近年來(lái),云計算已經(jīng)成為整個(gè)互聯(lián)網(wǎng)科技行業(yè)市場(chǎng)常常掛在嘴邊的名詞,云計算的發(fā)展為國內眾多企業(yè)注入了新的活力,由于云計算的技術(shù)先進(jìn)性以及共享的商業(yè)模式帶來(lái)的巨大優(yōu)勢,大量企業(yè)已經(jīng)或正在將自己的數據中心“云化”。
根據美國市場(chǎng)研究機構Synergy Research Group公布的2017 Q1~2018 Q4中國云基礎設施服務(wù)(IaaS)市場(chǎng)份額:
在中國市場(chǎng),阿里云以40.5%的市場(chǎng)份額仍舊位列第一,騰訊云緊追其后,第四季度份額達到16.5%,收入環(huán)比增速34.3%,中國區排名第二。Top5的另外三名則被光環(huán)新網(wǎng)(AWS)、中國電信和中國聯(lián)通包攬。報告中數據還顯示,騰訊云在2018年全年的市場(chǎng)份額中占據15.3%,年收入增速達到104.7% ,在Top5廠(chǎng)商中增速最快,市場(chǎng)潛力不容小覷。
而目前國內云計算龍頭企業(yè)在2018年實(shí)現了213.6億元的營(yíng)收額,足以說(shuō)明國內云計算市場(chǎng)發(fā)展前景。
大量CIO表示業(yè)務(wù)上云之前會(huì )綜合考慮上云后的安全問(wèn)題;同時(shí),一部分的CIO由于對云的不信任導致上云失敗,因此,安全已然成為阻礙企業(yè)向云遷移的公認事實(shí)。
在此背景下,本文簡(jiǎn)單探討了云內各類(lèi)安全風(fēng)險以及風(fēng)險的部分應對措施,希望本文對讀者有所幫助。
二、云內安全風(fēng)險綜述
圍繞安全這個(gè)話(huà)題,我們永遠繞不開(kāi)GRC(Governance、Risk、Compliance),即治理、風(fēng)險和合規。從某種程度上來(lái)說(shuō),合規也是安全風(fēng)險。本節將以此為出發(fā)點(diǎn),集中討論云內的各類(lèi)安全風(fēng)險。
云內風(fēng)險涵蓋面非常廣泛,為了便于閱讀,筆者將云內風(fēng)險按照不同類(lèi)別進(jìn)行分類(lèi),并分別闡述各個(gè)類(lèi)別下需要注意的安全風(fēng)險。
2.1基于部署模型的風(fēng)險
(1)私有云風(fēng)險
私有云是數據中心的傳統形態(tài),企業(yè)控制所有基礎架構,因此,相對于傳統數據中心可能出現的安全風(fēng)險,私有云數據中心也均有可能出現。例如:
- 人員威脅:包括無(wú)意和惡意的威脅,如云架構師錯誤的Hypervisor配置導致隔離失效、惡意管理員“刪庫跑路”。
- 外部攻擊:如未經(jīng)授權的訪(fǎng)問(wèn)、竊聽(tīng)和DDOS攻擊、惡意軟件等
- 監管不合規:相對于公有云、社區云,私有云中的監管合規問(wèn)題相對來(lái)說(shuō)容易解決,因為一切盡在自己的控制之下。
- 自然災害:洪水火災泥石流等。
(2)社區云風(fēng)險
在社區云中,企業(yè)之間共享和分散資源,這種共享和分散資源在為社區提供便利的同時(shí)也帶來(lái)了下述風(fēng)險:
- 分散的決策風(fēng)險:由于社區云由整個(gè)社區共同出資、共同所有、共同維護,網(wǎng)絡(luò )所有權和運營(yíng)也分散在了各個(gè)社區成員之間。因此,每個(gè)節點(diǎn)都有自己的入口,任一節點(diǎn)中的漏洞都可能導致對其他節點(diǎn)的入侵。同時(shí),幾乎無(wú)法實(shí)現統一的配置管理、統一的基線(xiàn)。很明顯,由于社區云屬于大家共同維護,這種分散的運營(yíng)維護將導致策略和管理方面巨大的困難。
