概述

针对云计算技术普及随着带来层出不穷的攻击威胁和安全问题,华为云同合作伙伴共建网络安全护城河,面向参会的重要客户、代理经销商和合作伙伴展示安全能力、规划和云市场策略,与会分享其云上安全的安全体系,开放安全服务帮助上云客户实现Saas(security as a service),建立上云能力和信心。

议题一:云时代下的数据安全挑战和应对

此部分由信长城COO张峰演说,总体上说通过介绍云安全面临的账户口令泄露情况,阐述该公司在身份认证方面的证书加密系统接入方案,资料显示信长城公司暂未入驻华为云安全市场(marktplace),为华为云后端提供了一些实际的服务。优势业务方面是其以组合公钥密码体制(CPK)为核心,应用在企业数据安全系统、城市供应链,提供了智慧城市安全解决方案。

云安全平台普遍面临口令存在被脱库、撞库问题。发生用户口令库被恶意攻击者导出的安全事件术语称为脱库。对于中小平台安全防护不足很可能发生数据泄露、密码窃取这样的脱库事件;撞库是指对于大平台来说,存在用户使用弱口令,攻击者可以通过简单尝试破解密码盗用用户权限。业界现有身份认证的防护策略有四种。只使用用户名口令的情况虽可以通过界面提示用户设置强口令,也难以避免第三方服务被攻破,用户恰恰使用了相同密码的情况导致一损俱损的场景;对于手机短信验证码的方案,又存在伪基站干扰和手机木马窃取短信验证码的风险;而基于口令、生理特征库的方案并不是十分成熟,且生理特征库验证方案一般用于本地处理(如ios的指纹识别特征是通过本地识别而不是云服务)存在一定的局限性。但是以金融行业广泛使用的U盾为例,如果正确使用加密证书方案,是不会发生身份认证被窃取、冒用的情况。

密码泄露的途径有:用户未妥善保管,用户与平台网络传输的内容被窃取、云平台本身发生数据泄露事件,而目前的云加密方案妥善实施的标准是满足以下条件:

  1. 一个用户一个密钥:如果多个用户一个密钥或者多个应用一个密钥,仍会导致“一荣俱荣,一损俱损”。

  2. 云平台掌管用户密钥:云平台既作为密钥的分发者,又进行使用和销毁,用户事实上是将风险转移而不是降低。

  3. 密钥分发和管理:使用实施阶段也需注意通道本身的安全性。

  4. 密文去重、密文分享、密文检索:分析显示在企业加密存储的领域,同行业或者企业内部70%文档完全一致,对于存储空间的耗费较高。密文被加密后的索引是一项重大密码学难题,信长城介绍其与百度合力攻关已解决此问题。

未来的云接入(Gateway)的复杂性:

以云为核心的ICT技术承担重要的使命,随着接入平台的复杂性增大,规模变得巨大,其安全认证市场也相当广阔。其业务安全加密方案经过同应用和企业的深度对接,实现端到端的加密技术。且搭建了saas的安全能力平台,可以使得用户无感知、开发架构无影响实现加密传输和认证。

总体来说方案具备一定的门槛和先进性,需要同研发方案对接接入API,对于上云的重要行业如医药、金融、政府还是有所裨益的。

华为云对公有云运维的思考

华为运维安全负责人的此份演讲先介绍云环境面临的风险和挑战,继而理清华为云安全运维的建设思路,阐述迄今为止的安全运维之路。内容较实际,可以作为私有云建设、公有云运维的材料参考。

1. 云服务面临的主要安全挑战

首先来自外部的入侵是最常见的攻击,针对应用的攻击手段偏向复杂化,技术也日新月异,由于云平台边界的模糊性导致攻击面的扩大也难以防范;共享和虚拟化技术引来云上隔离不当的问题,云平台内部也需恶意内部员工对数据的任意使用;租户如何适应云环境下的安全服务也是一个问题:咨询、等级保护合规要求、云安全领域不断涌现出新产品,新的云安全服务形式和计费方式有待挖掘;员工虽是企业最大的资产,也是最薄弱的资产,多数租户着重业务缺失相关的安全技能。

