背景
随着中小企业上云速度的加快,金融行业出于自身成本、运维效率和资源弹性伸缩的考虑,也准备或逐步向云上的迁移。如果云服务提供商(云SP)不能很好地消除银行客户的顾虑并解决其痛点,双方将无法建立足够的信任,可能会阻碍中小型银行上云的脚步。
相关研究
国内的云服务商呈现出寡头垄断的态势,一是以阿里和腾讯为代表的互联网公司所建设的公有云和金融云,二是各商业银行所建设的金融私有云或行业云。
阿里所建设的公有云规模在国内处于领先地位,同时也提供金融云服务。云SP所提供的安全服务类型虽多,但在非开源软件的隐蔽通道监测、在租户的网络流量镜像防护、在多租户共享的计算或存储资源数据保护等方面,容易引发租户的安全顾虑。
各大银行为代表的金融云,普遍包含了x86和Power架构的融合云环境。其在规模和所提供的服务类别上虽略显单薄,但更针对于金融行业的需求。
保障安全性需要涉及众多的领域,因而使安全市场呈现出碎片化的特点,造成安全服务涵盖的范围广、种类多。很多云平台上的安全服务主要针对大众的共性安全需求而建设,比如DDoS和WAF,然而对于金融客户(特别是银行客户)的特殊顾虑和需求,云SP并未完全覆盖。
金融客户的顾虑
金融行业的业务数据都是真实公民的账务类数据,要严格防范泄露和篡改,对数据的机密性和完整性有最高的要求。如果上云,会有着更多安全方面的顾虑。金融客户的安全顾虑见表1。
金融行业的特殊需求
金融行业的特殊需求如下。
可问责性:应具备全面的操作记录,详细记录操作主体、所执行的动作、最终操作结果和时间。可根据事后的结果追责到动作的发起方。
真实性和不可否认性:所记录的内容需要客观存在,不能以伪造的身份凭证发起对客体的访问。主体对客体的访问、读写、变更一旦发生,主体无法否认所发生的行为。
数据的机密性和完整性分级:数据按照价值或所用的领域进行分级,只有相应权限的人员才可访问数据。
不同安全等级的网络要分区并隔离:一般划分隔离网、外联网、业务网,还可根据等级保护级别再次划分网络区域,不同网络区域应存在硬件防护墙并启用不同的安全策略,防火墙应该异构。
广泛使用密码和加密设备:金融客户广泛使用加密、签名、验签等手段来保护数据和交易。往往用到专用的加密设备或秘钥管理设备。
两类重要主体
在开展针对金融客户的服务设计之前,需要先解决主体的身份标识问题,这是开展审计和可问责性的前提。主体是访问动作的发起方,客体是金融云上的各类资源。本文列举了两类重要的主体,分别是子用户和虚机。
1.子用户的IAAA
金融客户均有一定的规模,往往有自己的身份认证系统,为了不必在云SP的身份管理系统内重建一套账户,云SP应该允许租户侧的身份认证服务器作为主认证服务器。这样身份信息可保存在租户侧,子用户的鉴别由租户侧完成。但是每个子用户的操作权限(可以何种方式访问哪些资源)应与云SP同步,而资源的命名由云SP定义。
子用户的身份在租户侧鉴别后,租户侧的认证系统以发ticket的方式向云SP证明当前租户的身份和权限,由云SP开展访问控制。此种模式可有效解决两套身份认证系统所引起的数据不一致问题,并防范金融客户的组织信息泄露。
2.虚机的身份标识
虚机的身份可以分为网络标识和应用层标识。网络标识可通过IP和MAC地址。应用层的标识可通过用户名或数字证书。
(1)以MAC和IP作为虚机标识的前提条件。虚拟化环境下,IP和MAC是云SP可复用的资源,需要加以特殊的保护后才能作为身份标识。前提条件如下:虚机和物理机所发送的数据包的源MAC和源IP地址必须为本机绑定的地址;对于虚机和物理机,即便将网卡置于混杂模式,也只能收到目的MAC和IP地址为本机的数据包,以及部分广播数据包;一个虚拟网卡只能绑定一个MAC和IP,不能绑定多个;在同一个VPC内,不能存在重复的MAC和IP;同一租户的多个VPC内,不宜使用重复的IP。
(2)应用层的身份标识。应用层的通信往往使用用户名作为身份标识。此处的用户名是应用层审计的重要数据项,除了做到唯一,还应做到防伪。租户应该有自己的虚机命名规范,并建立用户名与虚机IP的函数关系。建议使用SSL数字证书作为应用层身份标识,并使用SSL/TLS来传输数据,最好启用双向认证。
