云計算安全感——政務(wù)云安全實踐介紹

　　1、 攻擊類型復(fù)雜并且變換速度加快，在上面的案例中13分鐘攻擊者就變換了3次攻擊方式，基于人工響應(yīng)、再行操作安全設(shè)備的方式一定無法保障業(yè)務(wù)；

　　2、 CC攻擊是攻擊者最后的底牌，眾說周知CC攻擊的防御是一個業(yè)界難題，因為不但攻擊的發(fā)起來自于真實的地址，其惡意訪問請求也很難從訪問流量中剝離，除了通過網(wǎng)站服務(wù)器擴容來和攻擊者比拼資源消耗外，還沒有很好的方法；

　　3、 攻擊規(guī)模大，60Gbps只是我們常態(tài)防御中遇到的中等攻擊流量，在今年的2月我們還遭遇過160Gbps的大規(guī)模攻擊，而從未來趨勢來看黑客將更多地運用DNS、NTP等協(xié)議進(jìn)行分布式反射放大拒絕服務(wù)攻擊，能輕易把攻擊流量放大幾十倍到幾百倍，打出幾百G的流量耗盡有限的服務(wù)器資源，而政務(wù)網(wǎng)站現(xiàn)在的主要職能也逐步轉(zhuǎn)移到了服務(wù)民生，這就對網(wǎng)站的可用性也提出了很高的要求，而現(xiàn)有能抗100G的防DDoS設(shè)備也是非常貴，而攻擊者所費的成本可能只有安全設(shè)備價格的萬分之一。

　　再說回國家為單位發(fā)動的APT攻擊，攻擊者的攻擊目標(biāo)聚焦一旦聚焦在地方政府的網(wǎng)站上，就可以通過所有的聊天工具、郵件、論壇和線下的社會工程等手段試探、滲透、攻擊管理者和IT基礎(chǔ)設(shè)施，而每種手段孤立的看不但無害而且無法被現(xiàn)有的安全手段檢測出來，但組合起來就能達(dá)到攻擊的目的，這種攻擊的特點就是：很難用原來安全防御體系的思維去找到一個可信源。正如賽門鐵克信息安全高級副總裁布萊恩·代伊前不久發(fā)表關(guān)于“殺毒軟件已死”的言論，其實也是由于APT攻擊被廣泛應(yīng)用，導(dǎo)致各類安全防御產(chǎn)品基于簽名的技術(shù)模式遇到了挑戰(zhàn)，但大數(shù)據(jù)的運用可以給我們不一樣的解決之道，如果我們不再糾結(jié)于如何尋找信任源，而是通過大量的防御數(shù)據(jù)建模和大數(shù)據(jù)處理能力對信息進(jìn)行抓取和分析，可能更迅速的識別出早期攻擊意圖并能實施阻斷。

　　總結(jié)以上大規(guī)模的復(fù)雜模式DDoS攻擊和以國家為單位發(fā)動的APT攻擊特點，我們可以得出云安全防御架構(gòu)應(yīng)具備的基本要求：

　　1、大規(guī)模：應(yīng)具備幾百G防御DDoS攻擊的清洗能力；

　　2、低成本：應(yīng)采用軟件分布式+X86服務(wù)器架構(gòu)，擺脫硬件定制、具備彈性擴展能力；

　　3、高精度：應(yīng)運用大數(shù)據(jù)分析技術(shù)實現(xiàn)攻擊的預(yù)警和實時阻斷；

　　4、全方位：應(yīng)具備應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)全面防御能力；

　　例如阿里云的云安全服務(wù)——云盾就完全具備以上特點：

　　云盾是阿里巴巴完全自主開發(fā)、采用軟件+X86服務(wù)器架構(gòu)，依托云計算的高彈性擴展和大數(shù)據(jù)挖掘能力，推出的云安全服務(wù)。在網(wǎng)絡(luò)安全方面具備海量的DDoS攻擊全自動防御服務(wù)；在系統(tǒng)安全方面：由主機密碼防暴力破解、網(wǎng)站后門檢測和處理、異地登錄提醒共同組成主機入侵防御系統(tǒng)；在應(yīng)用安全方面采用大數(shù)據(jù)分析技術(shù)構(gòu)建WEB應(yīng)用防火墻（WAF）和網(wǎng)站漏洞檢測；

