软考-信息安全-云计算安全需求分析与安全保护工程

23.1 云计算安全概念与威胁分析

云计算是新一代信息技术的代表之一，主要阐述云计算的基本概念，然后分析云计算面临的安全问题，及云计算的安全要求。

23.1.1 云计算基本概念

在传统计算环境下，用户构建一个新的应用系统，需要做大量繁杂的工作，如采购硬件设备，安装软件包，编写软件，同时计算资源与业务发展难以灵活匹配，信息系统项目建设周期长。
随着网络信息科技的发展，人们实际商希望一种简捷，灵活多变的计算环境，如同电力服务的计算资源平台。
云计算就是在这样的需求驱动下而产生的一种计算模式。云计算通过虚拟化及网络通信技术，提供一种按需服务，弹性化的IT资源池服务平台。
云计算的主要特征如下：
- 1.IT资源以服务的形式提供
  - IT资源以一种服务产品的形式提供，满足用户按需使用，计量付费的要求。
  - 目前云计算常见的服务有基础设施即服务IaaS。平台即服务PaaS，软件即服务SaaS，数据即服务DaaS，存储即服务STaaS。
- 2.多租户贡献IT资源
  - “多租户”是指所提供的信息服务支持多个组织或个人按需租赁。
  - “多租户”还意味着云计算系统应对租户间信息服务实现隔离，包括功能隔离，性能隔离和故障隔离。
- 3.IT资源按需定制与按用付费
  - 在云计算方式下，用户不必建设自己的数据中心和IT支撑资源系统，只须根据其自身实际的资源需求向云计算服务商按需定制或单独购买，实现即付即用和按需定制，从而让云服务供应商能够实现科学化的IT资源配置，更好地实现规模效益和控制边际成本获益，从而有利于云用户消费者以更低廉的价格得到更大价值的服务和应用。
- 4.IT资源可伸缩性部署
  - 大多数应用计算，存储和网络带宽的使用的规模，时间不尽相同，存在需求差异。通过对IT资源的有效调度，按时段来随时添加资源和移除资源，满足不同用户对资源的弹性要求。
  - 云计算有四种部署模式，即私有云，社区云，公有云和混合云。
  - 私有云是指云计算设施为某个特定组织单独运营云服务，可能由组织自身或委托第三方进行管理。
  - 公有云指云计算设施被某一组织拥有并进行云服务商业，对社会公众，组织提供服务。
  - 社区云是指云计算设施由多个组织共享，用于支持某个特定的社区团体，可能由组织自身或委托第三方进行管理。
  - 混合云是指云计算设施由两个或多个云实体（公有云，私有云，社区云）构成，经标准化或合适的技术绑定在一起，该技术使数据和应用程序具备可移植性。

