
信安精品课:第23章云计算安全需求分析与安全保护工程精讲笔记
第23章云计算安全需求分析与安全保护工程精讲笔记
一、本章知识框架
二、本章大纲要求
6.云计算安全需求分析与安全保护工程
6.1 云计算安全威胁与需求分析
6.1.1 云计算安全威胁
◆云计算用户安全威胁
◆云计算平台安全威胁
◆ 虚拟机安全威胁
◆ 云平台运维安全威胁
6.1.2 云计算安全需求
◆云操作系统安全
◆云服务安全合规
◆多租户安全隔离
◆数据托管
◆隐私保护
6.2 云计算安全保护机制与技术方案
6.2.1 云计算安全等级保护框架
◆云计算保护对象安全等级划分
◆ 云计算保护对象安全保护方法
◆ 云计算安全等级保护设计框架
6.2.2 云计算安全防护
◆物理和环境安全(传统的物理环境安全、云计算平台物理位置选择)
◆ 网络和通信安全【网络通信安全、网络边界安全等,涉及基础设施即服务(laaS)安全】
◆设备和计算安全【资源控制、镜像和快照保护等,涉及平台即服务(PaaS)安全】
◆ 应用和数据安全【软件容错、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等,涉及软件即服务(SaaS)安全】
◆ 云用户安全保护(云用户身份标识与鉴别、云用户访问控制等)
6.2.3 云计算安全管理
◆安全策略和管理制度
◆ 安全管理机构和人员
◆ 安全管理对象
6.2.4 云计算安全运维
◆ 云计算环境与资产运维管理
◆云计算系统安全漏洞检查与风险分析
◆ 云计算系统安全设备及策略维护
◆ 云计算系统安全监管
◆ 云计算系统安全监测与应急响应
◆ 云计算安全运维安全措施(特权管理、远程访问安全、运维审计、容灾备份等)
6.3 云计算安全保护案例分析
◆ 云计算安全应用参考案例分析
◆ 云计算隐私保护技术措施
三、本章重要易考知识点清单
23.1 云计算安全概念与威胁分析
1.云计算通过虚拟化及网络通信技术,提供一种按需服务、弹性化的 IT 资源池服务平台。
2.云计算的主要特征如下:
IT资源以服务的形式提供
IT资源以一种服务产品的形式提供,满足用户按需使用、计量付费的要求。
云计算常见的服务有基础设施即服务SaaS、平台即服务PaaS、软件即服务SaaS、数据即服务DaSS、存储即服务 STaaS。
多租户共享 IT资源
“多租户”是指所提供的信息服务支持多个组织或个人按需租赁。
多租户意味着云计算系统应对租户间信息服务实现隔离,包括功能隔离、性能隔离和故障隔离。
IT资源按需定制与按用付费
在云计算方式下,用户不必建设自己的数据中心和 IT 支撑资源系统,只须根据其自身实际的资源需求向云计算服务商按需定制或者单独购买,实现即付即用和按需定制,从而让云服务供应商能够实现科学化的 IT 资源配置,更好地实现规模效益和控制边际成本获益, 从而有利于云用户消费者以更低廉的价格得到更大价值的服务和应用。
IT资源可伸缩性部署
大多数应用对计算、存储和网络带宽的使用的规模、时间不尽相同,存在需求差异。通过对IT资源的有效调度,按时段来随时添加资源和移除资源,满足不同用户对资源的弹性要求。
云计算有四种部署模式,即私有云、社区云、公有云和混合云。其中,私有云是指云计算设施为某个特定组织单独运营云服务可能由组织自身或委托第三方进行理:公有云指云计算设施被某一组织拥有并进行云服务商业化,对社会公众、组织提供服务;社区云是指云计算设施由多个组织共享,用于支持某个特定的社区团体,可能由组织自身或委托第三方进行管理。混合云是指云计算设施由两个或多个云实体(公有云、私有云、社区云)构成,经标准化或合适的技术绑定在一起,该技术使数据和应用程序具备可移植性。
3.按照“端-管-云”的安全成胁分析方法对云计算的安全威胁进行分析这里“端是指使用云计算服务的终端设备或用户端,“管”是指连接用户端和云计算平台的网络,“云”就是云计算服务平台。
云端安全威胁
云终端是用户使用云计算服务的终端设备,云终端的安全性直接影响云服务的安全体验。云终端用户在使用云计算服务的过程中,云用户设置弱的口令,导致云用户的账号被劫,或者黑客攻击终端平台,假冒云用户,云终端设备存在安全漏洞,导致黑客入侵终端,云用户使用云终端时,暴露用户的个人隐私信息如用户所在的地理位置、用户的行为特征等。
