3.2 云计算的安全威胁与挑战
云计算作为一种新兴的计算资源利用模式,还在不断的发展中,传统信息系统的安全问题在云计算环境中大多依然存在,与此同时,还出现了一些新的信息安全问题和风险。传统模式下,用户的数据和业务系统都位于客户的数据中心,在用户的直接管理和控制下,而在云计算环境里,用户将自己的数据和业务迁移到了云计算平台上,失去了对这些数据和业务的直接控制能力,用户数据以及后续运行过程中产生、获取的数据都处于云服务商的直接控制下,而云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,用户在缺乏必要的知情权的情况下,难以了解和掌握服务商安全措施的实施情况和运行状态,难以对这些安全措施进行有效的监督和管理,不能有效监管云服务商的内部人员对用户数据的非授权访问情况和使用,容易使用户对云服务商产生“信任危机”。
3.2.1 云计算安全威胁
2018年1月,云安全联盟(Cloud Security Alliance,简称CSA)
发布了最新版本的“云计算的12大威胁:行业见解报告”。这个报告反映了云安全联盟安全专家就云计算中最重要的安全问题达成的共识。这份报告指出,尽管云端存在许多安全问题,但企业主要关注的是云计算的共享和按需特性。为了确定人们最关心的问题,云安全联盟对行业专家进行了调查,就云计算中最严重的安全问题汇总编写了一些专业的意见和建议。以下是人们面临的12个最重要的云安全问题(按照调查结果的严重程度排列)。
1.数据泄漏
云安全联盟表示,数据泄漏是具有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳的结果。它可能涉及任何不适合公开发布的信息,包括个人健康信息、财务信息、个人可识别信息、商业秘密和知识产权。由于不同的原因,组织基于云端的数据可能对某些组织具有更大的价值。数据泄漏的风险并不是云计算独有的情况,但它始终是云计算用户的首要考虑因素。
2.身份、凭证和访问管理不善
云安全联盟表示,网络犯罪分子伪装成合法用户、运营人员或开发人员可以读取、修改和删除数据,获取控制平台和管理功能,在用户传输数据的过程中进行窥探,发布似乎来源于合法来源的恶意软件。因此,身份不足、凭证或密钥管理不善可能导致未经授权的数据访问,并可能对组织或最终用户造成灾难性的损害。
3.不安全的接口和应用程序编程接口(API)
云计算提供商提供了一组客户使用的软件用户界面(UI)或API来管理和与云服务交互。云安全联盟称,其配置、管理和监控都是通过这些接口来执行的,通常情况下,云服务的安全性和可用性取决于API的安全性。他们需要进行设计以防止意外和恶意的企图。
4.系统漏洞
系统漏洞是攻击者可以用来侵入系统窃取数据、控制系统或破坏服务操作的程序中可利用的漏洞。云安全联盟表示,操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云端出现多租户,来自不同组织的系统彼此靠近,并且允许访问共享内存和资源,从而创建新的攻击面。
5.账户劫持
云安全联盟指出,账户或服务劫持并不是什么新鲜事物,但云服务为这一景观增添了新的威胁。如果攻击者获得对用户凭证的访问权限,他们可以窃听活动和交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。账户或服务实例可能成为攻击者的新基础。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,从而危及这些服务的机密性、完整性和可用性。
6.怀有恶意的内部人士
云安全联盟表示,虽然有些威胁的严重程度是有争议的,但内部威胁是一个真正的威胁。怀有恶意的内部人员(如系统管理员)可以访问潜在的敏感信息,可以更多地访问更重要的系统,并最终访问数据。仅依靠云服务提供商提供安全措施的系统将面临更大的风险。
7.高级持续性威胁(APT)
高级持续性威胁(APT)是一种寄生式的网络攻击形式,它通过渗透到目标公司的IT基础设施来建立立足点的系统,并从中窃取数据。高级持续性威胁(APT)通常能够适应抵御它们的安全措施,并在目标系统中“潜伏”很长一段时间。一旦准备就绪(如收集到足够的信息),高级持续性威胁(APT)就可以通过数据中心网络横向移动,并与正常的网络流量相融合,以实现他们的最终目标。
8.数据丢失
云安全联盟表示,存储在云端的数据可能因恶意攻击以外的原因而丢失。云计算服务提供商遭遇意外删除、火灾或地震等物理灾难可能导致客户数据的永久丢失,云计算提供商或客户应当采取适当的措施来备份数据,遵循业务连续性的最佳实践,实现灾难恢复。
9.尽职调查不足
