1、 攻擊類(lèi)型復雜并且變換速度加快,在上面的案例中13分鐘攻擊者就變換了3次攻擊方式,基于人工響應、再行操作安全設備的方式一定無(wú)法保障業(yè)務(wù);
2、 CC攻擊是攻擊者最后的底牌,眾說(shuō)周知CC攻擊的防御是一個(gè)業(yè)界難題,因為不但攻擊的發(fā)起來(lái)自于真實(shí)的地址,其惡意訪(fǎng)問(wèn)請求也很難從訪(fǎng)問(wèn)流量中剝離,除了通過(guò)網(wǎng)站服務(wù)器擴容來(lái)和攻擊者比拼資源消耗外,還沒(méi)有很好的方法;
3、 攻擊規模大,60Gbps只是我們常態(tài)防御中遇到的中等攻擊流量,在今年的2月我們還遭遇過(guò)160Gbps的大規模攻擊,而從未來(lái)趨勢來(lái)看黑客將更多地運用DNS、NTP等協(xié)議進(jìn)行分布式反射放大拒絕服務(wù)攻擊,能輕易把攻擊流量放大幾十倍到幾百倍,打出幾百G的流量耗盡有限的服務(wù)器資源,而政務(wù)網(wǎng)站現在的主要職能也逐步轉移到了服務(wù)民生,這就對網(wǎng)站的可用性也提出了很高的要求,而現有能抗100G的防DDoS設備也是非常貴,而攻擊者所費的成本可能只有安全設備價(jià)格的萬(wàn)分之一。
再說(shuō)回國家為單位發(fā)動(dòng)的APT攻擊,攻擊者的攻擊目標聚焦一旦聚焦在地方政府的網(wǎng)站上,就可以通過(guò)所有的聊天工具、郵件、論壇和線(xiàn)下的社會(huì )工程等手段試探、滲透、攻擊管理者和IT基礎設施,而每種手段孤立的看不但無(wú)害而且無(wú)法被現有的安全手段檢測出來(lái),但組合起來(lái)就能達到攻擊的目的,這種攻擊的特點(diǎn)就是:很難用原來(lái)安全防御體系的思維去找到一個(gè)可信源。正如賽門(mén)鐵克信息安全高級副總裁布萊恩·代伊前不久發(fā)表關(guān)于“殺毒軟件已死”的言論,其實(shí)也是由于A(yíng)PT攻擊被廣泛應用,導致各類(lèi)安全防御產(chǎn)品基于簽名的技術(shù)模式遇到了挑戰,但大數據的運用可以給我們不一樣的解決之道,如果我們不再糾結于如何尋找信任源,而是通過(guò)大量的防御數據建模和大數據處理能力對信息進(jìn)行抓取和分析,可能更迅速的識別出早期攻擊意圖并能實(shí)施阻斷。
總結以上大規模的復雜模式DDoS攻擊和以國家為單位發(fā)動(dòng)的APT攻擊特點(diǎn),我們可以得出云安全防御架構應具備的基本要求:
1、大規模:應具備幾百G防御DDoS攻擊的清洗能力;
2、低成本:應采用軟件分布式+X86服務(wù)器架構,擺脫硬件定制、具備彈性擴展能力;
3、高精度:應運用大數據分析技術(shù)實(shí)現攻擊的預警和實(shí)時(shí)阻斷;
4、全方位:應具備應用、系統、網(wǎng)絡(luò )全面防御能力;
例如阿里云的云安全服務(wù)——云盾就完全具備以上特點(diǎn):
云盾是阿里巴巴完全自主開(kāi)發(fā)、采用軟件+X86服務(wù)器架構,依托云計算的高彈性擴展和大數據挖掘能力,推出的云安全服務(wù)。在網(wǎng)絡(luò )安全方面具備海量的DDoS攻擊全自動(dòng)防御服務(wù);在系統安全方面:由主機密碼防暴力破解、網(wǎng)站后門(mén)檢測和處理、異地登錄提醒共同組成主機入侵防御系統;在應用安全方面采用大數據分析技術(shù)構建WEB應用防火墻(WAF)和網(wǎng)站漏洞檢測;