云“管”安全威胁
网络是云计算平台连接云用户的管道,计算平台通过网络把云服务传递到云用户,然而,在网络通信过程中,网络可能面临的安全威胁有网络监听、网络数据泄露中间人攻击、拒绝服务等,从而导致云计算平台出现安全问题。例如,攻击者通过入侵控制云计算平台的域名服务、入口网站,以劫持云平台的网络入口,从而让云计算平台无法有效提供云服务。攻击
者利用云服务的通信协议明文传递信息的安全隐患,获取云用户的秘密信息。恶意的云用户把网卡设置为混杂模式,窃听其他云用户的网络通信内容。攻击者利用 TCP/IP 协议漏洞,实施同步风暴、ICMP 风暴、UDP 风暴等拒绝服务攻击。
云计算平台安全威胁
主要网络安全威胁如下
云计算平台物理安全威胁
国外云安全事件调查表明,硬件失效的安全事件数占到云安全事件的 10%。
云计算平台服务安全威胁
云计算平台服务的安全性依赖于云服务商的安全管理及维护。云计算平台常常面临的网络安全威胁是云服务安全漏洞,导致云客户信息泄露、虚拟机安全不可信任、虚拟机选逸、非安全的云服务 API 接口、侧信道攻击等。
目前云计算平台的操作系统(Hyervisor)xEN、KvM、 OpenStack、 VMware 等存在未知漏洞,攻击者有可能通过虚拟机漏洞攻击而获取云平台的管理员权限。
云平台资源滥用安全威胁
公共云计算平台为恶意人员提供了便利的沟通、协同和分析云服务的途径,使其成为网络犯罪的资源池,攻击者利用云服务平台的虚拟主机漏洞,非法入侵云平台的虚拟主机,构造僵尸网络,发动拒绝服务攻击。
云计算平台运维及内部安全威胁
数据丢失和泄露是云计算服务的前三大安全威胁之一。
数据残留
过度依赖
对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高。
利用共享技术漏洞进行的攻击
云服务是多租户共享,如果云租户之间的隔离措施失效,一个云租户有可能侵入另一个云租户的环境,或者干扰其他云租户应用系统的运行。而且,很有可能出现专门从事攻击活动的人员绕过隔离措施,干扰、破坏其他云租户应用系统的正常运行。
滥用云服务
面向公众提供的云服务可向任何人提供计算资源,如果管控不严格,不考虑使用者的目的,很可能被攻击者利用,如通过租用计算资源发动拒绝服务攻击。
云服务中断
云服务基于网络提供服务,当云租户把应用系统迁移到云计算平台后,一旦与云计算平台的网络连接中断或者云计算平台出现故障,造成服务中断,将影响云租户应用系统的正常运行。
利用不安全接口的攻击
攻击者利用非法获取的接口访问密钥,将能够直接访问用户数据,导致敏感数据泄露:通过接口实施注入攻击,进行篡改或者破坏用户数据:通过接口的漏洞,攻击者可绕过虚拟机监视器的安全控制机制,获取系统管理权限,将给云租户带来无法估计的损失。
数据丢失、篡改或泄露
在云计算环境下,数据的实际存储位置可能在境外,易造成数据泄露云计算系统聚集了大量云租户的应用系统和数据资源,容易成为被攻击的目标。一旦遭受攻击,会导致严重的数据丢失、篡改或泄露。
云计算安全需求
传统计算平台的安全主要包括物理和环境安全网络和通信安全、设备和计算安全、数据安全和应用安全。在云计算环境中,除了传统的安全需求外,新增的安全需求主要是多租户安全隔离、虚拟资源安全、云服务安全合规、数据可信托管、安全运维及业务连续性保障、隐保护等。
23.2 云计算服务安全需求
1.云计算技术安全需求
按照上述“端-管-云”的安全威胁分析方法,云计算平台的技术安全需求主要分成三个部分云端安全需求分析。
云端安全需求分析
云端的安全目标是确保云用户能够获取可信云服务。云端的安全需求主要涉及云用户的身份标识和鉴别、云用户资源访问控制、云用户数据安全存储以及云端设备及服务软件安全。
网络安全通信安全需求分析
网络安全通信的安全目标是确保云用户及时访问云服务以及网上数据及信息的安全性。
实现网络安全通信的技术包括身份认证、密钥分配、数据加密、信道加密、防火墙、VPN、抗拒绝服务等
云计算平台安全需求分析
云计算平台的安全目标是确保云服务的安全可信性和业务连续性。云计算平台的安全需求主要有物理环境安全、主机服务器安全、操作系统、数据库安全,应用及数据安全、云操作系统安全、虚拟机安全和多租户安全隔离等。
