公有云安全概述
云安全职责划分-共同担责
软件即服务SAAS
云服务厂家几乎负责所有的安全性,因为租户只能访问、管理和使用其提供的应用程序,但无法对应用程序做破坏性操作。例如:SAAS服务厂家提供安全、日志、运维、审计、应用安全性检测等,二租户只能给管理租户账户和权限。
平台及服务PAAS
云服务厂家负责平台的安全性,租户负责平台上部署的应用,包括所有的应用安全配置。两者职责几乎均分。例如RDS关系型数据库服务,云服务厂家提供RDS实例管理安全、RDS实例的修复和核心配置。租户对数据库账户、访问安全等负责。
基础设置即服务IAAS
云服务厂家负责基本的安全,而租户负责在此基础上搭建的其它安全。相比PAAS,IAAS租户承担更多的职责。
租户安全关注点——治理和企业风险管理
组织治理和度量云计算带来的企业风险的能力。 例如违约的判决先例,用户组织充分评估云提供商风险的能 力,当用户和提供商都有可能出现故障时保护敏感数据的责任,及国际边界对这些问题有何影响等都是关注点。
法律问题:合同和电子举证
使用云计算时潜在的法律问题。 本节涉及的的问题包括信息和计算机系统的保护要求、安全漏 洞信息披露的法律、监管要求,隐私要求和国际法等。
合规性和审计管理
保持和证明使用云计算的合规性。 本节涉及评估云计算如何影响内部安全策略的合规性、以及不同的合规性要求(规章、法规等)。同时还提供在审计过程中 证明合规性的一些指导。
信息治理
治理云中的数据。 本节涉及云中数据的识别和控制;以及可用于处理数据迁移到 云中时失去物理控制这一问题的补偿控制。也提及其它项,如谁负责数据机密性、完整性和可用性等。
管理平面和业务连续性
保护访问云时使用的管理平台和管理结构,包括 Web 控制台 和 API。确保云部署的业务连续性。
基础设施安全
核心云基础架构安全性,包括网络、负载安全和混合云安全考虑。该领域还包括私有云的安全基础。
虚拟化及容器(Container)技术
虚拟化管理系统、容器和软件定义的网络的安全性。
事件响应、通告 和补救
适当的和充分的事件检测、响应、通告和补救。尝试说明为了启动适当的事件处理和取证,在用户和提供商两边都需要满足的一些条目。本域将会帮助您理解云给您现有的事件处理程序带来的复杂性。
应用安全
保护在云上运行或在云中开发的应用软件。包括将某个应用迁移到或设计在云中运行是否可行,如果可行,什么类型的云平 台是最合适的(SaaS, PaaS, or IaaS)。
数据安全和加密
实施数据的安全和加密控制,并保证可扩展的密钥管理。
身份、授权和访问管理
管理身份和利用目录服务来提供访问控制。关注点是组织将身 份管理扩展到云中遇到的问题。本节提供洞察评估一个组织准备就绪进行基于云的身份、授权和访问管理(IdEA)。
安全即服务
提供第三方促进安全保障、事件管理、合规认证以及身份和访问监督。
相关技术
与云计算有着密切关系的已建立的新兴技术,包括大数据,物联网和移动计算。
租户云上安全诉求及方案
业务连续不中断
业务中断的主要原因
网络攻击
网络的每一层都有可能成为攻击者的切入点,非应用层的攻击可能导致基础网络不可用,如DDOS、DOS可以让企业网络出口几乎等于不可用,针对应用层的CC攻击可以让服务器无法正常对外提供服务,无论针对哪一层进行的攻击行为,都有可能导致客户的业务中断,无法正常运行。
漏洞
没有及时修补的漏洞、0Day,都使得企业的业务运行在不安全的环境下,利用漏洞的攻击可以让黑户非法窃取数据、造成业务中断、数据丢失等。以在护网行动中暴露出来的coremail为例,可造成coremail的配置文件信息泄露,其中包括数据库连接的用户名密码等敏感信息
病毒
如果近几年来让大家印象深刻的导致业务中断的事件,由勒索病毒(永恒之蓝、warnnacry)为代表的病毒大家再熟悉不过了,病毒对在很多方面都可以导致业务系统不可用:服务器资源高占用、死机、数据被删除、数据被加密等。
网络攻击的分类
网络攻击按照流量特点可以分为流量型攻击和单包攻击两种。
流量攻击也就是我们熟知的DOS、DDOS,使用大量的流量或者应用层连接造成业务不可用。
单包攻击虽然没有大量的流量,但是通过构造特殊的报文来攻击网络中设备的漏洞,可直接造成网络设备的宕机、网络拓扑信息泄露。
流量型攻击分类
流量型攻击从攻击层面可以分为网络层和应用层,通过构造大量报文造成接口流量拥塞、设备处理卡顿,从而达到正常业务流量无法得到及时处理的问题,借此来中断业务。
TCP flood
攻击者首先伪造地址对服务器发起SYN请求,服务器就会回应一个ACK+SYN,而真实的IP没有发送请求,不作回应。服务器没有收到回应,会重试3-5次并且等待一个SYN Time(一般30秒-2分钟)后,丢弃这个连接。如果攻击者大量发送这种伪造源地址的 SYN请求,服务器端将会消耗非常多的资源来处理这种半连接(SYN_RECV状态),保存遍历会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行 SYN+ACK的重试,服务器无暇理睬正常的连接请求造成拒绝服务。这种情况称作服务器端受到了SYN Flood攻击(SYN洪水攻击)
UDP flood
UDP协议是一种无连接的服务,攻击者向服务器发送大量UDP协议数据包,导致服务器带宽和系统资源耗尽,无法提供正常服务。比较常见的是攻击者利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器等。UDP Flood攻击包括小包和大包两种方式进行攻击。
ICMP flood
ICMP Flood 攻击属于流量型的攻击方式,攻击者使用工具发送大量的伪造源IP的ICMP报文,造成服务器带宽资源被大量占用,给服务器带来较大的负载,影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文, 因此ICMP Flood出现的频度较低。
HTTP flood
常见的HTTP Flood攻击分为HTTP get flood、HTTP post flood,是指利用应用层Http协议,向服务器发送海量Http请求,造成服务器繁忙和资源耗尽,无法正常提供服务的DDoS攻击。
HTTPS floofd
与HTTP flood类似,只是基于HTTPS。
DNS flood
分为DNS Query Flood和DNS Reply Flood。DNS Query Flood采用的方法是向被攻击的服务器发送大量的域名解析请求,域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时,导致DNS服务器无法为合法用户提供服务。通常攻击者所请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS DNS服务器就需要进行频繁的字符串匹配,由于在本地无法查到对应的结果,服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应,从而给DNS服务器带来更大的负载。DNS reply flood就是黑客发送大量的DNS reply报文到DNS缓存服务器,导致缓存服务器因为处理这些DNS reply报文而资源耗尽,影响正常业务。
