应用“CIA三性”来界定云计算风险和防护措施
基于此,本文针对云计算的风险类型采用经典的“CIA三性”,即机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)来进行界定,并针对性地提出相关的防御、检测、阻止措施,然后给出通过这些措施后仍然存在的剩余风险,以给企业的高层们提供云计算实践中的有益参考。
“C”:机密性(Confidentiality)风险
这些风险与隐私和信息控制相关的缺陷、威胁有关,假定你想以一种受控制的方式,使信息只对那些需要它的实体可用,而不暴露给未经授权的第三方。
1)数据泄漏、盗窃、曝光、转发
用户数据和其他类型的知识产权通过有意无意的方式造成的信息丢失。数据泄漏有四个主要的威胁中介:外界盗窃,内部蓄意破坏(包括未经授权的数据打印,复制或转发),授权用户无意滥用,还有不明确政策造成的错误。
防御:软件控制通过数据丢失防控(DLP)方案来防止不恰当的数据访问。避免将敏感、机密或个人识别(PII)的信息放在云中。
检测:使用水标记和带有监控软件的数据分类标签来追踪数据流。
阻止:在与那些指定了强制执行和保护数据隐私的服务提供商的合同协议中,使用清晰而有力的语言。
剩余风险:在云供应商的环境中,涉及到多个不可追踪的逻辑磁盘存储位置,以及将私有数据暴露给管理员的供应商管理访问问题相关的数据持久性问题。
2)探测、数据包检测、数据包重新发送
有意通过未经授权的网络截取来捕获信息,使用工具来截获网络包,或者重现网络交易和重发已传送的数据。
防御:通过使用加密文件的强大的加密技术(如PGP),以及在网络上的服务器之间进行的网络加密技术(如TLS,SSL,SFTP),来加密静态数据和传输的数据。对于提供链路层数据加密是云提供商进行优先考虑。
检测:目前,我们还不能很好地发现何时有人截获了你的数据;然而,IDS功能可以帮助识别那些可能指示未授权范围意图的网络上的异常行为。
阻止:将未授权访问的风险转移到使用特定合同的语言的服务供应商。
剩余风险:利用网络拓扑结构,网络缺陷,入侵服务器和网络设备,以及直接访问网络设备的方式,来从网络中盗取数据。
3)不恰当的管理员访问权限
使用特权访问权限等级的工作,通常保留给系统管理员,这些管理员对系统和系统可以访问的所有数据提供访问,以便在不需通过系统认证过程的情况下,来浏览数据和做出调整。管理员有绕过所有安全控制的权利,这可以用来故意或错误地损害私人数据。
防御:最小化每一个提供云服务功能的管理员的数量——服务器,网络和存储(最好是少于十个而多于五个管理员)。此外,还有确保执行一个彻底的背景审查来筛选服务提供商的全体人员。在雇佣一个云提供商或与之签署协议时,需要进行供应商的安全检查来确保他们的做法有效。
检测:按月或按季检查云提供商对他们内部基础设施的管理访问日志。
阻止:只选择那些可以证明是强健的系统,并且拥有希望认同客户条件的网络管理方法的云提供商。
剩余风险:由于管理员拥有全部的控制权限,他们肯能会有意或无意地滥用其访问权限,从而导致个人信息或服务可用性二者的折衷。
4)持久性存储
在一个数据不再被需要,或者已经被删除之后,数据可能仍然保留在磁盘上。数据可能被删除但一定不可能被覆盖,所以未授权的个人进行之后的数据恢复的风险性就提高了。
防御:当磁盘被更换或者重新分配时,坚持要求供应商持有抵御磁盘擦除管理的方案。无效磁盘应消磁或销毁,以防止数据泄露。
检测:你不能发现何时你的数据存储在一个已经脱机的磁盘上。
阻止:在选择供应商之前应建立磁盘擦除的方案,确保合同语言明确规定了这些要求。
剩余风险:数据在被删除很久之后,仍保留在物理介质上。
5)存储平台攻击