云计算安全合规需求
云计算平台使得网络、计算、存储、数据、应用、服务等资源大规模汇聚,成为国家、城市及行业领域的关键信息基础设施。相比于传统计算模式,云计算的网络安全风险更大, 为此,国内外相关机构都相继颁布相关政策及标准规范,用以指导云计算平台的建设和运营。
云计算安全国际管理标准规范
2009 年 4 月,云安全联盟(Cloud Security Alliancecsa)非赢利性组织在美国旧金山 RSA大会上正式成立。云安全联盟的目的是促进应用最佳实践,为云计算提供安全保障。该联盟发布了一份云计算关键领域安全指南,最新版本为 4.0,指南的内容涉及云计算概念和体系架构、治理和企业风险管理,法律问题(合同和电子举证)、合规性和审计管理,信息治理、管理平面和业务连续性、基础设施安全、虚拟化及容器技术、事件响应、通告和补救、应用安全、数据安全和加密、身份、授权和访问管理、安全即服务、相关技术等各领域的安全知识。
云计算安全国内管理标准规范
2012 年,国务院发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》指出:“严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心云计算服务平台等要设在境内。”除此之外,相关部门相继颁发了云计算服务安全相关管理要求和标准规范,现列举如下:
(1)《关于加强党政部门云计算服务网络安全管理的意见》
该意见明确了党政部门云计算服务网络安全管理的基本要求,即安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境。同时要求建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。
(2)《云计算服务安全评估办法》
云计算服务安全评估重点评估内容包括:云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况:云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况:云服务商安全管理能力及云平台安全防护情况:客户迁移数据的可行性和便捷性云服务商的业务连续性;其他可能影响云服务安全的因素。
(3) 《信息安全技术云计算服务安全指南》(B/T311672014)
该指南给出云计算的风险管理、规划准备,选择服务商与部署、运行监管、退出服务等方面的具体要求。
(4) 《信息安全技术云计算服务安全能力要求》(GB/T311682014)
本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力,提出十类安全要求,即系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全。
(5) 《信息安全技术网络安全等级保护基本要求第 2 部分:云计算安全扩展要求》(AT1390.22017)该标准规定了不同安全保护等级云计算平台及云租户业务应用系统的安全保护要求,标准适用于指导分等级的非涉密云计算平台及云租户业务应用系统的安全建设和监督管理。
(6) 其他
《信息安全技术政府网站云计算服务安全指南》《信息安全技术网站安全云防护平台技术要求》《信息安全技术数据出境安全评估指南(征求意见稿)》《信息安全技术云计算服务运行监管框架》等
云计算隐私保护需求
云计算个人数据安全隐私保护要求主要如下:
(1) 数据采集
明确个人信息采集范围和用途,告知用户相关安全风险
(2) 数据传输
敏感个人数据网络传输采用加密安全措施,防止网络通信过程信息泄露。
(3) 数据存储
采用加密、认证、访问控制、备份等多种措施保护好敏感个人数据安全,避免数据泄露个人数据信息按照规定保留相应时间。
(4) 数据使用
制定相应特权管理、个人信息被露等安全控制策略规则,采用实名认证、安全标记、特权控制等措施,限制个人数据使用范围、人员,防止内部人员滥用和非正当披露个人信息。
(5) 数据维护
