針對(duì)“云計(jì)算”服務(wù)安全思路的改進(jìn) ---花瓶模型V4.0 Jack zhai 問題提出： 隨著云計(jì)算與物聯(lián)網(wǎng)的興起，使得互聯(lián)網(wǎng)正在日益“城市化”，傳統(tǒng)的四合院(城域網(wǎng))正在被摩天大樓(云計(jì)算數(shù)據(jù)中心)取代，剛剛組建不久的“地球村”很快發(fā)展成“地球城”；物聯(lián)網(wǎng)正在把“城”中所有的物品信息化，現(xiàn)實(shí)世界與虛擬世界正在成為“實(shí)時(shí)”的對(duì)照版。 但云計(jì)算服務(wù)模式也為信息安全帶來新的問題，虛擬化的服務(wù)，不同用戶的業(yè)務(wù)“同時(shí)”運(yùn)行在一個(gè)服務(wù)“容器”內(nèi)，傳統(tǒng)信息安全的邊界隔離思路得到了抑制，安全的邊界沒有了，傳統(tǒng)的安全設(shè)備，如防火墻、入侵檢測該部署在哪里？沒有了安全的保障，用戶如愿意使用你的服務(wù)嗎？ 云服務(wù)是一種交付服務(wù)模式的改變，針對(duì)這種服務(wù)模式，我們對(duì)信息安全體系建設(shè)的“花瓶模型”進(jìn)行了改進(jìn)，提出了服務(wù)訪問邊界的概念，引入了業(yè)務(wù)的邏輯邊界，也就是虛擬機(jī)之間的邊界，它包括互為“鄰居”的虛擬機(jī)之間，以及虛擬機(jī)與生成它的“母體”---云操作系統(tǒng)之間的邊界。 安全監(jiān)控的概念也從對(duì)實(shí)際設(shè)備與系統(tǒng)的監(jiān)控，發(fā)展到對(duì)虛擬機(jī)內(nèi)與外的監(jiān)控，一方面，在建立虛擬機(jī)的時(shí)候，不僅分配相應(yīng)的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源，還根據(jù)管理與用戶業(yè)務(wù)的需要，分配相應(yīng)的安全資源，如虛擬防火墻、虛擬入侵檢測、虛擬病毒過濾等，為戶用提供的不再是“毛坯房”，而是“精裝修的公寓”。另一方面，對(duì)云操作系統(tǒng)環(huán)境的監(jiān)控成為整個(gè)云服務(wù)安全的重點(diǎn)，進(jìn)入到這里就可以控制所有應(yīng)用的業(yè)務(wù)走向。第三方面，是對(duì)云服務(wù)接入?yún)^(qū)域的監(jiān)控，這里匯集了各種用戶業(yè)務(wù)的流量，魚龍混雜，也是黑客與蠕蟲攻擊的門戶，實(shí)際上是云服務(wù)中心的“大門”。 “花瓶模型”描述： “花瓶模型”是信息安全建設(shè)規(guī)劃的指導(dǎo)模型，是一個(gè)遵照動(dòng)態(tài)安全事件處理(PDR模型)的基線建設(shè)模型。 按照安全事件應(yīng)急處理的思路，把處理過程分為不同階段，除了合乎等級(jí)保護(hù)的保障要求外，再采用靜態(tài)的風(fēng)險(xiǎn)分析方式，分析每個(gè)階段內(nèi)各個(gè)環(huán)節(jié)的可能漏洞，建立該階段的安全建設(shè)基線，最終形成整個(gè)安全事件處理過程的保障建設(shè)基線。 安全事件處理分為三個(gè)階段： ???事前：安全防護(hù)基線，明確邊界，劃分安全區(qū)域，把要保護(hù)的資源與攻擊者分開，修建隔離墻，設(shè)立邊界檢查措施，通過增加“空間”距離，減少與外界的通道，提高入侵的門檻與難度； ???事中：動(dòng)態(tài)監(jiān)控基線，邊界外要觀察攻擊者的動(dòng)向，邊界內(nèi)要注意一些用戶的異常行為，一旦發(fā)現(xiàn)“喬裝”進(jìn)入的入侵者，就立即報(bào)警、截獲。監(jiān)控的目標(biāo)是在入侵者造成破壞之前盡快發(fā)現(xiàn)對(duì)方，及時(shí)應(yīng)對(duì)，減少可能的損失； ???事后：取證追究責(zé)任人，震懾攻擊者，也就是信任管理基線，處理完事件過后，要追查入侵者進(jìn)入的途徑，看看問題出在哪里，對(duì)入侵者的行為記錄進(jìn)行分析，從而發(fā)現(xiàn)防護(hù)體系與監(jiān)控體系的漏洞，防止入侵者再次進(jìn)入。 