购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

2.1 云安全基本概念

云安全是云计算安全的简称。云安全的目标是保障在云上运行的各种应用的保密性、完整性、可用性、可审计性、不可否认性等安全目标的满足,同时保证云上数据的保护满足相应的法律、法规、标准以及业务安全要求。

2.1.1 云安全的基本目标

《信息技术 信息安全 信息安全管理体系概述和词汇》(ISO/IEC 27000—2014)中强调,通常情况下保密性、完整性和可用性被称为信息安全的基本属性。此外,信息安全的目标还可能涉及其他属性,如真实性、可问责性、不可否认性和可靠性等。同时,部署在云环境的数据需要考虑数据的可追溯性和可恢复性来帮助企业提供足够的安全。

1.信息安全三元组

信息安全三元组(CIA)是一个著名的安全策略开发模型,用于识别信息安全领域的问题。

(1)保密性(Confidentiality)

保密性也称机密性,是指对信息资源开放范围的控制,确保信息不被非授权的个人和计算机程序访问。对于信息系统而言,保密性涉及的范畴非常广泛,它既可以是国家涉密信息,也可以是企业或研究机构的业务数据,还可以是个人的银行账号、身份证号等敏感数据信息。

(2)完整性(Integrity)

完整性是指保证信息系统中的数据处于完整的状态,确保信息没有遭受篡改和破坏。任何对系统信息、数据未授权的插入、篡改、伪造都是破坏系统完整性的行为,这些行为可能导致严重的服务欺骗或其他问题。

(3)可用性(Availability)

可用性是通过系统、访问通道和身份验证机制等来确保数据和系统随时可用。这就意味着无论什么情况下,都要确保得到授权的实体所访问的信息系统是可用的。增强的可用性要求还包括时效性及避免因自然灾害(火灾、洪水、雷击、地震等)和人为破坏导致的系统失效。

高可用系统的架构就是针对特定的可用性需求进行设计,它能有效地应对断电、硬件故障等问题对可用性的影响。例如,在网络中可使用多个接入链路来避免网络中断,从而很好地应对拒绝服务攻击这类风险。

该模型也有其局限性。CIA三元组关注的重点是信息,虽然这是大多数信息安全的核心要素,但对于信息系统安全而言,仅考虑CIA是不够的,信息安全的复杂性决定了还存在其他的重要因素。

2.其他信息安全属性

· 真实性:真实性是指能够对信息的来源进行判断,能对伪造来源的信息予以鉴别。

· 可问责性:问责是承认和承担行动、产品、决策和政策的责任,包括在角色或就业岗位范围内的行政、治理和实施以及报告、解释,并对所造成的后果负责。

· 不可否认性:是指信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。在法律上,不可否认意味着交易方不能拒绝已经接收到的交易,另一方也不能拒绝已经发送的交易。

· 可靠性:是指产品或系统在规定的条件下、规定的时间内完成规定功能的能力。

2.1.2 云安全的指导方针

1.以最新理念为指导思想

传统网络防御存在边界化静态防御容易被绕过、安全组件缺乏联动、检测攻击具有被动性和延迟性等缺点。传统防御能力主要集中在边界,而对于目标对象内部的安全漏洞和被预先植入的后门等,攻击者能够较容易地穿透静态网络安全技术防御屏障发起攻击。传统网络安全组件(如防火墙、入侵检测系统、漏洞扫描等外置式网络防护手段)的防御能力是相对固定的,单一的安全组件所能获得的信息有限,不足以检测到复杂攻击。另外,其防御或检测能力不能动态提升,只能以人工或者定期的方式升级,防护能力的有效性、持续性和及时性主要依赖于安全人员的专业知识以及厂家的服务保障能力。传统防御模型一般都是采用“发现威胁—分析威胁—处置威胁”的思路,并且基于现有的特征库或者规则对网络数据和行为进行过滤,无法有效地发现和阻断新型、未知的网络攻击。

基于云计算的安全防护新理念主要体现在主动防御、诈骗防御、面向场景、普遍联系、智能闭环和循证评价等几个主要方面。

(1)主动防御

针对传统网络防御手段存在的问题或缺陷,目前主要采用主动防御或纵深防御思想来构建网络安全防护体系。主动防御是与被动防御概念相对应的一种防御哲学理念,强调主动减少攻击面、通过态势预测来优化防御机制,利用各种技术手段将攻击扼杀在萌芽期,最大化降低信息系统面临的风险。