23.1.2 云计算安全分析

按照“端-管-云”的安全威胁分析方法，对云计算的安全威胁进行分析。
这里的“端”是指使用云计算服务的终端设备或用户端。
“管”是指连接用户端和云计算平台的网络。
“云”就是云计算服务平台。
1.云端安全威胁
- 云终端是用户使用云计算服务的终端设备，云终端的安全性直接影响云服务的安全体验。
- 云用户设置弱的口令，导致云用户的账号被劫。
- 攻击者攻击终端平台，假冒云用户。
- 云终端设备存在安全漏洞。
- 云用户使用云终端时，暴露用户的个人隐私信息，如用户所在的地理位置，用户的行为特征等。
2.云“管”安全威胁
- 网络是云计算平台连接云用户的管道，云计算平台通过网络把云服务传递到云用户。
- 网络中可能面临的安全威胁有网络监听，网络数据泄露，中间人攻击，拒绝服务等。
- 攻击者通过入侵控制云计算平台的域名服务，入口网站，以劫持云平台的网络入口，从而让云计算平台无法有效提供云服务。
- 攻击者利用云服务的通信协议明文传递信息的安全隐患，获取云用户的秘密信息。
- 恶意的云用户把网卡设置为混杂模式，窃听其他云用户的网络通信内容。
- 攻击者利用TCP/IP协议漏洞，实施同步风暴，ICMP风暴，UDP风暴等拒绝服务攻击。
3.云计算平台安全威胁
- 主要网络安全威胁如下：
- 1）云计算平台物理安全威胁。
  - 被雷击。
  - 交换机，服务器等硬件故障。
  - 上述只是历史上出现的故障，具体需要从整个机房物理安全威胁全方位考虑。
- 2）云计算平台服务安全威胁
  - 云计算平台提供的服务对用户来说是透明的，但云用户无法掌握技术细节，基础设施的配置情况，系统管理方式等具体情况。
  - 云计算平台服务的安全性依赖于云服务商的安全管理及维护。
  - 云计算平台常常面临的网络安全威胁是云服务安全漏洞，导致云客户信息泄露，虚拟机安全不可信任，虚拟机逃逸，非安全的云服务API接口，测信道攻击等。
  - 目前云计算平台的操作系统（Hyervisor）XEN，KVM，OpenStack，VMware等存在未知漏洞，攻击者有可能通过虚拟机漏洞攻击而获取云平台的管理员权限。
- 3）云平台资源滥用安全威胁
  - 公共云计算平台为恶意人员提供了便利的沟通，协同和分析云服务的途径，使其成为网络犯罪的资源池。
  - 攻击者利用云服务平台的虚拟主机漏洞，非法入侵云平台的虚拟主机，构成僵尸网络，发动拒绝服务攻击。
- 4）云计算平台运维及内部安全威胁
  - 云提供商的内部工作人员违反安全规定或误操作，导致数据丢失和泄露，云计算平台服务非正常关闭等安全事件时有发生。
  - 数据丢失和泄露是云计算服务的前三大安全威胁之一。
  - 与云提供者出现合作争议或非盈利性云服务可能造成云服务终止，造成数据丢失和业务中断。
- 5）数据残留
  - 云租户的大量数据存放在云计算平台上的存储空间中，如果存储空间回收后剩余信息没有完全清除，存储空间再分配给其他云租户使用容易造成数据泄露。
  - 当云租户退出云服务时，由于云服务方没有完全删除云租户的数据，包括备份数据等，带来数据安全风险。
- 6）过度依赖
  - 由于缺乏统一的标准和接口，不同云计算平台上的云租户数据和应用系统难以相互迁移，同样也难以从云计算平台迁移回云租户的数据中心。
  - 云服务方出于自身利益考虑，往往不愿意为云租户的数据和应用系统提供可移植能力。
  - 这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而遭受影响。
- 7）利用共享技术漏洞进行的攻击
  - 由于云租户是多租户共享，如果云租户之间的隔离措施失效，一个云租户有可能入侵另一个云租户的环境，或者干扰其他云租户应用系统的运行。
- 8）滥用云服务
  - 面向公众提供的云服务可向任何人提供计算资源，如果管控不严格，不考虑使用者的目的，很可能被攻击者利用，如通过租用计算资源发动拒绝服务攻击。
- 9）云服务中断
  - 云服务基于网络提供服务，当云租户把应用系统迁移到云计算平台后，一旦与云计算平台的网络连接中断或者云计算平台出现故障，造成服务中断，将影响云租户应用系统的正常运行。
- 10）利用不安全接口的攻击
  - 利用非法获取的接口访问密钥，将能够直接访问用户数据，导致敏感数据泄露。
- 11）数据丢失，篡改或泄露
  - 在云计算环境下，数据的实际存储位置可能在境外，易造成数据泄露。
  - 云计算系统聚集了大量云租户的应用系统和数据资源，容易成为被攻击的目标。

23.1.3 云计算安全要求

物理和环境安全
网络和通信安全
设备和计算安全
数据安全和应用安全
多租户安全隔离
虚拟资源安全
云服务安全合规
数据可信托管
安全运维及业务连续性保障
隐私保护

23.2 云计算服务安全需求

主要包括云计算安全需求，云计算安全合规需求，云计算隐私保护需求。

23.2.1 云计算技术安全需求

1.云端安全需求分析
- 确保云用户能够获取可信云服务。
- 云端的安全需求主要涉及云用户的身份标识和鉴别，云用户资源访问控制，云用户数据安全存储以及云端设备及服务软件安全。
2.网络安全通信安全需求分析
- 确保云用户及时访问云服务以及网上数据及信息的安全性。实现网络安全通信的技术包括身份认证，密钥分配，数据加密，信道加密，防火墙，v9n，抗拒绝服务等。
3.云计算平台安全需求分析
- 确保云服务的安全可信性和业务连续性。
- 主要有物理环境安全，主机服务器安全，操作系统，数据库安全，应用及数据安全，云操作系统安全，虚拟机安全和多租户安全隔离等。

