wù)顧問,2016年6月畢業(yè)于電子科技大學(xué)計算機系統(tǒng)結(jié)構(gòu)專業(yè),碩士,目前從事云計算安全咨詢工作,在計算和網(wǎng)絡(luò)虛擬化方面有豐富的安全防護設(shè)計及風(fēng)險識別經(jīng)驗,當(dāng)前主要研究云計算平臺安全防護檢測方法。
來源: 工控安全應(yīng)急保障中心
北京市公安局海淀分局備案號:11010802023656號