摘要:针对等保2.0的新变化,结合下一代云计算的发展趋势,指出云计算环境下开展安全工作的优势及挑战。本文着重分析IaaS、PaaS和SaaS三种服务模式面临的主要威胁,详细阐述了云平台风险评估流程,该流程在传统风险评估的基础上,融入云平台特有的资产、威胁和脆弱性,能够很好地覆盖云平台存在的风险。最后,对典型的几种评估方法提出相关建议。

关键词:信息安全 云计算 风险评估

1、云计算机发展趋势及其安全挑战

1.1 云计算发展趋势

近几年虚拟化、容器、边缘计算、人工智能和区块链得到快速发展,混合云、异构云、边缘云等逐渐兴起。通过融合这些新兴技术,云平台将变得更富弹性、更绿色、更可信和可靠。对于云服务来说,随取随用、按需使用、简单易用将是云应用的未来。

1.2 云安全优势及挑战

计算环境:相比于传统计算中心,云计算平台的结构更加一致。同构的设施平台能更好地支持安全管理活动的自动化。同时,安全响应活动也可从一致、同构的云基础设施获益,如容错管理、系统维护。但云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户在缺乏必要的知情权的情况下,难以了解和掌握云服务商安全措施的实施情况和运行状态,不能有效监管云服务商的内部人员对租户数据的非授权访问和使用。

资源可用性:基于云计算环境的冗余能力、可拓展性可以更好地应对弹性伸缩需求或分布式拒绝服务攻击。然而可用性高意味着需要投入更多的网络和计算资源,这也就暴露了更多的风险面。

备份和恢复:云提供商的备份和恢复策略、规程可能优于用户机构并具备更高的鲁棒性,能够从严重事件中快速恢复。然而当一个资源存在多个副本时,各个副本内容的一致性和剩余信息保护方面难以得到保证。

移动端点:云解决方案的体系结构扩展到了位于服务端点的云客户端处,为移动办公人员带来更高的生产效率。需要注意的是,移动设备需要进行正确的设置和保护,包括限制在其上可以保留的数据类型。

数据集中:公有云环境下的数据维护和处理减少了移动工作人员使用便携式计算机、嵌入式设备、移动存储进行传播的风险以及因设备失窃、丢失带来的风险。但云服务商如果没有采取足够的安全措施,将面临数据泄漏和被篡改的安全风险。

1.3 等保2.0中的新变化

与等保1.0的标准体系相比,等保2.0在适用性、时效性、易用性、可操作性上得到进一步扩充和完善,以适应云计算、物联网、工业控制系统等新技术的发展。表1给出了等保2.0发生的重要变化。

表1 等保1.0与等保2.0的区别对比表

安全内涵

等级保护对象

内容

等保1.0

信息系统安全

信息安全等级保护工作直接作用的具体信息和信息系统

安全要求

等保2.0

网络安全

包括基础信息网络、云计算平台/系统、物联网、工业控制系统和采用移动互联技术的系统等

安全通用要求和安全扩展要求

2、云计算面临的主要威胁

2.1 IaaS面临的主要威胁

采用IaaS服务时,客户可以用镜像模板来创建虚拟机实例,并在虚拟机上部署自己的应用软件。客户不需要负责底层的硬件资源和虚拟化软件。因此除了硬件层和虚拟化软件层的安全措施由云服务商负责实施外,位于其他层的安全措施由客户负责实施,需要对这些安全措施实施有效监管。

2.1.1 镜像篡改

通过镜像开通云主机,即可获得一致的系统环境或软件,从而避免复杂的配置过程,但如果该镜像被恶意篡改,如被植入病毒,那么后续基于此镜像创建的云主机都会遭到破坏。

2.1.2 虚拟机隔离

云计算平台是一个多租户共享的平台,如果隔离机制控制不足,具有利害关系的租户的虚拟机之间可能相互干扰,甚至存在越权访问。图1中使用了虚拟防火墙来隔离虚机,若防火墙失效或存在缺陷,有可能给租户造成损失。

图1 虚拟机隔离示意图

2.1.3 资源迁移

在虚拟环境中,虚拟机的迁移很常见。迁移虚拟机时,vSwitch(虚拟交换机)中对VM的引流策略以及相关的安全策略要能够自动迁移到新主机,确保VM安全防护不因迁移而发生变化,如图2所示。在虚拟资源迁移过程中,还需要采取校验或密码技术等措施保证虚拟资源数据的完整性,并在检测到完整性受到破坏时也应该采取必要的恢复措施。

图2 资源迁移示意图

2.1.4 虚拟机逃逸

云计算底层是虚拟化系统,虚拟机的安全防护几乎关乎整个云平台安全的稳定运行。攻击者可以利用虚拟化平台漏洞突破虚拟机自身的限制,获取宿主机操作系统的最高权限,最后感染宿主机或者在宿主机上运行恶意软件,如图3所示。