制定敏感个人数据安全生命周期管理流程,安全管理制度和措施符合国家网络安全管理法律法规政策要求,相关人员签订保密协议,敏感个人数据按规清除。
(6) 数据安全事件处置
制订针对个人信息安全事件的应急预案,阻止安全事件扩大。
23.3 云计算安全保护机制与技术方案
1.云计算安全等级保护框架
根据网络安全等级保护 2.0 的要求,对云计算实施安全分级保护,共分成五个级别。
等级保护标准首先要求保证云计算基础设施位于中国境内,并从技术、管理两方面给出具体规定围绕“一个中心,三重防护”的原则,构建云计算安全等级保护框架。
一个中心是指安全管理中心;三重防护包括安全计算环境、安全区域边界和安全通信网络。
2.云计算安全防护
云计算平台是综合复杂的信息系统,涉及物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。云计算安全保障综合集成了不同的网络安全技术,构成多重网络安全机制。
常见的云计算网络安全机制如下:
(1)身份鉴别认证机制。
身份鉴别认证机制解决云计算中各种身份标识及鉴别问题,云计算提供商通常使用用户名/口令认证,除此之外,云用户身份认证技术还有强制密码策略、多因子认证、 Kerberos。
(2)数据完整性机制
云计算平台及云计算服务过程中涉及大量的数据处理,例如,一台虚拟机对应一个文件。云租户把数据托管到云平台,要求云服务商提供高安全保障,确保数据能用,而且能够防止数据受到损害。数字签名是保护云计算数据完整性的重要措施,例如, OpenStack Glance 提供镜像签名。
(3)访问控制机制
云平台承载着多个租户的资源及敏感的系统资源,云计算资源的使用要在一定的安全规则下经过授权才能保证安全使用。例如, OpenStack 使用强制访问控制(Mandatory Access Control)和角色访问控制(RBAC)保护云计算的安全
(4) 入侵防范机制
云计算平台具有开放性,难以避免地会受到漏洞利用、拒绝服务、特权提升、内部安全威胁等各种网络攻击的威胁。为保护云计算平台的安全,通常使用 IDS/IPS 防范已知的漏洞攻击,或者采用沙箱系统(安全的虚拟执行环境)检测零日漏洞。同时部署抗拒绝服务攻击安全措施,保障云计算平台的业务连续性。例如, OpenStack 使用可用区(Availability Zones) 实现物理隔离、冗余针对云计算平台的特权提升威胁, OpenStack 使用 SELinuxAppArmo 保护服务和虚拟管理程序(Hypervisor)的安全,将 OpenStack 服务放在 DMZ 区域中,仅仅允许AP 方式访问服务为了防范云租户的安全威胁,对每个VM 或租户进行存储加密 OpenStack Nova 提供可信的过滤器以为负载调度可信任的资源。
(5)安全审计机制
云计算平台对安全日志进行集中管理,以便于事后分析问题。
(6)云操作系统安全增强机制。
目前,商业和开源的云操作系统难以避免地存在安全漏洞,甚至有些漏洞将导致虚拟机逃逸。为此,针对虚拟机管理程序(Hypervisor)的安全问题,提供热补丁修复、恶意程序检测,以防止云操作系统的漏洞被利用而危及整个云计算平台的安全。
3.云计算安全管理
根据网络安全等级保护的要求,云计算平台安全组织管理的内容要求主要如表 23-3 所示。
表 23-3 云计算平台安全组织管理保障措施等级保护要求
4.云计算安全运维
根据等级保护要求,云计算安全运维的等级保护内容主要有云计算环境与资产运维管理、云计算系统安全漏洞检查与风险分析、云计算系统安全设备及策略维护、云计算系统安全监管、云计算系统安全监测与应急响应。
表 23-4 云计算服务安全运维保障要求
常见的云计算安全运维的安全措施如下:
(1)云计算安全风险评估机制
持续分析云计算平台的资产清单、安全脆弱性、安全威胁以及安全措施,对云计算平台安全进行定量定性风险分析,掌握云计算平台的风险。
(2)云计算内部安全防护机制
针对云计算平台的运维安全风险,采用身份强认证、安全操作审计、远程安全登录等措施保护运维操作的安全性,云计算平台通常采用多因素认证、堡垒机、SSH、VPN 等安全措施,强化运维操作的安全保护。
(3)云计算网络安全监测机制