進(jìn)一步細(xì)化防護(hù)、監(jiān)控、信任三個(gè)體系的安全基線，就形成了“花瓶”模型(形狀如花瓶而得名，也寓意安全管理人員的工作如同手捧花瓶，要時(shí)刻小心，稍有疏忽，漂亮的花瓶可能就摔得粉碎。安全管理工作的要點(diǎn)是“百密無一疏”)。 1)?????????防護(hù)體系：防護(hù)的重點(diǎn)是邊界，不僅是真實(shí)的網(wǎng)絡(luò)邊界、人機(jī)邊界，還有虛擬的業(yè)務(wù)訪問邊界，花瓶模型中給出了五大邊界需要重點(diǎn)防護(hù) a)?????????網(wǎng)絡(luò)邊界：網(wǎng)絡(luò)的出口，外邊是不可控區(qū)域，必須建立良好的防護(hù)措施，常見的安全技術(shù)如FW、IPS、UTM、業(yè)務(wù)代理、網(wǎng)閘等，網(wǎng)站的出口還可選擇WAF b)?????????安全域邊界：安全域是根據(jù)網(wǎng)絡(luò)功能區(qū)分的不同的資源區(qū)域，或者是根據(jù)管理需要進(jìn)行不同部門之間的隔離，安全域能夠清晰地從網(wǎng)絡(luò)層進(jìn)行安全隔離，常見安全技術(shù)如VLAN、FW等 c)?????????服務(wù)訪問邊界：網(wǎng)絡(luò)上經(jīng)常同時(shí)運(yùn)行多個(gè)應(yīng)用系統(tǒng)，一個(gè)應(yīng)用系統(tǒng)上可能提供多項(xiàng)服務(wù)(云計(jì)算服務(wù)就是其中一種)，每個(gè)用戶也可以訪問多個(gè)應(yīng)用，使用多個(gè)服務(wù)。我們需要隔離出不用業(yè)務(wù)(用戶)的虛擬網(wǎng)絡(luò)與應(yīng)用系統(tǒng)，同時(shí)還要避免虛擬機(jī)內(nèi)的用戶上升到云操作系統(tǒng)上來。應(yīng)用訪問邊界通常采用用戶授權(quán)來進(jìn)行控制，一方面可以根據(jù)用戶身份限制其訪問的應(yīng)用區(qū)域(網(wǎng)絡(luò)層)、服務(wù)端口(傳輸層)，另一方面可以通過應(yīng)用系統(tǒng)的賬號(hào)管理、身份鑒別技術(shù)控制用戶是否可以訪問該應(yīng)用系統(tǒng)，在應(yīng)用系統(tǒng)內(nèi)部還可以通過對(duì)功能模塊單獨(dú)授權(quán)的方式，限制用戶對(duì)同一應(yīng)用系統(tǒng)的不同服務(wù)的使用權(quán)限 d)?????????服務(wù)器：主機(jī)管理的人機(jī)界面，一般采用操作系統(tǒng)加固、數(shù)據(jù)庫加固方式，最小授權(quán)分配管理人員與用戶的權(quán)限 e)?????????終端：人機(jī)界面管理，如用戶登錄、介質(zhì)管理、非法外聯(lián)、數(shù)據(jù)加密等，也可以進(jìn)行安全策略實(shí)施，如紅、白、黑名單軟件 2)?????????監(jiān)控體系：展示系統(tǒng)的整體安全態(tài)勢，了解網(wǎng)絡(luò)內(nèi)的“風(fēng)吹草動(dòng)”，是及時(shí)發(fā)現(xiàn)入侵與違規(guī)事件的數(shù)據(jù)來源。對(duì)于云計(jì)算來說，監(jiān)控體系分連個(gè)層面：對(duì)虛擬機(jī)的監(jiān)控，對(duì)云計(jì)算管理平臺(tái)的監(jiān)控。每個(gè)層面都有五大監(jiān)控要點(diǎn)： a)?????????病毒與木馬：特點(diǎn)是自我復(fù)制、無孔不入，對(duì)網(wǎng)絡(luò)的性能危害極大；一般可從網(wǎng)絡(luò)上攔截與主機(jī)(終端與服務(wù)器內(nèi)的監(jiān)控軟件)監(jiān)控 b)?????????