图3 虚拟机逃逸示意图

2.1.5 主机越权

提供虚拟资源的主机上通常存在管理组件,如Hypervisor,这些组件可以说是当前虚拟化的核心。由于它们可以协调各种硬件资源的分配,因此它的权限非常之大。云服务商也可能会使用其他云服务商的服务,使用第三方的功能、性能组件,造成云计算平台复杂且动态变化。随着复杂性的增加,云计算平台实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。如果管理组件或主机操作系统被攻击,则运行在虚拟化组件之上的所有虚拟资源都会被波及。

2.2 PaaS面临的主要威胁

利用PaaS来开发和部署自己的软件,需要对应用的运行环境进行配置,控制自己部署的应用。客户需要对自己部署、自己使用的系统和应用负责,制定相应的安全策略,实施必要的安全措施。

2.2.1 镜像篡改

目前Docker Hub上的镜像很多都存在安全漏洞,包含广泛使用的mysql、redis、nginx镜像等,而很多企业都是基于这些镜像构造自己的镜像库。可以说目前正在被企业使用的镜像中很多是存在安全问题的。

2.2.2 容器逃逸

容器云平台目前基本以Docker 容器和kubernetes 容器编排为主。由于Docker 容器与宿主机共享内核、文件系统等资源,Docker 本身的隔离性不如虚拟机主机完善,因此如果Docker 自身出现漏洞,可能会波及问题容器所在的宿主机,由于Docker 容器所在的宿主机上可能存在当前租户的其他容器,也可能存在其他租户的容器,所以问题最终可能会影响到其他的容器。

2.3 SaaS面临的主要威胁

SaaS是采用先进技术上云的最好途径,它消除了企业购买、构建和维护基础设施和应用程序的需要。但随着SaaS的日益普遍,关于SaaS的安全问题也随之而来。以下几个方面是saas主要的安全问题。

2.3.1 存储数据泄露

在SaaS模式,企业数据存储在SaaS供应商的数据中心。因此,SaaS企业应采取措施保障数据安全,防止由于应用程序漏洞或者恶意特权用户泄漏敏感信息。在一个多租户SaaS的部署中,多个企业的数据可能会保存在相同的存储位置,也会出现数据泄露问题。

2.3.2 传输数据泄露

在SaaS的部署模式中,企业和SaaS提供商之间的数据流在传输过程中必须得到保护,以防止敏感信息外泄。

2.3.3 鉴别信息泄露

一个SaaS供应商可以提供完整的IAM和登录服务。在这种情况下,用户的信息、密码等,都保留在SaaS供应商的网站,因此应该安全地存储和处理。

3、云计算平台风险评估

为了确保客户实施的安全措施安全有效,客户可自行或委托第三方评估机构对自己实施的安全策略进行评估。

目前,国内外多个标准化组织和机构都在开展云计算安全标准化工作,除此之外,各国也开展了云安全管理和合规方面的工作。下图给出了国内外在云安全标准方面的成果。

图4 云计算标准发布

3.2 云平台风险评估

3.3.2 评估框架

云计算平台安全风险评估关注云计算平台业务层面的风险,其评估对象为云服务业务流程涉及的组件及设备,评估范围覆盖了云服务业务在信息系统层面的数据流、数据处理活动及其关联关系。云平台风险评估的框架如下图5所示。

图5 云平台风险评估模型

评估过程覆盖了基础设施、虚拟化控制、管理平台和安全防护等多种类型的对象,针对多种指标进行综合风险分析,并且在监管、业务和客户的要求下做出相应的调整。

a.资产识别

云平台安全风险评估不仅要识别云服务商自身资产,还需要识别云服务客户业务数据资产,识别过程中,宜统计所有的信息资产,但可以根据云平台的安全目标确定资产识别的细度。下表2是云平台安全风险评估中需要重点考虑的客户资产[3]。

表2 云计算平台典型客户资产列表

b.威胁识别

首先,云计算平台是一个共享的平台,在云计算平台上传送恶意程序、垃圾数据等,比在传统的系统上更具有危害性:其传播速度更快、传播范围更广,会产生更大、更严重的社会影响。其次,云计算平台比以往任何一种计算机系统的规模都要大得多,其平均使用成本更低、部署时间更短,很容易被心怀恶意的人在短时间内大规模采购并部署,作为僵尸网络、拒绝服务攻击等的平台,这将会产生更加严重的后果与影响。同时,由于云计算平台的分布式结构,攻击者在实施攻击后更容易逃避安全监管,这为日后的追责带来了困难。

c.脆弱性识别

脆弱性识别的依据需要结合国内外安全标准、行业规范、应用流程的安全要求,主要从技术和管理两个方面进行,表3给出了云平台典型的脆弱性[3]。技术脆弱性涉及网络、人员、服务和数据等各个层面的安全问题。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,宜从组织云服务安全策略的角度考虑、判断资产的脆弱性及其严重程度。

