云安全風險識別

云安全聯(lián)盟CSA（Cloud Security Alliance）是在2009年的RSA大會上宣布成立的一個非盈利性組織。自成立后，CSA迅速獲得了業(yè)界的廣泛認可。云安全聯(lián)盟致力于在云計算環(huán)境下提供最佳的安全方案。自其成立起，云安全聯(lián)盟發(fā)布的云安全指南及其開發(fā)成為云計算領(lǐng)域令人矚目的安全活動。

現(xiàn)實中的各種云產(chǎn)品,在服務(wù)模型、部署模型、資源物理位置、管理和所有者屬性等方面呈現(xiàn)出不同的形態(tài)和消費模式,從而具有不同的安全風險特征和安全控制職責和范圍。因此,需要從安全控制的角度建立云計算的參考模型,描述不同屬性組合的云服務(wù)架構(gòu),并實現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射,為風險識別、安全控制和決策提供依據(jù)。

根據(jù)資源或服務(wù)的管理權(quán)、所有權(quán)和資源物理位置的不同,CSA也給出了不同的云部署模型的可能實現(xiàn)方式及其不同部署模式下共享云服務(wù)的消費者之間的信任關(guān)系（如圖1）。

圖1顯示,對于私有云和社區(qū)云,有多種實現(xiàn)方式,可以和公共云一樣,由第三方擁有和管理并提供場外服務(wù)(off-premises),所不同的是共享云服務(wù)的消費者群體之間具有信任關(guān)系,局限于組織內(nèi)部和可信任的群體之間。

CSA發(fā)布的最新版本《云計算關(guān)鍵領(lǐng)域安全指南》,主要從攻擊者角度歸納云計算環(huán)境可能面臨的主要威脅,提出12個關(guān)鍵安全關(guān)注域,羅列出了最為常見、危害程度最大的7個威脅,如表1所示。

云計算風險管控平臺

云計算風險管控平臺希望建設(shè)的是一個綜合管理平臺，這個平臺不僅需要對傳統(tǒng)網(wǎng)絡(luò)廠商、安全廠商、服務(wù)器廠商、以及數(shù)據(jù)庫、中間件等廠商進行管理，更重要的是這個管控平臺必須適應(yīng)虛擬化的趨勢。不但可以對網(wǎng)絡(luò)的監(jiān)控、安全事件的采集分析、運維工作流程等統(tǒng)一納入到該平臺中，每個子系統(tǒng)負責不同的方面，除在各個方面提供更為強大的功能外，各子系統(tǒng)又要無縫整合，數(shù)據(jù)可以在整個系統(tǒng)中進行流轉(zhuǎn)，減少不必要的人工操作，以提高工作效率和運維保障水平。并且可以支持平臺的虛擬化， 以及虛擬化服務(wù)的支持。

表1 云環(huán)境七大安全威脅

首先，是被管IT資源的多樣性問題，這些IT資源包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機、服務(wù)器、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等。各類資源都有獨立的管理工具，操作不方便，信息無法共享。例如，一些傳統(tǒng)的綜合網(wǎng)絡(luò)管理系統(tǒng)可以統(tǒng)一管理網(wǎng)絡(luò)設(shè)備、主機設(shè)備，但是在安全管理方面卻相對薄弱，而一般的安全管理系統(tǒng)又缺乏基礎(chǔ)的網(wǎng)絡(luò)監(jiān)控和管理，實用效果不太理想。

其次，對于客戶而言，管理IT資源本身不是目標，核心需求是要保障業(yè)務(wù)和服務(wù)的可用性、連續(xù)性以及重要信息系統(tǒng)的安全性，因為應(yīng)用和業(yè)務(wù)是企業(yè)和組織的生命線。這就要求客戶建立一套以應(yīng)用或業(yè)務(wù)為核心的監(jiān)控體系，從業(yè)務(wù)的角度去看待IT設(shè)施和服務(wù)的運行。

再次，未來的網(wǎng)絡(luò)發(fā)展趨勢必然是網(wǎng)絡(luò)與安全密不可分，很多網(wǎng)絡(luò)故障都是安全問題引發(fā)的，而大部分安全問題都是通過網(wǎng)絡(luò)傳播的。因此，只有將網(wǎng)絡(luò)管理、安全管理、虛擬化管理有機結(jié)合，才能滿足云計算平臺的實際需要。

漏洞及基線掃描

漏洞是安全界永恒的話題，微軟、Adobe、IBM、Apple無不被漏洞所困擾，隨著云計算產(chǎn)業(yè)的發(fā)展，目前漏洞的利用技術(shù)迎來了更新的問題。

