企业应用云计算的场景越来越多,投资也越来越大。目前唯一能造成大型企业高层们在取舍云计算时犹豫的原因就是云计算的安全问题。然而,如何对即将或者正在使用的云计算进行安全评估乃至加固,大多数企业并没有概念,因此也很难在使用云计算获得效率和便利以及安全两个方面达成一致和共识。
基于此,本文针对云计算的风险类型采用经典的“CIA三性”,即机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)来进行界定,并针对性地提出相关的防御、检测、阻止措施,然后给出通过这些措施后仍然存在的剩余风险,以给企业的高层们提供云计算实践中的有益参考。
“C”:机密性(Confidentiality)风险
这些风险与隐私和信息控制相关的缺陷、威胁有关,假定你想以一种受控制的方式,使信息只对那些需要它的实体可用,而不暴露给未经授权的第三方。
1)数据泄漏、盗窃、曝光、转发
用户数据和其他类型的知识产权通过有意无意的方式造成的信息丢失。数据泄漏有四个主要的威胁中介:外界盗窃,内部蓄意破坏(包括未经授权的数据打印,复制或转发),授权用户无意滥用,还有不明确政策造成的错误。
防御:软件控制通过数据丢失防控(DLP)方案来防止不恰当的数据访问。避免将敏感、机密或个人识别(PII)的信息放在云中。
检测:使用水标记和带有监控软件的数据分类标签来追踪数据流。
阻止:在与那些指定了强制执行和保护数据隐私的服务提供商的合同协议中,使用清晰而有力的语言。
剩余风险:在云供应商的环境中,涉及到多个不可追踪的逻辑磁盘存储位置,以及将私有数据暴露给管理员的供应商管理访问问题相关的数据持久性问题。
2)探测、数据包检测、数据包重新发送
有意通过未经授权的网络截取来捕获信息,使用工具来截获网络包,或者重现网络交易和重发已传送的数据。
防御:通过使用加密文件的强大的加密技术(如PGP),以及在网络上的服务器之间进行的网络加密技术(如TLS,SSL,SFTP),来加密静态数据和传输的数据。对于提供链路层数据加密是云提供商进行优先考虑。
检测:目前,我们还不能很好地发现何时有人截获了你的数据;然而,IDS功能可以帮助识别那些可能指示未授权范围意图的网络上的异常行为。
阻止:将未授权访问的风险转移到使用特定合同的语言的服务供应商。
剩余风险:利用网络拓扑结构,网络缺陷,入侵服务器和网络设备,以及直接访问网络设备的方式,来从网络中盗取数据。
3)不恰当的管理员访问权限
使用特权访问权限等级的工作,通常保留给系统管理员,这些管理员对系统和系统可以访问的所有数据提供访问,以便在不需通过系统认证过程的情况下,来浏览数据和做出调整。管理员有绕过所有安全控制的权利,这可以用来故意或错误地损害私人数据。
防御:最小化每一个提供云服务功能的管理员的数量——服务器,网络和存储(最好是少于十个而多于五个管理员)。此外,还有确保执行一个彻底的背景审查来筛选服务提供商的全体人员。在雇佣一个云提供商或与之签署协议时,需要进行供应商的安全检查来确保他们的做法有效。
检测:按月或按季检查云提供商对他们内部基础设施的管理访问日志。
阻止:只选择那些可以证明是强健的系统,并且拥有希望认同客户条件的网络管理方法的云提供商。
剩余风险:由于管理员拥有全部的控制权限,他们肯能会有意或无意地滥用其访问权限,从而导致个人信息或服务可用性二者的折衷。
4)持久性存储
在一个数据不再被需要,或者已经被删除之后,数据可能仍然保留在磁盘上。数据可能被删除但一定不可能被覆盖,所以未授权的个人进行之后的数据恢复的风险性就提高了。
