1700426120
监控
1700426121
1700426122
检测安全漏洞的第一道防护机制是防火墙。每一个安全容器的边界内都会放置数道防火墙,云本身作为一个安全容器,还具有一道外部防火墙。在一类较为少见的情形中,安全容器内还嵌套有安全容器,数据流需要穿过重重防火墙才能进入。防火墙通过内置规则判断哪些数据可以通过,哪些则会被拦截。如果有人试图进入安全容器并被防火墙拦截,你就能收到通过邮件或监控日志发出的警告。不过一个安全系统包含的部件并不止这一种,除防火墙外还有用户认证与识别、入侵监测与防护,以及反病毒、反木马工具等基于用户的安全设施。在适当的配置下,此类系统会持续跟踪用户和对用户提供的服务与数据,并生成日志。由于日志内容会飞速增加,不可能依靠人工查阅,因此需要使用软件来分析服务器与防火墙日志,作为监测可疑活动的第一步工作。
1700426123
1700426124
第二道防线位于用户认证与识别阶段。如果某个用户或在某项服务中多次尝试登录失败,监控工具就会向云系统管理员发出警告,如果是自动运行的工具,还会阻止该账户或对该项服务的继续登录。此外,如果某一数据流试图使用未授权给该用户的服务,或试图提取该用户正常情况下不需要的数据,就会被判定为可疑,并通过入侵检测系统(intrusion detection system, IDS)进行分析与上报。
1700426125
1700426126
第三道防线位于客户处,因为客户端设备本身也需要防范恶意入侵,以免用户的登录数据被盗用去获取云服务。通常的方式是在用于接入云服务的客户端设备中安装反恶意软件,包括反病毒、反欺骗、个人防火墙和防信息记录追踪(cookies)。大多数情况下,云服务供应商都无法监控或配置此类终端设备,但如果使用的是瘦客户端或零客户端,就可以通过中央管理的操作系统来避免这一薄弱环节。
1700426127
1700426128
数据完整性
1700426129
1700426130
假如你把一封记载着重要信息的信件放在保险箱里,然后把保险箱埋在一个没人知道的地方,信息安全(或说IT安全)问题并未得到解决,而仅是被掩盖了。但如果你把信件放在保险箱里,然后寄给别人,从而只有收信人可以读到其中内容,这就是以安全方式传递了信息。那么如果保险箱被人截获,可能发生的情形包括以下三种:(1)截获者持有或控制了信件,让你或收信人都无法取得;(2)截获者阅读了信件,并利用其中的内容完成自己的目的(比如窃取你的身份信息,伪装成你或侵入你的电脑系统);(3)截获者偷换了信件,把假信息寄给了收信人。数据完整性意在保证通信渠道及渠道中所传输数据的安全,避免上述三种情形的发生。
1700426131
1700426132
当数据在两人(设备)之间传递时,为最大化数据完整性,需要在安全防护中考虑三个要素。终端应当安全——即需要对数据的收寄双方进行认证,保证他们确为其人;传送信息的渠道应当安全,不会轻易被第三方窃取或更换数据(中间人攻击);数据本身应当加密,不能被第三方轻易解读。这三个要素并不互斥,也常常互相组合来保证数据完整。
1700426133
1700426134
接下来考虑的问题包括,如何运用加密技术保证数据完备,如何用校检(checksum)来确认数据完整性,以及数据完整性在数据防损整体策略中的位置。
1700426135
1700426136
加密
1700426137
1700426138
在传输敏感信息时,为保证所使用的渠道或网络安全,还需要对渠道进行加密,当然也可以对渠道中发送的数据进行加密,但这并非常规做法。以证书方式加密的渠道可以让收寄双方通过可信任的路径进行交流,这种加密渠道被称为安全套接层(Secure Socket Layer, SSL)连接。当双方通过安全渠道交流时,要用到以下握手协议(handshake protocol):
1700426139
1700426140
发送设备使用公共和私人密钥来加密渠道,
1700426141
1700426142
最佳做法是使用由受信任的证书作者(certificate authority, CA)签署的有效证书(包含公共密钥)来启动流程,
1700426143
1700426144
双方对使用的加密协议达成一致,
1700426145
1700426146
协商共享密钥(私人密钥),
1700426147
1700426148
接收设备使用公共和私人密钥来对渠道解密。
1700426149
1700426150
当握手协议配对完成,双方就用协商好的加密算法和密钥,以安全方式开始交流,从而免受窃听或中间人攻击之扰。
1700426151
1700426152
数据加密的概念也与之类似,只不过数据是由云服务进行加密,由你安装的应用进行解密,或者随数据流方向反向操作。数据加密行为主体是应用程序,而不是网络服务器或浏览器。
1700426153
1700426154
校验
1700426155
1700426156
为对接收到的信息进行鉴真检测,需要以一定算法来计算数据的校验,接收方通过验证数据及校验,来确定接收到的数据是否值得信任。比如你要发一封信给我,就可以另外发送一条信息,说明“全信包含251个词,其中有105个名词、81个形容词,其余为代词或动词;信中包含45个句子和5个段落。”这段信息对信件内容进行了描述,与校验的作用相仿。有许多算法可以对校验进行自动计算,接收方就可以利用其来确认信息的准确性。校验能有效防范中间人攻击,保证从硬盘中提取或从中转设备接收的数据没有被截取并篡改。其另一用途是确保收到的数据没有因无线网络等通信渠道的损耗或干扰而丢失。
1700426157
1700426158
数据防损
1700426159
1700426160
数据防损是指用于发现、识别、监控、管理、保护数据的系统,所涉及的数据可以是在使用状态、传输状态或闲置状态,也可以位于任意位置。图20定义了上述三种状态下的数据防损范围,并给出每一状态下数据所处的常见位置。这三种状态构成了数据的整个生命周期:创建、传输、使用、存储、提取及最终的销毁。闲置状态数据指的是以字符形式存储在物理设备中的不活跃或半活跃数据;传输状态数据指的是从一个终端向另一个终端流动的数据;而使用状态数据是指正在被持续使用的活跃数据。
1700426161
1700426162
1700426163
1700426164
1700426165
作为云服务的用户,你需要避免数据在整个生命周期中的任何损耗,用到的工具包括加密技术(保护数据安全)、校验(验证数据完整性)、监控措施(知道谁曾访问过数据)及管理(确认过期数据在限期内销毁)。
1700426166
1700426167
数据隐私性
1700426168
1700426169
我们所称的隐私指能用于认定一个人身份的信息,即通常称为“个人识别数据”(PID)或“个人识别信息”(PII),NIST对PII的定义是,关于个人的任何以下信息: