云環境下的信息安全
背景:阿里云已獲得由bsi(英國標準協會)審核的ISO 27001信息安全管理體系國際認證,該體系涵蓋基礎設施,數據中心和云產品,包括阿里云彈性計算、開放數據處理服務(ODPS)、關系型數據庫服務(RDS)、云安全服務(云盾)。
ISO 27001是一種被廣泛采用的全球安全標準,它建立在定期評估風險的基礎上,采用安全控制和最佳實踐相結合的系統化方法來管理公司和客戶信息。為了實現認證,阿里云必須表明它有一個系統的和持續的方法來管理信息安全風險,影響公司及客戶信息的保密性,完整性和可用性的。該認證鞏固了阿里云對安全控制透明化的服務承諾。
摘要:本文擬從分析傳統信息安全管理和云計算安全管理的差異性入手,提出云計算服務商所面臨的安全問題,討論阿里云計算在滿足云計算安全管理的實踐。
云計算安全的挑戰
傳統信息安全和云計算安全的區別
PC時代是分散化管理,用戶的數據是保存在自己的電腦上的,保障用戶數據的安全很大程度上是靠用戶本身的安全意識和技術水平,而大部分用戶又極缺乏自我保護意識,因而釣魚、木馬、肉雞橫行,用戶的安全受到很大威脅。云時代是集中化管理,通過計算資源的集中和優化,使多個應用更有效的分享服務器CPU、內存、存儲以及網絡帶寬,用戶的數據保存在有專業安全人員保護的云環境中,黑客常用的傳統用戶終端攻擊失去威脅。在與黑客的博弈之中,集中化管理更容易升級安全保護措施,安全性比PC時代要高。
從安全管理角度來看,集中化管理和分散化管理就像乘飛機旅行和汽車旅行的安全比較一樣,汽車旅行的事故率非常高,但往往每起事件只影響到一兩個人,而飛機旅行是最安全的,但不出事則已,一出事都是大事。如果云服務商不能給客戶提供一個客觀、公正、可靠的安全保證,就無法讓用戶對云服務建立起安全信心,最終影響云業務的開展和行業的壯大。
云環境下的典型安全挑戰
從安全技術角度來看,虛擬化技術在云計算時代的大量應用讓傳統信息安全時代下的安全隔離手段面臨巨大挑戰,舉例來說,客戶在購買云服務商虛擬服務器的同時就擁有了公網地址和云服務商的內網地址,這也就意味著用戶同時擁有了云服務商的非信任域地址和信任域地址,這種網絡邊界模糊的威脅會直接導致惡意用戶利用購買虛擬服務器所獲得的云服務商內網地址來偽造海量的內網地址和MAC地址,在網絡中產生大量的ARP通信量使得網絡阻塞或中斷。
其次,安全挑戰伴隨著云平臺的服務類型而隨之誕生,以阿里云(開放數據處理服務)ODPS舉例,該服務的設計之初是基于數據驅動的多級流水性并行計算框架,支持直接使用ODPS SQL 語句對海量數據進行離線分析。通過數據分裂將海量數據散布在整個集群內部,這樣,用戶的數據容量的瓶頸問題得以解決。同時計算壓力也被平均分布在集群內部,很好地解決了計算性能問題。但因其允許用戶通過編寫程序在ODPS的集群上執行任務,這種業務模式就存在通過用戶程序包含的惡意代碼在ODPS的集群上植入后門的風險,惡意用戶可通過非法外聯、提權等一系列操作實現對ODPS集群的入侵,最終達到竊取用戶數據的目的。
面對上述安全技術挑戰,在云時代已無法通過簡單的安全設備堆砌去解決所有安全問題,同樣,傳統信息安全時代下的安全標準和規范也已不能從容應對上述管理挑戰。為此,阿里云開發了包含3大信息安全基礎控制域、7大信息安全和云計算安全支柱控制域及2大云計算安全特色控制域的阿里云安全模型(如圖1所示),我們將傳統信息安全管理體系中的信息安全風險管理、人力資源、物理、網絡和主機安全、業務連續性和災難恢復、數據中心運維作為云服務商的安全基線,重點評估、持續提升云服務商在虛擬化安全和云平臺安全方面的安全管理和技術水平。
圖1 阿里云安全模型
云時代下的虛擬化安全主要包括虛擬服務器的加固、虛擬服務器的隔離、虛擬服務器的銷毀,雖然因虛擬化服務器的服務類型的原因,以上需求已無法通過購買安全設備實現隔離,但針對用戶和云服務商自身的安全需求仍可通過一系列的軟件手段實現安全隔離和訪問控制。
虛擬服務器的加固
在安全流程方面,阿里云通過建立安全加固流程來保證每個交付給客戶的虛擬服務器鏡像在生產環節已通過安全團隊的嚴格檢測,去除了不安全的服務、協議、端口等可能導致入侵的因素;
