NSC2015章恒:云計算安全風險研究與測評實踐
責編:penggao |2015-07-06 10:12:37北大國信云計算安全實驗室主任章恒跟我們分享一下”云計算安全風險研究與測評實踐”。
章恒:各位來賓下午好!今天下午公安部李明博士給大家介紹了國家層面云計算安全方面的一些要求,接著阿里、百度、京東介紹了云計算安全方面的解決方案和流程,是否做到這些就安全了呢?是否安全自己說了不算,下面國家測評團隊出場做一些事情。
北大國信云計算安全實驗室是由北京大學和國家信息中心聯合創辦的一個實驗室,國家信息中心在信息安全方面做了大量的工作,包括測評、風險評估等等,積累了大量的實踐經驗,而北京大學在云計算安全方面也積累了大量的研究成果,我們經過前期接觸、磨合,成立這樣一個實驗室,其主要目的也是為了在咱們國家云計算安全測評方面能夠達到領先水平。另外一個目的,國家在云計算安全方面或在信息安全方面的人才是急缺的,也正好是我們這個實驗室建立的目的、初衷,北大國信云計算安全實驗室有攻防實訓平臺,可以在這個平臺上進行實戰演練,為社會、為企業輸送信息安全方面的人才。
北大國信云計算安全實驗室的LOGO從上半部分代表Cloud,下面C代表computer,中間S是security,整個LOGO像一個陰陽太極圖案,表達了中國太極功夫對像云這種飄浮不定的控制力。
云計算及安全發展現狀
2015年中國云計算發展調查報告-公有云。如圖代表IAAS應用,綠色代表SAAS應用,中間代表PAAS應用。從2002-2015年上半年,SAAS的應用比較多,IAAS應用增長比較快,PAAS應用占比較少,而且發展也不是太迅猛。如圖對我們用戶調查結果,大部分用戶習慣把自己業務往云計算平臺上遷移,只有少量用戶是在減少或不清楚。如圖用戶所關心的方面,如是否有比較優化的安全策略,是否有聽過第三方安全測評等等億,用戶關心產品是否經過第三方安全和質量測評是他們關心的最主要的一個方面。安全性已經成為用戶選擇服務提供商最主要的因素,服務價格、服務穩定性、品牌知名度相對于服務安全性方面用戶考慮更多。
2015中國云計算發展調查報告-私有云。企業在私有云上承載的主要系統,企業信息管理系統占的比重相比較高。
如圖,2014年統計結果,企業用戶對于云計算核心關注度方面主要集中在幾個方面:數據安全、隱私保護、系統穩定性、可移植性和可用性方面,政府用戶對于云計算核心關注度方面更多考慮數據安全、是否有相關技術標準、合規性。
專利分布。目前大部分核心專利被國外所掌握,確切地說專利是異步是被美國所壟斷,各種云計算和云安全方面的專利美國現有占有97%,而其他國家占比較低。專利布局方面,大部分專利都集中在傳統IT企業,如微軟、IBM、思科等傳統的IT巨頭。在國內的浪潮、華為、阿里等也是我們國家專利主要申請人。
國外相關標準。這里不做詳細一一介紹,會后大家有興趣可以看相應PPT。
國內相關標準。因為我們國家電信行業在云計算安全方面比較領先,相關標準制定早一些,他們相對比較成熟。安標委有兩個主要的標準是去年剛拿了標準號,GB/T31167-2014,GB/T31168-2014,這兩個標準是去年拿到標準化的,之前也經過一段時間征求意見。
等保方面有三個標準在指定過程中,云計算安全要求、云計算測評要求、云計算安全技術要求。這三個標準形成征求意見稿,正在準備對外公布。
中央網信辦前幾天發布了《關于加強黨政部門云計算服務網絡安全管理的意見》,騰訊、京東等都是被審查的對象。
云計算環境安全風險場景
管理方面。
機房放在境外,對系統中存在的違規信息無法取證和采取控制措施;
云服務方對云租戶業務數據和隱私信息的非授權訪問可能導致用戶信息的泄露和被云服務方濫用;云服務商所雇傭的員工個人可能竊取或斜路數據信息;
未經云租戶授權的情況下,對云租戶的數據進行備份,制作虛擬機鏡像和快照,分析系統運行過程中產生的審計數據、監控信息等,均會造成云租戶信息斜路或被濫用;
單一廠商提供所有安全產品,如出現漏洞,可能會影響很大。云服務商往往對使用自己或單一來源的安全產品(安全廠商),我們認為也存在一定安全風險,所以對于用戶來說,可以給他們一個選擇自己安全產品或安全服務的權利;
沒有約定云服務商和云租戶的權限與責任,如果責任不明確的話就會導致出現問題責任劃分不清,如果造成故障的話,會給云服務商或云租戶相應的借口,這也是導致不安全的風險點;
未約定服務終止責任,導致云租戶信息沒有完整的返還。云平臺上用戶信息大量釋放以后,沒有完全清零或沒有完全清楚掉;
云租戶不能及時知曉云服務商相關的安全事件或威脅,對系統安全狀況不知情,云租戶不能確認安全措施的有效性。
技術方面。