直接攻击SAN或存储基础设施,包括使用一个存储系统的管理控制,可以提供对私有数据的访问,并且是绕过建立在操作系统内部的控制设置,因为操作系统在回路的外面。
防御:确保提供商在他们的存储系统上,已经实现了强健的分区和基于角色的访问控制,并确保对供应商存储系统管理接口的访问不能通过用户网络来进行。
检测:为存储网络实现IDS,且按季检查存储系统访问控制日志。
阻止:确保云服务供应商具有强健的法律代理功能,并能够承诺查明和起诉攻击者。
剩余风险:数据可直接从SAN被盗,之后你也许能发现,也许一点儿也不会意识到。
6)数据误用
有权访问数据的人也有可能对这些数据做其它操作,包括不被允许执行的操作。比如,泄漏信息给竞争对手的员工,测试生产数据的开发者,以及从组织者私有网络的受控环境中取出数据,放入无保护的主环境的人。
防御:对员工而言,使用类似于私有数据网络的安全控制,如DLP,基于角色的访问控制,和干扰测试和开发数据。破坏发送电子邮件附件到外部地址的能力。
检测:使用水标记和带有监控软件的数据分类标签来追踪数据流。
阻止:使用为阻止人们从受控环境中传输数据到一个不受控环境的行为进行处罚和制裁的安全意识方案。
剩余风险:人们可以找到一些控制策略来把数据放到可能被盗窃或误用的未受控环境中。
7)骗局
非法(或欺骗性)获得未经授权访问的信息。欺诈行为可以是外人犯下的,但通常是由受信任的雇员犯下。
防御:采用审查和为减少对单一个体的依赖而进行充分分离的平衡。确保业务流程包括了审查管理和批准。
检测:对计算机系统访问和数据使用执行定期审计,特别要注意未经授权的访问。
阻止:确保对员工有一个合适的惩罚程序。对于服务提供商而言,通过合同的书面语言来转移风险。
剩余风险:欺诈行为可能导致重大的声誉和经济损失。
8)劫持
一个有效的计算机会话,有时也称为会话密钥——以获取对一个计算机系统上信息和服务的未授权访问的开发,尤其是对远程服务器访问进行用户验证的神奇的cookie的盗用。例如,用来维持许多网站上会话的HTTP Cookie可以通过使用中间计算机或访问受害者的计算机上保存的Cookie来盗取。如果攻击者能够窃取这个cookie ,攻击者可以像真正的用户一样对数据操作进行请求,获得对特权信息的访问或更改数据。如果这个cookie是一个永久性的Cookie,那么这种假冒行为可以持续相当长的一段时间。在这种情况下,通过双方传递密钥来维持的协议是脆弱的,尤其是当它没有被加密时。这同样适用于云环境的管理凭据,如果整个云环境是通过会话密钥来管理的,那么整个的环境可以被有效利用会话劫持攻击所占据。
防御:从那些采用强健的已被加密的准确会话密钥,来着重强调这种风险的服务提供商中查找坚实的身份管理的实现。作为客户,应使用良好的密钥管理流程和方案,密钥托管和密钥恢复方案,这样员工的离职并不会导致服务的不可管理。
检测:定期检查云资源的访问日志和它们的管理接口,以鉴定异常情况。
阻止:对阻止劫持者在积极的法律响应之外进行会话劫持,我们还不能采用有效措施来应对。
剩余风险:攻击者可能冒充的云服务的有效用户甚至可以使用管理凭据来锁定,并损坏企业整个的基础设施
“I”:完整性(Integrity)风险
这些风险影响了信息的有效性和信息正确性的保证。一些*法规特别关注保证信息的准确性。如果信息在没有预警,授权或审计线索的情况下改变,其完整性无法保证。
1)故障
计算机和存储故障,可能会导致数据损坏。
防御:请确保你选择的服务提供商拥有内置到它的存储网络的相应的RAID冗余,而对重要数据建立归档是服务的一部分。
检测:采用那些使用了校验和或者其他方式的数据校验的完整性验证软件。
阻止:由于数据的特性,和无人交互的原因,我们可以采取的措施很少。
剩余风险:损坏数据的技术故障可能导致运作和承诺风险(尤其是Sarbanes-Oxley)。