表3 云计算平台典型脆弱性列表

d.已有安全措施的确认

可按照服务模式、安全需求、运行监管、灾难恢复能力和合同等方面来确认已有的安全防护手段,如下图所示。

图6 云计算已有控制措施识别框架

3.3.3 云安全评估方法的特殊性

在对云平台开展风险评估工作时,需要结合多种评估方法,比如配置检查、漏洞扫描,但云平台引入了更多的有价值的资源,且与租户存在服务水平约定,所以一些评估方法要结合云计算的特征做出调整,下图展示了四种常见评估方法应该涉及的内容。

图7 云平台评估方法

a.问卷调查

调查问卷是提供一套关于管理和操作控制的问题表格,供系统技术或管理人员填写。问卷应该包括组织的业务战略、安全需求、管理制度、系统和数据的敏感性、系统规模和结构等方面的内容。

b.顾问访谈

现场访谈是由评估人员到现场访谈系统技术或管理人员并收集系统在物理、环境和操作方面的信息。访谈内容至少应该包括:是否有数据存储完整性检测的设计;是否有清除数据副本的手段和措施;询问对持续大流量攻击进行识别、报警和阻断的能力,是否有专门的设备对网络入侵进行防范;询问虚拟机之间、虚拟机与宿主机之间隔离的手段;退出云计算服务或变更云服务商的初步方案,对客户的相关人员进行操作和安全培训的方案。

c.安全渗透测试

由于基础设施的影响,SaaS环境可能不允许进行渗透测试,在PaaS、IaaS中允许进行云渗透测试,但需要一定的协调。值得注意的是,合同中的SLA将决定应该允许何种类型的测试,以及多久进行一次测试。

d.安全漏洞扫描

云计算具备按需自助服务、无处不在的网络接入、资源池、敏捷的弹性和可度量的服务这五个特征,云平台漏洞扫描也可以按照这五个方面来进行[2]。

未经授权的管理界面访问:按需自助服务云计算特性需要一个管理界面,可以向云服务的用户开放访问。这样,未经授权的管理界面访问对于云计算系统来说就算得上是一个具有特别相关性的漏洞,可能发生未经授权的访问的概率要远远高于传统的系统,在那些系统中管理功能只有少数管理员能够访问。

互联网协议漏洞无处不在的网络接入云计算特性意味着云服务是通过使用标准协议的网络获得访问。在大多数情况下,这个网络即互联网,必须被看作是不可信的。这样一来,互联网协议漏洞也就和云计算发生了关系,比如导致中间人攻击的漏洞。

数据恢复漏洞关于资源池和弹性的云特性意味着分配给一个用户的资源将有可能在稍后的时间被重新分配到不同的用户。从而,对于内存或存储资源来说,有可能恢复出前面用户写入的数据。

逃避计量和计费:可度量的服务云特性意味着,任何云服务都在某一个适合服务类型的抽象层次(如存储,处理能力以及活跃帐户)上具备计量能力。计量数据被用来优化服务交付以及计费。有关漏洞包括操纵计量和计费数据,以及逃避计费。

e.安全配置检查

为了及时发现云平台配置风险,云平台配置检查可以从身份认证、网络访问控制、数据安全、日志审计、基础安全防护五个维度进行安全配置的检测,相关检查项[4]可参考表4。

表4 云平台安全配置核查表

4、结束语

本文在对云计算发展趋势及等保2.0的新要求进行分析的基础上,结合三种云计算服务模式的特点和传统的信息安全风险评估方法,对如何在云计算模式下进行信息安全风险评估进行了阐述,详细论述了云平台安全风险评估中对资产、威胁和脆弱性进行评估时,要考虑到的一些指标。相信随着云计算的深入发展,国内云计算安全标准化工作的推进,各种安全实践会不断成熟,将进一步丰富云计算平台及云服务风险评估理论。

参考文献

[1] GB/T31167-2014 信息安全技术 云计算服务安全指南

[2] E.Stöcker,T.Walloschek, B.Grobauer, "Understanding Cloud ComputingVulnerabilities,"https://www.infoq.com/articles/ieee-cloud-computing-vulnerabilities/, 2011

[3] DB44/T2010-2017 云计算平台信息安全风险评估指南

[4] 阿里云, 云平台配置检查. https://help.aliyun.com/document_detail/101898.html, 2019

作者介绍

易发波,1986.11,男,汉,湖北恩施人,咨询服务顾问,2016年6月毕业于电子科技大学计算机系统结构专业,硕士,目前从事云计算安全咨询工作,在计算和网络虚拟化方面有丰富的安全防护设计及风险识别经验,当前主要研究云计算平台安全防护检测方法。

声明:本文来自工控安全应急保障中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。