以上介紹的還是基于外部攻防的云安全體系構建,但是用戶(hù)最擔心的還是云服務(wù)商是否會(huì )從內部竊取數據,因此結合政務(wù)行業(yè)數據敏感的特點(diǎn)和運營(yíng)實(shí)踐,我們認為應構建覆蓋從數據訪(fǎng)問(wèn)、數據傳輸、數據存儲、數據隔離到數據銷(xiāo)毀各環(huán)節的云端數據安全基線(xiàn)框架。
數據訪(fǎng)問(wèn):客戶(hù)訪(fǎng)問(wèn)云端資源均需通過(guò)同公有云隔離的專(zhuān)屬控制臺進(jìn)行日常操作和運維,客戶(hù)身份鑒別均采用口令結合動(dòng)態(tài)令牌的雙因素認證,客戶(hù)同所購買(mǎi)的云服務(wù)對應關(guān)系采用對稱(chēng)加密對實(shí)現身份抗抵賴(lài);客戶(hù)云端資源訪(fǎng)問(wèn)操作均需通過(guò)堡壘機進(jìn)行并支持實(shí)時(shí)操作審計。云平臺運維人員對政務(wù)云的運維操作均需通過(guò)數據證書(shū)結合動(dòng)態(tài)令牌實(shí)現雙因素認證,操作權限均需經(jīng)過(guò)多層安全審批并進(jìn)行命令級規則固化,違規操作實(shí)時(shí)審計報警。
數據傳輸:針對用戶(hù)個(gè)人賬戶(hù)數據和云端生產(chǎn)數據兩種不同的數據對象,分別從用戶(hù)端到云端、云端各服務(wù)間、云服務(wù)到云服務(wù)控制系統三個(gè)層次進(jìn)行傳輸控制。其中個(gè)人賬戶(hù)數據從客戶(hù)端到云端傳輸均采用ssl加密,從云端各子系統間、云服務(wù)到云服務(wù)控制系統間均采用程序加密保證客戶(hù)個(gè)人賬戶(hù)數據云端不落地。云端生產(chǎn)數據從用戶(hù)端到云端傳輸均只可通過(guò)VPN或專(zhuān)線(xiàn)進(jìn)行,云端存儲應采用服務(wù)端加密并支持用戶(hù)自行密鑰加密數據后云端存儲。
數據存儲:所有用戶(hù)云端生產(chǎn)數據不論使用何種云服務(wù)應采用碎片化分布式離散技術(shù)保存,數據被分割成許多數據片段后遵循隨機算法分散存儲在不同機架上,并且每個(gè)數據片段會(huì )存儲多個(gè)副本。云服務(wù)控制系統應依據不同客戶(hù)ID隔離其云端數據,云存儲可依據客戶(hù)對稱(chēng)加密對進(jìn)行云端存儲空間訪(fǎng)問(wèn)權限控制,保證云端存儲數據的最小授權訪(fǎng)問(wèn)。
數據隔離:政務(wù)云數據隔離應分為物理資源隔離、云端資源隔離兩個(gè)方面。物理資源隔離方面針對行業(yè)監管要求構建政務(wù)云專(zhuān)屬集群,并采用鐵籠包圍結合掌紋識別實(shí)現同公有云集群物理隔離和訪(fǎng)問(wèn)控制。云端資源隔離方面針對同一物理服務(wù)器上的不同虛擬主機可在其生產(chǎn)環(huán)節由可云服務(wù)器的生產(chǎn)系統依據訂單自動(dòng)給每個(gè)用戶(hù)的云服務(wù)器打上標簽,不同的用戶(hù)間通過(guò)由數據鏈路層和網(wǎng)絡(luò )層訪(fǎng)問(wèn)控制技術(shù)組成的安全組進(jìn)行隔離;采用虛擬化重定向技術(shù)(沙盒技術(shù))隔離云平臺內承載信息資源的虛擬主機對平臺物理資源的直接訪(fǎng)問(wèn)。不同客戶(hù)的數據庫服務(wù)通過(guò)實(shí)例隔離,僅給客戶(hù)分配實(shí)例權限。我們通過(guò)二層隔離技術(shù),讓不同的用戶(hù)處于不同的私網(wǎng)。同時(shí),只允許以太網(wǎng)承載白名單中的上層協(xié)議如ARP、IPV4,其它的一概禁止。最后為防范云服務(wù)器被入侵后成為對外攻擊源,我們過(guò)濾了ARP、IPV4或者以太網(wǎng)協(xié)議的任何欺騙性質(zhì)的攻擊報文,并且對云服務(wù)器對外的高危端口的訪(fǎng)問(wèn)速度做了偵測。