SIP flood
攻击者通过发送大量的INVITE消息到SIP服务器,导致被攻击SIP服务器分配大量的资源用以记录和跟踪会话,直到资源耗尽而无法响应合法用户的呼叫请求。
SIP(Session Initiation Protocol,会话初始协议)的开发目的是用来帮助提供跨越因特网的高级电话业务。因特网电话(IP电话)正在向一种正式的商业电话模式演进,SIP就是用来确保这种演进实现而需要的NGN(下一代网络)系列协议中重要的一员。支持H.264协议。
单包攻击种类
最常见的DoS攻击就是我们常常提到的单包攻击,这类攻击一般都是以个人为单位的黑客发动的,攻击报文也比较单一,虽然破坏力强大,但是只要掌握了攻击的特征,防御起来还是比较容易的。
畸形报文攻击:通常指攻击者发送大量有缺陷的报文,从而造成主机或服务器在处理这类报文时系统崩溃。
扫描类攻击:是一种潜在的攻击行为,并不具备直接的破坏行为,通常是攻击者发动真正攻击前的网络探测行为。
特殊控制报文攻击:也是一种潜在的攻击行为,不具备直接的破坏行为,攻击者通过发送特殊控制报文探测网络结构,为后续发动真正的攻击做准备。
扫描窥探攻击
利用ping扫射(包括ICMP和TCP)来标识网络上存活着的系统,从而准确定位潜在的目标;利用TCP和UDP端口扫描,就能检测出操作系统和监听着的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞(识别目标弱点),为进一步侵入系统做好准备。
畸形报文攻击
通过向目标系统发送有缺陷的IP报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行。主要的畸形报文攻击有Ping of Death、Teardrop等。
特殊报文攻击
攻击者利用一些合法的报文对网络进行侦察或者数据检测,这些报文都是合法的应用类型,只是正常网络很少用到。
网络攻击防范
防火墙,antiddos
安全组:防护对象为弹性云服务器
网络ACL:防护对象为VPC的子网
计费项:基础防护+业务带宽+弹性防护
付费方式:预付+后付
计费周期:基础防护带宽(Gbit/s)、业务带宽(Mbit/s)按照月/年计费,购买时生成预付费订单付费。
后付费周期:弹性防护带宽(Gbit/s)按自然日计费,按照前一日实际发生的超出基础防护攻击峰值生成后付费账单。
漏洞
漏洞会影响到很大范围的软硬件设备,包括操作系统本身及其支撑软件,网络客户和服务器软件,路由器和安全防火墙等。换而言之,在这些不同的软硬件设备中都可能存在不同的安全漏洞问题。
常见漏洞按照分类可以分为三大类:主机漏洞、Web漏洞和数据库漏洞。
主机漏洞:内存破坏类漏洞、CGI类漏洞、输入验证类漏洞、配置错误类漏洞、系统本地补丁、常见协议弱口令、木马病毒
Web漏洞:SQL注入攻击、跨站脚本、文件包含、远程代码执行、主流CMS漏洞。
数据库漏洞:常见类型数据库漏洞,如Oracle、MySQL、SQL Server、DB2、Informix、Sybase
基于威胁类型分类:
获取控制:劫持执行程序流程,使程序执行指定任意指令或命令,控制应用系统或操作系统。
获取信息:劫持程序访问预期外的资源并被攻击者获取,影响系统的机密性。
拒绝服务:导致目标应用或系统暂时或永久性失去相应服务的能力。
基于技术类型分类:
内存破坏类:栈缓冲区溢出,堆缓冲区溢出,静态数据区溢出。
错误逻辑类:安全检查的实现逻辑上上有问题。
设计错误类:系统设计上对安全机制的考虑不足导致在设计阶段引入安全漏洞。
错误配置类:系统运维过程中默认不安全的配置状态。
输入验证类:对用户输入没有做充分的检查过滤就用于后续操作导致的漏洞。
漏洞防御
针对Web安全的防御主要可以分为以下两个方面:
用户侧:在用户侧通过限制用户可访问的Web站点类型,限制恶意站点,从而达到防御Web攻击的目的。
站点侧:在站点上规范开发,开发时从语言编写层面防御针对Web攻击,让攻击行为无法被执行。
病毒
病毒是一组程序或指令的集合,它能够通过某种途径潜伏在计算机存储介质或程序中,当达到某种条件(如特定时间或者特定网络流量等)时被激活,从而对计算机资源进行一定程度的破坏。
病毒的传播途径多种多样,在早期以移动介质传播为主,但是随着Internet技术的发展,以及E-mail和一批网络工具的出现,使得计算机病毒的种类迅速增加,扩散速度也大大加快,计算机病毒的传播方式迅速转变以网络系统间的传播为主。
网络(电子邮件、网页链接、P2P共享)、U盘等
病毒特征
病毒具有以下特征:
传染性
可以通过多种方式传播,在当今互联网时代,病毒可以通过网络迅速传播到世界的各个地方。
破坏性
一般的病毒会删除、加密系统内文件,少部分的病毒会对计算机的硬件进行不可逆的破坏,如CIH病毒。
隐蔽性
一般病毒很难被发现,他们会伪装地和正常程序名称很像,让人很难察觉,如svh0st这种名称,不仔细观察会认为是系统进程(svhost是windows系统正常的系统进程)。有的病毒会依附于正常程序,当正常程序执行时它们也会被调用。
潜伏性
并不是所有的病毒都会立即执行,而是等待设定的触发条件达到才会执行,比如某个时间点。
不可预见性
不同类型的病毒之间从代码角度来看差距很大,很难不查看代码的具体行为就判断出该程序是不是病毒,同时对代码的一点修改,就可以让病毒的行为改变,从而绕过杀毒软件已经退出的检测、查杀手段。
病毒分类
按破坏性分类:
良性病毒:良性病毒并不破坏系统中的数据,而是干扰用户的正常工作,导致整个系统运行效率降低、系统可用内存总数减少、使某些应用程序不能运行。
恶性病毒:恶性病毒发作时以各种形式破坏系统中的数据。如删除文件、修改数据、格式化硬盘或破坏计算机硬件。
传播媒介分类:
单机病毒:单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
网络病毒:网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
按传染方式分类
文件型病毒:文件型病毒是指能够感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。
系统引导型病毒:这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或者软盘启动,或者当计算机从受感染的磁盘中读取数据时,引导区病毒就会开始发作。