传统的数据中心就像独立的小区一样,边界清晰,业务可控,责任划分为机房全担。对应的安全服务工作只需要做到尽量资产全覆盖,配置完善的安全策略即可,像保安一样完全的防护一亩三分地。所使用的技术是为了保护组织内资产,表现在技术引用上为DLP、钓鱼邮件防护、APT攻击检测。而对于公有云来说所面临的环境尤为不同,首先是边界不清晰甚至是开放的、云服务商和租户责任共担、此外运维人员并不清晰所运行客户业务的具体内容。业界最佳实践提倡的策略是轻量级的管控监测,以租户为中心,重安全事件的事前事中的检测,发生信息安全事件时要求快速获取资源进行响应,哪怕事件不可控,也可以为客户提供事后取证服务。所采用的技术思路以防ddos攻击、暴力破解为主(这两项是云服务面临的主要问题),实现密码被破解攻击时提醒,被破解后提供提示和管控的技术手段。此外进行常规的防止漏洞利用和资源滥用也是一个重要方面。云中心的安全产品以自研为主,要实现devsecops。典型的技术包括:DDoS防御,暴力破解防御,WEB应用防护,内容检测,C&C通讯,网流分析可视。对于公有云运维团队来说,云环境要求采用大量的自动化运维工具、在业务不了解的情况下也要尽量保证业务连续性,一旦出事寻求责任共担。总体相比于传统IT复杂度增高,效率也必须提升,安全局面复杂。

针对这些云风险,华为云计划在数年内分层次实现安全策略:从早期救火阶段过度制度流程体系建设的阶段当前已基本实现。接下来要做的是实现高阶能力,利用安全大数据能力进行内部分析和发现,布局新技术达到运维成熟的自研阶段,最终实现安全自适应甚至是预测攻击能力。

2. 云运维系统建设

在流程体系阶段需求分析层面,华为云交流或者借鉴国外厂商和组织经验和技术(aws、cas),满足法律法规、政策(等级保护、可信计算、可信云等)、不同行业要求(hippa、sox),执法机构要求,分析满足不同行业客户迫切需求的运维流程。安全运维要做到不只运维安全。方案防护框架以镜像旁路方式搭建,关注基础实施安全,运维时通过大数据的自研技术收集日志和告警信息实现态势感知和动态感应。所使用的产品遵循内部安全设计开发红线,在设计之初就落实SDL,进行安全测试和严格的code review,组织红蓝军对抗(仅华为一家开展过这样形式,耳闻这样的思路也推广到了商务团队)。这三方面都集中在精确的的绩效、成果、数据度量框架下实现持续改进。华为云的交付物也通过第三方合作和内部渗透测试,持续进行安全监测以期保证平台的长期安全性。

安全运营阶段彰显出华为云作为国际化大厂的集体作战能力。在人员方面采用研发和运营团队通力合作,人员能力的梯队建设布局于数据分析和应用威胁建模,事件响应采用轮岗制来编排值岗,不断持续对全员进行安全意识强化和技能培训,通过红蓝军演练锻炼人才和安全能力。流程方面也可圈可点。最终实现安全资源池化,安全响应智能化。对于自动化防护链华为云分为五层:一、对常规的扫描、探测和暴力破解提供短信、portal告警和阻断拦截(这点阿里云做的也很好);二、考量到入侵成功后势必会发生恶意行为,比如种马、挖矿、滥用流量资源,在这一层面也同内部安全设备联动进行检测和预警;三、基于行为层进行异常检测和拦截;四、对主机信息联合外部威胁情报进行智能学习和告警;五、拦截不成后进行反制,使用云取证技术采集攻击日志和告警信息。

在抗ddos层面,华为对于客户遇到的5g以下流量攻击全免费的策略,使用自研防护设备实现200G的4-7层的专业高防抗D能力,最高对抗300g级别攻击。

华为云对上云用户总结了12字真言:“强口令、关端口、控权限、查应用”。以我司的实践来看确实会行之有效。将密码设置为12位以上的的策略可以将暴力破解成功的可能性降低数个层次。关闭端口可以有效阻拦探测、避免对外暴露过多的服务。使用最小权限原则防止进程的高危权限,大都可以安全事件的扩散和升级、检查更新应用和配置的安全漏洞和风险可一定程度上提升组件的安全性。

最后,在运维层面华为云展望未来将由特征库匹配阶段过渡到入侵感知、情报大数据集成阶段、实现运维层面阻拦90%的攻击。最终在3-5年内实现基于大数据自适应能力达到防御99%的安全攻击的愿景,值得期待。

使用安全服务构建安全防护体系

华为云安全架构师何伟分享的材料介绍了华为云目前采取的安全防护措施。其介绍的云安全生态体系亮点在于首次将运营安全同于运维安全并列,运营安全分为运营管理和交易管理两个层面,在租户服务的生命周期里明晰各个阶段的责任划分甚至法律合同风险,这一点比友商和我司做的更为深远。口号是: “以云安全能力为基石,以法律、法规遵从为城墙,以生态合作伙伴为护城河的立体安全体系”。