纵深防御体系是对边界防御体系的改进,强调的是任何防御措施都不是万能的,都存在黑客可以突破的风险。纵深防御的本质就是多层防御,企业组织通过建立纵深防御体系,使得信息系统的各个层次相互联动配合,将多种防御措施结合使用,增加攻击难度;设立多级风险检查点,阻止大多数恶意病毒及威胁的入侵;防御策略主面,管理人员可针对不同类型的威胁进行策略部署及有效防御,最终达到将风险降低到可接受程度的目的。

(2)诈骗防御

蜜罐技术是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解它们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐的类型包括仿真Web蜜罐、通用Web蜜罐、系统服务蜜罐、伪装缺陷蜜罐等。基于防护方的角度,通过蜜罐技术结合欺骗伪装手段,实现网络攻防中的主动对抗,及时诱捕、发现、处置、溯源,甚至反制攻击者。但在蜜罐使用过程中,一定要注意其安全性,在最近几年的网络攻防演习中,曾经出现过某些厂商将蜜罐无隔离地直接部署在企业内网,进而使攻击者以蜜罐为跳板渗透进内网的案例。

(3)面向场景

不同的业务场景会有不同的差异化安全需求,通用方案落地到具体的业务场景中时必须面向场景进行威胁建模,具体分析面临的安全风险,剖析潜在的安全隐患,通过选取合适的安全控制措施进行有针对性的安全风险管理。

(4)普遍联系

威胁情报系统通过采用基于神经网络的关联分析技术、基于模型推理的关联分析技术和基于分布式的关联分析技术对收集到的各类信息进行关联分析,从而得到有价值的威胁信息,诸如MD5、IP、URL、木马样本等。威胁情报是某种基于证据的知识,包括上下文、机制、标识、含义和能够执行的建议,如恶意IP和域名、网络攻击和后门日志信息、恶意程序的注册表信息等,这些知识与资产所面临的已有或酝酿中的威胁相关,可用于对这些威胁或危害的相关决策提供信息支持。

企业的网络安全事件通常具备明显的攻击流程,采用关联威胁情报数据的攻击链分析,可以快速帮助企业定位攻击来源。针对APT攻击威胁情报的各个环节,可利用云端、本地以及客户自建的威胁情报库进行关联分析,对安全事件进行预警和高危安全事件关联,通过威胁情报掌握某些组织的常用IP、惯用攻击方式,选择采取攻击的某一个步骤或多个步骤进行关联,即可快速预判攻击者的目标和范围,提前做好重点区域的安全防控。

(5)智能闭环

智能闭环是针对发现的高级威胁事件,可提供对应的安全响应处置策略和任务,通报协同各个节点的下一级态势感知分析平台和安全产品实施终止、隔离、取证等的安全手段;它能够快速终止威胁、构建一体化联动防护能力,从而达到减轻安全运维人员工作负担、提升安全运维效率的目的。

2005年,安全信息事件管理(Security Information Event Management,SIEM)应运而生,进而演化成用户/实体行为分析(User and Entity Behavior Analytics,UEBA)、终端检测与响应(Endpoint Detection and Response,EDR)、安全编排自动化与响应(Security Orchestration Automation and Response,SOAR)等产品。

Gartner将SOAR定义为:使组织能够收集不同来源的安全威胁数据和告警的技术。SOAR将安全编排和自动化(Security Orchestration and Automation,SOA)、安全事件响应平台(Security Incident Response Platform,SIRP)和威胁情报平台(Threat Intelligence Platform,TIP)这三种技术相融合,这些技术利用人工与机器的组合来执行事件分析和分类,从而根据标准工作流来帮助定义、确定优先级并推动标准化的事件响应活动。

(6)循证评价

在安全管理中,最重要的是基于可靠而充分的安全信息做出有效的安全决策。但令人遗憾的是,因安全决策所需的必要安全信息缺失而导致的许多安全管理失败问题经常发生。因此,可以通过确定与安全管理问题密切相关的最佳证据来获得更加有效的安全管理方案。

循证实践是基于最佳证据进行有效决策的一种方法,已广泛应用于医学、法学、政策学、教育学、管理学与经济学等领域,并已发展形成数门独立的新学科,如循证医学、循证法学、循证政策学、循证教育学与循证管理学等。

当前许多企业进行网络安全防护时虽然部署了很多安全设备,但仍然存在这些设备有没有很好地基于安全策略和安全控制措施来实现安全防护目标的疑问,此时就需要使用循证评价的方式来验证安全防护效果。

