針對“雲計算”服務安全思路的改進
---花瓶模型V4.0
Jack zhai
<b>問題提出:</b><b></b>
随着雲計算與物聯網的興起,使得網際網路正在日益“城市化”,傳統的四合院(城域網)正在被摩天大樓(雲計算資料中心)取代,剛剛組建不久的“地球村”很快發展成“地球城”;物聯網正在把“城”中所有的物品資訊化,現實世界與虛拟世界正在成為“實時”的對照版。
但雲計算服務模式也為資訊安全帶來新的問題,虛拟化的服務,不同使用者的業務“同時”運作在一個服務“容器”内,傳統資訊安全的邊界隔離思路得到了抑制,安全的邊界沒有了,傳統的安全裝置,如防火牆、入侵檢測該部署在哪裡?沒有了安全的保障,使用者如願意使用你的服務嗎?
雲服務是一種傳遞服務模式的改變,針對這種服務模式,我們對資訊安全體系建設的“花瓶模型”進行了改進,提出了<b>服務通路邊界</b>的概念,引入了業務的邏輯邊界,也就是虛拟機之間的邊界,它包括互為“鄰居”的虛拟機之間,以及虛拟機與生成它的“母體”---雲作業系統之間的邊界。
安全監控的概念也從對實際裝置與系統的監控,發展到對<b>虛拟機内與外的監控</b>,一方面,在建立虛拟機的時候,不僅配置設定相應的計算、存儲、網絡資源,還根據管理與使用者業務的需要,配置設定相應的安全資源,如虛拟防火牆、虛拟入侵檢測、虛拟病毒過濾等,為戶用提供的不再是“毛坯房”,而是“精裝修的較高價的電梯大廈”。另一方面,對雲作業系統環境的監控成為整個雲服務安全的重點,進入到這裡就可以控制所有應用的業務走向。第三方面,是對雲服務接入區域的監控,這裡彙集了各種使用者業務的流量,魚龍混雜,也是黑客與蠕蟲攻擊的門戶,實際上是雲服務中心的“大門”。
<b>“花瓶模型”描述:</b><b></b>
“花瓶模型”是資訊安全建設規劃的指導模型,是一個遵照動态安全事件處理(PDR模型)的基線建設模型。
按照安全事件應急處理的思路,把處理過程分為不同階段,除了合乎等級保護的保障要求外,再采用靜态的風險分析方式,分析每個階段内各個環節的可能漏洞,建立該階段的安全建設基線,最終形成整個安全事件處理過程的保障建設基線。
安全事件處理分為三個階段:
Ø 事前:安全防護基線,明确邊界,劃分安全區域,把要保護的資源與攻擊者分開,修建隔離牆,設立邊界檢查措施,通過增加“空間”距離,減少與外界的通道,提高入侵的門檻與難度;
Ø 事中:動态監控基線,邊界外要觀察攻擊者的動向,邊界内要注意一些使用者的異常行為,一旦發現“喬裝”進入的入侵者,就立即報警、截獲。監控的目标是在入侵者造成破壞之前盡快發現對方,及時應對,減少可能的損失;
Ø 事後:驗證追究責任人,震懾攻擊者,也就是信任管理基線,處理完事件過後,要追查入侵者進入的途徑,看看問題出在哪裡,對入侵者的行為記錄進行分析,進而發現防護體系與監控體系的漏洞,防止入侵者再次進入。
進一步細化防護、監控、信任三個體系的安全基線,就形成了“花瓶”模型(形狀如花瓶而得名,也寓意安全管理人員的工作如同手捧花瓶,要時刻小心,稍有疏忽,漂亮的花瓶可能就摔得粉碎。安全管理工作的要點是“百密無一疏”)。
1) 防護體系:防護的重點是邊界,不僅是真實的網絡邊界、人機邊界,還有虛拟的業務通路邊界,花瓶模型中給出了五大邊界需要重點防護
a) 網絡邊界:網絡的出口,外邊是不可控區域,必須建立良好的防護措施,常見的安全技術如FW、IPS、UTM、業務代理、網閘等,網站的出口還可選擇WAF
b) 安全域邊界:安全域是根據網絡功能區分的不同的資源區域,或者是根據管理需要進行不同部門之間的隔離,安全域能夠清晰地從網絡層進行安全隔離,常見安全技術如VLAN、FW等
c) 服務通路邊界:網絡上經常同時運作多個應用系統,一個應用系統上可能提供多項服務(雲計算服務就是其中一種),每個使用者也可以通路多個應用,使用多個服務。我們需要隔離出不用業務(使用者)的虛拟網絡與應用系統,同時還要避免虛拟機内的使用者上升到雲作業系統上來。應用通路邊界通常采用使用者授權來進行控制,一方面可以根據使用者身份限制其通路的應用區域(網絡層)、服務端口(傳輸層),另一方面可以通過應用系統的賬号管理、身份鑒别技術控制使用者是否可以通路該應用系統,在應用系統内部還可以通過對功能子產品單獨授權的方式,限制使用者對同一應用系統的不同服務的使用權限
d) 伺服器:主機管理的人機界面,一般采用作業系統加強、資料庫加強方式,最小授權配置設定管理人員與使用者的權限
e) 終端:人機界面管理,如使用者登入、媒體管理、非法外聯、資料加密等,也可以進行安全政策實施,如紅、白、黑名單軟體
2) 監控體系:展示系統的整體安全态勢,了解網絡内的“風吹草動”,是及時發現入侵與違規事件的資料來源。對于雲計算來說,監控體系分連個層面:對虛拟機的監控,對雲計算管理平台的監控。每個層面都有五大監控要點:
