漫談信息安全設(shè)計(jì)與治理之云系統(tǒng)的那些事

責(zé)任編輯:editor005

2016-12-01 14:24:47

摘自:51CTO

通過關(guān)鍵服務(wù)的各種測(cè)試,包括:功能測(cè)試、性能測(cè)試、壓力測(cè)試、滲透測(cè)試以及恢復(fù)測(cè)試,制定出效率和精度平衡的策略來備份應(yīng)用程序、配置和業(yè)務(wù)數(shù)據(jù)等。

大家好,手頭的項(xiàng)目告一段落,哥上周休假去了。記得在電影《羅馬假日》里曾有提到:“要么讀書,要么旅行,身體與靈魂,必須有一個(gè)在路上。” 所以,習(xí)慣閱讀與思考的我在行囊里也放了一本專業(yè)書籍。玩耍了一整天后,夜深人靜之時(shí)也會(huì)拿出來撫卷閱讀。同行的損友笑話我:出來放松還把自己整得像頭上懸著達(dá)摩克利斯之劍似的。我只能說:世人笑我太癡狂,燕雀安知鴻鵠之志。好吧,不扯遠(yuǎn)了,繼續(xù)這次的正題吧。

【廉環(huán)話】漫談信息安全設(shè)計(jì)與治理之云系統(tǒng)的那些事

跟大家匯報(bào)一下,前幾次提到過的那個(gè)云平臺(tái)項(xiàng)目基本已成型,現(xiàn)在進(jìn)入到了對(duì)其服務(wù)連續(xù)性和災(zāi)備以及安全性分析的階段了。所以這次的漫談的靈感來自該項(xiàng)目中的點(diǎn)滴收獲,和大家分享的思路也是:先談基本系統(tǒng)的普遍注意點(diǎn),然后深入交流云服務(wù)系統(tǒng)(特別是在公有云上)的特殊性。

連續(xù)性與災(zāi)備

說到服務(wù)連續(xù)性和災(zāi)備計(jì)劃,基本上當(dāng)前大多數(shù)企業(yè)都或多或少的有所涉及。就像我們小時(shí)候常聽到的《狼來了》的故事一樣。如果狼總是不來,喊多了也就沒有意思了。但是上升到理論層面,套用時(shí)間管理的術(shù)語來說,連續(xù)性和容備其實(shí)屬于“重要但不緊急”的事情。我們不得不花時(shí)間和精力去“以大博小”,來體現(xiàn)我們那“高瞻遠(yuǎn)矚”的憂患意識(shí)。

對(duì)于一般企業(yè)IT服務(wù)的連續(xù)性設(shè)計(jì),我們可以從如下三個(gè)方面進(jìn)行考慮:

識(shí)別服務(wù)與資產(chǎn),對(duì)其進(jìn)行分級(jí)和估值,并完成業(yè)務(wù)影響分析(BIA)。

通過關(guān)鍵服務(wù)的各種測(cè)試,包括:功能測(cè)試、性能測(cè)試、壓力測(cè)試、滲透測(cè)試以及恢復(fù)測(cè)試,制定出效率和精度平衡的策略來備份應(yīng)用程序、配置和業(yè)務(wù)數(shù)據(jù)等。

從業(yè)務(wù)和用戶角度出發(fā),制定相應(yīng)的應(yīng)急預(yù)案和災(zāi)難恢復(fù)措施,加強(qiáng)日常演練,從而將業(yè)務(wù)中斷的風(fēng)險(xiǎn)降到企業(yè)及用戶的可接受范圍內(nèi)(可參照上次我們聊到的服務(wù)級(jí)別約定)。

選用軟/硬件的瞬間切換和容錯(cuò)/互備技術(shù)來保證系統(tǒng)高可用性。

而在編制系統(tǒng)災(zāi)難恢復(fù)的流程時(shí),可以參考如下通用步驟,具體系統(tǒng)與特殊服務(wù)可在此基礎(chǔ)上增刪。

恢復(fù)硬件或相關(guān)設(shè)施。

利用技術(shù)手段恢復(fù)操作系統(tǒng)。

根據(jù)配置管理數(shù)據(jù)庫里的相關(guān)文檔描述,重新配置該系統(tǒng),包括驅(qū)動(dòng)程序設(shè)置、用戶參數(shù)、文件修改與增刪等。