23.2.2 云计算安全合规需求

云计算平台使得网络，计算，存储，数据，应用，服务等资源大规模汇聚，成为国家，城市及行业领域的关键信息基础设施。
1.云计算安全国际管理标准规范
- 云安全联盟（Cloud Security Alliance，CSA）非盈利性组织在美国旧金山RSA大会上正式成立。
- 主要涉及云计算概念和体系架构，治理和企业风险管理，法律问题，合规性和审计管理，信息治理，管理平面和业务连续性，基础设施安全，虚拟化及容器技术，事件响应，通告和补救，应用安全，数据安全和加密，身份，授权和访问管理，安全即服务，相关技术等各领域的安全知识。
2.云计算安全国内管理标准规范
- 严格政府信息技术服务外包的安全管理，为政府机关提供服务的数据中心，云计算服务平台等要设在境内。
- 1）具体相关的云计算服务安全相关管理要求和标准规范如下：
  - 安全管理责任不变，数据归属关系不变，安全管理标准不变，敏感信息不出境。
  - 要求建立云计算服务安全审查机制。
  - 提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性和可控性。
- 2）云计算服务安全评估办法
  - 云平台管理运营者简称“云服务商”
  - 重点评估云服务商的征信，经验状况等基本情况。
  - 云服务商人员背景及稳定性，特别是能够访问客户数据，能够收集相关元数据的人员。
  - 云平台技术，产品和服务供应链安全情况。
  - 云服务商安全管理能力及云平台安全防护情况。
  - 客户迁移数据的可行性和便捷性。
  - 云服务商的业务连续性。
  - 其他可能影响云服务安全的因素。
- 3）《信息安全技术云计算服务安全指南》（GB/T 31167-2014）
  - 该指南给出了云计算的风险管理，规划准备，选择服务商与部署，运行监管，退出服务等方面的具体要求。
- 4）《信息安全技术云计算服务安全能力要求》（GB/T 31168-2014)
  - 系统开发与供应链安全，系统与通信保护，访问控制，配置管理，维护，应急响应与灾备，审计，风险评估与持续监控，安全组织与人员，物理与环境安全。
- 5）《信息安全技术网络安全等级保护基本要求第2部分：云计算安全扩展要求》（GA/T1390.2-2017)
  - 标准规定了不同安全保护等级云计算平台及云租户业务应用系统的安全保护要求，标准适用于指导分等级的非涉密云计算平台及云租户业务应用系统的安全建设和监督管理。
- 6）其他
  - 《信息安全技术政府网站云计算服务安全指南》，《信息安全技术网站安全云防护平台技术要求》，《信息安全技术数据出境安全评估指南（征求意见稿）》《信息安全技术云计算服务运行监管框架》等。

23.2.3 云计算隐私保护需求

1）数据采集
- 明确个人信息采集范围和用途，告知用户相关安全风险。
2）数据传输
- 敏感个人数据网络传输采用的加密安全措施，防止网络通信过程信息泄露。
3）数据存储
- 采用加密，认证，访问控制，备份等多种措施保护好敏感个人数据安全，避免数据泄露，个人数据信息按照规定保留相应时间。
4）数据使用
- 制定相应特权使用，个人信息披露等安全控制策略规则，采用实名认证，安全标记，特权控制等措施，限制个人数据使用范围，人员，防止内部人员滥用和非正当披露个人信息。
5）数据维护
- 制定敏感个人数据安全生命周期管理流程，安全管理制度和措施符合国家网络安全管理法律法规政策要求，相关人员签订保密协议，敏感个人数据按规清除。
6）数据安全事件处置
- 制订针对个人信息安全事件的应急预案，阻止安全事件扩大。

