针对“云计算”服务安全思路的改进
---
花瓶模型
V4.0
Jack zhai
问题提出:
随着云计算与物联网的兴起,使得互联网正在日益
“
城市化
”
,传统的四合院
(
城域网
)
正在被摩天大楼
(
云计算数据中心
)
取代,刚刚组建不久的
“
地球村
”
很快发展成
“
地球城
”
;物联网正在把
“
城
”
中所有的物品信息化,现实世界与虚拟世界正在成为
“
实时
”
的对照版。
但云计算服务模式也为信息安全带来新的问题,虚拟化的服务,不同用户的业务“同时”运行在一个服务“容器”内,传统信息安全的边界隔离思路得到了抑制,安全的边界没有了,传统的安全设备,如防火墙、入侵检测该部署在哪里?没有了安全的保障,用户如愿意使用你的服务吗?
云服务是一种交付服务模式的改变,针对这种服务模式,我们对信息安全体系建设的“花瓶模型”进行了改进,提出了服务访问边界的概念,引入了业务的逻辑边界,也就是虚拟机之间的边界,它包括互为“邻居”的虚拟机之间,以及虚拟机与生成它的“母体”
---
云操作系统之间的边界。
安全监控的概念也从对实际设备与系统的监控,发展到对虚拟机内与外的监控,一方面,在建立虚拟机的时候,不仅分配相应的计算、存储、网络资源,还根据管理与用户业务的需要,分配相应的安全资源,如虚拟防火墙、虚拟入侵检测、虚拟病毒过滤等,为户用提供的不再是“毛坯房”,而是“精装修的公寓”。另一方面,对云操作系统环境的监控成为整个云服务安全的重点,进入到这里就可以控制所有应用的业务走向。第三方面,是对云服务接入区域的监控,这里汇集了各种用户业务的流量,鱼龙混杂,也是黑客与蠕虫攻击的门户,实际上是云服务中心的“大门”。
“花瓶模型”描述:
“花瓶模型”是信息安全建设规划的指导模型,是一个遵照动态安全事件处理
(PDR
模型
)
的基线建设模型。
按照安全事件应急处理的思路,把处理过程分为不同阶段,除了合乎等级保护的保障要求外,再采用静态的风险分析方式,分析每个阶段内各个环节的可能漏洞,建立该阶段的安全建设基线,最终形成整个安全事件处理过程的保障建设基线。
安全事件处理分为三个阶段:
Ø
事前:安全防护基线,明确边界,划分安全区域,把要保护的资源与攻击者分开,修建隔离墙,设立边界检查措施,通过增加“空间”距离,减少与外界的通道,提高入侵的门槛与难度;
Ø
事中:动态监控基线,边界外要观察攻击者的动向,边界内要注意一些用户的异常行为,一旦发现“乔装”进入的入侵者,就立即报警、截获。监控的目标是在入侵者造成破坏之前尽快发现对方,及时应对,减少可能的损失;
Ø
事后:取证追究责任人,震慑攻击者,也就是信任管理基线,处理完事件过后,要追查入侵者进入的途径,看看问题出在哪里,对入侵者的行为记录进行分析,从而发现防护体系与监控体系的漏洞,防止入侵者再次进入。
进一步细化防护、监控、信任三个体系的安全基线,就形成了“花瓶”模型
(
形状如花瓶而得名,也寓意安全管理人员的工作如同手捧花瓶,要时刻小心,稍有疏忽,漂亮的花瓶可能就摔得粉碎。安全管理工作的要点是“百密无一疏”
)
。
1)
防护体系:防护的重点是边界,不仅是真实的网络边界、人机边界,还有虚拟的业务访问边界,花瓶模型中给出了五大边界需要重点防护
a)
网络边界:网络的出口,外边是不可控区域,必须建立良好的防护措施,常见的安全技术如
FW
、
IPS
、
UTM
、业务代理、网闸等,网站的出口还可选择
WAF
b)
安全域边界:安全域是根据网络功能区分的不同的资源区域,或者是根据管理需要进行不同部门之间的隔离,安全域能够清晰地从网络层进行安全隔离,常见安全技术如
VLAN
、
FW
等
c)
服务访问边界:网络上经常同时运行多个应用系统,一个应用系统上可能提供多项服务
(
云计算服务就是其中一种
)
,每个用户也可以访问多个应用,使用多个服务。我们需要隔离出不用业务
(
用户
)
的虚拟网络与应用系统,同时还要避免虚拟机内的用户上升到云操作系统上来。应用访问边界通常采用用户授权来进行控制,一方面可以根据用户身份限制其访问的应用区域
(
网络层
)
、服务端口
(
传输层
)
,另一方面可以通过应用系统的账号管理、身份鉴别技术控制用户是否可以访问该应用系统,在应用系统内部还可以通过对功能模块单独授权的方式,限制用户对同一应用系统的不同服务的使用权限
d)
服务器:主机管理的人机界面,一般采用操作系统加固、数据库加固方式,最小授权分配管理人员与用户的权限
e)
终端:人机界面管理,如用户登录、介质管理、非法外联、数据加密等,也可以进行安全策略实施,如红、白、黑名单软件
2)