應(yīng)用軟件或程序的加載與定制。

應(yīng)用數(shù)據(jù)的導(dǎo)入與測(cè)試。

對(duì)整個(gè)系統(tǒng)進(jìn)行重新全量備份。

那么除了上述傳統(tǒng)的連續(xù)性和災(zāi)備要點(diǎn)之外,對(duì)于正在使用云系統(tǒng)或服務(wù)的企業(yè)來說,和以前完全自行管控的不同之處在于,現(xiàn)在由于使用的是云平臺(tái),在網(wǎng)絡(luò)資源、硬件配置和軟服務(wù)上各種服務(wù),基本上是以平臺(tái)提供商為單位整體展現(xiàn)出的一體化的打包模式。所以原始的細(xì)粒度的BIA已經(jīng)不一定適用了。反而,及時(shí)、準(zhǔn)確的向云服務(wù)提供商更新自己系統(tǒng)的各項(xiàng)配置,保持順暢溝通,并時(shí)常與之聯(lián)動(dòng),進(jìn)行事件(事故)的響應(yīng)與恢復(fù)演練,就顯得更為重要的。我的經(jīng)驗(yàn)是:乘著現(xiàn)在還是“買方市場(chǎng)”的格局,這些條款或事項(xiàng)完全可以追加到與他們的SLA中。

另外,因?yàn)樵谠贫?,?duì)于IT部門來說,某種程度上已經(jīng)是“摸不著”了,那么就要做得任何時(shí)候都能“看得見”,就需要加強(qiáng)監(jiān)控。監(jiān)控的內(nèi)容可以包括:對(duì)服務(wù)頁面(網(wǎng)站)的監(jiān)控、服務(wù)器(虛擬主機(jī))的監(jiān)控、各項(xiàng)服務(wù)性能的監(jiān)控、甚至是各種API調(diào)用的監(jiān)控等。通過主動(dòng)發(fā)現(xiàn)、準(zhǔn)確定位、快速響應(yīng)的方式來減少云端業(yè)務(wù)中斷所給企業(yè)帶來的運(yùn)營風(fēng)險(xiǎn)。

同時(shí),我也注意到自己身邊有一些企業(yè)會(huì)另辟蹊徑,他們把云服務(wù)作為自己當(dāng)前系統(tǒng)的一種備份方式。通過運(yùn)用云計(jì)算技術(shù)中的虛擬化,實(shí)現(xiàn)重要數(shù)據(jù)資源以多樣、安全和快捷的方式進(jìn)行備份和遷移,從而利用云計(jì)算帶來的“紅利”,實(shí)現(xiàn)了自身業(yè)務(wù)的彈性變更,也達(dá)到了系統(tǒng)災(zāi)備和恢復(fù)能力的提升。

深入來看,云備份鏡像可以實(shí)現(xiàn)對(duì)主站點(diǎn)的完全備份。當(dāng)服務(wù)流量負(fù)載從主站點(diǎn)切換到云端的熱鏡像后,利用云端資源的彈性優(yōu)勢(shì),服務(wù)性能基本上不受影響。大幅縮短恢復(fù)點(diǎn)目標(biāo)和恢復(fù)時(shí)間目標(biāo)。當(dāng)然鏡像同樣需要IT人員進(jìn)行日常維護(hù),災(zāi)難恢復(fù)的各種演練可以在鏡像上反復(fù)模擬。根據(jù)云服務(wù)的本質(zhì)特點(diǎn),鏡像的運(yùn)營成本相對(duì)另建備用站點(diǎn)的軟硬件成本要低廉許多。另外,雙方也可事先確認(rèn)SLA,說明系統(tǒng)將以何種速度啟動(dòng),需要哪些資源,才能將業(yè)務(wù)恢復(fù)到正常工作的水準(zhǔn)。

安全與取證

既然說回到安全,我們IT部門仍然應(yīng)當(dāng)根據(jù)相關(guān)的管理標(biāo)準(zhǔn)(如ISO27001等)去著力建立一個(gè)業(yè)界時(shí)常提到的但應(yīng)適合于自己企業(yè)的信息安全管理體系(ISMS)。

首先是在整體上,對(duì)IT服務(wù)所涉及到的信息進(jìn)行機(jī)密程度的等級(jí)劃分,對(duì)各種軟/硬件服務(wù)進(jìn)行單點(diǎn)故障和潛在風(fēng)險(xiǎn)識(shí)別、分析與評(píng)估,找到性能的瓶頸并區(qū)分優(yōu)先級(jí)。

其次是在技術(shù)上,可從如下三方面技術(shù)入手,根據(jù)企業(yè)的自身?xiàng)l件和IT狀況進(jìn)行應(yīng)用和部署:

基礎(chǔ)支撐技術(shù):密碼技術(shù),認(rèn)證技術(shù),訪問控制理論,網(wǎng)絡(luò)資源管理。

被動(dòng)防御技術(shù):入侵檢測(cè)系統(tǒng),蜜罐,虛擬機(jī),應(yīng)用網(wǎng)閘,數(shù)據(jù)備份與恢復(fù)。

主動(dòng)防御技術(shù):防火墻,入侵防御系統(tǒng),VPN,病毒查殺,安全掃描。

當(dāng)然,在各種安全技術(shù)引入的同時(shí)要注意控制選購、實(shí)施和維護(hù)的成本,而且要兼顧安全可靠性與易用性的平衡。

再次是在物理上,應(yīng)做到信息以及設(shè)備之間有物理的隔離,各個(gè)功能區(qū)的分隔與劃分,機(jī)房和門禁出入的記錄、控制和審計(jì)。

最后是管理上,要注重各種安全方針和手冊(cè)以及操作流程文件的制定,安全意識(shí)和應(yīng)對(duì)安全事件的人員培訓(xùn),相應(yīng)賬戶和訪問權(quán)限的最小化設(shè)定與監(jiān)控等。以及當(dāng)有安全事件發(fā)生時(shí),可以考慮用多種取證技術(shù)相結(jié)合。例如:存儲(chǔ)介質(zhì)的數(shù)據(jù)恢復(fù)、解密技術(shù)、入侵追蹤、信息過濾、搜索和挖掘、以及磁盤鏡像拷貝等。

我們?cè)賮砜纯丛品?wù)及系統(tǒng)的相關(guān)安全方面。先看“事前”。

不得不承認(rèn),若干年來,各大安全硬件廠商都諱莫如深的形成了所謂的“聯(lián)盟”極力想企業(yè)兜售安全硬件產(chǎn)品。而今,既然已經(jīng)是云時(shí)代了,成千上萬的多租戶共享著相同的物理資源,云平臺(tái)提供商已經(jīng)為我們準(zhǔn)備好了前端的安全硬件“黑盒子”,提供了接入端的一攬子解決方案。他們通過整合各種物理資源(如加解密類硬件設(shè)備)、虛擬資源(如虛擬IDS、IPS、WAF)以及提供專業(yè)技術(shù)支持方面的人力資源(如安全事件管理員、漏洞分析員),采用虛擬化技術(shù)構(gòu)建了統(tǒng)一的資源池,并對(duì)資源采用均衡負(fù)載、靈活調(diào)配以及最大化利用等方式,實(shí)現(xiàn)對(duì)租戶安全功能的便捷交付??梢院敛豢蜌獾恼f,由于面對(duì)多租戶環(huán)境,云服務(wù)提供商可能會(huì)比我們自己傳統(tǒng)的IT部門更加及時(shí)和專業(yè)。他們通過云端強(qiáng)大的服務(wù)器,實(shí)時(shí)處理隨時(shí)爆發(fā)的新型攻擊,更新信息數(shù)據(jù),能夠有效控制危險(xiǎn)事件的大規(guī)模發(fā)生和傳播。

所以我們真心沒有必要再花大力氣去為自己的云平臺(tái)考慮購置安全硬件了,只要守護(hù)好自己的“一畝三分地”便可。大家都知道軟件定義網(wǎng)絡(luò)(SDN)技術(shù)吧?個(gè)人覺得它已經(jīng)不只是簡(jiǎn)單的實(shí)現(xiàn)“Bridge”或“vSwitch”的基本功能了。它是安全界的一股清流。對(duì)于實(shí)力雄厚且富有開發(fā)經(jīng)驗(yàn)的企業(yè)來說,可以運(yùn)用SDN的技術(shù),通過軟件編程等方式,定義自己的虛擬防火墻、入侵檢測(cè)、DDoS檢測(cè)、流量清洗甚至解決各種QoS問題;而對(duì)于“只愿出錢不遠(yuǎn)出力”的企業(yè),也可以通過購買集成了IPS功能的軟件來進(jìn)行深度流量報(bào)文檢測(cè),從而發(fā)現(xiàn)虛擬機(jī)上是否存在漏洞。這里要多說一點(diǎn)的是:由于離開了企業(yè)傳統(tǒng)的較為封閉的系統(tǒng)環(huán)境,這些基于云端的安全軟件網(wǎng)絡(luò)防護(hù)所設(shè)置的規(guī)則、漏洞庫等數(shù)據(jù)不再受本地?cái)?shù)據(jù)源限制而依賴于小范圍數(shù)據(jù)采集,也擺脫了服務(wù)器定時(shí)或者手動(dòng)更新的性能瓶頸。各種安全知識(shí)庫,病毒特征碼、URL黑名單、垃圾郵件指紋集,Web 攻擊特征等,可以通過云的方式實(shí)現(xiàn)第一時(shí)間的更新,也就是在和0 day攻擊者賽跑時(shí)穿上了跑鞋。