云安全联盟表示,当企业高管制定业务战略时,必须对云计算技术和服务提供商进行考量。在评估云计算技术和提供商时,制定一个良好的路线图和尽职调查清单对于获得最大的成功至关重要。而急于采用云计算技术并选择提供商没有执行尽职调查的组织将面临诸多风险。
10.滥用和恶意使用云服务
云安全联盟指出,安全性差的云服务部署,免费的云服务试用,以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。攻击者可能会利用云计算资源来定位用户、组织或其他云计算提供商。滥用云端资源的例子包括利用云端资源来启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。
11.拒绝服务(DoS)
拒绝服务(DoS)攻击旨在阻止合法用户访问其数据或应用程序。可以通过强制目标云服务消耗过多的有限系统资源,如处理器能力、内存、磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使所有合法的用户无法访问服务。
12.共享的技术漏洞
云安全联盟指出,云计算服务提供商通过共享基础架构、平台或应用程序来扩展其服务。云技术将“即服务(aaS)”产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。构成支持云计算服务部署的底层组件,可能并未被设计成为多租户架构或为多客户应用程序提供强大的隔离属性。这可能会导致共享的技术漏洞,可能在所有交付模式中被攻击者利用。
按照智慧城市云计算平台管理对象划分,云计算安全威胁又可以分成云计算平台侧威胁和云计算租户侧威胁。
3.2.2 云计算平台侧面临的威胁
云计算平台安全与传统信息安全并无本质区别,但是云计算大量使用虚拟资源、资源界面不确定、动态数据流等特性,相对于传统信息安全,云计算新的安全威胁主要来自硬件资源、软件资源、基础资源的集中,针对这些庞大的资源无法实现有效保护,例如,云计算使政府的重要数据和业务应用都处于云服务提供商或某个智慧城市管理部门的云平台中,云服务提供者如何实施严格安全管理和访问措施,避免内部员工或者其他使用云服务的用户、入侵者等对用户数据的窃取及滥用的安全风险。如何实施有效的安全审计、对数据的操作进行安全监控,以及开放环境中如何保证数据连续性,业务不中断,这些都是需要重点考虑的问题。总体来看,云计算平台侧主要面临以下威胁。
1.数据物理集中,增加了风险范围
云计算平台离不开基础设施的建设,云计算数据中心也可归为传统IT机房的范畴。智慧城市云计算数据中心的建设,逐步实现了各部门基础设施的集中化管理,由小变大的运营方式带来了比传统IT机房环境更多的安全风险。
智慧城市云计算数据中心物理安全包含一系列针对非授权访问物理设施和设施内的系统资源的安全措施,包括避免、阻止、检测非授权访问,以及对非授权访问进行相应拒绝。智慧城市云数据中心物理安全作为一个完整的分层防护体系,这些项目包括:环境设计、访问控制(机械、电子、程序)、监测(视频监控、热度传感器、位置传感器、环境传感器)、人员识别、访问控制、响应机制(灯光、门禁)的入侵检测。对于保障智慧城市云数据中心的安全高效运营至关重要。
智慧城市云数据中心建立的云平台,用户属于租赁者无法控制设备和空间物理位置。云平台的基础网络、主机存储、安全设备等基础设施资源的保护体系主要包括防火、防静电、防水、人员安全审计等,云平台基础设施安全风险基本上与传统数据中心物理安全一致。
地震、水灾、火灾等不可抗拒的自然灾害破坏,静电、强磁场等会损毁硬件设备及存储介质,这些都是造成云计算数据中心基础设施的物理安全风险,而管理风险则是存储介质和设备被毁或被盗,造成信息泄漏及数据丢失。
2.网络隔离和监测变得非常困难
对于智慧城市云平台,出于操作和安全的原因,将云的网络进行隔离和监控是非常重要的,对于云平台来说,至少要包含以下五个方面的隔离和监测。
● 不同云租户网络之间的隔离和监测。
● 同一云租户不同虚拟机之间的隔离和监测。
● 虚拟机和互联网边界之间的隔离和监测。
● 存储网络与业务网络之间的隔离和监测。
● 管理网络和业务网络之间的隔离和监测。
而在云平台实际运行过程中,要实现这5个部分的隔离和监测还是非常困难,这有些是受制于目前安全技术的发展,也有一些是因为网络设计的限制。比如,传统的网络入侵检测系统(IDS),在传统网络中,是通过交换机镜像的方式采集流量进行监控,但在云环境中,入侵检测系统就非常难采集到流量进行监控,因为虚拟机之间的流量交互可能直接在某个宿主机上就完成了,根本不会到物理交换机上,所以通过传统的镜像方式根本无法监控。
3.宿主机、虚拟主机相互影响