23.3 云计算安全保护机制与技术方案

云计算被列为网络安全等级保护2.0的重要保护对象，主要内容是云计算的安全防护对象，云计算的安全机制，云计算的安全管理，云计算的安全运维。

23.3.1 云计算安全等级保护框架

根据网络安全等级保护2.0的要求，对云计算实施安全分级保护，共分成五个级别。
等级保护标准首先要求保证云计算基础设施位于中国境内，并从技术，管理两方面给出具体规定。
围绕“一个中心，三重防护”的原则，构建云计算安全等级保护框架。
- 一个中心是指安全管理中心。
- 三重防护是包括安全计算环境，安全区域边界和安全通信网络。

23.3.2 云计算安全防护

云计算平台是综合复杂的信息系统，涉及物理和环境安全，网络和通信安全，设备和计算安全，应用和数据安全。
云计算安全保障综合集成了不同的网络安全技术，构成多重网络安全机制。
- 物理和环境安全：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水、防潮、防静电、温湿度控制、电力供应、电磁防护
- 网络和通信安全：网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控
- 设备和计算安全：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护
- 应用和数据安全：身份鉴别、访问控制、安全审计、软件容错、资源控制、接口完全、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护
1）身份鉴别认证机制
- 云计算提供商通常使用用户名/口令认证，除此之外，云用户身份认证技术还有强制密码策略，多因子认证，Kerberos。
2）数据完整性机制
- 数字签名是保护云计算数据完整性的重要措施，例如：OpenStack Glance提供镜像签名
3）访问控制机制
- 需要在一定的安全规则下经过授权才能保证安全使用。
- 例如：OpenStack使用强制访问控制（Mandatory Access Control）和角色访问控制（RBAC）保护云计算的安全。
4）入侵防范机制
- 通常使用IDS/IPS防范已知的漏洞攻击，或者采用沙箱系统检测零日漏洞。同时部署抗拒绝服务攻击安全措施，保障云计算平台的业务连续性。
5）安全审计机制
- 云计算平台对安全日志进行集中管理，以便于事后分析问题。
6）云操作系统安全增强机制
- 商业和开源的云操作系统难以避免地存在安全漏洞，甚至有些漏洞将导致虚拟机逃逸。
- 针对虚拟机管理程序（Hypervisor）的安全问题，提供热补丁修复，恶意程序检测，以防止云操作系统的漏洞被利用而危及整个云计算平台的安全。

23.3.3 云计算安全管理

安全策略和管理制度：安全策略、管理制度制定和发布、评审和修改
安全管理机构和人员：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查、人员录用、安全培训、门禁
安全管理对象：系统定级和备案、安全方案设计、产品采购与使用、自行软件开发、外包软禁开发、工程实施、测试验收、系统交付、等级测评、供应商选择、供应链管理

23.3.4 云计算安全运维

云计算环境与资产运维管理：环境管理、资产管理、介质管理、数据管理
云计算系统安全漏洞检查与风险分析：安全漏洞监测、安全漏洞扫描、安全合规检查、安全风险分析
云计算系统安全设备及策略维护：网络和系统安全管理、恶意代码防范管理、密码管理、设备维护管理、配置管理、变更管理
云计算系统安全监管：云计算系统安全测评、外包运维管理
云计算系统安全监测与应急响应：监控和审计管理、应急预案管理、安全事件处置、备份与恢复管理
1）云计算安全风险评估机制
- 持续分析云计算平台的资产清单，安全脆弱性，安全威胁以及安全措施，对云计算平台安全进行定量定性风险分析，掌握云计算平台的风险。
2）云计算内部安全防护机制
- 针对云计算平台的运维安全风险，采用身份强认证，安全操作审计，远程安全登录等措施保护运维操作的安全性。
- 云计算平台通常采用多因素认证，堡垒机，SSH，V9N等安全措施，强化运维操作的安全保护。
3）云计算网络安全监测机制
- 通过收集云计算平台的网络流量，系统日志，安全漏洞等数据，分析云计算平台的网络安全状况及演变
4）云计算应急响应机制
- 重点是保障平台的可用性及数据安全，能够抵御拒绝服务攻击，防止云租户的数据丢失和泄露。
5）云计算容灾备份机制
- 建立异构云容灾备份机制非常重要，工业界采用“两地三中心”的容灾机制。
- 两地是指同城，异地。
- 三中心是指生产中心，同城容灾中心，异地容灾中心。