混合型病毒:混合型病毒综合了系统引导型和文件型病毒的特性,它的危害比系统引导型和文件型病毒更为严重。这种病毒不仅感染系统引导区,也感染文件,通过这两种方式来感染,更增加了病毒的传染性以及存活率。
宏病毒:宏病毒是一种寄存于文档或模板的宏中的计算机病毒,主要利用MicrosoR word提供的宏功能来将病毒带进到带有宏的Doc文档中,一旦打开这样的文档,宏病毒就会被激活,进人计算机内存中,并驻留在Nonnal模板上。
按连接方式分类:
源码型病毒:源码型病毒攻击的对象是高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。
入侵型病毒:入侵型病毒将自身连接入正常程序之中。这类病毒难以被发现,清除起来也较困难。
操作系统型病毒:操作系统型病毒可用其自身部分加入或替代操作系统的部分功能,使系统不能正常运行。
外壳型病毒:外壳型病毒将自身连接在正常程序的开头或结尾。
病毒防范
针对病毒大家最了解的防御手段:杀毒软件,Anti Virus,一般简称AV,从查杀原理来区分,AV可以分为两种类型:
扫描性:描病毒程序本身的特征,然后与杀软病毒库中的特征码作对比,能够匹配说明就是病毒,但随着病毒越来越多,病毒库的体积会越来越臃肿,客户需要频繁地升级病毒库。
主动防御性:将可疑程序放到一个“沙箱”内运行,“沙箱”是一个模拟的操作系统,沙箱会观察该程序是否会执行一些危险行为,表现出明显的病毒特征,如果在模拟的操作系统内该程序表现出一些危险行为,沙箱会判定该程序为病毒。
从防范的位置来看,一般在主机侧(用户主机、服务器)通过安装杀毒软件、定期查杀、更新系统等行为进行防范,在网络侧通过部署具有防病毒功能的防火墙、物理沙箱设备来进行主动防御。
华为云租户业务防护方案
漏洞扫描服务VSS具有web网站扫描和主机扫描HSS(host security service)两种扫描能力。
漏洞扫描服务帮您快速检测出您的网站和主机存在的漏洞,提供详细的漏洞分析报告,并针对不同类型的漏洞提供专业可靠的修复建议。
体验式扫描
第一次使用漏洞扫描服务的新用户,在未进行域名认证时,可以对网站进行体验式扫描,预估网站风险。
主机漏洞扫描
支持深入扫描
通过配置验证信息,可连接到服务器进行OS检测,进行多维度的漏洞、配置检测。
支持内网扫描
可以通过密钥的方式访问业务所在的服务器,适配不同企业网络管理场景。
支持弱密码扫描
多场景可用
全方位的OS连接,涵盖90%的中间件,支持标准Web业务弱密码检测、操作系统、数据库等弱口令检测。
丰富的弱密码库
丰富的弱密码匹配库,模拟黑客对各场景进行弱口令探测,同时支持自定义字典进行密码检测。
支持中间件扫描
丰富的扫描场景
支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。
多扫描方式可选
支持通过标准包或者自定义安装等多种方式识别服务器中的中间件及其版本,全方位发现服务器中的漏洞风险
网站漏洞扫描
具有OWASP TOP10和WASC的漏洞检测能力,支持扫描22种类型以上的漏洞。
扫描规则云端自动更新,全网生效,及时涵盖最新爆发的漏洞。
支持HTTPS扫描。
一站式漏洞管理
支持任务完成后短信通知用户。如果您希望在扫描任务执行完成后收到短信通知,请购买专业版或者企业版。
提供漏洞修复建议。如果您需要查看修复建议,请购买专业版或者企业版。
支持下载扫描报告,用户可以离线查看漏洞信息,格式为HTML。如果您需要下载扫描报告,请购买专业版或者企业版。
支持重新扫描。
自定义扫描
支持任务定时扫描。
支持端口扫描。
支持弱密码扫描。如果您需要对网站进行弱密码检测,请购买专业版或者企业版。
支持自定义登录方式。
支持Web 2.0高级爬虫扫描。
web网站扫描采用网页爬虫的方式全面深入的爬取网站url,基于多种不同能力的漏洞扫描插件,模拟用户真实浏览场景,逐个深度的分析网站细节,帮助用户发现潜在的安全隐患。同时内置了丰富的无害化扫描规则,以及扫描速率动态调整能力,可有效避免用户网站业务受到影响。
主机扫描需要经过用户授权(支持账密授权、脚本授权方式)访问用户主机,能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置,基于实时同步官网更新的漏洞库匹配漏洞特征,帮助用户及时发现主机安全隐患。
Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
操作全程可管控
用户可通过云服务基线查看各项风险的详细信息和指导建议。
身份认证
- 检查是否启用IAM用户
- 检查租户的用户列表,是否至少有两个已启用的用户,且其中一个用户所属的用户组不是admin用户组。启用IAM用户,是指通过IAM服务启用除企业管理员以外的其他用户,且该用户不属于admin组。
访问控制
- 网络ACL规则检查
- 检查所有网络ACL的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,动作为允许,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),源端口范围为1-65535或0,目的地址为0.0.0.0/0(所有地址),目的端口范围为1-65535、0或者特定的业务端口,如22。
安全组规则检查
- 检查所有安全组的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1-65535或者特定的业务端口,如22。
日志审计
- 检查是否启用云审计服务
- 检查租户是否已经开通云审计服务,并且至少有一个追踪器的状态是正常的。云审计服务,可以提供云账户下资源的操作记录,通过操作记录,用户可以实现安全分析、资源变更、合规审计、问题定位等常见应用场景。
- 检查是否启用OBS桶日志记录
- 检查租户的所有OBS桶是否开启日志记录功能。OBS桶日志记录,是指用户开启一个桶的日志记录功能后,OBS会自动对这个桶的访问请求记录日志,并生成日志文件写入用户指定的桶(即目标桶)中。
数据安全
- OBS桶的ACL权限检查
- 检查所有OBS桶,是否给匿名用户赋予桶访问权限或者ACL访问权限。桶ACL是基于账号或用户组的桶级访问控制,桶的拥有者可以通过桶ACL授予指定账号或用户组特定的访问权限。为安全起见,不建议通过桶ACL为匿名用户赋予桶的相关权限。如果匿名用户被授予了访问桶的权限,则表示所有人都可以访问对应的桶,并且不需要经过任何身份认证。
RDS实例安全组规则检查
- 检查所有RDS实例关联的安全组的规则是否存在不安全规则,即是否存在开放过大的访问控制策略。不安全规则,即方向为入方向,协议为任一类别协议,源地址为0.0.0.0/0(所有地址),端口为1-65535或者数据库业务端口,如3306。