數據銷(xiāo)毀:政務(wù)云應采用高級清零手段在用戶(hù)要求刪除數據或設備在棄置、轉售前將其所有數據徹底刪除。針對云計算環(huán)境下因大量硬盤(pán)委外維修或服務(wù)器報廢可能導致的數據失竊風(fēng)險,數據中心全面貫徹替換磁盤(pán)每盤(pán)必消、消磁記錄每盤(pán)可查、消磁視頻每天可溯的標準作業(yè)流程,強化磁盤(pán)消磁作業(yè)視頻監控策略,聚焦監控操作的防抵賴(lài)性和視頻監控記錄保存的完整性。
以上介紹了從外部安全攻防和內部數據安全分別如何構建政務(wù)云的云安全體系,但作為行業(yè)用戶(hù)要使用云平臺,并將關(guān)鍵數據放入云中,就需要對云服務(wù)商有所信任。如果構建這樣的信任關(guān)系?第三方權威認證是很必要的。考慮到政務(wù)行業(yè)的監管特點(diǎn),我們認為等保、ISO27001、云安全國際認證(CSA-STAR)分別覆蓋了國內、國際、云安全這三個(gè)方面的合規安全要求,拿等保來(lái)講云服務(wù)商應保證其提供的云服務(wù)支撐系統通過(guò)公安部信息系統等級保護三級評測;ISO27001方面云服務(wù)商提供的云服務(wù)不但應將相關(guān)的物理基礎納入認證范圍,更應將所提供的云服務(wù)信息安全管理過(guò)程體現在證書(shū)上,以便用戶(hù)從開(kāi)發(fā)、設計、運維和交付個(gè)環(huán)節驗證云服務(wù)的安全性;最后重點(diǎn)介紹下云安全國際認證(CSA-STAR),這是一項全新而有針對性的國際專(zhuān)業(yè)認證項目,由全球標準奠基者——英國標準協(xié)會(huì )(bsi)和國際云安全權威組織云安全聯(lián)盟(CSA)聯(lián)合推出,旨在應對與云安全相關(guān)的特定問(wèn)題。其以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用成熟度模型和評估方法,對提供和使用云計算的任何組織,綜合評估組織云端安全管理和技術(shù)能力,最終給出“不合格-銅牌-銀牌-金牌”四個(gè)級別的獨立第三方外審結論。就安全認證來(lái)講也是首度通過(guò)引入成熟度評估來(lái)實(shí)現對云服務(wù)商安全管理能力的量化、持續評價(jià),能有助于用戶(hù)了解各云服務(wù)商對照業(yè)界最佳實(shí)踐的具體差距,提升云服務(wù)商安全管理的透明度。阿里云已早在去年獲得全球首張云安全國際認證(CSA-STAR)金牌,這是bsi向全球云服務(wù)商頒發(fā)的首張金牌。這也是中國企業(yè)在信息化、云計算領(lǐng)域安全合規方面第一次取得世界領(lǐng)先成績(jì)。
總結下今天分享,政務(wù)行業(yè)真正需要的云應該具備以下幾點(diǎn):
1、 低成本可彈性擴展架構、高精度的大數據運用技術(shù)、大規模DDoS防御能力、全方位的安全服務(wù)內容;
2、 云服務(wù)具備完整的數據安全保護能力;
3、 全面符合國家、國際、云安全合規要求。
希望通過(guò)這次分享,能使各位不但能了解政務(wù)行業(yè)實(shí)際的安全需求、政務(wù)云應該如何構建,更能體會(huì )到云在安全防御上給廣大用戶(hù)帶來(lái)的價(jià)值。
若非建云、焉知安全;若非安全、焉敢入云。
