風(fēng)險(xiǎn)識(shí)別與管控策略

云安全風(fēng)險(xiǎn)識(shí)別

云安全聯(lián)盟CSA（Cloud Security Alliance）是在2009年的RSA大會(huì)上宣布成立的一個(gè)非盈利性組織。自成立后，CSA迅速獲得了業(yè)界的廣泛認(rèn)可。云安全聯(lián)盟致力于在云計(jì)算環(huán)境下提供最佳的安全方案。自其成立起，云安全聯(lián)盟發(fā)布的云安全指南及其開(kāi)發(fā)成為云計(jì)算領(lǐng)域令人矚目的安全活動(dòng)。

現(xiàn)實(shí)中的各種云產(chǎn)品,在服務(wù)模型、部署模型、資源物理位置、管理和所有者屬性等方面呈現(xiàn)出不同的形態(tài)和消費(fèi)模式,從而具有不同的安全風(fēng)險(xiǎn)特征和安全控制職責(zé)和范圍。因此,需要從安全控制的角度建立云計(jì)算的參考模型,描述不同屬性組合的云服務(wù)架構(gòu),并實(shí)現(xiàn)云服務(wù)架構(gòu)到安全架構(gòu)之間的映射,為風(fēng)險(xiǎn)識(shí)別、安全控制和決策提供依據(jù)。

根據(jù)資源或服務(wù)的管理權(quán)、所有權(quán)和資源物理位置的不同,CSA也給出了不同的云部署模型的可能實(shí)現(xiàn)方式及其不同部署模式下共享云服務(wù)的消費(fèi)者之間的信任關(guān)系（如圖1）。

圖1顯示,對(duì)于私有云和社區(qū)云,有多種實(shí)現(xiàn)方式,可以和公共云一樣,由第三方擁有和管理并提供場(chǎng)外服務(wù)(off-premises),所不同的是共享云服務(wù)的消費(fèi)者群體之間具有信任關(guān)系,局限于組織內(nèi)部和可信任的群體之間。

CSA發(fā)布的最新版本《云計(jì)算關(guān)鍵領(lǐng)域安全指南》,主要從攻擊者角度歸納云計(jì)算環(huán)境可能面臨的主要威脅,提出12個(gè)關(guān)鍵安全關(guān)注域,羅列出了最為常見(jiàn)、危害程度最大的7個(gè)威脅,如表1所示。

云計(jì)算風(fēng)險(xiǎn)管控平臺(tái)

云計(jì)算風(fēng)險(xiǎn)管控平臺(tái)希望建設(shè)的是一個(gè)綜合管理平臺(tái)，這個(gè)平臺(tái)不僅需要對(duì)傳統(tǒng)網(wǎng)絡(luò)廠商、安全廠商、服務(wù)器廠商、以及數(shù)據(jù)庫(kù)、中間件等廠商進(jìn)行管理，更重要的是這個(gè)管控平臺(tái)必須適應(yīng)虛擬化的趨勢(shì)。不但可以對(duì)網(wǎng)絡(luò)的監(jiān)控、安全事件的采集分析、運(yùn)維工作流程等統(tǒng)一納入到該平臺(tái)中，每個(gè)子系統(tǒng)負(fù)責(zé)不同的方面，除在各個(gè)方面提供更為強(qiáng)大的功能外，各子系統(tǒng)又要無(wú)縫整合，數(shù)據(jù)可以在整個(gè)系統(tǒng)中進(jìn)行流轉(zhuǎn)，減少不必要的人工操作，以提高工作效率和運(yùn)維保障水平。并且可以支持平臺(tái)的虛擬化， 以及虛擬化服務(wù)的支持。

表1 云環(huán)境七大安全威脅

首先，是被管IT資源的多樣性問(wèn)題，這些IT資源包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)等。各類資源都有獨(dú)立的管理工具，操作不方便，信息無(wú)法共享。例如，一些傳統(tǒng)的綜合網(wǎng)絡(luò)管理系統(tǒng)可以統(tǒng)一管理網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備，但是在安全管理方面卻相對(duì)薄弱，而一般的安全管理系統(tǒng)又缺乏基礎(chǔ)的網(wǎng)絡(luò)監(jiān)控和管理，實(shí)用效果不太理想。