基础防护
- 检查是否启用Anti-DDoS流量清洗
- 检查租户的弹性云服务器、弹性负载均衡资源是否启用了Anti-DDoS流量清洗。启用Anti-DDoS流量清洗,是指为华为云内资源(弹性云服务器、弹性负载均衡),开启流量清洗防护,抵御DDoS攻击。
检查ECS实例是否启用企业主机安全
- 检查租户的弹性云服务器是否安装主机安全客户端,且防护状态是否开启。启用企业主机安全,是指为云主机安装主机安全客户端并开启防护。从而提升主机整体安全性,帮助企业降低主机安全风险。
- 云审计服务管理控制台支持创建数据事件追踪器,用于记录数据操作日志。
追踪器分类
管理事件追踪器和数据事件追踪器。
管理事件追踪器用于记录管理事件,即针对云资源的操作日志,例如创建、登录、删除等。
数据事件追踪器用于记录数据事件,即针对数据的操作日志,例如上传、下载等。
策略根据授权的精细程度
细粒度策略和Role-Based Access Control(RBAC)策略。
RBAC策略:将服务作为一个整体进行授权,授权后,用户可以拥有这个服务的所有权限,RBAC策略无法针对服务中的具体操作做权限控制。
细粒度策略:以API接口为粒度进行权限拆分,授权更加精细,可以精确到具体操作。授权后,用户可以对这个服务执行特定的操作,例如:针对ECS服务,控制用户仅能变更云服务器规格。
态势感知(Situation Awareness,SA)是可视化威胁检测和分析的平台。态势感知能够检测出超过20大类的云上安全风险,包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和聚合分析,为用户呈现出全局安全攻击态势。
通过采集全网流量数据和安全防护设备日志信息,并利用大数据安全分析平台进行处理和分析,态势感知检测出威胁告警,同时将主机安全、Web防火墙和DDoS流量清洗等安全产品上报的告警进行汇聚,最终为用户呈现完整的全网攻击态势,进而为安全事件的处置决策提供依据。
云审计服务CTS
日志审计模块是信息安全审计功能的核心必备组件,是企事业单位信息系统安全风险管控的重要组成部分。在信息系统逐步云化的背景下,包括我国SAC/TC在内的全球各级信息、数据安全管理部门已对此发布多份标准,如:ISO IEC27000、GB/T 20945-2013、COSO、COBIT、ITIL、NISTSP800等。
云审计服务(Cloud Trace Service,以下简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。
云审计服务的功能主要包括:
记录审计日志:支持记录用户通过管理控制台或API接口发起的操作,以及各服务内部自触发的操作。
审计日志查询:支持在管理控制台对7天内操作记录按照事件来源、事件名称、操作类型、资源名称/ID、事件状态和时间范围等多个维度进行组合查询。
审计日志转储:支持将审计日志周期性的转储至对象存储服务(Object Storage Service,简称OBS)下的OBS桶,转储时会按照服务维度压缩审计日志为事件文件。
事件文件加密:支持在转储过程中使用数据加密服务(Data Encryption Workshop,简称DEW)中的密钥对事件文件进行加密。
关键操作通知:支持在检测到部分关键操作时,使用消息通知服务(Simple Message Notification,简称SMN)向用户发送邮件、短信通知。
统一身份IAM
- 对华为云的资源进行精细访问控制
- 跨账号的资源操作与授权
- 使用企业已有账号登录华为云
统一身份认证(Identity and Access Management,简称IAM)是华为云提供权限管理的基础服务,可以帮助您安全地控制华为云服务和资源的访问权限。
IAM无需付费即可使用,您只需要为您账号中的资源进行付费。
- 云堡垒机提供了用户管理、用户组管理、角色管理,认证方式支持账号和密码、USBKey和动态令牌多种令牌认证模式。
- 云堡垒机提供了访问控制策略、命令控制策略和改密策略等三种方式。
数据保密不扩散
生命周期
存储系统缺陷
缺乏加密
尽管一些高端NAS和SAN设备包含自动加密功能,但市场上的许多产品并不包含这些功能。这意味着组织需要安装单独的软件或加密设备,以确保其数据已被加密保护。
云存储
越来越多的企业选择将部分或全部数据存储在云中。尽管有人认为云存储相比内部部署的存储更安全,但云计算增加了存储环境的复杂性,并且通常需要存储人员学习新工具,并实施新程序,以确保数据得到充分保护。
数据销毁
从硬盘或其他存储介质中删除数据时,可能会留下可能导致未经授权的人员恢复该信息的痕迹。存储管理人员和管理者需要确保从存储中删除的任何数据都被完全覆盖,以至于无法恢复。
物理安全
有些组织对其存储设备的物理安全性没有足够的重视。在某些情况下,他们没有考虑到内部人员(例如员工或清洁团队的成员)可能能够访问物理存储设备,并提取数据,从而绕过所有精心策划的基于网络的安全措施的情况。
对称加密的最大优点是:加密速度非常快,缺点是:密钥难于保存和传输
当前的著名对称加密算法有
DES/3DES数据加密标准
IDEA国际数据加密算法
RC系列
CAST
Blowfish/Twofish
AES高级数据加密标准等等
非对称算法有如下特点:
公钥加密,私钥解密,公钥公开,私钥保密,加解密速度很慢
密钥管理服务(KMS – Key Management Service)应运而生。密钥管理系统可对密钥进行全生命周期的管理,包括创建、启用、禁用、更新、轮换、销毁等操作。
通过使用硬件安全模块(HSM – Hardware Security Module),为租户创建和管理密钥,防止密钥明文暴漏在 HSM 之外,从而防止密钥泄露,保护密钥安全。
硬件安全模块(HSM)通常以硬件加密机的形式对外提供服务,提供主要功能如下:
- 生成、存储、导入、导出和管理加密密钥,包括对称密钥和非对称密钥。
- 使用对称和非对称算法加密和解密数据。
- 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码。
- 对数据进行加密签名(包括代码签名)并验证签名。
- 以加密方式生成安全随机数据。
对于密钥在内的敏感信息,HSM同时提供逻辑层面与物理层面的保护,以防止未经授权的访问或者可能的入侵。
自2010年起,NIST推荐选取2048位及以上的RSA密钥长度,在更长密钥下保证速度就变得越来越重要了。对此,有些HSM已经支持同等安全程度仅需更短密钥的椭圆曲线密码学(ECC)。
云加密机