- 訪(fǎng)問(wèn)控制難以實(shí)現:由于社區成員分擔基礎架構的開(kāi)銷(xiāo)和成本,訪(fǎng)問(wèn)控制策略措施難以做到統一滿(mǎn)足各個(gè)組織的需要。
- 性能和檢測的集中化管理缺失:各個(gè)社區成員無(wú)法實(shí)現質(zhì)量標準統一的集中化性能和安全檢測帶來(lái)的可靠性。
(3)公有云風(fēng)險
這是企業(yè)上云最常使用的部署模式。私有云和社區云中所有的風(fēng)險在公有云中均存在,當然,本文將討論除此以外的公有云特有風(fēng)險。
- 云服務(wù)供應商Lock-in:想象三種場(chǎng)景,(1)如果企業(yè)沒(méi)有做好盡職調查(Due Diligence),云服務(wù)商很可能使用專(zhuān)有的數據格式存儲企業(yè)的各類(lèi)數據;(2)企業(yè)是個(gè)零售機構,受理全球訂單,云內主要處理訂單支付,因此需要滿(mǎn)足PCI-DSS支付卡行業(yè)標準要求,而目前國內能夠滿(mǎn)足合規要求的云服務(wù)商寥寥無(wú)幾;(3)業(yè)務(wù)已經(jīng)在云內運行5年,且產(chǎn)生了海量數據合同期滿(mǎn)后需要遷移到其他云供應商。這三個(gè)常見(jiàn)的場(chǎng)景將會(huì )帶來(lái)三個(gè)相同的安全風(fēng)險:(1)數據格式專(zhuān)有,導致無(wú)法更換新的云服務(wù)商;(2)假使國內僅有一家云服務(wù)提供商滿(mǎn)足PCI-DSS合規要求,在合同期滿(mǎn)后,云服務(wù)供應商增加使用成本,企業(yè)將失去談判能力且無(wú)法變更云供應商;(3)產(chǎn)生的海量數據遷移需要足夠的帶寬和時(shí)間,同時(shí)短期大量的遷移流量根據云服務(wù)商的階梯式流量費率,可能導致遷移費用大增而放棄遷移。
上述情況均會(huì )導致企業(yè)上云后被云服務(wù)商綁死(Lock-in)。
- 云服務(wù)商Lock-out:想象兩種場(chǎng)景,(1)云服務(wù)商被收購、破產(chǎn)重組(2)云服務(wù)商由于違法導致受到制裁停止運營(yíng)。筆者不將窮舉所有可能導致云服務(wù)商無(wú)法提供服務(wù)的原因,但是這導致企業(yè)上云后的確面臨Lock-out的風(fēng)險:云服務(wù)商停止運營(yíng)后如何保護我們的業(yè)務(wù)和數據持續運行?這里需要綜合考慮云服務(wù)提供商的生命周期、核心競爭力、司法管轄權、供應鏈依賴(lài)性和適用的立法環(huán)境,在前期盡量做好云供應商的選擇。
- 多租戶(hù)風(fēng)險:進(jìn)入公有云意味著(zhù)進(jìn)入多租戶(hù)環(huán)境,多租戶(hù)帶來(lái)的風(fēng)險包括:(1)利益沖突,想象和你運營(yíng)相同業(yè)務(wù)的競爭對手的虛擬機和你在同一朵云中,會(huì )發(fā)生什么?如果云數據庫管理員與競爭對手的關(guān)系非常好呢?你的數據很有可能被數據庫管理員泄露給競爭對手。很明顯,從安全的角度來(lái)說(shuō),這種風(fēng)險并非不存在,但是使用Brewer-Nash(也叫中國墻)訪(fǎng)問(wèn)控制模型可以有效解決這個(gè)風(fēng)險;(2)特權提升,Vm Escape和Host Escape,即虛擬機逃逸和主機逃逸,可以在云中輕松實(shí)現特權提升,并訪(fǎng)問(wèn)同一Host不同Vm或者不同Host中的虛擬機;(3)信息泄露,側信道攻擊方式可以通過(guò)多種方式判斷、檢測到同一Host不同云客戶(hù)的活動(dòng)跡象信息,如客戶(hù)處理數據的時(shí)長(cháng)等,這并非無(wú)害,這可能幫助別有用心的人判斷你選擇的數據處理產(chǎn)品,進(jìn)而有針對性的進(jìn)行漏洞利用;(4)法律活動(dòng),想象由于觸犯法律導致和你處于同一Host中的客戶(hù)硬盤(pán)被司法部門(mén)取證沒(méi)收用以調查,很明顯,由于分布式存儲的特性,你的數據可能也在那塊被取證沒(méi)收的磁盤(pán)中,風(fēng)險不言而喻。