2.以专业服务为辅助措施

单纯的网络安全设备、软件并不能带来安全的根本性提升,信息安全保障必须结合专业安全服务和专业安全人员指导下的安全制度建设,才能最大化发挥安全资产和系统的价值。

网络安全服务体系是指适应整个安全管理战略的需要,为用户提供覆盖网络安全各个环节全生命周期的解决方案并予以实施的服务,从高端的全面安全体系到细节的技术解决措施,涵盖不同专业和层级的服务团队,并受各类标准规范指导。

3.以政策法规为达标基准

2016年4月19日,习近平总书记在网络安全和信息化工作座谈会发表重要讲话,为我国网络空间安全事业的发展指明了方向。《国家网络空间安全战略》《网络空间国际合作战略》相继出台,为我国网络空间安全发展勾勒了战略指引。

2017年6月1日,《中华人民共和国网络安全法》(简称《网络安全法》,后续提及法律用类似简称方式)正式施行,它为维护国家网络主权提供了法律依据。随着《密码法》、《数据安全法》、《个人信息保护法》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)以及《信息安全技术 关键信息基础设施安全保护条例》的颁布实施,这些法律法规对保护社会公共利益,保护公民合法权益、促进经济社会信息化健康发展提出了更高的要求。

4.以先进技术为创新支撑

网络攻击日趋分布化、复杂化、自动化,同时,网络安全威胁检测和防御方法面临新变革。一方面,安全监测分析需求由点向面扩展,检测效率、精准度急需提升;另一方面,安全防御需求由被动向主动转化,安全态势感知、主动防御体系得到重视。

诸如基于机器学习和自然语言处理的AI技术,使分析师能够以更高的自信和更快的速度响应威胁、协同分析、全生命周期跟踪安全事件的溯源流程,可极大程度地方便运维人员进行安全威胁排除、攻击链分析、事件溯源,从而提升信息系统的整体安全防御能力。

5.以生命周期为覆盖范围

(1)安全覆盖系统开发生命周期

系统开发生命周期涵盖了信息系统的整个生命周期,它是信息系统从产生直到报废的生命周期,周期内一般包括需求分析、系统设计、开发采购、交付实施、运行管理、废弃停用等阶段。需要将安全考虑集成在软件开发的每一个阶段,以减少漏洞,将安全缺陷和风险降低到最小程度。

(2)安全覆盖数据生命周期

基于大数据分类分级和权限安全,构建数据全生命周期的安全治理体系,提供对数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁各环节的安全审计和管控。

6.以能力建设为方法模型

国家标准《信息安全技术 云计算服务安全能力要求》(GB/T 31168—2014)描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的信息安全技术能力。

该标准分为一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同,云服务商应具备的安全能力也各不相同。该标准提出的安全要求分为10类,分别是系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员和物理与环境保护等。

中国信息安全测评中心的信息安全服务(云计算安全类)资质认定是对云计算安全服务提供者的资格状况、技术实力和云计算安全服务实施过程质量保证能力等方面的具体衡量和评价。基本能力要求包括组织与管理要求和技术能力要求,后面章节会详细阐述。

2.1.3 云安全模型和架构

1.常见的网络安全模型

(1)基于时间的PDR模型

PDR(Protection Detection Response)模型的思想是承认信息系统中漏洞的存在,正视系统面临的威胁,通过采取适度防护、加强检测工作、落实对安全事件的响应、建立对威胁的防护来保障系统的安全。

该模型基于这样的假设:任何安全防护措施都是基于时间的。基于该模型给出信息系统攻防时间表,其中,检测时间(Dt)指的是系统采取某种检测措施,能够检测到系统攻击所需要的时间;保护时间(Pt)指的是某种安全防护措施所能坚守的时间;响应时间(Rt)是从发现攻击到做出有效响应动作所需的时间;假设暴露时间(Et)表示系统被对手成功攻击后的时间。那么就可以根据下面两个关系式来判断是否安全:如果Pt>Dt+Rt,那么是安全的;如果Pt<Dt+Rt,那么Et=(Dt+Rt)-Pt。

该模型虽然直观实用,但Pt、Dt、Rt很难准确定义,而且对系统的安全隐患和安全措施采取相对固定的前提假设,难以适应网络安全环境的快速变化。

(2)PPDR模型

PPDR(Policy Protection Detection Response)模型的核心思想是所有的防护、检测、响应都是以安全策略为依据来实施的,也称为P 2 DR模型。

1)策略。PPDR模型中的策略指的是信息系统的安全策略,包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制订、评估与执行等。

2)防护。防护指的是通过部署和采用安全技术来提高网络的防护能力,如访问控制、防火墙、入侵检测、加密技术、身份认证等技术。

3)检测。检测指的是利用信息安全检测工具来监视、分析、审计网络活动,了解和判断网络系统的安全状态。检测这一环节,使安全防护从被动防护演进到主动防御,是整个模型动态性的体现。主要方法包括实时监控、检测、报警等。