攻擊者在云環境下可訪問其他租戶的虛擬網絡設備,虛擬網絡接口等共享網絡資源,過量占用設備硬件資源或網絡帶寬;
沒有足夠的邊界訪問控制措施,租戶之間、租戶的應用系統之間會產生安全風險;
在發生虛擬機遷移時,安全策略沒有隨之遷移,導致安全風險;
身份認證,云服務商或云的客戶端本身存在相應安全風險,如果云客戶端或云終端被控制,也會對云服務平臺造成一定影響;
安全審計,目前應該要求云服務商要提供能夠接入第三方審計的接口,如果沒有相應審計制度的話,對云租戶的服務和保護也是存在相應隱患,事后責任無法認定、無法追查。
云計算環境下風險場景非常多,在這里不能一一給大家介紹,大家有興趣的話可以會后看PPT。
在進行測評標準研究時,最主要的來源是要做調研,通過調研過程中發現目前虛擬化所帶來的安全問題還是用戶考慮一個主要方面,也是我們在做測評時考慮的一個主要問題。我們在做客戶調研時把用戶所關心的問題做了羅列,我們做相應安全測評或做相應標準制定時,都會對這些用戶關心的安全問題做相應考慮。
虛擬化安全問題:網絡資源虛擬化、存儲資源虛擬化、計算資源虛擬化。從虛擬化角度來看云平臺:節點硬件、網絡物理層、虛擬網絡層、網絡協議、硬件虛擬、操作系統、平臺、提供計算、存儲資源池、云計算服務提供。我們在測評過程中主要按照這種風險點給大家做相應測評,我們考慮系統脆弱性時,考慮系統所面臨威脅時,也是按照這樣一個層次架構給大家做相應的測評。
截止到2014年12月底虛擬化平臺漏洞統計,主要針對VMware、XEN、KVM。
漏洞成因分類分為虛擬機層面、硬件層面、網絡層面。
VMware漏洞簡介,牽涉到具體細節問題,沒有必要在這個大會上向大家做詳細介紹,都是可以在網上或相應工作看到這樣一些漏洞。
前面介紹比較多的都是大家對于漏洞的分析,另外一個我們認為在云環境下主要的風險點在于隱蔽信道,隱蔽信道其實很簡單,我們看過諜戰片,地下組織窗臺上放了一個花盆代表安全,不放花盆代表威脅,這個花盆就是一個隱蔽信道。在云計算環境下,對于CPU負載的占用,對于共享內存泄露的分析,都是我們隱蔽信道的來源。在實驗室對隱蔽信道分析方面做了大量的分析工作,形成了一些研究成果。
測評工具。
檢查表單及集成測評工具。
針對虛擬化的安全檢查及評估系統。這個漏洞庫來源不是大一的,是來源于VMware,虛擬產品本身發布的漏洞,還有來源于中國漏洞信息庫提供的漏洞庫,還有我們測試產品自己發現的漏洞。
面向智能終端APP的用戶隱私安全檢測工具。我們認為終端安全也是云計算、云服務安全的一個延伸,如果終端不安全的話,也會對云服務平臺安全造成一定的影響。
面向云計算環境的安全審計系統。我們主要針對于云管理平臺、虛擬化管理軟件,比如像遷移、資源分配、虛擬機的調度,通過后臺大量數據分析、合規性分析,認為它什么樣的操作是危險的、異常的,都會通過安全審計系統分析出來。
云計算環境等級保護和風險評估測評工具。在我們國家相關標準前提下做的一個測評工具。
北大國信云計算安全實驗室構建基于云計算環境的安全檢查與評估服務平臺。平臺最下層搭建了異構的云環境,在異構的云環境上是評測平臺,有相應的評測工具來做相應工作。在這個評測平臺上面是業務管理平臺,將來大家如果想對自己云平臺或云服務進行檢測,我們就要提供相應的業務管理接口與大家進行對接。上面是主要的一些服務內容,企業的應用系統或方案如果在上線之前沒有完全把握或沒有經過驗證測試的話,可以拿到我們這個平臺上進行驗證測試,我們會根據我們的工具、根據我們在云計算測試方面的積累,給大家出一個詳細檢測的報告或一個說明。
APP虛擬化平臺檢測工具。有打分、解決方案等其他相關信息。
針對虛擬化漏洞平臺簡單的滲透,這個漏洞是CVE-2013-1662。
測試環境是Ubuntu 14.04下的VMware Workstation,版本號為:9.0.1 build-894247。
我們先構建了一個二進制文件,對它進行了編譯,然后打開終端,將桌面的路徑添加勞改系統的PATH環境變量中,執行”VMware mount-L”命令,可以成功將/etc/shadow文件cat出來,而終端中單獨運行”cat/etc/shadow”命令是不能成功的。
北大國信云計算安全實驗室在云計算安全檢測方面的研究,另外是增進云計算方面一些安全人才的培養,普通高校畢業生在走向社會或剛畢業時對相關檢測并沒有相應的手段,或者大家想練這個技術到網上去練,這個行為也是違法的,我們這個平臺給大家提供了一個環境來進行相應實戰訓練,為企業提供更好信息安全方面的實戰人才,不懂得攻擊手段就沒辦法進行相應防御。所以我們主要目的還是在防御,而不是在攻擊。另外培訓完成以后會給大家發相應培訓證書,會提供信息安全攻防技術人員和信息安全攻防專家的培訓證書,歡迎大家都來參加我們培訓。謝謝大家!