(4)混合云風(fēng)險
混合云風(fēng)險包含私有云、社區云、公有云的所有風(fēng)險,這里不再贅述。
2.2基于服務(wù)模型的風(fēng)險
(1)IaaS模型風(fēng)險
- 人員威脅
- 外部威脅
- 缺乏特定技能:企業(yè)管理員不一定精通云計算環(huán)境的配置和部署,業(yè)務(wù)的運營(yíng)可能面臨巨大的風(fēng)險。
- 互操作性風(fēng)險:PaaS模型中操作系統OS由云服務(wù)提供商進(jìn)行管理和更新,所以當環(huán)境有調整時(shí),企業(yè)自己部署的軟件由于兼容性不一定能正常運行在云服務(wù)商的OS上。
- 后門(mén)風(fēng)險:PaaS常用于軟件開(kāi)發(fā)和DevOps,這些軟件產(chǎn)品發(fā)布后開(kāi)發(fā)人員常常忘記把前期自己留的后門(mén)刪除,導致后期出現0day漏洞。
(3)SaaS模型風(fēng)險
- 專(zhuān)有格式:SaaS意味著(zhù)使用云提供商的應用,他們可能使用自己的專(zhuān)有格式收集、存儲和現實(shí)數據,這可能導致可移植性的降低。
- Web應用安全:大多數SaaS產(chǎn)品依賴(lài)于瀏覽器訪(fǎng)問(wèn),通過(guò)web的訪(fǎng)問(wèn)導致Owasp Top10中所有風(fēng)險均存在于SaaS云環(huán)境中。
2.3基于虛擬化類(lèi)型的風(fēng)險
(1)Type1類(lèi)型風(fēng)險
Type1類(lèi)型即裸金屬架構,采用虛擬化管理軟件Hypervisor作為虛擬化實(shí)例和主機資源之間的接口和控制器。惡意黑客認為Hypervisor是一個(gè)潛在的攻擊目標,因為系統中較低層提供了更大的控制。通過(guò)破壞Hypervisor,可以控制已安裝的VM、物理系統和托管應用程序。
常見(jiàn)攻擊包括超級劫持(安裝可以完全控制服務(wù)器的流氓虛擬機管理程序),例如SubVir,Blue Pill(使用AMD安全虛擬機[SVM]的hypervisor rootkit),Vitriol(使用Intel VT-x的Hypervisor rootkit),以及直接內核結構操作(DKSM)。
(2)Type2類(lèi)型風(fēng)險
Type2類(lèi)型即宿主架構,它具有Type1類(lèi)型的所有風(fēng)險,同時(shí)相比于Type1類(lèi)型,Type2類(lèi)型多了一層OS,從安全的角度來(lái)看,新加入的OS引入了更多的攻擊面,這個(gè)OS比VMM更復雜,可能含有更多的漏洞。
2.4其他類(lèi)型的風(fēng)險
上述根據不同分類(lèi)列舉的風(fēng)險難以囊括云環(huán)境中企業(yè)可能面臨的所有安全風(fēng)險,筆者也不打算將所有云內風(fēng)險全部羅列出來(lái),本文僅討論以下重要的云內風(fēng)險內容。下面簡(jiǎn)單闡述每個(gè)所列舉風(fēng)險的基本含義,有時(shí)間再進(jìn)行詳細說(shuō)明。
