46
雲計算安全感——政務雲安全實踐介紹
作者:沈錫鏞
用戶對雲計算缺乏安全感是我們從事雲安全工作以來一直從客戶角度所獲得的一個直觀感受,而這種不安全感的產生固然和雲計算的多租戶的技術特點有關係,但在數據就是生產力的當下,這種不安全感可以進一步解讀為對數據上雲的安全顧慮。
先簡單介紹下阿裏雲的業務現狀。得益於雲計算的低成本、高彈性和按需付費模式的產業特點,目前基於阿裏雲雲計算服務所構建的網站用戶已達到60多萬,這個其中不但有中小網站站長也有各類行業用戶,其中行業用戶涉及金融、政府、遊戲、中小企業、電商等各個領域,考慮到政務行業在中國不但是雲計算的推動者也是使用者,今天我將從政務行業用戶視角解讀下對製約其選擇和使用雲計算服務的安全困惑以及我們的安全實踐。
作為一個雲服務商,我們在和政務客戶交流中被問的最多的就是雲端的數據安全如何保證,用戶是否有效隔離,最好每個級別的地方政府、甚至政府裏麵的每個機構都能給他一個單獨的物理空間、物理資源去放他的數據,這種對雲端數據安全的要求可能源自於對雲計算多租戶業務模式的安全顧慮,但這種安全要求到底是不是政務類客戶最實際的安全需求呢?我們看一組數據:
根據CNCERT發布的《2013 年我國互聯網麵臨的安全形勢和威脅報告》中“第五點、政府網站麵臨威脅依然嚴重,地方政府網站成為“重災區”。報告中的數據顯示我國境內被篡改網站數量為 24034 個,這些網站中有90%為省市級以下的地方政府,據CNCER分析這些入侵事件發生一方麵是由於地方政府網站存在技術和管理水平有限、網絡安全防護能力薄弱、人員和資金投入不足等問題,另一方麵是越來越多的有組織高級持續性威脅(APT)攻擊事件發生在我國政務類網站上,記得2013年 3 月 20 日,美、韓軍事演習期間,韓國多家廣播電視台和銀行等金融機構遭受曆史上最大規模的惡意代碼攻擊,導致係統癱瘓,引發韓國社會一度混亂。韓國媒體不約而同的把攻擊的發起說成是中國幹的,後來經過CNCERT的協助調查,才澄清了相關謠言,但是APT攻擊帶來的攻擊目標聚焦、攻擊手段隱蔽、攻擊規模巨大等特點的確不是每個地方政府靠有限的人力、物力能夠應對的。所以如何運用有限的人力、物力防禦基於篡改網站數據為目的的安全攻擊就是當下電子政務類業務最為迫切的安全需求。
根據我們雲平台的安全運營數據,篡改網站數據攻擊途徑主要有以下兩種:
1、 利用Web安全漏洞寫入Webshell後門;
2、 通過破解主機管理賬戶密碼實現入侵;
前者我們月均掃描發現高危漏洞近100萬、檢測出webshell後門10000個以上;後者月均防禦密碼暴力破解行為10億次以上。從入侵的途徑上可以得出一個結論,真正要有效的防禦網站入侵,需要全麵部署應用、係統、網絡等方麵防入侵產品或服務,那傳統安全和雲安全分別是如何實現上述安全需求呢?