2)数据删除和数据丢失
意外或恶意破坏任何数据,包括财务,公司,个人,和审计跟踪信息。由于计算机系统故障或误操作造成的数据破坏。
防御:在云环境中,请确保对你的关键数据进行备份存储,并将其安置在多个云服务提供商的环境中。
检测:保持和审查数据删除相关的审计日志。
阻止:保持对访问和管理数据的个人的教育和警觉方案。确保对数据拥有充分的权利和 控制的合适的数据所有者得到分配。
剩余风险:一旦关键数据丢失了,它就永远丢失而不能恢复了。
3)数据损坏和数据篡改
由于计算机或存储系统损害,或者恶意的人为操作或软件而造成的数据改变。企图诈骗的数据修改。
防御:利用版本控制软件,在重要数据被修改之前保存归档拷贝。云服务提供了几乎无限的数据存储,这意味着你可以保持对以前的版本的近乎无限的备份。确保所有的虚拟服务器都由防病毒(AV )软件进行保护。保持对基于最小特权原则的数据,和基于“需要了解”原则的角色或工作职能的基于角色的访问控制。
检测:对关键数据的任何修改,都需要使用完整性检查软件来监控和报告。
阻止:保持对访问和管理数据的个人的教育和警觉方案。确保对数据拥有充分的权利和控制的适当的数据所有者得到分配。
剩余风险:损毁或被破坏的数据可能会导致重大的问题,因为有效可靠的数据是任何计算系统的基石。
4)意外修改
数据完整性的损失也许是最常见的原因,数据改变要么是因为个人,尽管他可能是在修改其它的信息,要么就是因为不正确的输入。
防御:利用版本控制软件,在重要数据被修改之前保存归档拷贝。云服务提供了几乎无限的数据存储,这意味着你可以保持对以前的版本的近乎无限的备份。确保所有的虚拟服务器是由防病毒(AV )软件进行保护。保持对基于最小特权原则,根据“需要知道”的工作职能的数据的访问控制。
检测:对关键数据的任何修改,都需要使用完整性检查软件来监控和报告。
阻止:保持对访问和管理数据的个人的教育和警觉方案。确保对数据拥有充分的权利和控制的适当的数据所有者得到分配。
剩余风险:损毁或被破坏的数据可能会导致重大的问题,因为有效可靠的数据是任何计算系统的基石。
5)网络钓鱼
通过电子邮件欺骗受害者透漏个人信息的行为,是“社会工程”的常见策略。例如,发送了一封电子邮件,它看起来像是来自一个指导用户登录并提供信用卡信息的合法公司。
防御:使用反钓鱼技术,来防御恶意网站,并检测错误的URL。使用面向客户系统的多因素身份验证,来确保用户知道何时他们被重定向到你的网站的假冒副本。定期发送最新资讯和教育材料给客户来解释系统是如何工作的,以及如何避免网络钓鱼。永远不要发送那些包含或者请求有个人资料,包括客户ID或密码的电子邮件。
检测:使用应用程序防火墙来检测何时远程站点试图复制或冒用你的网站。
阻止:为使用和存储雇员或客户的个人信息的人维持教育和警觉方案。
剩余风险:由于公众媒体的暴露或者个人数据丢失的指控,所带来的丢失备份磁盘或者包含客户信息的数据库折衷的商业风险,造成了重大的声誉风险。负面宣传可能导致长期和短期的企业声誉亏损
“A”:可用性(Availability)风险
当考虑到需要可靠地使用低风险和低故障发生率的服务时,这些风险与服务可靠性自身的脆弱性和威胁紧密相关。
1) 服务拒绝
拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击是试图使得计算机资源对它的目标用户不可用。它常常涉及到使用多种通信请求来使目标机器达到饱和,以至于它不能响应合法的通信请求,或者响应得非常缓慢而被有效地释放,从而不能对用户可用。云服务特别容易受到测定体积的DDoS攻击,其中大量的主机涌入云网络和服务器,它们携带有超出自身处理能力的更多数据,使自己陷入停顿状态。针对云服务的基于应用的DDoS攻击对于这个云基础设施中的特定应用(如Web服务器或数据库)也非常有效。此外,分布式反射拒绝服务(DRDoS)攻击,在导致受害者系统重新发送用于填塞网络的数据包方面更“有效”,它们在云环境中工作得更好。尤其是在单次攻击中想要比攻击个别组织或计算机占取更多基础设施的攻击者,会针对云提供商,特别是当这些提供商很出名,能给攻击者带来“荣耀”或者正遭受黑客或黑客团体的报复时。