其次，對(duì)于客戶而言，管理IT資源本身不是目標(biāo)，核心需求是要保障業(yè)務(wù)和服務(wù)的可用性、連續(xù)性以及重要信息系統(tǒng)的安全性，因?yàn)閼?yīng)用和業(yè)務(wù)是企業(yè)和組織的生命線。這就要求客戶建立一套以應(yīng)用或業(yè)務(wù)為核心的監(jiān)控體系，從業(yè)務(wù)的角度去看待IT設(shè)施和服務(wù)的運(yùn)行。

再次，未來(lái)的網(wǎng)絡(luò)發(fā)展趨勢(shì)必然是網(wǎng)絡(luò)與安全密不可分，很多網(wǎng)絡(luò)故障都是安全問(wèn)題引發(fā)的，而大部分安全問(wèn)題都是通過(guò)網(wǎng)絡(luò)傳播的。因此，只有將網(wǎng)絡(luò)管理、安全管理、虛擬化管理有機(jī)結(jié)合，才能滿足云計(jì)算平臺(tái)的實(shí)際需要。

漏洞及基線掃描

漏洞是安全界永恒的話題，微軟、Adobe、IBM、Apple無(wú)不被漏洞所困擾，隨著云計(jì)算產(chǎn)業(yè)的發(fā)展，目前漏洞的利用技術(shù)迎來(lái)了更新的問(wèn)題。

● 漏洞利用技術(shù)的發(fā)展:隨著技術(shù)的不斷進(jìn)步，漏洞的發(fā)掘水平和速度一直在提高，而漏洞的利用技術(shù)也在不斷發(fā)展。

● 全球漏洞數(shù)量在持續(xù)快速增加。

● 應(yīng)用軟件漏洞增勢(shì)明顯。

● 從發(fā)現(xiàn)漏洞到攻擊程序出現(xiàn)的時(shí)間在不斷縮短。

● 漏洞可以被購(gòu)買。

綜上所述，漏洞數(shù)量在快速增加，漏洞種類越來(lái)越多（不僅是操作系統(tǒng)，還有各種應(yīng)用系統(tǒng)和軟件），受到漏洞影響的信息系統(tǒng)也越來(lái)越容易遭受攻擊——我們正在遭受的漏洞危機(jī)在日益加劇。

漏洞掃描的需求：我們對(duì)漏洞掃描發(fā)現(xiàn)修復(fù)的流程也應(yīng)該隨著漏洞利用技術(shù)的發(fā)展而發(fā)展，特別是對(duì)于應(yīng)用漏洞的修復(fù)更應(yīng)該化被動(dòng)為主動(dòng)。選擇有針對(duì)性的漏洞掃描修復(fù)工具。

威脅檢測(cè)

隨著云計(jì)算平臺(tái)業(yè)務(wù)的快速發(fā)展，在此過(guò)程中如果對(duì)于眾多的第三方建設(shè)與運(yùn)維人員不加以嚴(yán)格管理的話，云計(jì)算平臺(tái)的建設(shè)將會(huì)出現(xiàn)新的漏洞與風(fēng)險(xiǎn)。常見(jiàn)的人員安全風(fēng)險(xiǎn)介紹如下。

1.內(nèi)部人員操作的安全隱患

因?yàn)閼?zhàn)略定位和人力等諸多原因，越來(lái)越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵問(wèn)題。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過(guò)嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行。