云环境下,用户的业务都由云主机承载,云主机的安全问题将直接威胁到用户的整个业务系统的安全性,通常云环境下存在以下安全风险。
● 服务器、宿主机、虚拟机的操作系统和数据库被暴力破解、非法访问。
● 对服务器、宿主机、虚拟机等进行操作管理时被窃听。
● 同一个逻辑卷被多个虚拟机挂载导致逻辑卷上的敏感信息泄漏。
● 服务器、宿主机、虚拟机的补丁更新不及时导致的漏洞利用以及不安全的配置和非必要端口的开放导致的非法访问和入侵。
● 虚拟机因异常原因产生的资源占用过高而导致宿主机或宿主机下的其他虚拟机的资源不足。
4.大数据带来大威胁
数据安全是信息和数据治理的关键。与云安全所有领域一样,由于数据安全并不适合对所有内容提供同等保护,所以应基于风险应用数据安全。
应用数据安全是目前云计算用户最为担心的安全风险,也是用户数据泄漏的重要途径。因此有一些人认为,云安全就是数据安全。
用户数据在云计算环境中进行传输和存储时,用户本身对于自身数据在云中的安全风险并没有实际的控制能力,数据安全完全依赖于服务商,如果服务商本身对于数据安全的控制存在疏漏,则很可能导致数据泄漏或丢失。现阶段可能导致安全风险的有以下几种典型情况。
● 由于服务器的安全漏洞导致黑客入侵造成的用户数据丢失。
● 由于虚拟化软件的安全漏洞造成的用户数据被入侵的风险。
● 数据在传输过程中没有进行加密导致信息泄漏。
● 加密数据传输但是密钥管理存在缺失导致数据泄漏。
● 不同用户的数据传输之间没有进行有效隔离导致数据被窃取。
● 用户数据在云中存储没有进行容灾备份等。
云计算服务商在对外提供服务的过程中,如果运营商的身份认证管理机制存在缺陷,或者运营商的身份认证管理系统存在安全漏洞,则可能导致企业用户的账号密码被仿冒,从而使得非法用户堂而皇之地对企业数据进行窃取。因此,如何保证不同企业用户的身份认证安全,是保证用户数据安全的第一道屏障。
在云计算环境下,租户对平台中各种资源的访问和使用无法有效控制,同时,不同等级的租户对各类数据的完整性、可靠性要求不同,因此,如何实现不同等级用户多样化的完整性保护策略,实现多粒度的数据完整性验证机制就成为保证租户数据的高可用性必须解决的问题。另外,平台也需要考虑租户数据一致性副本同步策略,保障分布式多副本情况下的数据一致性。
3.2.3 云计算租户侧面临的威胁
云服务的优势备受关注,但安全性是用户采用云服务的前提,而在云租户侧,则主要面临着以下安全威胁。
1.租户对数据及设备监管能力减弱
在传统模式下,政府单位的硬件设施(服务器、防火墙、存储器等)和软件(数据和业务系统等)都部署在单位的机房,可直接进行管理和控制。但是在云计算模式下,政府单位将本单位的数据和业务系统迁移到云服务商的云计算平台上,无法对硬件设施和软件进行直接控制,同时无法对设备所处的物理位置进行控制管理。
政府单位将数据迁移至云计算平台之前要考虑哪些数据可以迁移。政府单位的数据很多可能会涉及民生问题、社会建设、行业发展等敏感信息。数据迁移至云计算平台后,本身独立的、不敏感的信息通过大数据运算和分析可能产生新的其他信息,而新产生的信息由云服务商掌握。政府单位失去了对其数据的直接管控,增加了政府单位数据和业务的安全风险。
云计算环境的资源租用特征导致租户对自身数据的存储失去控制,租户需要确保隐私数据以及加密密钥的足够安全;另外,计算资源的外包导致租户对自身数据的处理失去控制,需要租户可控的执行环境来处理。在云计算环境下,要实现租户对自身数据的安全控制,提供对数据的安全存储和数据运行时安全保护成为必须解决的问题,同时还需要相应的验证手段。
2.责任界定不清的安全风险
客户与云服务商之间的责任难以界定。传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清晰。云服务模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定。不同的服务模式和部署模式、云计算环境的复杂性使各单位承担的责任难以清晰界定。一旦出现安全事件,存在无法明确追究责任主体的安全风险。
3.对多租户环境的访问控制提出新的挑战
在云计算环境中,传统自我管控与隔离的手段不存在了,云计算资源的集中化放大了安全威胁和风险,因此,从平台安全防护和租户数据隐私保护的信息安全角度出发,如何保证访问控制机制符合客户的敏感信息流安全需求就成为云计算环境所面临的安全挑战。
4.应用的多样性决定了应用防护的多样性
应用安全问题尤其在云平台中更加突出,云平台中有不同行业的云租户,不同的云租户对于安全的需求也不一样,有些用户关注CC攻击、信息泄漏、后门控制、同行恶意攻击等安全风险,有些用户关注信息泄漏、跨站脚本等安全风险,而更多的用户关注网页挂马、Webshell、页面被篡改等安全风险。