在安全技術方面,阿里云已陸續發布了CentOS 6.2 64位 安全加固版、Red Hat Enterprise Linux Server 5.4 64位 安全加固版、Windows Server 2003標準中文版 SP2 32位 已加固激活三個經過安全加固的操作系統;阿里云的云安全產品---云盾更通過提供主機入侵檢測和補丁自動更新服務等手段來保證用戶虛擬服務器的安全,并針對用戶需求有針對性的對虛擬機鏡像提供加密服務;
虛擬服務器的隔離
用戶租用云服務器就好比將用戶網站搬進了一個個虛擬房間,最擔心的就是破門而入的不速之客,這種安全顧慮就是由虛擬服務器而引發的網絡邊界模糊威脅,而解決之道不再是傳統信息安全環境下的防火墻之類設備的堆砌,取而代之的是阿里云通過自主開發的一系列虛擬環境下的網絡隔離手段。
阿里云針對不同用戶購買的云服務器之間的隔離需求,在其生產環節由云服務器的生產系統依據訂單自動給每個用戶的云服務器打上標簽,不同的用戶間通過安全組進行隔離;針對本文開篇提及的惡意虛擬服務器用戶通過制造大量的ARP通行量來導致網絡面臨阻塞或中斷的風險,阿里云采用上述云服務器標簽和arptables相結合予以防范;最后為防范云服務器被入侵后成對對外攻擊源,阿里云采用以太網防火墻(ebtables)隔離云服務器對外部公共網絡的異常協議訪問。
虛擬服務器的銷毀
針對用戶云服務器在期滿后的數據銷毀問題,阿里云的云服務器生產系統會定期自動虛消除原有物理服務器上磁盤和內存數據,使得虛擬服務器無法恢復。同時采用虛擬化在線管理系統對虛擬服務器進行管理,對物理服務器及Hypervisor的運維操作,遵循運維相關流程并采用實時審計技術予以監控。
云時代下云平臺是一切云服務的最終載體,其自身的安全態勢直接決定各項云服務的正常開展, 從以上虛擬化安全的控制手段已然可以發現通過軟件實現安全控制將是云安全的主要技術實現途徑。而云平臺自身也是軟件開發的產物,由此,構建云平臺安全就應從云平臺的初始開發以及云服務帶給云平臺的安全沖擊等角度予以考慮。
云平臺的開發推薦參照軟件安全開發周期(Security Development Lifecycle)建立安全開發流程。(如圖2所示)。
圖2 云平臺安全開發流程
安全需求分析環節:應根據功能需求文檔進行安全需求分析,針對業務內容、業務流程、技術框架進行溝通,形成《安全需求分析建議》。
安全設計環節:應根據項目特征,與測試人員溝通安全測試關鍵點,形成《安全測試建議》。
安全編碼環節:應參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發規范》,避免開發人員寫出不安全的代碼。
代碼審計環節:應盡可能使用代碼掃描工具并結合人工代碼審核,對產品代碼進行白盒、黑盒掃描。
應用滲透測試:應在上線前參照諸如OWASP之類的標準進行額外的滲透測試 。
系統發布:依據上述環節評價結果決定代碼是否發布。
針對云服務對云平臺的安全沖擊,例如前文提到的ODPS存在通過用戶程序包含的惡意代碼在云服務商物理機上植入后門,實現非法外聯、提權等一系列非法操作的風險,針對這類風險阿里云采用了研發虛擬化的沙箱或者解釋器級別的沙箱來予以包裝,并通過鑒權、授權等一整套安全措施來保證用戶程序中可能包含的惡意程序無法在ODPS集群上直接執行。
回顧上述云安全帶來的挑戰,我們可以得出以下結論:
1、 傳統網絡安全手段在云時代安全體系中的重要性下降了;
2、 依靠應用軟件實現的安全手段,以及應用軟件開發本身的安全在云時代安全體系中的重要性將大大增強;
3、 用戶數據的集中化管理使安全管理和運營的重要性日益突出。
雖然云計算的背景下,云計算安全與傳統信息安全的目標仍是相同的:“保護信息資產的保密性、完整性、可用性”,但云計算安全的保護核心正逐步從基礎的信息安全風險管理轉向數據安全管理,而阿里云在國內率先選擇以數據為核心的云服務而不僅僅是傳統的IDC基礎設施通過ISO27001國際認證正是對此的有力回應。