2.第三方維護(hù)人員安全隱患

無(wú)論是內(nèi)部運(yùn)維人員還是第三方代維人員，基于傳統(tǒng)的維護(hù)方式，都是直接采用系統(tǒng)賬號(hào)完成系統(tǒng)級(jí)別的認(rèn)證即可進(jìn)行維護(hù)操作。隨著系統(tǒng)的不斷龐大，運(yùn)維人員與系統(tǒng)賬號(hào)之間的交叉關(guān)系越來(lái)越復(fù)雜，一個(gè)賬號(hào)多個(gè)人同時(shí)使用，是多對(duì)一的關(guān)系，賬號(hào)不具有唯一性，系統(tǒng)賬號(hào)的密碼策略很難執(zhí)行，密碼修改要通知所有知道這個(gè)賬號(hào)的人，如果有人離職或部門調(diào)動(dòng)，密碼需要立即修改，如果密碼泄露無(wú)法追查，如果有誤操作或者惡意操作，無(wú)法追查到責(zé)任人。

3.最高權(quán)限濫用風(fēng)險(xiǎn)

因?yàn)榉N種歷史遺留問(wèn)題，并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號(hào)（比如DBA賬號(hào)）共用等問(wèn)題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)的命脈，任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓數(shù)據(jù)安全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。

4.系統(tǒng)共享賬號(hào)安全隱患

無(wú)論是內(nèi)部運(yùn)維人員還是第三方代維人員，基于傳統(tǒng)的維護(hù)方式，都是直接采用系統(tǒng)賬號(hào)完成系統(tǒng)級(jí)別的認(rèn)證即可進(jìn)行維護(hù)操作。隨著系統(tǒng)的不斷龐大，運(yùn)維人員與系統(tǒng)賬號(hào)之間的交叉關(guān)系越來(lái)越復(fù)雜，一個(gè)賬號(hào)多個(gè)人同時(shí)使用，是多對(duì)一的關(guān)系，賬號(hào)不具有唯一性，系統(tǒng)賬號(hào)的密碼策略很難執(zhí)行，密碼修改要通知所有知道這個(gè)賬號(hào)的人，如果有人離職或部門調(diào)動(dòng)，密碼需要立即修改，如果密碼泄露無(wú)法追查，如果有誤操作或者惡意操作，無(wú)法追查到責(zé)任人。

5.違規(guī)行為無(wú)法控制的風(fēng)險(xiǎn)

網(wǎng)絡(luò)管理員總是試圖定義各種操作條例，來(lái)規(guī)范內(nèi)部員工的網(wǎng)絡(luò)訪問(wèn)行為，但是除了在造成惡性后果后追查責(zé)任人，沒(méi)有更好的方式來(lái)限制員工的合規(guī)操作。而事后追查，只能是亡羊補(bǔ)牢，損失已經(jīng)造成。

安全接入

目前隨著業(yè)務(wù)的不斷發(fā)展，業(yè)務(wù)系統(tǒng)將變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問(wèn)題變得日益突出起來(lái)。防火墻、防病毒、入侵檢測(cè)系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問(wèn)題，但對(duì)于內(nèi)部人員的違規(guī)操作卻無(wú)能為力。根據(jù)FBI和CSI對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果顯示，超過(guò)70%的安全威脅來(lái)自公司內(nèi)部，在損失金額上，由于內(nèi)部人員泄露導(dǎo)致了6056.5萬(wàn)美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。另?yè)?jù)中國(guó)國(guó)家信息安全測(cè)評(píng)中心調(diào)查，信息安全的現(xiàn)實(shí)威脅也主要為內(nèi)部信息泄露和內(nèi)部人員犯罪，而非病毒和外來(lái)黑客引起。

網(wǎng)絡(luò)管理員總是試圖定義各種操作條例，來(lái)規(guī)范內(nèi)部員工的網(wǎng)絡(luò)訪問(wèn)行為，但是除了在造成惡性后果后追查責(zé)任人，沒(méi)有更好的方式來(lái)限制員工的合規(guī)操作。而事后追查，只能是亡羊補(bǔ)牢，損失已經(jīng)造成。

對(duì)于內(nèi)部員工或者第三方的建設(shè)與運(yùn)維人員進(jìn)行有效的審計(jì)與管理，是我們本次安全系統(tǒng)建設(shè)的另一個(gè)重要需求。