入侵與異常行為：入侵行為多是隱蔽的，需要在網(wǎng)絡(luò)與主機(jī)上多點(diǎn)監(jiān)控，通過特征匹配、行為匹配等方式發(fā)現(xiàn)入侵者，對(duì)內(nèi)部人員的異常行為，如大量下載資料，非正常時(shí)間訪問等也應(yīng)該列入異常監(jiān)控的范圍 c)?????????流量異常：通過收集網(wǎng)絡(luò)中各關(guān)鍵點(diǎn)的流量信息，監(jiān)控流量總體動(dòng)態(tài)，建立流量的基線模型，同時(shí)對(duì)流量的組成要能根據(jù)業(yè)務(wù)種類、用戶、訪問方向進(jìn)行分詳細(xì)析。造成流量異常一般有四種原因：一是蠕蟲病毒發(fā)作；二是惡意攻擊(如DDOS)，三是凸現(xiàn)業(yè)務(wù)熱點(diǎn)(業(yè)務(wù)正常訪問突然增加，如重大新聞發(fā)布)，四是網(wǎng)絡(luò)故障，造成其他業(yè)務(wù)訪問集中到本地 d)?????????設(shè)備與系統(tǒng)狀態(tài)：設(shè)備的硬件故障必然引起業(yè)務(wù)訪問的動(dòng)蕩(虛擬機(jī)環(huán)境是虛擬設(shè)備的狀態(tài))，因此，了解網(wǎng)絡(luò)、安全、傳輸、服務(wù)器、存儲(chǔ)等設(shè)備與系統(tǒng)的狀態(tài)，是分析總體安全態(tài)勢的基礎(chǔ) e)?????????業(yè)務(wù)服務(wù)狀態(tài)：信息安全是保障業(yè)務(wù)服務(wù)能力的，因此，對(duì)業(yè)務(wù)服務(wù)的進(jìn)程狀態(tài)、用戶數(shù)量、磁盤空間等涉及服務(wù)能力的安全指標(biāo)都要實(shí)時(shí)監(jiān)控 3)?????????信任體系：對(duì)“合法”用戶的行為監(jiān)控，是通過審計(jì)方式實(shí)現(xiàn)的，要審計(jì)，必須先鑒別用戶身份，明確用戶權(quán)限，然后對(duì)用戶的行為進(jìn)行詳細(xì)記錄，并且不允許刪除或修改記錄。信任體系的三要素： a)?????????身份鑒別：可選用賬號(hào)口令方式，也可以選擇CA證書方式，目的就是唯一確認(rèn)用戶的身份。身份鑒別一般出現(xiàn)在用戶登錄主機(jī)(本地登錄)、登錄網(wǎng)絡(luò)、登錄業(yè)務(wù)系統(tǒng)三個(gè)登錄點(diǎn)上 b)?????????授權(quán)管理：用戶可使用的資源，以及可進(jìn)行動(dòng)作的限制。授權(quán)是由安全管理員賦予的，違反授權(quán)的訪問是因該被禁止的 c)?????????行為審計(jì)：審計(jì)就是行為的記錄，如對(duì)數(shù)據(jù)的操作、配置的更改等。根據(jù)審計(jì)的目標(biāo)可采用不同的安全審計(jì)措施，下面是常見的幾種： i.??????????????網(wǎng)絡(luò)行為審計(jì)：用戶訪問網(wǎng)絡(luò)的資源情況 ii.??????????????主機(jī)行為審計(jì)：服務(wù)器或終端上的行為審計(jì)，如服務(wù)器上的帳戶管理、數(shù)據(jù)維護(hù)，終端上的移動(dòng)介質(zhì)使用、外聯(lián)網(wǎng)絡(luò)情況等 iii.??????????????互聯(lián)網(wǎng)行為審計(jì)：一般放在網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口，對(duì)內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為進(jìn)行審計(jì) iv.??????????????運(yùn)維審計(jì)：針對(duì)維護(hù)人員的日常管理工作進(jìn)行審計(jì)，主要是網(wǎng)絡(luò)、安全、服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)等設(shè)備的日常維護(hù)行為記錄 v.??????????????業(yè)務(wù)合規(guī)性審計(jì)：針對(duì)用戶業(yè)務(wù)操作、業(yè)務(wù)處理等行為的審計(jì) 4)?????????