為了防止由于各種外部攻擊或者是云服務(wù)提供商自身的原因所導(dǎo)致的租用空間的隔離失效的情況,必要的縱深防御是個(gè)趨勢(shì)。我們企業(yè)安全人員在學(xué)會(huì)善用各種云安全相關(guān)工具的同時(shí),要花時(shí)間制定和最終踐行一個(gè)適合自身企業(yè)的“安全基線”。它也可作為上述服務(wù)連續(xù)性和災(zāi)備計(jì)劃的一個(gè)重要參考依據(jù)。下面給大家簡(jiǎn)單列舉一個(gè)范例供大家批判性的接受哦:

網(wǎng)絡(luò)層面:

運(yùn)用防火墻策略隔離出用于平臺(tái)管理的網(wǎng)絡(luò)。

啟用VPN或者是雙因素認(rèn)證的訪問接入控制。

操作系統(tǒng)層面:

調(diào)整默認(rèn)設(shè)置,關(guān)閉不必要的服務(wù),定期打系統(tǒng)補(bǔ)丁等系統(tǒng)加固。

安裝基于主機(jī)的IDS。

開啟詳細(xì)的日志服務(wù),并定期將日志離線導(dǎo)入中央日志管理平臺(tái)或聚合到安全信息事件管理SIEM,以防日志被篡改。

定期審查系統(tǒng)級(jí)別的管理員權(quán)限。

應(yīng)用層面:

啟用多因素認(rèn)證來保護(hù)Web表示層和應(yīng)用日志。

用基于角色的訪問控制來細(xì)粒度控制應(yīng)用的各項(xiàng)工作流及操作。

同樣定期將日志離線導(dǎo)入中央日志管理平臺(tái)或聚合到安全信息事件管理SIEM,以防日志被篡改。

我們最后來看看“事后”。據(jù)我的一個(gè)在云安全運(yùn)營中心(SOC)的“眼線”朋友透露:一直以來,在各種使用云服務(wù)的企業(yè)的被攻擊案例中,大多數(shù)是因?yàn)椴捎昧巳蹩诹钪惖娜醢踩€。而受到攻擊后一般都以“Just my luck!”的方式三緘其口,并無后續(xù)的取證或訴訟。正所謂“God only help those who help themselves”,我們對(duì)待既已發(fā)生的云安全事件,要像“法醫(yī)秦明”做好各種取證工作,以彰顯自身專業(yè)性。依據(jù)經(jīng)驗(yàn),哥總結(jié)下來,一般步驟分為文件分析取證和數(shù)據(jù)分析取證兩步驟:

文件分析取證是通過各種日志(包括超過閥值的錯(cuò)誤登錄日志,當(dāng)然也包括成功登錄的日志,因?yàn)槔锩嫣厥赓~戶登錄的時(shí)間戳)信息的查找,以及文件目錄結(jié)構(gòu)和文件名的掃描,如果發(fā)現(xiàn)可疑的shell腳本之類的文件,可以通過查詢其生成的時(shí)間和其關(guān)鍵字信息等,來判斷其是否利用了諸如Web漏洞或者是通過Web Server執(zhí)行的命令等進(jìn)行了攻擊。

而數(shù)據(jù)分析取證則是登陸到攻擊主機(jī)或“肉雞”主機(jī)的數(shù)據(jù)庫的后臺(tái),查詢是否有不明IP地址的登陸記錄,結(jié)合服務(wù)器日志分析,重點(diǎn)考慮是否有非法的用戶名生成,或是有提權(quán)之類的操作。

總的說來,可以用一個(gè)P2DR2M(Protection、Policy、Detection、Response、Recovery和Management)的口訣來概括企業(yè)云服務(wù)系統(tǒng)安全所涉及到和需要考量的各個(gè)方面。

好了,佛語有言:“你種下什么因,就會(huì)有什么樣的果。”我既然在幾個(gè)月前選擇開啟了咱們漫談這個(gè)大IP劇,我自然會(huì)一直惦記著它。平日雖無什么如芒在背的“鴨梨”(壓力),但還是有義務(wù)和責(zé)任保證其每一集的頻率和質(zhì)量的。誠然我自知文采有限,且談的既“漫”又“慢”,但還是真心希望能對(duì)讀者您的工作有所幫助,讓你能有“看過都說好”的趕腳。

【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)