　　以上介紹的還是基于外部攻防的云安全體系構(gòu)建，但是用戶最擔(dān)心的還是云服務(wù)商是否會從內(nèi)部竊取數(shù)據(jù)，因此結(jié)合政務(wù)行業(yè)數(shù)據(jù)敏感的特點和運營實踐，我們認(rèn)為應(yīng)構(gòu)建覆蓋從數(shù)據(jù)訪問、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)隔離到數(shù)據(jù)銷毀各環(huán)節(jié)的云端數(shù)據(jù)安全基線框架。

　　數(shù)據(jù)訪問：客戶訪問云端資源均需通過同公有云隔離的專屬控制臺進(jìn)行日常操作和運維，客戶身份鑒別均采用口令結(jié)合動態(tài)令牌的雙因素認(rèn)證，客戶同所購買的云服務(wù)對應(yīng)關(guān)系采用對稱加密對實現(xiàn)身份抗抵賴；客戶云端資源訪問操作均需通過堡壘機進(jìn)行并支持實時操作審計。云平臺運維人員對政務(wù)云的運維操作均需通過數(shù)據(jù)證書結(jié)合動態(tài)令牌實現(xiàn)雙因素認(rèn)證，操作權(quán)限均需經(jīng)過多層安全審批并進(jìn)行命令級規(guī)則固化，違規(guī)操作實時審計報警。

　　數(shù)據(jù)傳輸：針對用戶個人賬戶數(shù)據(jù)和云端生產(chǎn)數(shù)據(jù)兩種不同的數(shù)據(jù)對象，分別從用戶端到云端、云端各服務(wù)間、云服務(wù)到云服務(wù)控制系統(tǒng)三個層次進(jìn)行傳輸控制。其中個人賬戶數(shù)據(jù)從客戶端到云端傳輸均采用ssl加密，從云端各子系統(tǒng)間、云服務(wù)到云服務(wù)控制系統(tǒng)間均采用程序加密保證客戶個人賬戶數(shù)據(jù)云端不落地。云端生產(chǎn)數(shù)據(jù)從用戶端到云端傳輸均只可通過VPN或?qū)＞�進(jìn)行，云端存儲應(yīng)采用服務(wù)端加密并支持用戶自行密鑰加密數(shù)據(jù)后云端存儲。

　　數(shù)據(jù)存儲：所有用戶云端生產(chǎn)數(shù)據(jù)不論使用何種云服務(wù)應(yīng)采用碎片化分布式離散技術(shù)保存，數(shù)據(jù)被分割成許多數(shù)據(jù)片段后遵循隨機算法分散存儲在不同機架上，并且每個數(shù)據(jù)片段會存儲多個副本。云服務(wù)控制系統(tǒng)應(yīng)依據(jù)不同客戶ID隔離其云端數(shù)據(jù)，云存儲可依據(jù)客戶對稱加密對進(jìn)行云端存儲空間訪問權(quán)限控制，保證云端存儲數(shù)據(jù)的最小授權(quán)訪問。

　　數(shù)據(jù)隔離：政務(wù)云數(shù)據(jù)隔離應(yīng)分為物理資源隔離、云端資源隔離兩個方面。物理資源隔離方面針對行業(yè)監(jiān)管要求構(gòu)建政務(wù)云專屬集群，并采用鐵籠包圍結(jié)合掌紋識別實現(xiàn)同公有云集群物理隔離和訪問控制。云端資源隔離方面針對同一物理服務(wù)器上的不同虛擬主機可在其生產(chǎn)環(huán)節(jié)由可云服務(wù)器的生產(chǎn)系統(tǒng)依據(jù)訂單自動給每個用戶的云服務(wù)器打上標(biāo)簽，不同的用戶間通過由數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層訪問控制技術(shù)組成的安全組進(jìn)行隔離；采用虛擬化重定向技術(shù)（沙盒技術(shù)）隔離云平臺內(nèi)承載信息資源的虛擬主機對平臺物理資源的直接訪問。不同客戶的數(shù)據(jù)庫服務(wù)通過實例隔離，僅給客戶分配實例權(quán)限。我們通過二層隔離技術(shù)，讓不同的用戶處于不同的私網(wǎng)。同時，只允許以太網(wǎng)承載白名單中的上層協(xié)議如ARP、IPV4，其它的一概禁止。最后為防范云服務(wù)器被入侵后成為對外攻擊源，我們過濾了ARP、IPV4或者以太網(wǎng)協(xié)議的任何欺騙性質(zhì)的攻擊報文，并且對云服務(wù)器對外的高危端口的訪問速度做了偵測。