监控体系:展示系统的整体安全态势,了解网络内的“风吹草动”,是及时发现入侵与违规事件的数据来源。对于云计算来说,监控体系分连个层面:对虚拟机的监控,对云计算管理平台的监控。每个层面都有五大监控要点:
a)
病毒与木马:特点是自我复制、无孔不入,对网络的性能危害极大;一般可从网络上拦截与主机
(
终端与服务器内的监控软件
)
监控
b)
入侵与异常行为:入侵行为多是隐蔽的,需要在网络与主机上多点监控,通过特征匹配、行为匹配等方式发现入侵者,对内部人员的异常行为,如大量下载资料,非正常时间访问等也应该列入异常监控的范围
c)
流量异常:通过收集网络中各关键点的流量信息,监控流量总体动态,建立流量的基线模型,同时对流量的组成要能根据业务种类、用户、访问方向进行分详细析。造成流量异常一般有四种原因:一是蠕虫病毒发作;二是恶意攻击
(
如
DDOS)
,三是凸现业务热点
(
业务正常访问突然增加,如重大新闻发布
)
,四是网络故障,造成其他业务访问集中到本地
d)
设备与系统状态:设备的硬件故障必然引起业务访问的动荡
(
虚拟机环境是虚拟设备的状态
)
,因此,了解网络、安全、传输、服务器、存储等设备与系统的状态,是分析总体安全态势的基础
e)
业务服务状态:信息安全是保障业务服务能力的,因此,对业务服务的进程状态、用户数量、磁盘空间等涉及服务能力的安全指标都要实时监控
3)
信任体系:对“合法”用户的行为监控,是通过审计方式实现的,要审计,必须先鉴别用户身份,明确用户权限,然后对用户的行为进行详细记录,并且不允许删除或修改记录。信任体系的三要素:
a)
身份鉴别:可选用账号口令方式,也可以选择
CA
证书方式,目的就是唯一确认用户的身份。身份鉴别一般出现在用户登录主机
(
本地登录
)
、登录网络、登录业务系统三个登录点上
b)
授权管理:用户可使用的资源,以及可进行动作的限制。授权是由安全管理员赋予的,违反授权的访问是因该被禁止的
c)
行为审计:审计就是行为的记录,如对数据的操作、配置的更改等。根据审计的目标可采用不同的安全审计措施,下面是常见的几种:
i.
网络行为审计:用户访问网络的资源情况
ii.
主机行为审计:服务器或终端上的行为审计,如服务器上的帐户管理、数据维护,终端上的移动介质使用、外联网络情况等
iii.
互联网行为审计:一般放在网络的互联网出口,对内部用户访问互联网的行为进行审计
iv.
运维审计:针对维护人员的日常管理工作进行审计,主要是网络、安全、服务器、数据库、存储等设备的日常维护行为记录
v.
业务合规性审计:针对用户业务操作、业务处理等行为的审计
4)
安全管理平台:网络公共安全设施,是配合防护、监控、信任安全体系的实施与管理的,也是安全管理人员对网络公共安全维护工作的操作平台,俗称
SOC
。安全管理平台一般包含五方面的工作:
a)
资产管理:了解自己的家底是安全管理的基础,也是监控体系终端关注的对象,包括硬件设备与软件系统,物理的与虚拟的。常见的如动态的网络拓扑、资源注册表等
b)
数据备份与恢复:数据备份是后台基础的安全措施,业务数据是业务运营的核心,有了数据就可以在灾难后恢复系统的运行状态
c)
安全运维:安全管理人员不仅要负责网络公共部分的日常管理,还要对各业务系统的用户进行安全方面的服务,如终端安全问题的解决、违规安全事件的查处等,流程化、规范化的运维管理流程是提高运维服务质量的基础
d)
配置变更管理:系统的安全配置是安全策略的实地部署,直接影响安全防护、监控、审计的保障效果,因此配置的变更要协调一致,不能出错;安全配置数据就是整体安全运维系统的基础数据,同业务数据一样重要
e)
漏洞与补丁管理:补丁管理是后台基础的安全措施,发现漏洞就应该及时打补丁,但补丁可能与原有的业务系统有冲突,因此对补丁的安装时有选择的。补丁管理需要维护终端、服务器、数据库、应用软件的各种补丁与最新可用软件资源,保证网络用户的及时更新
安全基线保障思路,是三条安全措施基线加一个平台,各种安全措施相互配合,相互补充,在安全保障总体设计时,要注意三条基线的相对均衡,某一项过强,未必提升整体安全防护能力,却造成资金的不必要浪费;某项过弱,则把整体保障的能力拉下来,造成安全体系的短板。
这里提到的安全保障思路、安全措施,都是为了解决用户具体的安全需求,不局限现有的技术手段。一方面,入侵者还在不断进步,新式的攻击技术与手段层处不穷,我们防护的手段也要不断地升级,以适应对手的变化。另一方面,对付同一种入侵技术,随着技术的进步,更准确、更廉价的措施也会不断出新,我们应该及时更新,合理部署,保持安全架构中的各个安全措施始终处于最佳状态。