华为通过拓扑图展示其采用了大量的安全设备进行安全组网,意图建立纵深防御体系全方位防护实现网络设施安全各边界安全组网。在云平台安全组网方案中值得一提的是为了应对虚拟化技术带来的威胁,使用了虚拟机加固技术,提供虚拟机卷加密功能,防止磁盘共享导致的数据丢失、混用场景。数据安全方面也使用了多种符合政府和行业要求的加密算法。

使用多种服务构建安全体系

以数据为核心构建纵深防护体系

a) 筑好墙:对于政府、教育、公众服务行业有个很好的功能时提供主机安全和网页防篡改设备,防止客户主机发布恶意内容,主体因违反网络安全法而造成处罚。

b) 关好门:使用ddos高防设备做好网络安全,最大程度保持应用的可用性,保证对外提供服务的“门路”一直开放。

c) 进不来:通过应用层面提供安全防护,防止攻击者通过应用漏洞进入到主机破坏正常服务。

d) 看不到:数据层面采用审计策略结合数据库加密、kms方案,有效保证数据安全。

e) 拿不走:采用强合规性的标准加密算法和密钥管理等服务进行数据内容的有效加密,实现看不到,拿不走的设想。

Ddos高防IP:是一种基于域名解析的按需付费、弹性获取机制,也可以有效防止CC攻击。

数据库安全:采用自研的反向代理防护方案,均可接入华为公有云RDS和租户数据库,租户可以自定义规则和机器学习策略,也可以导出多种形式的审计日志和报告。技术含量还是比较高,对于重点敏感行业可用性强。

密钥管理服务也较为完善,使用两台密码机实现根密钥的保存,适配于用户使用的多个场景,扩展性可以,但是未试用。

主机安全防护采用agent结合云端防护的形式,实现网络防护、系统安全检测、web防篡改。

安全体检服务来自于华为同专业国家安全测评机构合作,由安全专家亲自为客户提供一对一的安全检测和漏洞建议服务。阿里云与之对应的服务是先知和云盾。两者可以后续进行对比。

合规性方面华为可以帮助客户做一些认证,云平台本身对标CSA STAR、ISO27001、C-STAR、可信云等标准,通过安全咨询服务帮助上云客户实现合规性审查和其他方面的审计。

总体来说华为云提供的安全服务涵盖租户安全的方方面面,但是并未阿里云等友商有显著的不同,但是其在运营商领域深耕多年,还是具备众多可落地的优秀实践的。

网络安全法对云上企业的影响

最后一个议题由金火眼(提供业务风控安全的初创企业)创始人魏小强讲演网络安全法对上云用户相关影响。下面总结和我司相关的要点内容:

1. 我司作为IT服务咨询和提供商,同时也会是网络运营者,需要做到以下义务:

•等级保护:(1)定制度、确定责任人;(2)防病毒、防攻击、防入侵;

记录检测,日志留存6个月;(3)数据分类、重要数据备份和加密

•安全事件应急:制定应急预案、及时处置、及时补救、向主管部门报告

•司法协助支持:公安机关、国家安全机关;维护国家安全和侦查犯罪

2. 同时也会是华为云产品的网络产品和服务提供者

•缺陷补救和报告:不得设置恶意程序;发现安全缺陷和漏洞报告

3. 作为网络接入、域名注册、电话入网、为用户提供信息发布、即时通讯等服务提供者,必须要求注册用户提供真实身份信息,如手机号验证等。

4. 对于关键设施,需要做到以下等级保护要求:

•同步规划、同步建设、同步使用

•负责人、关键岗位人员安全背景审查

•定期教育培训

•重要系统和数据库容灾备份

•应急预案和演练

5. 提供跨境电商业务收集境内个人信息时参考如下标准:《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)。

6. 提供电子邮件发送服务,则发现违法信息的,应当立即停止传输、消除影响、防止扩散、保存记录、向主管部门报告。

7. 如果我司将关键业务上云,需要满足以下标准:

a) 建立安全背景调查机制

b) •确保服务可靠、稳定,有灾备机制

c) •建立例行安全教育、培训、评估机制

d) •制定应急响应制度,日常进行安全演练

e) •进行例行安全评估

f) •采购经国家安全审查的安全服务和产品

g) •对中国境内的个人信息和重要数据进行备份,这些数据跨境传输经过审查

自由问答环节

1. 运维方面提到了华为云上如何高效打安全补丁问题(这项工作已经困扰安全和运维团队许久)?

华为云解释到可以使用云上的补丁中心推送或者联合wsus,当然打补丁操作需用户自助进行操作。

2. 我提到华为如何同客户自有安全团队联动共建安全服务?是否开放相应的安全能力?

华为解释可以通过开放的主机安全API实现大部分安全服务,安全团队当然可以更紧密的同华为进行合作,如入住云市场等。