防御:当磁盘被更换或者重新分配时,坚持要求供应商持有抵御磁盘擦除管理的方案。无效磁盘应消磁或销毁,以防止数据泄露。
检测:你不能发现何时你的数据存储在一个已经脱机的磁盘上。
阻止:在选择供应商之前应建立磁盘擦除的方案,确保合同语言明确规定了这些要求。
剩余风险:数据在被删除很久之后,仍保留在物理介质上。
5)存储平台攻击
直接攻击SAN或存储基础设施,包括使用一个存储系统的管理控制,可以提供对私有数据的访问,并且是绕过建立在操作系统内部的控制设置,因为操作系统在回路的外面。
防御:确保提供商在他们的存储系统上,已经实现了强健的分区和基于角色的访问控制,并确保对供应商存储系统管理接口的访问不能通过用户网络来进行。
检测:为存储网络实现IDS,且按季检查存储系统访问控制日志。
阻止:确保云服务供应商具有强健的法律代理功能,并能够承诺查明和起诉攻击者。
剩余风险:数据可直接从SAN被盗,之后你也许能发现,也许一点儿也不会意识到。
6)数据误用
有权访问数据的人也有可能对这些数据做其它操作,包括不被允许执行的操作。比如,泄漏信息给竞争对手的员工,测试生产数据的开发者,以及从组织者私有网络的受控环境中取出数据,放入无保护的主环境的人。
防御:对员工而言,使用类似于私有数据网络的安全控制,如DLP,基于角色的访问控制,和干扰测试和开发数据。破坏发送电子邮件附件到外部地址的能力。
检测:使用水标记和带有监控软件的数据分类标签来追踪数据流。
阻止:使用为阻止人们从受控环境中传输数据到一个不受控环境的行为进行处罚和制裁的安全意识方案。
剩余风险:人们可以找到一些控制策略来把数据放到可能被盗窃或误用的未受控环境中。
7)骗局
非法(或欺骗性)获得未经授权访问的信息。欺诈行为可以是外人犯下的,但通常是由受信任的雇员犯下。
防御:采用审查和为减少对单一个体的依赖而进行充分分离的平衡。确保业务流程包括了审查管理和批准。
检测:对计算机系统访问和数据使用执行定期审计,特别要注意未经授权的访问。
阻止:确保对员工有一个合适的惩罚程序。对于服务提供商而言,通过合同的书面语言来转移风险。
剩余风险:欺诈行为可能导致重大的声誉和经济损失。
8)劫持
一个有效的计算机会话,有时也称为会话密钥——以获取对一个计算机系统上信息和服务的未授权访问的开发,尤其是对远程服务器访问进行用户验证的神奇的cookie的盗用。例如,用来维持许多网站上会话的HTTP Cookie可以通过使用中间计算机或访问受害者的计算机上保存的Cookie来盗取。如果攻击者能够窃取这个cookie ,攻击者可以像真正的用户一样对数据操作进行请求,获得对特权信息的访问或更改数据。如果这个cookie是一个永久性的Cookie,那么这种假冒行为可以持续相当长的一段时间。在这种情况下,通过双方传递密钥来维持的协议是脆弱的,尤其是当它没有被加密时。这同样适用于云环境的管理凭据,如果整个云环境是通过会话密钥来管理的,那么整个的环境可以被有效利用会话劫持攻击所占据。
防御:从那些采用强健的已被加密的准确会话密钥,来着重强调这种风险的服务提供商中查找坚实的身份管理的实现。作为客户,应使用良好的密钥管理流程和方案,密钥托管和密钥恢复方案,这样员工的离职并不会导致服务的不可管理。
检测:定期检查云资源的访问日志和它们的管理接口,以鉴定异常情况。
阻止:对阻止劫持者在积极的法律响应之外进行会话劫持,我们还不能采用有效措施来应对。
剩余风险:攻击者可能冒充的云服务的有效用户甚至可以使用管理凭据来锁定,并损坏企业整个的基础设施。