通过收集云计算平台的网络流量、系统日志安全漏洞等数据,分析云计算平台的网络安全状况及演变趋势。
(4)云计算应急响应机制。
针对云计算平台潜在的网络安全事件,事先制定应急响应预案。常见的安全事件有端口扫描、暴力破解、恶意代码、拒绝服务、数据泄露、漏洞利用和 DNS 劫持等。对于云计算平台来说,重点是保障平台的可用性及数据安全,能够抵御拒绝服务攻击,防止云租户的数据丢失和泄露。
(5) 云计算容灾备份机制
云计算平台承载大量应用,其业务的安全持续运营至关重要。安全事件导致停机事件时有报道。为此,建立异构云容灾备份机制非常重要,工业界常采用“两地三中心”的容灾机制。其中,两地是指同城、异地:三中心是指生产中心、同城容灾中心、异地容灾中心。
23.4 云计算安全综合应用案例分析
1.阿里云安全
阿里云致力于以在线公共服务的方式,提供安全、可靠的计算和数据处理能力,让计算和人工智能成为普惠科技。
阿里云为全球客户部署200 多个飞天数据中心,通过底层统一的飞天操作系统,为客户提供全球独有的混合云体验。目前,阿里云是通过了公安部等级保护测评的云计算系统,获得了云安全国际认证金牌(CSA STAR Certification)、ISO27001 信息安全管理体系国际认证。
针对云安全,阿里云建立了安全防护机制监控机制、审计机制、身份认证机制以及安全运维机制。
面对云上租户的安全需求,阿里云提供云盾、DDoS 高防 IP、Web 应用防火墙、态势感知、SSL 证书、云防火墙、加密服务、实人认证等多种云安全服务产品。
2.腾讯云安全
腾讯云提供了网络安全、终端安全、应用安全、数据安全、业务安全、安全管理安全服务、身份认证等网络安全防护技术体系。
网络安全
Dos 防护(Anti-ddos)提供 DDoS 高防包、DDoS 高防 IP 等多种 DDoS 解决方案,应对 DDoS 攻击问题。通过充足、优质的 DDoS 防护资源,结合持续进化的“自研+AI 智能识别”清洗算法,保障用户业务的稳定、安全运行
云防火墙,基于公有云环境的 SaaS 化防火墙,为用户提供互联网边界、VPC 边界的网络访问控制,同时基于流量嵌入多种安全能力,实现访问管控与安全防御的集成化与自动化。
网络入侵防护系统。通过旁路部署方式无变更无侵入地对网络 4 层会话进行实时阻断,并提供了阻断 API,方便其他安全检测类产品调用:此外,网络入侵防护系统提供全量网络日志存储和检索、安全告警、可视化大屏等功能,解决等保合规、日志审计,行政监管以及云平台管控等问题。
腾讯云样本智能分析平台。依靠深度沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化可定制化的样本分析:通过建设大规模分析集群,包括深度学习在内的多个高覆盖率的恶意样本检测模型,可以得知样本的基本信息、触发的行为、安全等级等信息,从而精准高效地对现网中的恶意样本进行打击。
终端安全
主机安全
腾讯云反病毒引擎(Antivirus)
腾讯终端安全管理系统
腾讯云零信任无边界访问控制系统(Zero Trust Access Control systemztaC)依赖终端安全、身份安全、链路安全三大核心能力,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。
移动终端安全管理系统
应用安全
腾讯云 Web 应用防火墙。
腾讯应用级智能网关。
漏洞扫描服务。
手游安全。
业务安全
天御借贷反欺诈,识别银行、证券、保险等金融行业的欺诈风险。
保险反欺诈,通过 AI 人工智能风控模型,准确定位在申保、核保、理赔等业务环节中所遇到的欺诈威胁。
登录保护服务。
腾讯云验证码基于十道安全栅栏,为网页、App、小程序开发者打造立体、全面的人机验证,最大限度地保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下的业务安全。
腾讯云活动防刷。
注册保护服务。
营销风控服务通过腾讯安全风控模型和 A 关联算法,快速识别恶意请求,精准打击“羊毛党”,提升资金使用效率,还原数据真实性。
文本内容安全服务,使用了深度学习技术,可有效识别涉黄、涉政、涉恐等有害内容,支持用户配置词库,打击自定义的违规文本。
