一、云计算安全概念与威胁分析
1.1 云计算基本概念
在传统计算环境下,用户构建一个新的应用系统,需要做大量繁杂的工作,如采购硬件设备、安装软件包、编写软件,同时计算资源与业务发展难以灵活匹配,信息系统项目建设周期长
随着网络信息科技的发展,人们实际上希望一种简捷、灵活多变的计算环境,云计算就是在这样的需求驱动下而产生的一种计算模式
云计算:通过虚拟化及网络通信技术,提供一种按需服务、弹性化的IT资源池服务平台
云计算的主要特征如下
1. IT资源以服务的形式提供
IT资源以一种服务产品的形式提供,满足用户按需使用、计量付费的要求
云计算常见的服务有:基础设施即服务laaS、平台即服务PaaS、软件即服务SaaS、数据即服务DaaS、存储即服务STaaS
2. 多租户共享IT资源
“多租户”:指所提供的信息服务支持多个组织或个人按需租赁。“多租户”还意味着云计算系统应对租户间信息服务实现隔离,包括功能隔离、性能隔离和故障隔离
3. IT资源按需定制与按用付费
- 在云计算方式下,用户不必建设自己的数据中心和IT支撑资源系统,只须根据其自身实际的资源需求向云计算服务商按需定制或者单独购买,实现即付即用和按需定制
- 从而让云服务供应商能够实现科学化的IT资源配置,更好地实现规模效益和控制边际成本获益,从而有利于云用户消费者以更低廉的价格得到更大价值的服务和应用
4. IT资源可伸缩性部署
- 大多数应用对计算、存储和网络带宽的使用的规模、时间不尽相同,存在需求差异
- 通过对IT资源的有效调度,按时段来随时添加资源和移除资源,满足不同用户对资源的弹性要求,例如,一个人为完成某个计算任务,可以通过云计算平台申请上千台服务器
云计算有四种部署模式,即私有云、社区云、公有云和混合云,其中
- 私有云:是指云计算设施为某个特定组织单独运营云服务,可能由组织自身或委托第三方进行管理
- 公有云:指云计算设施被某一组织拥有并进行云服务商业化,对社会公众、组织提供服务
- 社区云:是指云计算设施由多个组织共享,用于支持某个特定的社区团体,可能由组织自身或委托第三方进行管理
- 混合云:是指云计算设施由两个或多个云实体(公有云、私有云、社区云)构成,经标准化或合适的技术绑定在一起,该技术使数据和应用程序具备可移植性
1.2 云计算安全分析
云计算是一个IT资源服务平台,承载着多种应用系统,存储了大量的数据资源,其安全性至关重要
下面按照“端-管-云”的安全威胁分析方法,对云计算的安全威胁进行分析,其中
- “端”:是指使用云计算服务的终端设备或用户端
- “管”:是指连接用户端和云计算平台的网络
- “云”:就是云计算服务平台
1.云端安全威胁
- 云终端是用户使用云计算服务的终端设备,云终端的安全性直接影响云服务的安全体验
- 云终端用户在使用云计算服务的过程中,云用户设置弱的口令,导致云用户的账号被劫,或者黑客攻击终端平台,假冒云用户
- 云终端设备存在安全漏洞,导致黑客入侵终端等
2.云“管”安全威胁
网络是云计算平台连接云用户的管道,云计算平台通过网络把云服务传递到云用户
然而,在网络通信过程中,网络可能面临的安全威胁有网络监听、网络数据泄露、中间人攻击、拒绝服务等,从而导致云计算平台出现安全问题
3.云计算平台安全威胁
云计算平台汇聚大量的应用系统及数据资源,主要网络安全威胁如下
- 云计算平台物理安全威胁:云计算促进了各种资源的集中化,极易形成物理环境单点安全高风险。云计算平台一旦遭受物理安全威胁,后果可能是灾难性的
- 云计算平台服务安全威胁:云计算平台提供的服务对用户来说是透明的,但云用户无法掌握技术细节、基础设施的配置情况、系统管理方式等具体情况。云计算平台服务的安全性依赖于云服务商的安全管理及维护
- 云平台资源滥用安全威胁:攻击者利用云服务平台的虚拟主机漏洞,非法入侵云平台的虚拟主机,构造僵尸网络,发动拒绝服务攻击。针对云平台存储服务安全管理缺陷,利用云存储保存网络犯罪信息
- 云计算平台运维及内部安全威胁:云提供商的内部工作人员违反安全规定或误操作,导致数据丢失和泄露、云计算平台服务非正常关闭等安全事件时有发生
- 数据残留:云租户的大量数据存放在云计算平台上的存储空间中,如果存储空间回收后剩余信息没有完全清除,存储空间再分配给其他云租户使用容易造成数据泄露
- 过度依赖:由于缺乏统一的标准和接口,不同云计算平台上的云租户数据和应用系统难以相互迁移,同样也难以从云计算平台迁移回云租户的数据中心。另外,云服务方出于自身利益考虑,往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随丢服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高
