[[ENISA]]CSA云安全指南V4.0 D13 D14
D13 安全即服务
安全即服务(SecaaS)提供商提供安全作为云服务
需要符合标准
-
提供安全产品服务
-
其服务必须满足域1中提及的美国国家标准与技术研究员(NIS)的云计算基本特性
优势
-
云计算优势
-
人员配置和专业知识
-
智能共享
-
部署灵活
-
客户无感知
-
伸缩成本
问题
-
能见度不足
-
监管差异
-
处理监管数据
-
数据泄露
-
更换供应商
-
迁移到Scaas
提供的安全及服务分类
身份、授权和访问管理服务
-
策略执行点PEP-as-a-service
-
策略决策点PDP-as-a-service
-
策略接入点PAP-as-service
-
为实体提供身份服务
-
提供属性服务
-
提供信誉服务
云安全中大量使用 联合身份代理fedrated identity brokers。联合身份代理在组织内部不同服务间建立 IAM,让他们基于web进行 单点登录SSO。
强身份验证服务
组织身份提供者的主机目录服务器
云访问安全代理(CASB,又称云安全网关)
此类产品拦截直接连接或通过 API 连接到云服务的通信,以便监视活动、执行策略、以及 检测和/或防止安全问题。
根据组织现在讨论的“CASB”,该术语有时也用于包括联合身份代理。
WEB安全网关
应用程序授权管理可以为 Web 应用程序提供更 多级别的细粒度和上下文的安全执行机制
电子邮件安全
避免钓鱼,恶意附件,垃圾邮件
安全评估
分类
-
在云中部署的资产的传统安全/漏洞评估(例如虚拟机/实例的补丁和漏洞)或本地化部署。
-
应用安全评估,包括 SAST、DAST 和 RASP 的管理
DAST:动态应用程序安全测试(Dynamic Application Security Testing)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该 Web 应用是否易受攻击。
SAST:静态应用程序安全测试(Static Application Security Testing)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。
IAST:交互式应用程序安全测试(Interactive Application Security Testing)是 2012 年 Gartner 公司提出的一种新的应用程序安全测试方案,通过代理、VPN 或者在服务端部署 Agent 程序,收集、监控 Web 应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST 相当于是 DAST 和 SAST 结合的一种互相关联运行时安全检测技术。
RASP(Runtime application self-protection)运行时应用自我保护。
一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈 - 安全牛 (aqniu.com)
Rasp 技术介绍与实现 (seebug.org)
-
通过 API 直接与云服务连接的云平台评估工具,不仅可以评估部署在云中的资产,还可以评估云配置。
WEB应用程序防火墙WAF
入侵检测/防御(IDS/IPS)
安全事件与时间管理(SIEM)
通过云收集而不是客户
加密和密钥管理
业务连续性和灾难恢复
安全管理
终端保护、代理管理、网络安全、移动设备管理
分布式拒绝服务保护
特别注意处理受监管的数据,如个人身份信息保护PII
D14 相关技术
依赖云
大数据
大数据包括用于解决传统数据处理工具无法处理的超大数据集的一组技术,它不是任何单 一的技术,而通常指的是分布式的集合、存储和数据处理框架
Gartner 将其定义为:“大数据是需要新处理模式才能具有更强决策力、洞察发现力和流程优 化能力来适应海量、高增长率和多样化的信息资产。
特点
-
高海量化:记录或属性的数据体量非常大
-
高快速化:数据的快速生成和处理,例如实时数据或流数据
-
高多样性:结构化,半结构化或非结构化数据
组成部分
-
分布式数据收集:用于摄取大量数据机制,通常是流媒体性质
-
分布式存储:google文件系统、Hadoop分布式文件系统或nosql数据库
-
分布式处理:用于分析单个源处理无法处理的、大规模且快速变化的数据集,且拥有分布式处理作业能力的工具,MapReduce,spark
物联网
举例
-
供应链的数字追踪
-
实体物流的数字追踪
-
市场、零售和客户关系的管理
-
为员工或客户提供相关的健康生活
安全问题
-
数据收集和清理安全
-
设备注册,身份验证和授权
-
从设备到云服务基础设施的链接的API安全
-
加密通信
-
自适应修补和更新设备
移动设备
-
设备注册,身份验证
-
应用程序api
无服务计算
应用
对象存储
云负载平衡器
云数据库
机器学习
消息队列
通知服务
代码执行环境(这些通常是受限制的容器,用户可以在其中运行上传的应用程序代码。)
api 网关
web 服务器
关键问题
无服务器给云服务提供商带来了更高的安全负担。选择好您的云服务提供商并理解好 安全性 SLA 和能力是非常重要的。
使用无服务器的云用户将无法访问常用的监视和日志记录级别,例如服务器或网络日志。应用程序需要集成更多的日志记录,云服务提供商应该提供必要的日志以满足核心安全和合规性需求。
尽管提供者的服务可以通过认证或测试来满足不同的合规性
需求不一定是每个服务都能匹配每个潜在的规则。提供者需要保持最新的合规性映射, 并且客户需要确保他们只在他们的合规范围内使用服务。
由于这是集成和使用无服务器能力的唯一方法,所以对云服务提供商的管理层的访问 将会非常高。
无服务器可以显著减少攻击的表面和路径,集成无服务器组件可能是在攻击链中断开 链接的一种很好的方式,即使整个应用程序堆栈不是没有服务器的。
任何漏洞评估或其他安全测试都必须符合提供者的服务条款。云消费者可能不再有能力直接测试应用程序,或者必须用更少的范围进行测试,因为提供者的基础架构现在 已经承载了所有的东西,并且不能区分合法的测试和攻击。
事件响应可能也很复杂,并且肯定需要在过程和工具上进行更改,以管理基于服务器的事件