3.虚机的访问控制
(1)带内端口的访问控制。对外开放的端口是网络环境下虚机的主要攻击面。虚机的管理端口、控制端口和后门端口是操纵虚机的重要通道。各类通道均要采取严格的访问控制,并追踪动作的发起方。管理端口是使用SSH或RDP等标准管理协议的端口,权限最大;控制端口只能使用虚机的部分功能,一般是通过API来调用或提供Web界面来使用部分功能,可类比于网络设备中的控制平面;后门端口一般是不被虚机管理者知道且被攻击者利用的端口,可全面管控系统。为了保障可追责性,需要完整记录哪个主体在何时登录了哪类端口以及相应的端口号;为了保障真实性,要确保不能使用伪造的身份登录系统;为了保障不可否认性,对重要端口的访问应使用秘钥对的方式。
管理端口要确保访问者(人、进程或者其他系统)身份的真实性,要禁用基于用户名和密码的方式登录,应通过秘钥对的方式登录。通过堡垒机来统一登录虚机,堡垒机内配置每个IP所对应的秘钥对。堡垒机具备完善的操作审计功能,这为可问责性奠定了基础。
控制端口访问源一般相应固定,主要来自于调用者或远程控制中心,可通过防火墙或安全组策略限制访问源的网络地址,以防范非授权访问。
对于后门端口,可以从预防和检测两个方面入手。默认拒绝管理、控制和业务端口之外端口的访问。另外通过分析租户内的网络流量,如分析TCP和UDP的连接信息,以检测到异常访问,从而发现后门端口。部分高级后门端口,复用周知端口,或者利用ICMP来传递数据,对于此类情况,可借助IDS来检测。
以上的访问控制措施,是为了对不同安全级别的端口采取相应级别的安全措施,从而减小虚机的受攻击面,提升整体的安全性。
(2)带外端口的访问控制。从hypervisor到虚机还存在一条带外控制通道,此通道不需IP和ssh协议即可访问。此通道一般由云SP控制,不暴露给租户。要防范此类访问,只能先控制宿主机的访问,防范从宿主机到虚机的访问。云租户应该尽量得到宿主机的完全控制权。
金融行业云的安全策略和服务设计
强身份标识、鉴别和访问控制是保障金融行业云安全的基础,有了这样的基础,云SP才可针对金融客户的顾虑和特性,设计解决其痛点的服务。
1.针对金融客户顾虑和需求的相应安全策略
针对金融客户的顾虑和特性,首先确定以下的相应安全策略,见表2。
2.安全策略相对应的安全服务
安全服务是安全策略的实现,是将同类型租户的共性需求提取出来,以减少不同组织的重复开发和建设,从而提高效率。
当今主流的云平台上,普遍提供了堡垒机、VPN、DdoS防护、WAF、漏洞扫描服务、主机安全服务,结合前面的分析,还需引入资产管理服务、账号系统对接服务、专用宿主机和物理隔离服务、VPC内流量输出服务、秘钥管理服务、便捷加密服务、数字证书签发和维护服务。比如对于“资产管理服务”,其可根据资产的价值对资产进行分类和组织,资产包括虚机、对象存储、数据资产等,允许用户对资产价值进行量化,从而为后期的风险评估奠定基础。需要说明的是,资产管理服务不是云SP所提供的Web管理控制台,两者的维度不同,前者关注的是价值和风险,后者关注的是各类资源的操作。
总结
金融行业不同于其它行业,对数据(客户的账务信息)的机密性、完整性、一致性、可问责性有着更高的要求。恒丰银行金融云平台已经在2017年1月按照等级保护云计算扩展要求(试行)标准通过了等保测评,在2017年建设完成的自适应安全防护体系获得了银监会信息科技风险管理课题成果奖及金融电子化年度科技创新突出贡献奖,在金融云同业安全实践中迈出坚实一步,但仍然需要更多的合作伙伴才能将云的功能、安全性和性能逐步完善,与同业合作不断优化金融云行业标准规范及最佳实践。
本文节选自《金融电子化》2018年2月刊
作者:恒丰银行科技部 李顺达 张爽
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。