很明顯,雲安全的解決方案具有低成本和安全運營的優勢,但政務行業在麵對大規模的複雜模式DDoS攻擊和以國家為單位發動的APT攻擊麵前,安全防禦的考量對象就不應該僅僅局限於產品和服務的安全攻防,而更應該補上IT架構這個考量對象。下麵以一個實際發生的DDoS流量攻擊防禦案例來做下說明,如下圖所示:
這是今年2月發生在阿裏雲的典型DDoS攻防案例,19點14分,在這個晚飯時間點,黑客發起DDoS攻擊,攻擊類型為SYN大包、攻擊流量從30Gbps迅速上升到60Gbps,在19點20分黑客察覺攻擊無效後變換策略,攻擊類型變為SYN小包攻擊、攻擊流量從200萬PPS升到到700萬PPS,在19點27分黑客察覺到攻擊依然無效後再次變換策略,攻擊類型變為CC攻擊、攻擊流量表現為每秒HTTP請求升到到5萬。但依然被我們雲安全服務(雲盾)自動防禦成功。我今天講這個案例是想請大家注意到當前來自於互聯網大流量攻擊的特點,因為這樣的攻擊我們每周就要防禦數千起:
1、 攻擊類型複雜並且變換速度加快,在上麵的案例中13分鍾攻擊者就變換了3次攻擊方式,基於人工響應、再行操作安全設備的方式一定無法保障業務;
2、 CC攻擊是攻擊者最後的底牌,眾說周知CC攻擊的防禦是一個業界難題,因為不但攻擊的發起來自於真實的地址,其惡意訪問請求也很難從訪問流量中剝離,除了通過網站服務器擴容來和攻擊者比拚資源消耗外,還沒有很好的方法;
3、 攻擊規模大,60Gbps隻是我們常態防禦中遇到的中等攻擊流量,在今年的2月我們還遭遇過160Gbps的大規模攻擊,而從未來趨勢來看黑客將更多地運用DNS、NTP等協議進行分布式反射放大拒絕服務攻擊,能輕易把攻擊流量放大幾十倍到幾百倍,打出幾百G的流量耗盡有限的服務器資源,而政務網站現在的主要職能也逐步轉移到了服務民生,這就對網站的可用性也提出了很高的要求,而現有能抗100G的防DDoS設備也是非常貴,而攻擊者所費的成本可能隻有安全設備價格的萬分之一。
再說回國家為單位發動的APT攻擊,攻擊者的攻擊目標聚焦一旦聚焦在地方政府的網站上,就可以通過所有的聊天工具、郵件、論壇和線下的社會工程等手段試探、滲透、攻擊管理者和IT基礎設施,而每種手段孤立的看不但無害而且無法被現有的安全手段檢測出來,但組合起來就能達到攻擊的目的,這種攻擊的特點就是:很難用原來安全防禦體係的思維去找到一個可信源。正如賽門鐵克信息安全高級副總裁布萊恩·代伊前不久發表關於“殺毒軟件已死”的言論,其實也是由於APT攻擊被廣泛應用,導致各類安全防禦產品基於簽名的技術模式遇到了挑戰,但大數據的運用可以給我們不一樣的解決之道,如果我們不再糾結於如何尋找信任源,而是通過大量的防禦數據建模和大數據處理能力對信息進行抓取和分析,可能更迅速的識別出早期攻擊意圖並能實施阻斷。
總結以上大規模的複雜模式DDoS攻擊和以國家為單位發動的APT攻擊特點,我們可以得出雲安全防禦架構應具備的基本要求:
1、 大規模:應具備幾百G防禦DDoS攻擊的清洗能力;
2、 低成本:應采用軟件分布式+X86服務器架構,擺脫硬件定製、具備彈性擴展能力;
3、 高精度:應運用大數據分析技術實現攻擊的預警和實時阻斷;
4、 全方位:應具備應用、係統、網絡全麵防禦能力;
例如阿裏雲的雲安全服務——雲盾就完全具備以上特點:
雲盾是阿裏巴巴完全自主開發、采用軟件+X86服務器架構,依托雲計算的高彈性擴展和大數據挖掘能力,推出的雲安全服務。在網絡安全方麵具備海量的DDoS攻擊全自動防禦服務;在係統安全方麵:由主機密碼防暴力破解、網站後門檢測和處理、異地登錄提醒共同組成主機入侵防禦係統;在應用安全方麵采用大數據分析技術構建WEB應用防火牆(WAF)和網站漏洞檢測;
以上介紹的還是基於外部攻防的雲安全體係構建,但是用戶最擔心的還是雲服務商是否會從內部竊取數據,因此結合政務行業數據敏感的特點和運營實踐,我們認為應構建覆蓋從數據訪問、數據傳輸、數據存儲、數據隔離到數據銷毀各環節的雲端數據安全基線框架。
數據訪問:客戶訪問雲端資源均需通過同公有雲隔離的專屬控製台進行日常操作和運維,客戶身份鑒別均采用口令結合動態令牌的雙因素認證,客戶同所購買的雲服務對應關係采用對稱加密對實現身份抗抵賴;客戶雲端資源訪問操作均需通過堡壘機進行並支持實時操作審計。雲平台運維人員對政務雲的運維操作均需通過數據證書結合動態令牌實現雙因素認證,操作權限均需經過多層安全審批並進行命令級規則固化,違規操作實時審計報警。