4)响应。响应指的是在检测到安全漏洞和安全事件时,通过及时的响应措施将网络系统的安全性调整到风险最低的状态,包括恢复系统功能和数据、启动备份系统等。其主要方法包括关闭服务、跟踪、反击、消除影响等。

与PDR模型相比,P 2 DR模型则更强调控制和对抗,即强调系统安全的动态性,并且以安全检测、漏洞监测和自适应填充“安全间隙”为循环来提高网络安全。该模型同时考虑了管理因素,它强调安全管理的持续性、安全策略的动态性,以实时监视网络活动、发现威胁和弱点来调整和填补网络漏洞。另外,该模型强调检测的重要性,通过经常对网络系统进行评估来把握系统风险点,及时弱化甚至消除系统的安全漏洞。

(3)PDRR模型

PDRR(Protection Detection Response Recovery)模型由美国国防部(DoD)提出,是防护、检测、响应、恢复的缩写。PDRR改进了传统的只注重防护的单一安全防御思想,强调信息安全保障的PDRR四个重要环节。

从工作机制上看,这四个部分是一个顺次发生的过程。首先采取各种措施对需要保护的对象进行安全防护,然后利用相应的检测手段对安全保护对象进行安全跟踪和检测,以随时了解其安全状态。如果发现安全保护对象的安全状态发生改变,安全风险上升到不可接受状态,则马上采取应急措施对其进行响应处理,直至风险降低到可接受程度。

(4)ASA模型

自适应安全架构(Adaptive Security Architecture,ASA)模型是Gartner在2014年提出的面向下一代的安全体系框架,类似PDCA的戴明环理念,强调以持续监控和分析为核心。

ASA主要从预测、检测、响应、防御四个维度对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。它强调安全防护是一个持续处理的循环过程,主要用于应对云计算与物联网等新领域快速发展所带来的新挑战。

1)预测:针对现有系统和信息中具有威胁的新型攻击以及漏洞设定优先级和定位,通过防御、检测、响应结果不断优化安全策略与规则,自适应地精准预测未知的、新型的攻击,然后形成情报反馈到预防和检测功能,从而构成整个处理流程的闭环。

2)检测:主要假设自己已处在被攻击状态中,检测、发现那些规避网络防御的攻击行为,降低威胁造成的“停摆时间”以及其他潜在的损失。

3)响应:用于高效调查和应急响应被检测分析功能查出的安全事件,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免再次发生类似安全事件。

4)防御:用于防御攻击的一系列策略集、产品和服务。它主要通过减少被攻击面来提升攻击门槛,并在受影响前阻断攻击行为。

(5)IATF框架

信息保障技术框架(Information Assurance Technical Framework,IATF)是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架,其结构如图2-1所示。

IATF首次提出了信息保障需要通过人、技术、操作来共同实现组织职能和业务运作的思想,同时针对信息系统的构成特点,从外到内定义了四个主要的关注领域,包括网络基础设施、区域边界、计算环境和支撑性基础设施。完整的信息保障体系在技术层面上应实现保护网络基础设施、保护网络边界、保护计算机环境和保护支撑性基础设施,以形成“深度防护战略”。

·图2-1 IATF框架结构

2.NIST网络安全框架

美国国家标准与技术研究所(National Institute of Standards and Technology,NIST)网络安全框架(简称NIST CSF)的第一个版本于2014年发布,旨在为寻求加强网络安全防御的组织提供指导。网络安全框架包含三个主要组件:核心、实施层和配置文件。

1)框架核心:框架核心使用易于理解的通用语言提供了一套理想的网络安全活动和成果。核心指导组织管理和降低网络安全风险,以补充组织现有的网络安全和风险管理流程。

2)框架实施:框架实施等级通过提供关于组织如何看待网络安全风险管理的背景来帮助组织。层级指导组织考虑网络安全计划的适当严格程度,并经常将其用作交流工具来讨论风险偏好、任务优先级和预算。

3)框架配置文件:框架配置文件是一个组织的组织要求和目标、组织风险偏好和资源与框架核心预期结果的一致性体现。配置文件主要用于识别和优先考虑改善组织网络安全的机会。