云密码机采用虚拟化技术,在一台硬件密码设备上实现同时运行多个虚拟化的密码机(VSM),可与云计算管理系统无缝对接,实现对VSM的独立管理,并支持虚拟化多种密码体系的VSM,用户使用VSM与使用传统密码机一致。
云加密机具有以下特点:
独享云端硬件芯片
采用独有的硬件虚拟化与隔离技术,用户独享云端密码芯片资源,实现用户密钥硬件隔离的同时保障业务性能。
多层安全设计
采用主机可信链路、密钥协商、平台与VSM管理角色分离等技术实现端到端的安全。
弹性密码计算
密码运算资源动态调配,高峰期动态增加、低谷期动态释放。
全业务支持
支持金融支付、身份认证、数字签名等应用安全,满足各种重要系统对于数据安全性的严苛要求。
多用户/应用支持
通过完善的审核控制和身份认证机制,支持多用户之间的设备及管理隔离,同时仍支持多应用调用。
集中设备管理支持
由统一的管理中心进行设备集中管理和监控,管理员随时可掌握设备的工作状态。与用户密钥管理权限分离,用户也可集中管理自身的密码设备密钥,保证用户密钥的安全性。
安全性
采用国密局批准的硬件芯片实现密码算法,采用多路物理噪声源芯片生成高强度随机数。
可靠性
采用多级阵列技术,支持VSM集群、热备,切实保障用户的业务连续性。
兼容性
为应用提供与实体密码设备相同的功能与接口,可完全兼容传统应用并方便其向云端迁移。
加密存储
磁盘加密
对系统盘、数据盘、硬盘快照和硬盘备份的加解密操作。加解密密钥的管理由密钥管理系统实现。
全盘加密技术是主要是对磁盘进行全盘加密,正常一块500G的硬盘解密一次所需时间需要3-4个小时,主要做法是对系统盘不做加密防护,而是采用外围技术进行安全访问控制。
文件加密
根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术,应用层加密因为对应用程序的依赖性比较强,存在诸多兼容性和二次开发的问题,逐步被各信息安全厂商所淘汰。
数据库加密
应用系统加密
将应用系统数据先在内存中进行加密,然后文件系统把每次加密后的内存数据写入到数据库文件中去,读入时再逆方面进行解密。加密方法相对简单,只要妥善管理密钥就可以了。缺点对数据库的读写都比较麻烦,每次都要进行加解密的工作,对程序的编写和读写数据库的速度都会有影响。
数据库服务端加密
数据库服务端加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能,可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行,加重了服务器的负载,而且数据库管理系统和加密器之间的接口需要数据库管理系统开发商的支持。
数据库客户端加密
数据库客户端加密实现加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输,加密比较实际的做法是将数据库加密系统做成数据库管理系统的一个外层工具,根据加密要求自动完成对数据库数据的加解密处理。
采用这种加密方式进行加密,加解密运算可在客户端进行,它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密,缺点是加密功能会受到一些限制,与数据库管理系统之间的耦合性稍差。
数据销毁
数据覆写
低程度的就是将磁带或磁盘完全覆写;高程度则需符合美国国防部DoD 5220-22-M 保安认证程序,结合数种清除与覆写程序,让硬盘每一个空间都被重复清除及覆写。
物理消磁
小型消磁机做单卷消磁,但消磁机磁波高,大量消磁委托专门公司相比更迅速安全
焚毁
储存媒体通过焚毁,达到数据保密的目的
捣碎/剪碎
实体捣碎
化学腐蚀
化学腐蚀是指是运用化学物质溶解、腐蚀、活化、剥离磁盘记录表面信息的销毁方法。
| 存储类型 |
机密性 |
可靠性 |
| EVS |
KMS 提供密钥。用户主密钥(CMK - Customer Master Key)由 KMS 生成、管理和销毁,用于加密和解密数据加密密钥。华为云提供整卷加密功能。 |
三副本备份,数据持久性高达99.99995% 通过VBS实现云硬盘的备份与恢复,且支持通过云硬盘备份创建新的云硬盘 |
| VBS |
由 KMS 提供密钥。CMK 由 KMS生成、管理和销毁,用于加密和解密数据加密密钥。华为云提供整卷加密功能。 |
数据持久性高达99.999999999% |
| OBS |
提供两种加密密钥管理方式: 用户提供加密密钥(SSE-C 方式):由用户提供密钥、密钥的 哈希值、加密算法 AES256。须使用 HTTPS 发请求。 KMS 托管密钥(SSE-KMS 方式):由 KMS 提供密钥。用户向区域中的桶上传 SSE-KMS加密的对象时,OBS 将自动创建用于加密和解密数据的 CMK。 |
数据持久性高达99.999999999%,服务可用性达99.99% 数据检查:存储前一致性检查,确保存入数据是上传数据 分片冗余:数据分片后多份冗余存储在不同磁盘,后台自行检测一致性并及时修复受损数据 |
| RDS |
供数据机密性的双重保证: 通过数据库管理系统对数据库文件进行加密处理,即使数据泄露或丢失,也无法进行破译。 华为云建议租户对要进行上传的数据进行加密,然后再保存到数据库中。 |
三副本备份,数据持久性高达99.99995%;主备数据库实例可在故障发生时快速切换,服务可用性达99.95%, 备份与恢复:备份,支持自动备份以及创建快照;恢复,支持恢复到某个备份文件点 |
| IMS |
由 KMS 提供密钥。CMK 由 KMS生成、管理和销毁,用于加密和解密数据加密密钥。华为云提供两种方式创建加密镜像:通过加密弹性云服务器创建和通过 外部镜像文件创建。 |
使用多份冗余存储私用镜像,数据持久性高达99.999999999% |
专属加密(Dedicated Hardware Security Module,Dedicated HSM)是华为云为用户提供的云上数据加密的服务,可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。
同时,Dedicated HSM可提供认证合规的金融数据加密机、服务器加密机以及签名验签服务器等,灵活支撑用户业务场景。能够帮助用户满足数据安全方面的监管要求,以及云上业务数据的隐私性要求。
数字签名
- 难以伪造
- 无法抵赖
- 不可更改
- 不能转移
信息摘要
为了保证数据在传输过程中不被修改,消息完整性保证方法因此而生
消息验证码(Message Authentication Code)
整个数据进行散列运算,将得到的摘要信息随着消息一起发送,收到数据的一方用同样的方法计算临时摘要,对比消息中携带的摘要信息即可知道消息是否被修改。能够实现这一点的根本在于散列函数对于被计算的值,存在一点差距(1bit的不一样),产生的摘要信息都会不同。常见的摘要算法有:HMAC,SHA.