數據傳輸:針對用戶個人賬戶數據和雲端生產數據兩種不同的數據對象,分別從用戶端到雲端、雲端各服務間、雲服務到雲服務控製係統三個層次進行傳輸控製。其中個人賬戶數據從客戶端到雲端傳輸均采用ssl加密,從雲端各子係統間、雲服務到雲服務控製係統間均采用程序加密保證客戶個人賬戶數據雲端不落地。雲端生產數據從用戶端到雲端傳輸均隻可通過VPN或專線進行,雲端存儲應采用服務端加密並支持用戶自行密鑰加密數據後雲端存儲。
數據存儲:所有用戶雲端生產數據不論使用何種雲服務應采用碎片化分布式離散技術保存,數據被分割成許多數據片段後遵循隨機算法分散存儲在不同機架上,並且每個數據片段會存儲多個副本。雲服務控製係統應依據不同客戶ID隔離其雲端數據,雲存儲可依據客戶對稱加密對進行雲端存儲空間訪問權限控製,保證雲端存儲數據的最小授權訪問。
數據隔離:政務雲數據隔離應分為物理資源隔離、雲端資源隔離兩個方麵。物理資源隔離方麵針對行業監管要求構建政務雲專屬集群,並采用鐵籠包圍結合掌紋識別實現同公有雲集群物理隔離和訪問控製。雲端資源隔離方麵針對同一物理服務器上的不同虛擬主機可在其生產環節由可雲服務器的生產係統依據訂單自動給每個用戶的雲服務器打上標簽,不同的用戶間通過由數據鏈路層和網絡層訪問控製技術組成的安全組進行隔離;采用虛擬化重定向技術(沙盒技術)隔離雲平台內承載信息資源的虛擬主機對平台物理資源的直接訪問。不同客戶的數據庫服務通過實例隔離,僅給客戶分配實例權限。我們通過二層隔離技術,讓不同的用戶處於不同的私網。同時,隻允許以太網承載白名單中的上層協議如ARP、IPV4,其它的一概禁止。最後為防範雲服務器被入侵後成為對外攻擊源,我們過濾了ARP、IPV4或者以太網協議的任何欺騙性質的攻擊報文,並且對雲服務器對外的高危端口的訪問速度做了偵測。
數據銷毀:政務雲應采用高級清零手段在用戶要求刪除數據或設備在棄置、轉售前將其所有數據徹底刪除。針對雲計算環境下因大量硬盤委外維修或服務器報廢可能導致的數據失竊風險,數據中心全麵貫徹替換磁盤每盤必消、消磁記錄每盤可查、消磁視頻每天可溯的標準作業流程,強化磁盤消磁作業視頻監控策略,聚焦監控操作的防抵賴性和視頻監控記錄保存的完整性。
以上介紹了從外部安全攻防和內部數據安全分別如何構建政務雲的雲安全體係,但作為行業用戶要使用雲平台,並將關鍵數據放入雲中,就需要對雲服務商有所信任。如果構建這樣的信任關係?第三方權威認證是很必要的。考慮到政務行業的監管特點,我們認為等保、ISO27001、雲安全國際認證(CSA-STAR)分別覆蓋了國內、國際、雲安全這三個方麵的合規安全要求,拿等保來講雲服務商應保證其提供的雲服務支撐係統通過公安部信息係統等級保護三級評測;ISO27001方麵雲服務商提供的雲服務不但應將相關的物理基礎納入認證範圍,更應將所提供的雲服務信息安全管理過程體現在證書上,以便用戶從開發、設計、運維和交付個環節驗證雲服務的安全性;最後重點介紹下雲安全國際認證(CSA-STAR),這是一項全新而有針對性的國際專業認證項目,由全球標準奠基者——英國標準協會(bsi)和國際雲安全權威組織雲安全聯盟(CSA)聯合推出,旨在應對與雲安全相關的特定問題。其以ISO/IEC 27001認證為基礎,結合雲端安全控製矩陣CCM的要求,運用成熟度模型和評估方法,對提供和使用雲計算的任何組織,綜合評估組織雲端安全管理和技術能力,最終給出“不合格-銅牌-銀牌-金牌”四個級別的獨立第三方外審結論。就安全認證來講也是首度通過引入成熟度評估來實現對雲服務商安全管理能力的量化、持續評價,能有助於用戶了解各雲服務商對照業界最佳實踐的具體差距,提升雲服務商安全管理的透明度。阿裏雲已早在去年獲得全球首張雲安全國際認證(CSA-STAR)金牌,這是bsi向全球雲服務商頒發的首張金牌。這也是中國企業在信息化、雲計算領域安全合規方麵第一次取得世界領先成績。
總結下今天分享,政務行業真正需要的雲應該具備以下幾點:
1、 低成本可彈性擴展架構、高精度的大數據運用技術、大規模DDoS防禦能力、全方位的安全服務內容;
2、 雲服務具備完整的數據安全保護能力;
3、 全麵符合國家、國際、雲安全合規要求。
希望通過這次分享,能使各位不但能了解政務行業實際的安全需求、政務雲應該如何構建,更能體會到雲在安全防禦上給廣大用戶帶來的價值。
若非建雲、焉知安全;若非安全、焉敢入雲。
最後更新:2017-04-03 07:57:02