● 漏洞利用技術(shù)的發(fā)展:隨著技術(shù)的不斷進步，漏洞的發(fā)掘水平和速度一直在提高，而漏洞的利用技術(shù)也在不斷發(fā)展。

● 全球漏洞數(shù)量在持續(xù)快速增加。

● 應(yīng)用軟件漏洞增勢明顯。

● 從發(fā)現(xiàn)漏洞到攻擊程序出現(xiàn)的時間在不斷縮短。

● 漏洞可以被購買。

綜上所述，漏洞數(shù)量在快速增加，漏洞種類越來越多（不僅是操作系統(tǒng)，還有各種應(yīng)用系統(tǒng)和軟件），受到漏洞影響的信息系統(tǒng)也越來越容易遭受攻擊——我們正在遭受的漏洞危機在日益加劇。

漏洞掃描的需求：我們對漏洞掃描發(fā)現(xiàn)修復(fù)的流程也應(yīng)該隨著漏洞利用技術(shù)的發(fā)展而發(fā)展，特別是對于應(yīng)用漏洞的修復(fù)更應(yīng)該化被動為主動。選擇有針對性的漏洞掃描修復(fù)工具。

威脅檢測

隨著云計算平臺業(yè)務(wù)的快速發(fā)展，在此過程中如果對于眾多的第三方建設(shè)與運維人員不加以嚴格管理的話，云計算平臺的建設(shè)將會出現(xiàn)新的漏洞與風險。常見的人員安全風險介紹如下。

1.內(nèi)部人員操作的安全隱患

因為戰(zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進行嚴格的審計是企業(yè)面臨的一個關(guān)鍵問題。嚴格的規(guī)章制度只能約束一部分人的行為，只有通過嚴格的權(quán)限控制和操作審計才能確保安全管理制度的有效執(zhí)行。

2.第三方維護人員安全隱患

無論是內(nèi)部運維人員還是第三方代維人員，基于傳統(tǒng)的維護方式，都是直接采用系統(tǒng)賬號完成系統(tǒng)級別的認證即可進行維護操作。隨著系統(tǒng)的不斷龐大，運維人員與系統(tǒng)賬號之間的交叉關(guān)系越來越復(fù)雜，一個賬號多個人同時使用，是多對一的關(guān)系，賬號不具有唯一性，系統(tǒng)賬號的密碼策略很難執(zhí)行，密碼修改要通知所有知道這個賬號的人，如果有人離職或部門調(diào)動，密碼需要立即修改，如果密碼泄露無法追查，如果有誤操作或者惡意操作，無法追查到責任人。

3.最高權(quán)限濫用風險

因為種種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴格的身份認證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號（比如DBA賬號）共用等問題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓數(shù)據(jù)安全變得更加脆弱，也讓責任劃分和威脅追蹤變得更加困難。

4.系統(tǒng)共享賬號安全隱患

無論是內(nèi)部運維人員還是第三方代維人員，基于傳統(tǒng)的維護方式，都是直接采用系統(tǒng)賬號完成系統(tǒng)級別的認證即可進行維護操作。隨著系統(tǒng)的不斷龐大，運維人員與系統(tǒng)賬號之間的交叉關(guān)系越來越復(fù)雜，一個賬號多個人同時使用，是多對一的關(guān)系，賬號不具有唯一性，系統(tǒng)賬號的密碼策略很難執(zhí)行，密碼修改要通知所有知道這個賬號的人，如果有人離職或部門調(diào)動，密碼需要立即修改，如果密碼泄露無法追查，如果有誤操作或者惡意操作，無法追查到責任人。

5.違規(guī)行為無法控制的風險

網(wǎng)絡(luò)管理員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的網(wǎng)絡(luò)訪問行為，但是除了在造成惡性后果后追查責任人，沒有更好的方式來限制員工的合規(guī)操作。而事后追查，只能是亡羊補牢，損失已經(jīng)造成。

安全接入

目前隨著業(yè)務(wù)的不斷發(fā)展，業(yè)務(wù)系統(tǒng)將變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。根據(jù)FBI和CSI對484家公司進行的網(wǎng)絡(luò)安全專項調(diào)查結(jié)果顯示，超過70%的安全威脅來自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄露導(dǎo)致了6056.5萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另據(jù)中國國家信息安全測評中心調(diào)查，信息安全的現(xiàn)實威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

網(wǎng)絡(luò)管理員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的網(wǎng)絡(luò)訪問行為，但是除了在造成惡性后果后追查責任人，沒有更好的方式來限制員工的合規(guī)操作。而事后追查，只能是亡羊補牢，損失已經(jīng)造成。

對于內(nèi)部員工或者第三方的建設(shè)與運維人員進行有效的審計與管理，是我們本次安全系統(tǒng)建設(shè)的另一個重要需求。