　　數(shù)據(jù)銷毀：政務(wù)云應(yīng)采用高級清零手段在用戶要求刪除數(shù)據(jù)或設(shè)備在棄置、轉(zhuǎn)售前將其所有數(shù)據(jù)徹底刪除。針對云計算環(huán)境下因大量硬盤委外維修或服務(wù)器報廢可能導(dǎo)致的數(shù)據(jù)失竊風(fēng)險，數(shù)據(jù)中心全面貫徹替換磁盤每盤必消、消磁記錄每盤可查、消磁視頻每天可溯的標(biāo)準(zhǔn)作業(yè)流程，強化磁盤消磁作業(yè)視頻監(jiān)控策略，聚焦監(jiān)控操作的防抵賴性和視頻監(jiān)控記錄保存的完整性。

　　以上介紹了從外部安全攻防和內(nèi)部數(shù)據(jù)安全分別如何構(gòu)建政務(wù)云的云安全體系，但作為行業(yè)用戶要使用云平臺，并將關(guān)鍵數(shù)據(jù)放入云中，就需要對云服務(wù)商有所信任。如果構(gòu)建這樣的信任關(guān)系？第三方權(quán)威認(rèn)證是很必要的。考慮到政務(wù)行業(yè)的監(jiān)管特點，我們認(rèn)為等保、ISO27001、云安全國際認(rèn)證（CSA-STAR）分別覆蓋了國內(nèi)、國際、云安全這三個方面的合規(guī)安全要求，拿等保來講云服務(wù)商應(yīng)保證其提供的云服務(wù)支撐系統(tǒng)通過公安部信息系統(tǒng)等級保護(hù)三級評測；ISO27001方面云服務(wù)商提供的云服務(wù)不但應(yīng)將相關(guān)的物理基礎(chǔ)納入認(rèn)證范圍，更應(yīng)將所提供的云服務(wù)信息安全管理過程體現(xiàn)在證書上，以便用戶從開發(fā)、設(shè)計、運維和交付個環(huán)節(jié)驗證云服務(wù)的安全性；最后重點介紹下云安全國際認(rèn)證（CSA-STAR），這是一項全新而有針對性的國際專業(yè)認(rèn)證項目，由全球標(biāo)準(zhǔn)奠基者——英國標(biāo)準(zhǔn)協(xié)會（bsi）和國際云安全權(quán)威組織云安全聯(lián)盟（CSA）聯(lián)合推出，旨在應(yīng)對與云安全相關(guān)的特定問題。其以ISO/IEC 27001認(rèn)證為基礎(chǔ)，結(jié)合云端安全控制矩陣CCM的要求，運用成熟度模型和評估方法，對提供和使用云計算的任何組織，綜合評估組織云端安全管理和技術(shù)能力，最終給出“不合格-銅牌-銀牌-金牌”四個級別的獨立第三方外審結(jié)論。就安全認(rèn)證來講也是首度通過引入成熟度評估來實現(xiàn)對云服務(wù)商安全管理能力的量化、持續(xù)評價，能有助于用戶了解各云服務(wù)商對照業(yè)界最佳實踐的具體差距，提升云服務(wù)商安全管理的透明度。阿里云已早在去年獲得全球首張云安全國際認(rèn)證（CSA-STAR）金牌，這是bsi向全球云服務(wù)商頒發(fā)的首張金牌。這也是中國企業(yè)在信息化、云計算領(lǐng)域安全合規(guī)方面第一次取得世界領(lǐng)先成績。

　　總結(jié)下今天分享，政務(wù)行業(yè)真正需要的云應(yīng)該具備以下幾點：

　　1、 低成本可彈性擴展架構(gòu)、高精度的大數(shù)據(jù)運用技術(shù)、大規(guī)模DDoS防御能力、全方位的安全服務(wù)內(nèi)容；

　　2、 云服務(wù)具備完整的數(shù)據(jù)安全保護(hù)能力；

　　3、 全面符合國家、國際、云安全合規(guī)要求。

　　希望通過這次分享，能使各位不但能了解政務(wù)行業(yè)實際的安全需求、政務(wù)云應(yīng)該如何構(gòu)建，更能體會到云在安全防御上給廣大用戶帶來的價值。

　　若非建云、焉知安全；若非安全、焉敢入云。