图片内容安全。能精准识别涉黄、涉恐涉政等有害内容,支持配置图片黑名单,打击自定义的违规类型。
营销号码安全。
业务风险情报。
数据安全
腾讯云堡垒机。结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。
腾讯云数据安全审计
数据安全治理中心
敏感数据处理(Data Mask,DMask)提供敏感数据脱敏与水印标记工具服务,可为数据系统中的敏感信息进行脱敏处理并在泄露时提供追溯依据。
云加密机。基于国密局认证的物理加密机 Hardware Security Module HSM,利用虚拟化技术,提供弹性、高可用、高性能的数据加解密、密钥管理等云上数据安全服务符合国家监管合规要求,满足金融、互联网等行业加密需求,保障业务数据隐私安全。
安全管理
安全运营中心(Security Operation Center,SOC)
安全运营中心(私有云)
密钥管理系统
凭据管理系统
安全服务
专家服务。
公共互联网威胁量化评估。
威胁情报云查服务。
网络资产风险监测系统。
用户身份验证
腾讯云拥有海量的数据分析和人脸、图片的训练集:腾讯云提供身份证 OCR、人脸比对、活体检测等技术,能在线实现用户身份秒级确认,有效解决高风险行业线下复杂的身份验证问题,满足核身要求极高的业务场景需求。
3.华为云安全
华为云提供云计算、云存储、云网络、云安全,云数据库、云管理与部署应用等IT基础设施云服务,让客户像用水用电一样使用 ICT 服务,为保护云安全,华为云构建了芯片、平台、系统、应用、数据、开发、生态、隐私等安全防护技术体系,具体技术措施描述如下
芯片级可信计算和安全加密
华为公司推出支持国密算法的可信服务器和可信云平台解决方案。基于可信计算模块芯片,华为云具备对云平台主机进行完整性度量及提供更多安全特性的能力,降低云主机的软硬件被篡改的风险,满足更高的安全需求。华为云基于 Intel SGX 技术,构建芯片级、轻量型的密钥管理和数据加密能力。一方面,摆脱对传统硬件存储模块(HSM)的依赖另一方面, 通过芯片级的安全环境进行高性能加解密运算,有效降低明文内存露风险,确保使用中的数据安全
平台安全
华为云统一虚拟化平台(UVP),直接运行于物理服务器之上,通过对服务器物理资源的抽象,在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。UVP 基于硬件辅助虚拟化技术提供虚拟化能力,为虚拟机提供高效的运行环境,并且保证虚拟机运行在合法的空间内,避免虚拟机对 UVP 或其他虚拟机发起非授权访问。
系统安全
华为 EuleroS 通过了公安部信息安全技术操作系统安全技术要求四级认证 EulerOS 能够提供可配置的加固策略、内核级 OS 安全能力等各种安全技术以防止入侵,保障客户的系统安全
应用安全
各应用通过华为公司自研的 API 网关向客户提供标准化集成接口,具备严格的身份认证及鉴权、传输加密保护、细粒度流量控制等安全能力,防范数据被窃取和嗅探,并且,华为云通过深度学习、运行时应用保护、去中心化认证等技术的运用,进一步打造用户行为画像, 业务风险控制等高级安全能力,实时监控和拦截异常行为,保护应用服务安全稳定运行。
数据安全
华为云构建全数据生命周期的安全防护能力通过自动化敏感数据发现、动态数据脱敏、高性能低成本数据加密、快速异常操作审计、数据安全销毁等多项技术的研究与应用,实现数据在创建、存储、使用,共享、归档、销毁等多个环节的管控,保障云上数据安全。具体的数据安全机制主要有数据隔离、数据加密、数据余。
数据隔离,华为云各服务产品和组件实现了隔离机制,避免客户间有意或无意的非授权访问、算改等行为,降低数据泄露风险。以数据存储为例,华为云的块存储、对象存储、文件存储等服务均将客户数据隔离作为重要特性,服务设计的实现因服务而异如块存储,数据隔离以卷(云硬盘)为单位进行,每个卷都关联了一个客户标识,挂载该卷的虚拟机也必须具有同样的客户标识,才能完成卷的挂载,确保客户数据隔离。