数据加密
通过算法法将一条正常的消息(明文)转换成乱码(密文),再将乱码转换回正常的消息,实现加密(编码)和解密(译码)的过程。有些加密算法是对称的—用来加密的能力可同样用来解密,而另一些算法是不对称的—用来加密的能力无法用来解密。
对称加密算法有:DES、AES、3DES。
非对称的加密算法:DSA、RSA。
数据库层加密
数据库系统安全框架可以划分为网络安全层、宿主操作系统层和数据库管理系统层。
网络安全层安全
网络层次的安全防范技术主要由加密技术、认证技术、数字签名技术、防火墙技术和入侵检测技术等。
操作系统层安全
一个安全的操作系统应该具有访问控制,内存管理、审计、加密数据传送、加密文件系统、安全进程通信机制等功能。
操作系统安全策略用于配置本地计算机的安全设置,包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权力指派、加密数据的恢复及其他安全选项。
安全管理策略是指网络管理员对系统实施安全管理所采取的方法和策略。针对不同的操作系统和网络环境采用的安全策略也不同。
数据库管理系统层次安全
其主要技术包括对数据库系统文件进行加密处理,保证即使数据不幸泄漏或者丢失,也难以破译和阅读。
数据库管理系统层次安全主要分为以下4类:
DBMS 代码漏洞
这是由于数据库设计本身引起的安全漏洞,处于数据库产品的代码设计层面,比如缓冲区溢出漏洞,这样的漏洞只能通过厂商的补丁进行修补。
DBMS 架构缺陷
比如对口令加密的算法强度不够,在Oracle中,口令的 hash 变换算法,已经被模拟实现。这样的漏洞,一方面可以通过厂商的补丁进行修复,另外还需要进行安全配置的规避。
DBMS 安全配置漏洞
这是由于数据库的不合理配置而引起的安全问题,这类问题是最为常见的数据库安全问题,最容易受到攻击者的利用。数据库管理员维护数据库的安全,主要就是在这一个层面进行实施。
用户造成的DBMS安全隐患
这是由于对数据库的不合理使用造成的安全问题,比如在编写存储过程的时候,由于程序员的安全意识不足,导致了SQL注入漏洞,这就演变成了一个严重的安全问题。这类问题很难被数据库管理员发现,但是一旦被利用,就会造成巨大的破坏。
数据库加密技术
对数据库安全性的威胁有时候来自于内部,一些内部用户可能非法获取用户名和密码,或利用其它方法越权使用数据库。因此,有必要对数据库中存储的数据进行加密。
加密的基本要求:
- 加密粒度要合适,基于文件的数据库加密技术。
- 采用秘钥动态管理:数据库客体之间隐含着复制的逻辑关系,一个逻辑结构可能对应着多个数据库,所以数据库秘钥数量大,组织存储工作较复杂,需要采用秘钥动态管理。
- 处理数据要合理。首先要处理恰当的数据来写,否则DBMS将会因加密后的数据不符合定义的数据类型而拒绝加载;其次,需要考虑数据库加密后不增加空间开销。
数据加密的三种方式
- 系统中加密。
- 客户端(DBMS外层)加密。
- 服务器端(DBMS内核层)加密。
客户端加密的好处是不会加重数据库服务器的负载,并且可实现网上的传输加密,这种加密方式通常利用数据库外层工具实现,缺点是加密功能会受到一些限制。
服务器端的加密需要对数据库管理系统本身进行操作,属核心层加密,如果没有数据库开发商的配合,其实现难度相对较大。此外,对那些希望通过ASP获得服务的企业来说,只有在客户端实现加解密,才能保证其数据的安全可靠。
存取管理技术
存取管理技术主要包括用户认证技术和访问控制技术。
用户认证技术包括用户身份验证和用户身份识别技术。
访问控制技术包括数据浏览控制和修改控制。浏览控制是为了保护数据的保密性,而修改控制是为了保护数据的正确性和提高数据的可信性。
用户认证和访问控制技术:保护数据的最佳方式便是限制其访问。
访问控制四个主要级别:
自主访问控制(DAC):在这个层次上,基于一些预设的权衡性政策,根据用户身份及特权授予其访问权限。通过这一方法,用户可以授权其他用户访问该数据,处于这一特性,这也被用于大多数企业。用户能够在存在需求时,对权限进行添加或删减。
基于内容的访问控制:在这里权限的授予与否是基于内容而定的。在一个组织中,同一时间可能运行多个项目,因此用户需要访问的数据只需是和项目有关的。
细粒度访问控制:可设置不同级别的访问控制。例如,我们能够在Oracle虚拟数据库中看到这些内容。
强制访问控制(MAC):这是个基于用户和数据对象分类的模型。分类基于不同等级,被称为访问类。一个访问类包含多层安全水平,可以用于给不同类适当的读写权限。
传统数据库防护弊端
在对安全体系的设计和治理方案中,主要依靠传统边界安全防护,如防火墙、下一代防火墙、IPS、IDS等安全控制类产品;随着边界安全防护的进一步落地,逐步开始向内容安全防护过度,如上网行为管理、堡垒机、数据库审计等安全设备;而随着数据大集中之后,数据库里的数据越来越有价值,而目前的防护体系中针对数据库的安全防护是空白的。很多客户认为自己有灾备软件、有数据库审计就能对数据库进行安全管理,但实际上灾备软件只能恢复数据库原有数据,数据库审计只能事后对访问情况进行追溯,如果业务系统存在SQL注入漏洞,恶意攻击者就可以通过绕过WAF等行为对数据库造成攻击,客户无法实时保障数据不被窃取或篡改,无法做到针对数据库的事前预防和事中阻断。
从目前信息安全等级保护整改遗留的难点分析。等级保护整改中涉及物理安全、网络安全、服务器安全、制度安全等各部分的整改,相对来说通过技术、制度、传统安全设备的配置可以较快速和稳妥的进行加固。但是在数据库安全、应用系统安全上的安全加固以及整改却成棘手之事。不同的数据库以及各版本都有漏洞,但由于业务系统的长时间不间断运行,担心由于补丁及版本升级造成业务瘫痪,故把这部分的安全问题暂时搁置;另外,由于应用系统开发商已经把业务系统交付多年,虽然代码层面可能留有一些漏洞,但是让项目组重新对代码进行加固,阻力和压力都是很大的。
防火墙等设备主要是基于网络层的访问控制,很难对数据库协议以及应用层协议作出分析与控制;就算近几年发展的如火如荼的下一代防火墙,也很难对数据库协议进行精准解码并且作出实时阻断;IPS、IDS主要也是对边界攻击进行扫描分析,数据库层面的分析也很难进行控制;Web应用防火墙,其主要是通过规则库的方式来进行攻击拦截,而目前很多0day攻击、SQL注入攻击等方式,都可以绕开WAF直接对数据库进行拖库。传统的安全防护手段是无法解决数据库安全的问题。
云数据库安全防护的需求
传统数据库的安全防护方法已不能完全适应云计算架构,云数据库中的弹性、多租户以及新的物理/逻辑架构和抽象控制都需要新的安全策略。
云数据库漏洞防护需求。在多租户环境下,通过数据访问组件可以实现租户之间的访问隔离和存储隔离,然而云数据库自身存在的数据库管理系统(DBMS)漏洞有被外部攻击者非法利用的风险,导致租户之间的隔离措施失效。对于云数据库DBMS自身安全漏洞来说,首先要防护已经公布在CVE、CNNVD上,对数据库影响大、危害等级高的数据库漏洞,如导致数据库宕机、绕过身份验证、泄露敏感文件、利用难度低等。