安全管理平臺(tái)：網(wǎng)絡(luò)公共安全設(shè)施，是配合防護(hù)、監(jiān)控、信任安全體系的實(shí)施與管理的，也是安全管理人員對(duì)網(wǎng)絡(luò)公共安全維護(hù)工作的操作平臺(tái)，俗稱SOC。安全管理平臺(tái)一般包含五方面的工作： a)?????????資產(chǎn)管理：了解自己的家底是安全管理的基礎(chǔ)，也是監(jiān)控體系終端關(guān)注的對(duì)象，包括硬件設(shè)備與軟件系統(tǒng)，物理的與虛擬的。常見的如動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)洹①Y源注冊(cè)表等 b)?????????數(shù)據(jù)備份與恢復(fù)：數(shù)據(jù)備份是后臺(tái)基礎(chǔ)的安全措施，業(yè)務(wù)數(shù)據(jù)是業(yè)務(wù)運(yùn)營的核心，有了數(shù)據(jù)就可以在災(zāi)難后恢復(fù)系統(tǒng)的運(yùn)行狀態(tài) c)?????????安全運(yùn)維：安全管理人員不僅要負(fù)責(zé)網(wǎng)絡(luò)公共部分的日常管理，還要對(duì)各業(yè)務(wù)系統(tǒng)的用戶進(jìn)行安全方面的服務(wù)，如終端安全問題的解決、違規(guī)安全事件的查處等，流程化、規(guī)范化的運(yùn)維管理流程是提高運(yùn)維服務(wù)質(zhì)量的基礎(chǔ) d)?????????配置變更管理：系統(tǒng)的安全配置是安全策略的實(shí)地部署，直接影響安全防護(hù)、監(jiān)控、審計(jì)的保障效果，因此配置的變更要協(xié)調(diào)一致，不能出錯(cuò)；安全配置數(shù)據(jù)就是整體安全運(yùn)維系統(tǒng)的基礎(chǔ)數(shù)據(jù)，同業(yè)務(wù)數(shù)據(jù)一樣重要 e)?????????漏洞與補(bǔ)丁管理：補(bǔ)丁管理是后臺(tái)基礎(chǔ)的安全措施，發(fā)現(xiàn)漏洞就應(yīng)該及時(shí)打補(bǔ)丁，但補(bǔ)丁可能與原有的業(yè)務(wù)系統(tǒng)有沖突，因此對(duì)補(bǔ)丁的安裝時(shí)有選擇的。補(bǔ)丁管理需要維護(hù)終端、服務(wù)器、數(shù)據(jù)庫、應(yīng)用軟件的各種補(bǔ)丁與最新可用軟件資源，保證網(wǎng)絡(luò)用戶的及時(shí)更新 安全基線保障思路，是三條安全措施基線加一個(gè)平臺(tái)，各種安全措施相互配合，相互補(bǔ)充，在安全保障總體設(shè)計(jì)時(shí)，要注意三條基線的相對(duì)均衡，某一項(xiàng)過強(qiáng)，未必提升整體安全防護(hù)能力，卻造成資金的不必要浪費(fèi)；某項(xiàng)過弱，則把整體保障的能力拉下來，造成安全體系的短板。 這里提到的安全保障思路、安全措施，都是為了解決用戶具體的安全需求，不局限現(xiàn)有的技術(shù)手段。一方面，入侵者還在不斷進(jìn)步，新式的攻擊技術(shù)與手段層處不窮，我們防護(hù)的手段也要不斷地升級(jí)，以適應(yīng)對(duì)手的變化。另一方面，對(duì)付同一種入侵技術(shù)，隨著技術(shù)的進(jìn)步，更準(zhǔn)確、更廉價(jià)的措施也會(huì)不斷出新，我們應(yīng)該及時(shí)更新，合理部署，保持安全架構(gòu)中的各個(gè)安全措施始終處于最佳狀態(tài)。








本文轉(zhuǎn)自 zhaisj 51CTO博客，原文鏈接：http://blog.51cto.com/zhaisj/541228，如需轉(zhuǎn)載請(qǐng)自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的针对“云计算”服务安全思路的改进-花瓶模型V4.0的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。