- 利用共享技术漏洞进行的攻击:由于云服务是多租户共享,如果云租户之间的隔离措施失效,一个云租户有可能侵入另一个云租户的环境,或者干扰其他云租户应用系统的运行。而且,很有可能出现专门从事攻击活动的人员绕过隔离措施,干扰、破坏其他云租户应用系统的正常运行
- 滥用云服务:面向公众提供的云服务可向任何人提供计算资源,如果管控不严格,不考虑使用者的目的,很可能被攻击者利用,如通过租用计算资源发动拒绝服务攻击
- 云服务中断:云服务基于网络提供服务,当云租户把应用系统迁移到云计算平台后,一旦与云计算平台的网络连接中断或者云计算平台出现故障,造成服务中断,将影响云租户应用系统的正常运行
- 利用不安全接口的攻击:攻击者利用非法获取的接口访问密钥,将能够直接访问用户数据,导致敏感数据泄露;通过接口实施注入攻击,进行篡改或者破坏用户数据;通过接口的漏洞,攻击者可绕过虚拟机监视器的安全控制机制,获取系统管理权限,将给云租户带来无法估计的损失
- 数据丢失、篡改或泄露:在云计算环境下,数据的实际存储位置可能在境外,易造成数据泄露。云计算系统聚集了大量云租户的应用系统和数据资源,容易成为被攻击的目标。一旦遭受攻击,会导致严重的数据丢失、篡改或泄露
1.3 云计算安全要求
传统计算平台的安全:主要包括物理和环境安全、网络和通信安全、设备和计算安全、数据安全和应用安全
在云计算环境中,除了传统的安全需求外,新增的安全需求:主要是多租户安全隔离、虚拟资源安全、云服务安全合规、数据可信托管、安全运维及业务连续性保障、隐秘保护等
同时,由于云计算系统承载着不同用户的应用和数据,相比于传统计算平台的安全,其安全运维要求更高
二、云计算服务安全需求
2.1 云计算技术安全需求
按照上述“端-管-云”的安全威胁分析方法,云计算平台的技术安全需求主要分成三个部分
1.云端安全需求分析
云端的安全目标:是确保云用户能够获取可信云服务
云端的安全需求:主要涉及云用户的身份标识和鉴别、云用户资源访问控制、云用户数据安全存储以及云端设备及服务软件安全
2.网络安全通信安全需求分析
网络安全通信的安全目标:是确保云用户及时访问云服务以及网上数据及信息的安全性
实现网络安全通信的技术:包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务等
3.云计算平台安全需求分析
云计算平台的安全目标:是确保云服务的安全可信性和业务连续性
云计算平台的安全需求:主要有物理环境安全、主机服务器安全、操作系统、数据库安全、应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离等
2.2 云计算安全合规需求
1. 云计算安全国际管理标准规范
2009年4月,云安全联盟 (Cloud Security Alliance, CSA) 非羸利性组织在美国旧金山 RSA 大会上正式成立
云安全联盟的目的:是促进应用最佳实践,为云计算提供安全保障
2. 云计算安全国内管理标准规范
2012年,国务院发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
其中指出:严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心、云计算服
务平台等要设在境内
2.3 云计算隐私保护需求
云计算平台承载着大量数据,涉及个人用户隐私信息,因而云计算个人数据安全保护至关重要
云计算个人数据安全隐私保护要求如下
- 数据采集:明确个人信息采集范围和用途,告知用户相关安全风险
- 数据传输:敏感个人数据网络传输采用加密安全措施,防止网络通信过程信息泄露
- 数据存储:采用加密、认证、访问控制、备份等多种措施保护好敏感个人数据安全,避免数据泄露。个人数据信息按照规定保留相应时间
- 数据使用:制定相应特权管理、个人信息披露等安全控制策略规则,采用实名认证、安全标记、特权控制等措施,限制个人数据使用范围、人员,防止内部人员滥用和非正当披露个人信息
- 数据维护:制定敏感个人数据安全生命周期管理流程,安全管理制度和措施符合国家网络安全管理法律法规政策要求,相关人员签订保密协议,敏感个人数据按规清除
- 数据安全事件处置:制订针对个人信息安全事件的应急预案,阻止安全事件扩大
三、云计算安全保护机制与技术方案
3.1 云计算安全等级保护框架
首先要求保证云计算基础设施位于中国境内,并从技术、管理两方面给出具体规定
围绕“一中心,三重防护”的原则,构建云计算安全等级保护框架,如图,其中
- 一个中心:是指安全管理中心
- 三重防护:包括安全计算环境、安全区域边界和安全通信网络
云计算安全等级保护设计框架图 如下
3.2 云计算安全防护
云计算平台是综合复杂的信息系统,涉及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全
云计算安全保障综合集成了不同的网络安全技术,构成多重网络安全机制,如表