来自外部SQL注入防护需求。云数据库面向租户或应用提供数据的读写服务,同样要面对来自应用侧的SQL注入或攻击。外部攻击者以Web应用服务器为跳板,利用Web应用漏洞进行SQL注入,对普通用户进行提权,进行数据窃取或非法登录。云数据库中敏感信息管控需求。对于涉及敏感数据的云数据库运维来说,系统维护人员、外包人员、开发人员可能拥有直接访问数据库的权限,他们故意或无意地高危操作可能会对数据造成破坏,比如大范围的删除、修改以及高权限人员违规对敏感数据的批量导出行为。云数据库访问操作全面审计需求。通过监控模块对云数据库的性能分析可知,云数据库开启自身的审计和监控非常占用服务器资源,另外,如果仅利用数据库自带的审计功能,数据库管理员可随时关闭,导致无审计记录,事后追踪将缺乏依据。因此,需要采用独立的云数据库审计软件实现全面审计。
云数据库中生产数据脱敏需求。云数据库中存储大量真实的生产数据,经常会被企业用来测试、分析和科学研究,如果都采用生产区的真实数据,一旦发生敏感数据泄露事件,程序开发、测试和分析人员都将承担一定责任;另一方面如果采用完全混淆的模拟数据,正常的开发、测试和分析工作将无法正常进行,数据利用陷入两难境地。敏感数据存储、备份和导出的加密需求。公有云上的关系型数据库服务(RDS)运行在一个多租户、分布式的环境,每个租户可建立自己数据库权限体系,若数据库中的敏感数据以明文存储,高权限用户可直接操纵数据库,窃取所有敏感信息;同时无法从权限上将数据库管理员的正常维护工作和敏感信息访问操作分开,敏感数据存储、备份和导出缺乏保护,这
也是数据安全的一个薄弱环节。
数据库入侵检测
数据库入侵检测(Database Intrusion Detection,DBID)
数据库安全防护的重要内容,它继承并发展了基于主机和网络入侵检测的思想,首先采集数据库系统的审计数据或当前用户访问记录,其次对这些数据进行分析,使其能够满足规则挖掘或入侵检测的要求,最后判断当前的用户行为是否为攻击或误用行为,若该行为是攻击或误用行为则做出响应,维护数据库的安全。常用的数据库入侵检测技术有如下几种:
基于统计的入侵检测技术
基于统计的入侵检测技术是异常检测常用的一种技术,它假设正常的数据库操作存在一定的统计规律,利用用户在特定方面的度量标准提取其正常行为轮廓,通过设置阈值等方法,将待检测数据与已有的正常行为轮廓进行比较,如果超出阈值则认为是发生了入侵行为,优点是它不需要预先知道系统的安全缺陷,缺点是不能检测具有时序关系的入侵行为。
基于专家系统的入侵检测技术
专家系统是以安全专家对入侵行为的经验作为基础建立的,以知识库和推理机为中心,它将入侵行为编码为 if-then 形式的推理规则,检测时推理机根据推理规则对待检测数据进行推理演算,判断是否发生入侵行为,它对已知的攻击行为检测率高,对未知的攻击行为不能进行有效检测,规则库更新困难。
基于模式匹配的入侵检测技术
基于模式匹配的入侵检测技术是一种误用检测方法,它将已知的入侵特征表示成规则,形成规则库,将待检测数据与已知的入侵模式进行匹配,如果匹配成功,则认为发生了入侵行为,它使用时具有通用、简单的优点,却只能检测已知的攻击行为,检测效率较低。
基于数据挖掘的入侵检测技术
数据库用户在长期访问数据库的过程中会遵从一定的行为规律如哪些用户一般在什么时间的登录、哪些用户经常对哪些数据库对象执行哪些操作等,因此,通过对采集的大量数据库审计数据进行分析会发现用户在访问数据库过程中隐含的一些特定模式,即用户正常使用数据库的行为规律。对审计数据进行基于数据挖掘的入侵检测,数据准备完成对数据的过滤和预处理,消除数据集合中的噪声,对数据变量进行转换等工作;进而,利用数据挖掘方法,如聚类、关联、分类、序列分析等对数据实施数据挖掘分析,提取系统用户行为模式;在检测阶段将用户行为模式与规则库中规则进行匹配,如果匹配成功,则说明该行为模式正常,对规则库进行必要更新,任何继续检测其余行为模式,如果匹配不成功,则发出入侵警告。
安全防护技术
SQL注入是指通过把特定SQL命令插入到HTTP请求中,达到欺骗服务器以执行恶意SQL命令目的,从而窃取、篡改或者恶意删除数据。
防护SQL注入主要在两个阶段进行。
第一是在Web服务源码编写阶段进行防护
开发人员在编写源码时遵循防范SQL注入的经验性指导原则,使用“检查参数格式”,“过滤特殊字符”,“绑定参数”等方式使得SQL注入失效。但是这种方式的有效性取决于开发人员的安全防范知识水平的高低,往往容易留下不易察觉的漏洞。
第二是在Web服务运行阶段进行防护,也就是部署入侵检测系统。
传统的入侵检测系统有两种:
基于程序分析的SQL注入检测系统
对Web服务程序进行分析,包括静态分析和动态分析两种策略。
静态分析是分析源代码,找出潜在的安全漏洞。
动态分析是在程序运行时完成,通过编写特定的测试用例来测试程序。缺点是必须获知Web应用的源代码,而且分析覆盖率不能得到保障,容易出现漏测。
基于特征匹配的SQL注入方法。建立当前数据库服务的特征语法树,从中提取出合法的SQL语句语法树,然后进行模式匹配,如果被检测的SQL语句不符合合法模式就产生警告。但是这种方法需要预先知道源代码,并且进行大量人工工作来分析出合法SQL模式。或者通过分析大量SQL注入实例,生成非法SQL语句的匹配模型,然后对实际运行的SQL语句进行模式匹配,如果被检测SQL语句符合非法模型,则判定为SQL注入。这种方法无需获知应用的源代码。但是这种方法的成功率高度依赖非法模型的全面性和准确性。需要耗费大量人工分析,并且容易出现检测遗漏。
基于机器学习的SQL注入检测技术。 其主要方法步骤是:
从HTTP请求中提取SQL查询语句,并进行预处理。
然后通过词法分析和语法分析生成语法查询树。
对语法树进行特征提取,提取的特征如语法分析树的高度,节点个数,样本长度,空格、数字、特殊字符占原始样本比例和语法树子树个数等。
使用有监督学习算法对样本进行训练学习,形成一个SVM二分类器,并用该分类器对SQL语句进行检测。
该方法的缺点在于需要人工进行特征分析,忽略了语法树所带来的语义结构特殊关系。生成的语法树节点中,树节点之间的连接存在潜在语义关系,然而原始方法中忽略了这一关系。
数据脱敏
数据脱敏又称为数据去隐私化,或数据变形
在给定的规则、策略下对敏感数据进行变换、修改的技术机制,能够在很大程度上解决敏感数据在不可控环境中使用的问题,是数据库安全技术之一。
数据脱敏的原理
数据脱敏在保留数据原始特征的条件下,对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。只有授权的管理员或用户,在必须知晓的情况下,才可通过特定的应用程序与工具访问数据的真实值,从而降低重要数据在共享、移动时的风险。
数据脱敏在不降低安全性的前提下,使原有数据的使用范围和共享对象得以扩展,能够帮助企业用户按照数据使用的目标,通过定义精确、灵活地脱敏策略,按照用户的权限等级,针对不同类别的数据以不同方式进行脱敏,实现跨工具、应用程序和环境的迅速、一致性的访问限制。
数据脱敏通常遵循的几条原则包括:
数据脱敏算法一般来说是不可逆的,必须防止使用非敏感数据推断、重建敏感原始数据。
脱敏后的数据应具有原始数据的特征。带有数值分布范围、具有制定格式的数据,在脱敏后应该与原始数据信息相似。姓名和地址等字段应该符合基本的语言认知,而不是无意义的字符串。在一些高要求的情况下,还可能要求具有与原始数据一致的字段唯一性、频率分布等等。
保留数据的引用完整性,若被脱敏的字段是数据表主键,那么相关的引用记录必须保持同步更改。