a) 病毒與木馬:特點是自我複制、無孔不入,對網絡的性能危害極大;一般可從網絡上攔截與主機(終端與伺服器内的監控軟體)監控
b) 入侵與異常行為:入侵行為多是隐蔽的,需要在網絡與主機上多點監控,通過特征比對、行為比對等方式發現入侵者,對内部人員的異常行為,如大量下載下傳資料,非正常時間通路等也應該列入異常監控的範圍
c) 流量異常:通過收集網絡中各關鍵點的流量資訊,監控流量總體動态,建立流量的基線模型,同時對流量的組成要能根據業務種類、使用者、通路方向進行分詳細析。造成流量異常一般有四種原因:一是蠕蟲病毒發作;二是惡意攻擊(如DDOS),三是凸現業務熱點(業務正常通路突然增加,如重大新聞釋出),四是網絡故障,造成其他業務通路集中到本地
d) 裝置與系統狀态:裝置的硬體故障必然引起業務通路的動蕩(虛拟機環境是虛拟裝置的狀态),是以,了解網絡、安全、傳輸、伺服器、存儲等裝置與系統的狀态,是分析總體安全态勢的基礎
e) 業務服務狀态:資訊安全是保障業務服務能力的,是以,對業務服務的程序狀态、使用者數量、磁盤空間等涉及服務能力的安全名額都要實時監控
3) 信任體系:對“合法”使用者的行為監控,是通過審計方式實作的,要審計,必須先鑒别使用者身份,明确使用者權限,然後對使用者的行為進行詳細記錄,并且不允許删除或修改記錄。信任體系的三要素:
a) 身份鑒别:可選用賬号密碼方式,也可以選擇CA憑證方式,目的就是唯一确認使用者的身份。身份鑒别一般出現在使用者登入主機(本地登入)、登入網絡、登入業務系統三個登入點上
b) 授權管理:使用者可使用的資源,以及可進行動作的限制。授權是由安全管理者賦予的,違反授權的通路是因該被禁止的
c) 行為審計:審計就是行為的記錄,如對資料的操作、配置的更改等。根據審計的目标可采用不同的安全審計措施,下面是常見的幾種:
i. 網絡行為審計:使用者通路網絡的資源情況
ii. 主機行為審計:伺服器或終端上的行為審計,如伺服器上的帳戶管理、資料維護,終端上的移動媒體使用、外聯網絡情況等
iii. 網際網路行為審計:一般放在網絡的網際網路出口,對内部使用者通路網際網路的行為進行審計
iv. 運維審計:針對維護人員的日常管理工作進行審計,主要是網絡、安全、伺服器、資料庫、存儲等裝置的日常維護行為記錄
v. 業務合規性審計:針對使用者業務操作、業務處理等行為的審計
4) 安全管理平台:網絡公共安全設施,是配合防護、監控、信任安全體系的實施與管理的,也是安全管理人員對網絡公共安全維護工作的操作平台,俗稱SOC。安全管理平台一般包含五方面的工作:
a) 資産管理:了解自己的家底是安全管理的基礎,也是監控體系終端關注的對象,包括硬體裝置與軟體系統,實體的與虛拟的。常見的如動态的網絡拓撲、資源系統資料庫等
b) 資料備份與恢複:資料備份是背景基礎的安全措施,業務資料是業務營運的核心,有了資料就可以在災難後恢複系統的運作狀态
c) 安全運維:安全管理人員不僅要負責網絡公共部分的日常管理,還要對各業務系統的使用者進行安全方面的服務,如終端安全問題的解決、違規安全事件的查處等,流程化、規範化的運維管理流程是提高運維服務品質的基礎
d) 配置變更管理:系統的安全配置是安全政策的實地部署,直接影響安全防護、監控、審計的保障效果,是以配置的變更要協調一緻,不能出錯;安全配置資料就是整體安全運維系統的基礎資料,同業務資料一樣重要
e) 漏洞與更新檔管理:更新檔管理是背景基礎的安全措施,發現漏洞就應該及時打更新檔,但更新檔可能與原有的業務系統有沖突,是以對更新檔的安裝時有選擇的。更新檔管理需要維護終端、伺服器、資料庫、應用軟體的各種更新檔與最新可用軟體資源,保證網絡使用者的及時更新
安全基線保障思路,是三條安全措施基線加一個平台,各種安全措施互相配合,互相補充,在安全保障總體設計時,要注意三條基線的相對均衡,某一項過強,未必提升整體安全防護能力,卻造成資金的不必要浪費;某項過弱,則把整體保障的能力拉下來,造成安全體系的短闆。
這裡提到的安全保障思路、安全措施,都是為了解決使用者具體的安全需求,不局限現有的技術手段。一方面,入侵者還在不斷進步,新式的攻擊技術與手段層處不窮,我們防護的手段也要不斷地更新,以适應對手的變化。另一方面,對付同一種入侵技術,随着技術的進步,更準确、更廉價的措施也會不斷出新,我們應該及時更新,合理部署,保持安全架構中的各個安全措施始終處于最佳狀态。
本文轉自 zhaisj 51CTO部落格,原文連結:http://blog.51cto.com/zhaisj/541228,如需轉載請自行聯系原作者
![更改LYNC SIP位址[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)