- 隱私風(fēng)險:云內數據大集中意味著(zhù)風(fēng)險大集中,隱私安全作為數據安全的一部分在國內外均格外受到重視。云存儲中可能包含眾多的公民隱私PII數據,這些PII數據如果沒(méi)有得到有效的保護,將會(huì )受到法律的制裁。國際上,歐盟GDPR立法對公民隱私保護提出了現有最高要求,各國處理、存儲、采集歐盟成員國公民PII數據均需要滿(mǎn)足GDPR或者簽署具有同等效力的合同約束,或者制定專(zhuān)門(mén)法律以滿(mǎn)足GDPR要求,如美國的安全港協(xié)議和隱私保護盾協(xié)議。除了歐盟,美國GAPP、國際ISO 27018、OECD均對公民個(gè)人隱私保護提出了安全保護要求,在考慮云環(huán)境時(shí)需要考慮業(yè)務(wù)環(huán)境是否面臨滿(mǎn)足上述隱私安全合規風(fēng)險。同時(shí),隱私保護也不僅僅時(shí)為了合規,合規只是下線(xiàn),如何確保業(yè)務(wù)數據中的隱私信息能夠滿(mǎn)足實(shí)際生產(chǎn)需求,可能需要更多考慮,這里可以考慮匿名化、加密、脫敏、hash、去標簽化、屏蔽等各種隱私數據模糊化技術(shù)手段。
- 審計風(fēng)險:云環(huán)境導致數據全球化存儲、地域分散式存儲,云技術(shù)導致數據高度動(dòng)態(tài)存儲,多數據中心導致數據位置與企業(yè)地理分離,這些因素都導致傳統的審計無(wú)法或難以適用于云環(huán)境。
- 合規風(fēng)險:云計算業(yè)務(wù)在國際上飛速發(fā)展,每個(gè)國家針對云計算業(yè)務(wù)安全性制定了專(zhuān)門(mén)的規章和標準,如國內等保2.0云計算安全擴展要求、美國FedRamp等,企業(yè)需要根據實(shí)際情況驗證云供應商是否能夠提供滿(mǎn)足合規要求的安全能力。對于一些國際貿易公司、跨國企業(yè),這里推薦采用CCSL、CSA STAR(包括CCM和CAIQ)兩個(gè)工具交叉驗證云供應商合規性滿(mǎn)足能力。同時(shí),云計算導致企業(yè)更加難以應對合規性要求。尤其對于運行在公有云環(huán)境中的組織。國內企業(yè)可能在這一點(diǎn)上稍微好處理,對于跨國企業(yè),企業(yè)數據分布在世界各地,可能面臨各國合規性要求不同帶來(lái)的違法違規風(fēng)險。比如美國FIPS 140-2標準要求所有密鑰存儲設備均有硬件保護機制,很明顯,云中運行的應用難以滿(mǎn)足FIPS 140-2要求。
- 數據風(fēng)險:數據從創(chuàng )建、傳輸、存儲、共享、歸檔、銷(xiāo)毀的各個(gè)生命周期均面臨不同的安全風(fēng)險,展開(kāi)來(lái)講可能需要20頁(yè)的A4紙才能闡述清楚,這個(gè)不做過(guò)多介紹。
- 應用風(fēng)險:應用遷移風(fēng)險、應用開(kāi)發(fā)文檔缺失風(fēng)險、傳統應用不一定適用于云環(huán)境、應用隔離風(fēng)險、API風(fēng)險(未經(jīng)驗證的API和API供應鏈安全)、應用整合風(fēng)險等對應用安全提出了較高的挑戰,每一項都具有很大的威脅性。
- 運營(yíng)風(fēng)險:運營(yíng)風(fēng)險是指云內運營(yíng)時(shí)候可能出現的各種風(fēng)險狀況。合理配置BIOS、合理使用TPM、正確配置存儲控制器(Vlan隔離、kerberos/SRP/CHAP身份驗證、IpSEC加密等)、網(wǎng)絡(luò )控制器(端口及端口組隔離、管理網(wǎng)隔離、網(wǎng)絡(luò )冗余、加密等)、對console-based訪(fǎng)問(wèn)嚴格控制均需要注意。尤其注意云內補丁維護,因為虛擬機鏡像無(wú)法打補丁,所以自動(dòng)化補丁管理可能需要注意以文件形式存儲的虛擬機鏡像實(shí)例的補丁更新問(wèn)題。