数据加密。华为云的多个服务采用与数据加密服务(DEW)集成的设计,方便客户管理密钥,客户可以通过简单的加密设置,实现数据的存储加密,DEW 已经支持对象存储、云硬盘、云镜像、云数据库和弹性文件存储等多个服务,并且数量还在不断增加,极大地方便了数据加密操作。华为云服务为客户提供控制台和 AP 两种访问方式,均采用加密传输协议构建安全的传输通道,有效地降低数据在网络传输过程中被网络嗅探的风险。
数据完余华为云数据存储采用多副本备份和纠册码设计,通过冗余和校验机制来判断数据的损坏并快速进行修复,确保即使一定数量的物理设备发生故障也不会影响业务的运行, 使华为云存储服务的可靠性达到业界先进水平。例如对象存储服务的数据持久性高达99.9999999999%(12 个 9)
开发安全
华为云通过完善的制度和流程以及自动化的平台和工具,对软硬件全生命周期进行端到端的管理,全生命周期包括安全设计、安全编码和测试、安全验收和发布、漏洞管理等环节, 具体措施内容阐述如下
1)安全设计
华为云及相关云服务遵从安全及隐私设计原则和规范、法律法规要求,根据业务场景、数据流图、组网模型进行威胁分析。威胁分析首先基于引导分析威胁库、消减库、安全设计方案库,然后给出对应的安全设计方案所有的威胁消减措施将转换为安全需求、安全功能, 并根据公司的测试用例库完成安全测试用例的设计。确保落地,以保障产品、服务的安全2) 安全编码和测试
华为云严格遵从华为公司对内发布的多种编程语言的安全编码规范。开发人员在上岗编码前均须通过对应规范的学习和考试同时使用静态代码扫描工具例行检查,其结果数据进入云服务工具链,以评估编码的质量。所有云服务在发布前,均须完成静态代码扫描的告警清零,有效降低上线时编码相关的安全问题。华为云将安全设计阶段识别出的安全需求、攻击者视角的渗透测试用例、业界标准等作为检查项,开发配套的安全测试工具,在云服务发布前进行多轮安全测试,确保发布的云服务满足安全要求。
3) 安全验收和发布
云平台版本、重要云服务上线前,需要通过华为公司全球网络安全与用户隐私保护官和首席法务官的严格审查,针对所服务区域的安全隐私要求的合规性进行分析、判断,确保华为云以及华为开发的云服务满足各区域法律法规和客户安全需求。
4) 漏洞管理
华为云构建了完善的漏洞管理体系,实现漏感知、漏洞处置、洞披露等全流程的跟踪与管理,确保云平台各服务产品和组件的漏洞得到及时的发现与修复,降低漏洞被恶意利用所带来的风险。
生态安全
华为云基于严进宽用的原则,保障开源及第三方软件的安全引入和使用。华为云对引入的开源及第三方软件制订了明确的安全要求和完善的流程控制方案,在选型分析、安全测试、代码安全、风险扫描、法务审核、软件申请和软件退出等环节,均实施严格的管控。例如在选型分析环节,增加开源软件选型阶段的网络安全评估要求,严管选型。在使用中,须将第三方软件作为服务或解决方案的一部分开展相应活动,并重点评估开源及第三方软件和自研软件的结合点,或解决方案中使用独立的第三方软件是否会引入新的安全问题。华为云将网络安全能力前置到社区,在出现开源漏洞问题时,依托华为云对开源社区的影响力,第一时间发现漏洞并修复。漏洞响应时,须将开源及第三方软件作为服务和解决方案的一部分开展测试,验证开源及第三方软件已知漏洞是否修复,并在服务的 Release notes 里体现开源及第三方软件的漏洞修复列表。
隐私保护
华为云各服务产品的设计遵循《隐私保护设计规范》,该规范建立了隐私基线、维护隐私的完整性和指导隐私风险分析,制定对应措施并作为需求落入服务产品开发设计流程。
此外,针对云用户的安全需求,华为云提供 DDoS 高防、Anti-ddo 流量清洗、数据库安全服务 DBSS、数据加密服务、企业主机安全、容器安全服务、安全专家服务、SSL 证书管理、云堡垒机、漏洞扫描服务、Web 应用防火墙 WAF 等安全服务。
4.微软云安全
由世纪互联运营的国内公有云平台 Microsoft Azure,与全球其他地区由微软运营的Azure 服务在物理上和逻辑上独立,采用微软服务于全球的 Azure 技术,为客户提供全球一致的服务质量保障,其主要网络安全措施描述如下。
1. 数据存储安全
所有客户数据、处理这些数据的应用程序,以及承载世纪互联在线服务的数据中心,全部位于中国境内