防御:选择对网络攻击具有坚实防护的服务提供商。在云计算基础设施(主要是互联网接入点)的网络边界实现防火墙和网络过滤,以防御利用网络黑名单的攻击和敌对网络。此外,使用冗余的供应商,因为对一个供应商环境的攻击可能不会影响另一个。
检测:在24×7的基础上选择一个执行和监控入侵检测的服务提供商,并签署该功能相关的所有适当的附加服务。
阻止:与服务提供商的法律部门协作,以确保攻击者被发现和起诉。
剩余风险:由于大多数DoS攻击来自其他国家,它们很难被检测和追踪,所以对于通过了环境防御设施的攻击,我们的应对措施很少。
2) 中断
任何意外中断或者计算机系统或网络的不可达。
防御:对任何服务中断的主要防御是冗余的。确保环境可以自动在中断时切换到不同的供应商。此外,采用坚实的故障恢复方案来为扩大的中断做准备。
检测:应用监控工具,以持续监控云环境的可用性和响应时间。
阻止:中断的代价很高昂。计算中断成本,并确保与服务供应商的合同中,指出了可以补偿所产生的实际成本,而不仅仅是服务本身成本的报酬。
剩余风险:由于中断发生通常是因为软件问题,我们用来防御的措施也很少。
3) 不稳定和应用程序故障
由于软件或固件问题(bugs)造成的功能损失或者计算机或网络的缺陷。程序的冻结,锁定,或崩溃造成的反应迟钝。
防御:确保供应商能频繁为它的基础设施进行所有的软件更新。这对所有客户拥有的虚拟系统也同样适用。
检测:实现业务监控,以检测并提醒一个应用程序何时不能正确响应。
阻止:用法律语言清楚地设定服务提供商会保持一个稳定环境的期望。
剩余风险:应用程序和基础设施的不稳定性通常是由于软件问题,所以我们的防御措施也很少。
4) 缓慢
计算机或网络的不可接受的响应时间。
防御:使用冗余的提供商和互联网连接来建立架构,使应用程序的访问能自动切换到最快的环境。另外,还要确保服务提供商已经实现了能自动扩充资源的高容量服务。
检测:持续检测基础应用的响应时间,并确保警报有带外的路径来支持工作人员,使得响应问题不会阻止警报传递。
阻止:与那些能为你不可接受的响应时间提供处罚赔偿的服务提供商建立合同语言。
剩余风险:延迟或慢响应可以被看作是中断的一种形式,照此,它由软件和容量问题造成的中断也会最大限度得持续存在。
5) 高可用性集群失效
我们发现,应该进行故障转移的设备实际上并没有在本应该的时机接管。
防御:监控在一个高可用性集群中的二级系统和所有系统的健壮性。
检测:定期进行故障转移测试。
阻止:从服务提供商的角度来看,他们对于保证客户系统在期望时进行切换,可以做的准备很少。
剩余风险:有时一个主设备会减慢到对所有实际用途都不做反应,但并不是因为软件才正式的“减慢”,所以后备系统不会接管。
6) 备份失效
我们发现,你正在依靠的这些数据备份实际上并没有什么作用。
防御:利用提供商弹性来避免传统离线备份(磁带或光盘)的使用。
检测:经常进行恢复测试,以验证数据的恢复能力。
阻止:在与服务商的合同中建立数据——丢失条款,他们将对意外的数据丢失负责。
剩余风险:备份失效,但多个恢复路径可以消除大部分的风险。备份数据的做法已经出现很久,因此它是最可靠的安全措施之一。只要数据被恰当地备份,它就可以一直存在,所以在这种情况下的大部分剩余风险都是由不合格的数据复制行为或者对此事件的关注不够造成的