1700426105
1700426106
下面以归档流程为例,说明数据通路中的安全防护安排。档案系统需要以安全方式存储数据,防止来自未经授权用户的访问,而即使他们获得了访问路径,也无法解读加密信息。同样,备份过程也应以安全方式进行,数据从备份系统向档案系统转移的过程亦是如此。上述数据通路中的任一节点都必须共用相同的安全特征,这些安全特征以CIA或帕克六要素来表示,并与用户要求相符。由于数据从一个节点到另一个节点的过程需要受到保护,因此完成数据传输的通道也必须安全。
1700426107
1700426108
安全容器(Security Containers)
1700426109
1700426110
云计算环境中,所有为某一特定用户服务、安全特征相同的节点就具有同一安全边界。边界内的运算节点彼此信任,而安全边界形成的环境就称为安全容器,因此无须再为接触数据的各个节点分别定义安全边界,而通常采用分区段方式创建一个容器,其中包含所有共享安全属性的节点。鉴于信息通过网络传输,因此通常将这一区段置于网络层上。具体做法是在物理网络上建立多个虚拟网络,每个容器各自使用内部虚拟网络,从而令其他容器(处于外部)无法访问其内部数据。为进入某个特定容器,一般要经过三个安全程序:识别、认证和授权。
1700426111
1700426112
识别是指确认用户的身份,其中的用户是指希望连接到云或其安全容器的自然人、应用程序、系统或“物”。
1700426113
1700426114
在用户识别完成后就可以进入认证程序。认证用于判断用户是否为合法用户。常见的依据为你持有的证物或所知的信息,持有的证物可能是智能卡、指纹、语音等,而所知的信息可以是密码或个人标志号码(personal identification number, PIN)。
1700426115
1700426116
授权是确认可由已认证用户运行的任务,按照已认证用户在云计算环境中的角色,确定赋予其何等权限。授权一般在认证环节完成后进行。因此,识别程序询问“你是谁”,认证程序询问“你确实是你自称的人吗”,而授权程序则会询问“你在云计算环境中被允许做什么”。
1700426117
1700426118
云计算用户的一个共同关注点是云端数据可能会被存储在用户居留国以外的国家,这关系到被存储数据的司法或监管管辖区。如果数据被盗用,应该适用哪一国家的法律或数据保护机制?这一顾虑十分现实,因为云计算的弹性特征允许数据存储等计算资源随处移动。也就是说,云系统可能在一个国家运行,而用户来自于另一个国家。为解决这一难点,我建议在定义安全容器时,除了CIA或帕克六要素,再增设一项管辖区特征。即数据分区并不仅限于数据中心内部,而是发生在提供云服务的任意区域,其中隐含的假设是安全容器使用虚拟广域网,而不是虚拟局域网。这样就可以在CIA或帕克六要素中加入“管辖区”(jurisdiction)的首字母J,并按照法律或监管的要求界定其含义。
1700426119
1700426120
监控
1700426121
1700426122
检测安全漏洞的第一道防护机制是防火墙。每一个安全容器的边界内都会放置数道防火墙,云本身作为一个安全容器,还具有一道外部防火墙。在一类较为少见的情形中,安全容器内还嵌套有安全容器,数据流需要穿过重重防火墙才能进入。防火墙通过内置规则判断哪些数据可以通过,哪些则会被拦截。如果有人试图进入安全容器并被防火墙拦截,你就能收到通过邮件或监控日志发出的警告。不过一个安全系统包含的部件并不止这一种,除防火墙外还有用户认证与识别、入侵监测与防护,以及反病毒、反木马工具等基于用户的安全设施。在适当的配置下,此类系统会持续跟踪用户和对用户提供的服务与数据,并生成日志。由于日志内容会飞速增加,不可能依靠人工查阅,因此需要使用软件来分析服务器与防火墙日志,作为监测可疑活动的第一步工作。
1700426123
1700426124
第二道防线位于用户认证与识别阶段。如果某个用户或在某项服务中多次尝试登录失败,监控工具就会向云系统管理员发出警告,如果是自动运行的工具,还会阻止该账户或对该项服务的继续登录。此外,如果某一数据流试图使用未授权给该用户的服务,或试图提取该用户正常情况下不需要的数据,就会被判定为可疑,并通过入侵检测系统(intrusion detection system, IDS)进行分析与上报。
1700426125
1700426126
第三道防线位于客户处,因为客户端设备本身也需要防范恶意入侵,以免用户的登录数据被盗用去获取云服务。通常的方式是在用于接入云服务的客户端设备中安装反恶意软件,包括反病毒、反欺骗、个人防火墙和防信息记录追踪(cookies)。大多数情况下,云服务供应商都无法监控或配置此类终端设备,但如果使用的是瘦客户端或零客户端,就可以通过中央管理的操作系统来避免这一薄弱环节。
1700426127
1700426128
数据完整性
1700426129
1700426130
假如你把一封记载着重要信息的信件放在保险箱里,然后把保险箱埋在一个没人知道的地方,信息安全(或说IT安全)问题并未得到解决,而仅是被掩盖了。但如果你把信件放在保险箱里,然后寄给别人,从而只有收信人可以读到其中内容,这就是以安全方式传递了信息。那么如果保险箱被人截获,可能发生的情形包括以下三种:(1)截获者持有或控制了信件,让你或收信人都无法取得;(2)截获者阅读了信件,并利用其中的内容完成自己的目的(比如窃取你的身份信息,伪装成你或侵入你的电脑系统);(3)截获者偷换了信件,把假信息寄给了收信人。数据完整性意在保证通信渠道及渠道中所传输数据的安全,避免上述三种情形的发生。
1700426131
1700426132
当数据在两人(设备)之间传递时,为最大化数据完整性,需要在安全防护中考虑三个要素。终端应当安全——即需要对数据的收寄双方进行认证,保证他们确为其人;传送信息的渠道应当安全,不会轻易被第三方窃取或更换数据(中间人攻击);数据本身应当加密,不能被第三方轻易解读。这三个要素并不互斥,也常常互相组合来保证数据完整。
1700426133
1700426134
接下来考虑的问题包括,如何运用加密技术保证数据完备,如何用校检(checksum)来确认数据完整性,以及数据完整性在数据防损整体策略中的位置。
1700426135
1700426136
加密
1700426137
1700426138
在传输敏感信息时,为保证所使用的渠道或网络安全,还需要对渠道进行加密,当然也可以对渠道中发送的数据进行加密,但这并非常规做法。以证书方式加密的渠道可以让收寄双方通过可信任的路径进行交流,这种加密渠道被称为安全套接层(Secure Socket Layer, SSL)连接。当双方通过安全渠道交流时,要用到以下握手协议(handshake protocol):
1700426139
1700426140
发送设备使用公共和私人密钥来加密渠道,
1700426141
1700426142
最佳做法是使用由受信任的证书作者(certificate authority, CA)签署的有效证书(包含公共密钥)来启动流程,
1700426143
1700426144
双方对使用的加密协议达成一致,
1700426145
1700426146
协商共享密钥(私人密钥),
1700426147
1700426148
接收设备使用公共和私人密钥来对渠道解密。
1700426149
1700426150
当握手协议配对完成,双方就用协商好的加密算法和密钥,以安全方式开始交流,从而免受窃听或中间人攻击之扰。
1700426151
1700426152
数据加密的概念也与之类似,只不过数据是由云服务进行加密,由你安装的应用进行解密,或者随数据流方向反向操作。数据加密行为主体是应用程序,而不是网络服务器或浏览器。
1700426153
1700426154
校验
[
上一页 ]
[ :1.700426105e+09 ]
[
下一页 ]