2. 业务连续性保障
位于中国东部和中国北部的数据中心在距离相隔 1000km 以上的地理位置提供异地复制,为 Azure 服务提供了业务连续性支持,实现了数据的可靠性。
3. 物理环境安全
所有数据中心选取国内电信运营商的顶级数据中心,在绿色节能的基础上,采用 N+1 或者 2N 路不间断电源保护。此外还有大功率柴油发电机为数据中心提供后备电力,配有现场柴油存储和就近加油站的供油协议作为保障数据中心机房内均设有架空地板,冷通道封闭,与后端制冷系统、冷机、冷却塔和冰池形成高效冷却循环,为机房内运行的服务器提供稳定适合的环境,并配有新风系统,可在天气条件适合时最大限度地降低数据中心的 PUE
4. 隐私保护
客户全权管理自己的客户数据以及权限,决定客户数据的存储位置,未经批准任何人都无法使用客户数据,不同租户的客户数据在逻辑上进行了彻底的隔离,客户数据不会被用于广告宣传或者其他商业目的
5. 合规性
满足国际和行业特定标准 ISO/EC27001,公安部信息系统安全等级保护评定第三级备案,以及多项可信云服务认证
6. 基础结构安全
Azure 采用一系列可靠的安全技术和实践,确保 zure 基础结构能够应对攻击,保护用户对 Azure 环境的访问,并通过加密通信、威胁管理和缓解实践(包括定期渗透测试)来帮助保障客户数据的安全。
主要网络安全技术措施如下
密钥保管库。保护云应用程序和服务使用的加密密钥及其他密文密码
Azure Active Directory 集成本地部署
Azure Active Directory 以实现跨云应用程序的单一登录
应用程序网关。提供高可用的 HTTP 负载均衡 web 应用程序防火墙等服务,多实例网关可实现 99.9%持续运行时间。VPN 网关提供行业标 IPSec 准的站点到站点 VPN,随处进行站点到站点的 VPN 访问VPN网关提供 99.9%运行时间的服务级别协议保证,支持从任何位置连接到 Azure 的虚拟网络或虚拟机
7. 数据服务保障
通过安全技术和流程确保客户数据的机密性、完整性和可用性,提供有财务保障的最高达 99.99%的月度服务级别协议以及最多 6 个数据备份。
5.云计算隐私保护
云计算隐私保护是云计算服务商所面临的公共安全问题。
以下按照隐私保护责任主体, 整理了国内外云计算隐私保护的安全措施,具体如下
1. 云计算服务提供方的个人隐私保护措施
l 个人信息备份保管。服务器多备份、密码加密等安全措施,防止信息泄露、毁损、丢失建立严格的管理制度和流程以保障个人信息安全。通过严格限制访问信息的人员范围,并进行审计,要求相关人员遵守保密义务。
l 建立信息安全合规机制与开展安全认证。通过国际和国内的安全认证,强化和规范个人信息安全保护,如 ISO27018 公有云个人信息保护认证、网络安全等级保护认证、ISO27001 信息安全管理体系认证等。
l 强化身份验证和访问控制。在访问、修改和删除相关信息时,要求进行身份验证, 以保障账户安全。基于法律法规要求,某些请求可能无法进行响应,部分信息可能无法访问、修改和删除。
l 限制个人信息存储地理位置。收集信息保存在位于国内的服务器。
l 个人信息留存管理。仅提供服务期间保留个人的信息,保留时间不会超过满足相关使用目的所必需的时间。基于法律法规要求及合法权益保护、社会公共利益等原因可较长时间保留个人信息。
2. 用户个人隐私保护措施
l 加强用户自我保护意识。不随意向任何第三人提供账号密码等个人信息。
l 个人信息收集符合性监督。发现违反法律法规的规定或者双方的约定收集、使用个人信息的,主动要求服务方删除。
l 个人信息更正。发现收集、存储的个人信息有错误的,且无法自行更正的,可以要求服务方更正。
l 个性化服务选择。个人用户可以根据自身利益通过浏览器设置拒绝或管理 Cookies。
3.个人信息安全事件应急响应措施
针对个人信息安全事件,制定应急响应预案。例如,腾讯云将按照《国家网络安全事件应急预案》等有关规定及时上报,并以发送邮件、推送通知、公告等形式告知云用户相关情况,并向其给出安全建议。
四、本章历年考点分布
详见2020软考信安精讲课程群
五、本章历年真题及答案解析
详见2020软考信安精讲课程群