| 云计算平台技术措施等级保护要求 | |
| 保护对象类型 | 安全措施内容 |
| 物理和环境安全 | 物理位置选择、物理访问控制、防盜窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护 |
| 网络和通信安全 | 网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控 |
| 设备和计算安全 | 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护 |
| 应用和数据安全 | 身份鉴别、访问控制、安全审计、软件容错、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护 |
常见的云计算网络安全机制如下
- 身份鉴别认证机制:解决云计算中各种身份标识及鉴别问题。云计算提供商通常使用用户名/口令认证。除此之外,云用户身份认证技术还有强制密码策略、多因子认证、Kerberos
- 数据完整性机制:云租户把数据托管到云平台,要求云服务商提供高安全保障,确保数据能用,而且能够防止数据受到损害。数字签名是保护云计算数据完整性的重要措施
- 访问控制机制:云平台承载着多个租户的资源及敏感的系统资源,云计算资源的使用要在一定的安全规则下经过授权才能保证安全使用
- 入侵防范机制:为保护云计算平台的安全,通常使用IDS/IPS防范已知的漏洞攻击,或者采用沙箱系统检测零日漏洞。同时部署抗拒绝服务攻击安全措施,保障云计算平台的业务连续性
- 安全审计机制:云计算平台对安全日志进行集中管理,以便于事后分析问题
- 云操作系统安全增强机制:目前,商业和开源的云操作系统难以避免地存在安全漏洞,甚至有些漏洞将导致虚拟机逃逸。为此,针对虚拟机管理程序(Hypervisor)的安全问题,提供热补丁修复、恶意程序检测,以防止云操作系统的漏洞被利用而危及整个云计算平台的安全
3.3 云计算安全管理
根据网络安全等级保护的要求,云计算平台安全组织管理的内容要求如表
| 云计算平台安全组织管理保障措施等级保护要求 | |
| 安全管理类型 | 安全管理要求 |
| 安全策略和管理制度 | 安全策略、管理制度制定和发布、评审和修订 |
| 安全管理机构和人员 | 岗位设置、人员配备、授权和审批、沟通和合作、审核和检查、人员录用、人员离岗、安全意识教育和培训、外部人员访问管理 |
| 安全管理对象 | 系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择、云服务商选择、供应链管理 |
3.4 云计算安全运维
根据等级保护要求,云计算安全运维的等级保护内容如表
| 云计算服务安全运维保障要求 | |
| 要求类型 | 内容 |
| 云计算环境与资产运维管理 | 环境管理、资产管理、介质管理、数据管理 |
| 云计算系统安全漏洞检查与风险分析 | 安全漏洞监测、安全漏洞扫描、安全合规检查、安全风险分析 |
| 云计算系统安全设备及策略维护 | 网络和系统安全管理、恶意代码防范管理、密码管理、设备维护管理、配置管理、变更管理 |
| 云计算系统安全监管 | 云计算系统安全测评、外包运维管理 |
| 云计算系统安全监测与应急响应 | 监控和审计管理、应急预案管理、安全事件处置、备份与恢复管理 |
常见的云计算安全运维的安全措施如下
- 云计算安全风险评估机制:持续分析云计算平台的资产清单、安全脆弱性、安全威胁以及安全措施,对云计算平台安全进行定量定性风险分析,掌握云计算平台的风险
- 云计算内部安全防护机制:针对云计算平台的运维安全风险,采用身份强认证、安全操作审计、远程安全登录等措施保护运维操作的安全性。云计算平台通常采用多因素认证、堡垒机、SSH、VPN等安全措施,强化运维操作的安全保护
- 云计算网络安全监测机制:通过收集云计算平台的网络流量、系统日志、安全漏洞等数据,分析云计算平台的网络安全状况及演变趋势
- 云计算应急响应机制:针对云计算平台潜在的网络安全事件,事先制定应急响应预案。常见的安全事件有端口扫描、暴力破解、恶意代码、拒绝服务、数据泄露、漏洞利用和DNS劫持等。对于云计算平台来说,重点是保障平台的可用性及数据安全,能够抵御拒绝服务攻击,防止云租户的数据丢失和泄露
- 云计算容灾备份机制:云计算平台承载大量应用,其业务的安全持续运营至关重要。安全事件导致停机事件时有报道。为此,建立异构云容灾备份机制非常重要,工业界常采用“两地三中心”的容灾机制,其中
- 两地:是指同城、异地
- 三中心:是指生产中心、同城容灾中心、异地容灾中心
个人导航:http://xqnav.top/
2988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