CSF的框架核心包括5个高级功能:识别、保护、检测、响应和恢复,细分为23个类别。它又称作IPDRR(Identify Protect Detect Response Recovery)模型。IPDRR能力框架实现了“事前、事中、事后”的全过程覆盖,从以防护能力为核心的模型,转向以检测能力为核心的模型,变被动为主动,支撑识别、预防、发现、响应等活动。在IPDRR模型中,风险识别是基础,安全检测是前提,防护与响应是手段,灾难恢复是保障。五个环节相辅相成,一环扣一环,缺少其中任何一个环节都有可能给网络安全带来巨大隐患。

3.云安全参考架构

(1)云计算安全参考架构

为了清晰地描述云服务中各种角色的安全责任,需要构建云计算安全参考架构,总结出云计算角色、角色安全职责、安全功能组件以及它们之间的关系。基于云计算的特性、三种服务模式与五类角色,NIST建立的云计算安全参考架构如图2-2所示。

·图2-2 云计算安全参考架构

该架构将云生态角色划分为云服务客户(云消费者)、云服务商(云提供者)、云基础网络运营者、云审计者和云代理者五类,包括云服务协同安全、服务管理安全、服务聚合安全、服务仲裁安全、服务中介安全、云审计环境安全以及安全传输支持等组成部分。在安全防护设计时,强调在5类角色框架基础上,附加安全功能层实施安全防护,基于各类角色进行安全责任分解和细化,明确各方安全职责和防护措施,从而形成云计算安全防护整体框架。

(2)CSA云安全参考模型

CSA在NIST分层模型基础上,按照系统分层模型进行安全控制模型映射,基于云服务的层次类型和云安全合规性要求进行差距分析,将安全控制模型映射到SPI(SaaS、PaaS和IaaS)分层模型上,通过差距分析输出整个云平台的安全状态和防护策略,形成云安全分层控制模型,如图2-3所示。

·图2-3 CSA云安全参考架构

云安全联盟CSA标准根据ISO/IEC 17789定义的云计算层次框架(资源层、服务层、访问层、用户层和跨层功能),并结合安全业务特点,定义了云计算安全技术要求框架。用户层是用户接口,通过该接口,云服务用户和云服务提供者及其云服务进行交互,执行与用户相关的管理活动,监控云服务;访问层提供对服务层能力进行手动和自动访问的通用接口,这些能力既包含服务能力,也包含管理能力和业务能力;资源层分为物理资源和资源抽象与控制两部分;服务层是对云服务提供者所提供服务的实现,包含和控制实现服务所需的软件组件,并安排通过访问层为用户提供云服务;安全服务即以服务的方式提供的安全能力,云服务提供者可通过提供安全服务协助用户做好客户安全责任范围内的安全防护。

(3)IBM基于SOA的云通用安全架构

IBM公司基于面向服务的体系架构(Service Oriented Architecture,SOA)服务化理念,提出了一种云通用安全架构,如图2-4所示。它的主要思想是把安全和安全策略作为一种通用服务来支持用户定制和配置,满足不同用户在安全方面的个性化需求。

·图2-4 基于SOA的云通用安全架构

基于服务的安全架构强调安全服务化,强调安全与平台松耦合。云安全资源通过服务化、资源池化、虚拟化管理,对外提供统一的服务接口,能够整合不同厂商的安全服务,屏蔽不同安全产品之间的差别,实现安全措施平滑更换和升级,同时给予用户更加灵活的选择权。

(4)等保2.0云安全防护技术框架

等保2.0云安全防护技术框架按照物理资源层、虚拟资源层和服务层进行了分层防护设计,并在服务层面强调了基于用户的安全防护设计,最终形成了以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的“一个中心、三重防护”的信息安全整体保障体系,如图2-5所示。

·图2-5 等保2.0云安全防护技术框架

等保2.0对云计算安全防护的思想是用户通过安全的通信网络以网络直接访问、API接口访问和Web服务访问等方式安全地访问云服务商提供的安全计算环境。

计算环境安全包括资源层安全和服务层安全。资源层分为物理资源和虚拟资源,需要明确物理资源安全设计技术要求和虚拟资源安全设计要求。服务层是对云服务商所提供服务的实现,包含实现服务所需的软件组件。根据服务模式的不同,云服务商和云服务用户承担的安全责任不同。服务层安全设计需要明确云服务商控制资源范围内的安全设计技术要求,并且云服务商可以通过提供安全接口和安全服务为云服务用户提供安全技术和安全防护能力。

云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。结合本框架对不同等级的云计算环境进行安全技术设计,同时通过服务层安全支持对不同等级的云服务客户端(业务系统)进行安全设计。 gzuEZry4P6XoPbc4UQsa3twOjz/ZT1FNjrhVwjVeuplFi5pn6orNoDqm49xi/ABW

点击中间区域
呼出菜单
上一章
目录
下一章
×