- 取證風(fēng)險:云技術(shù)的發(fā)展不僅帶來(lái)了優(yōu)越性,也導致云環(huán)境中的司法取證過(guò)程變得更加困難。虛擬機漂移導致無(wú)法定位待取證虛擬機位置,分布式存儲帶來(lái)的數據分散化導致取證需要涉及多個(gè)物理位置,多租戶(hù)導致取證時(shí)可能侵犯其他租戶(hù)隱私數據,這些都是云計算帶來(lái)了特有安全風(fēng)險。
- 供應鏈風(fēng)險:不論采用公有云部署還是私有云部署,都可能遇到比傳統環(huán)境更加復雜的供應鏈問(wèn)題。國內大部分IaaS交付的云環(huán)境,其服務(wù)器、存儲物理設備一般采用第三方專(zhuān)業(yè)廠(chǎng)商產(chǎn)品,或者白牌產(chǎn)品,這將導致我們除了衡量云服務(wù)提供商以外,還需要考慮云服務(wù)提供商采用的下游供應商;同樣,PaaS和SaaS服務(wù)模型其操作系統、應用軟件、應用軟件代碼庫一般都可以有多個(gè)供應商可供選擇,這些二級供應商都是需要嚴格考慮的安全風(fēng)險,畢竟經(jīng)濟損失可以轉移,安全責任是無(wú)法轉移的。
三、第三方機構對云內風(fēng)險的總結
目前國際上可以借鑒的云內風(fēng)險報告包括2013年發(fā)布的Notorious 9、2016年發(fā)布的The Treacherous12和ENISA Top 8。
Notorious 9列出了9大云內安全風(fēng)險,包括:數據泄露、數據丟失(當客戶(hù)將加密信息上載到云環(huán)境時(shí),加密密鑰將成為確保數據不會(huì )丟失并保持可用的關(guān)鍵組件。因為丟失相關(guān)的加密密鑰會(huì )導致數據丟失)、賬戶(hù)/服務(wù)流量劫持、不安全的接口和API、拒絕服務(wù)、惡意內部人員、濫用云服務(wù)、盡職調查不足、共享技術(shù)漏洞(所有租戶(hù)共享相同底層架構,相同的漏洞導致一損俱損)。
云計算頂級威脅The Treacherous12列出了12大安全風(fēng)險,包括:數據泄露、憑據或身份驗證遭到攻擊或破壞、接口和API被黑客攻擊、利用系統漏洞、賬戶(hù)被劫持、來(lái)自企業(yè)內部的惡意人員、APT攻擊、永久性的數據丟失、缺乏盡職調查、云服務(wù)的濫用、DoS攻擊、共享技術(shù)漏洞。
這兩份云環(huán)境安全風(fēng)險調查報告有很多相同的部分,這里不再展開(kāi)詳述,讀者可以自尋相同點(diǎn),必定可以發(fā)現云內重要安全風(fēng)險所在。
除了上述CSA發(fā)布的云內安全風(fēng)險以外,歐盟ENISA也發(fā)布了云內8個(gè)頂級安全風(fēng)險,本文列出以供參考:
ENISA Top 8:治理缺失、lock-in、隔離失效、不安全或不完整的數據刪除、惡意內部人員、管理平面失效、合規風(fēng)險和數據保護。
四、云內安全展望
從安全的角度來(lái)看,識別云計算風(fēng)險只是風(fēng)險管理的第一步,但只有識別清楚云內風(fēng)險,才能進(jìn)行下一步的風(fēng)險分析、設計風(fēng)險控制措施、判斷殘余風(fēng)險和實(shí)行風(fēng)險監督。
本文只是簡(jiǎn)單的羅列出云內可能出現的重要的安全風(fēng)險,并進(jìn)行了簡(jiǎn)單的概括性闡述,希望對讀者有所幫助。
作者介紹:
張德俊,就職于國內網(wǎng)絡(luò )安全公司,在網(wǎng)絡(luò )安全、云安全、云計算等方面有較多工作經(jīng)驗,獲得CISSP、CCSP、CCSK、CISP等云安全、網(wǎng)絡(luò )安全國際和國內認證。