对可能生成敏感数据的非敏感字段也进行脱敏处理。例如,在病人的诊治记录中为隐藏姓名与病情的对应关系,将“姓名”作为敏感字段进行变换。但是,如果能够通过某“住址”的唯一性推导出“姓名”,则需要将“住址”一起变换。
脱敏过程应是自动化、可重复的。生产环境中的数据生成速度快,脱敏过程需要能够在规则的引导下自动化进行,才能达到可用性要求。脱敏结果的稳定性,在某些场景下,对同一字段脱敏的每次计算结果都相同或者都不同,以满足数据使用方安全性等指标的要求。
数据脱敏分类:根据数据的使用环境,可以将数据脱敏分为静态脱敏和动态脱敏。
静态脱敏(SDM)
一般用在非生产环境,将敏感数据从生产环境抽取并脱敏后给到非生产环境使用,常用于培训、分析、测试、开发等非生产系统的数据库。静态脱敏可将脱敏设备部署于生产环境与测试、开发、共享环境之间,通过脱敏服务器实现静态数据抽取、脱敏、装载。
动态脱敏(DDM)
常用在生产环境,在访问敏感数据即时进行脱敏,一般用来解决在生产环境需要根据不同情况对同一敏感数据读取时进行不同级别脱敏的场景。动态脱敏采用代理部署方式:物理旁路,逻辑串联。应用或者运维人员对数据库的访问必须都经过动态脱敏设备才能根据系统的规则对数据访问结果进行脱敏。
数据脱敏的方法
替换
以虚构的数据代替真实的数据。
无效化
用特殊符号代替真值或真值得一部分,例如遮盖身份证号码的前6-14位。
随机化
采用随机数据代替真值,保持替换值的随机性以模拟样本的真实性。
乱序
对敏感数据列的数值进行重新随机分布,混淆原数值和其他字段之间的联系。
平均取值
针对数值型数据,首先计算它们的均值,然后使脱敏后的值在均值附近随机分布,从而保持数据的总和不便。
反关联
查找可能由某些字段推断出另一敏感字段的映射,并对这些字段进行脱敏,例如从出生日期可推断出身份证号。
偏移
通过随机移位改变数字数据。
对称加密
一种特殊的可逆脱敏方法。通过加密密钥和算法对原始数据进行加密,密文格式与原始数据在逻辑规则上一致,通过解密密钥可以恢复数据。
动态环境控制
根据预定义的规则,仅改变部分回应数据,如不在约定情况下访问业务数据时,控制数据内容,屏蔽特定字段内容。例如,重要客户信息只给业务模块的关键用户显示。
华为数据库安全防护方案
华为数据库安全产品是一个综合性安全产品,包含了数据库防火墙、数据泄露保护和数据库审计保护功能,同时内置了多种合规知识库,满足客户快速遵从法律合规和保护敏感数据需求。
数据库防火墙
注入防御:SQL注入防御
访问控制:数据库访问控制、职责分离
拖库识别和防御:拖库识别和防御
自动学习:基于数据库活动行为生成数据库防火墙策略
防火墙规则:组、表、过程规则
敏感数据发现
发现分类:自动发现和分类敏感数据
合规扫描:包含SOX、HIPAA、PCI、DSS等规范
策略:生成屏蔽策略
扫描:主动扫描与定时扫描
分级:支持不同级别的扫描,包括实例、库、表
数据库审计
合规遵从:SOX、HIPAA、PCI等,国际规范
监控能力:实时监控、列级监控、运行状态、性能监控
事件能力:登录、访问、查询、存储过程和命令管理等活动
告警能力:实时风险告警
审计日志:流量、入侵、安全等日志
动态数据脱敏
实时:实时脱敏
分级:列级、行级、条件屏蔽
多种支持:表、存储过程、视图屏蔽
配置无影响:不用修改DB和应用层
内容安全
网络内容安全目前大致可以分为两类:
第一类是基于内容的访问控制
包括网络协议恢复,基于数据包的流量监测,特征码匹配的病毒防护,基于内容的反垃圾邮件等技术;
第二类是基于信息传播的互联网安全管理问题
反映的是网络用户公开发布的信息所带来的对社会公共安全问题,这里面所涉及的技术主要包括主题信息监控、舆情监控、社交网络社团挖掘等。
公有云推出的内容审核服务对用户上传的图片、文字、视频进行内容审核,自动识别涉黄、暴恐、政治敏感信息,并对其进行过滤。
内容审核以开放API(Application Programming Interface,应用程序编程接口)的方式提供给用户,用户通过实时访问和调用API获取推理结果,帮助用户自动采集关键数据,打造智能化业务系统,提升业务效率。
目前内容审核包括内容审核-图像、内容审核-文本、内容审核-视频。提供了图像反黄检测、文本内容检测、图像内容检测和视频审核服务。
在视频内容审核,网站论坛,在线商城,电商评论,聊天,注册昵称,弹幕审核。
法律合规要求
- 系统中存储什么信息?
- 系统的信息位于何处?
- 谁能够访问系统?
- 他们可以访问什么?
- 访问是否合适?
等保是一个持续的过程,产品的部署只是形式,整网的系统化安全建设和持续的产品安全能力提升才是源头活水。
第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第五十九条
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级。
网络安全等级保护是根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级。
第一级为自主保护级,适用于一般的信息和信息系统,其受到破坏后,会对公民、法人和其他组织的权益有一定影响,但不危害国家安全、社会秩序、经济建设和公共利益。
第二级为指导保护级,适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成一定损害。
第三级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。
第四级为强制保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成严重损害。
第五级为专控保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。
| 测评结论 |
符合性判别依据 |
综合得分计算公式 |
| 符合 |
信息系统中未发现安全问题,等级测评结果中所有测评项得分均为5分。 |
100分 |
| 基本符合 |
信息系统中存在安全问题,但不会导致信息系统面临高等级安全风险。 |
>=75或视情况而定 |
| 不符合 |
信息系统中存在安全问题,而且会导致信息系统面临高等级安全风险。 |
|
华为云全栈防护体系
租户业务安全设计
需求分析
生产环境
针对物理层面的主要防护对象为机房,防护措施为:租用运营商机房,防护目标为:租用成熟的运营商机房,依靠其成熟的管理能力和经验,使客户企业专注于上层应用构建。
针对网络层面的主要防护对象为:互联网恶意攻击、用户访问。具体防护措施:部署高防DDoS、防火墙、WAF、DP等产品、部署两套独立的VPN产品。防护目标:通过部署安全防护措施,阻断来自互联网上不同类型的恶意攻击,针对省份、地市的业务用户和信息化用户,采用两套不同的VPN设备,对齐访问来源最大限度的进行控制。
针对网络主机层面的主要防护对象为设备配置,防护措施为:人工安全加固,防护目标为:随客户机房搬迁,进行网络设备、安全设备、主机、应用的安全加固工作。
针对网络应用层面的主要防护对象为跨网段访问控制,防护措施为:三层方式访问,VLAN间隔离,防护目标为:将客户机房生产环境下挂的物理服务器和虚拟机服务器网关指向核心交换,不同应用系统使用不同的VLAN进行隔离,跨VLAN不能进行通讯。
针对主机层面的防护对象为:恶意代码、软件;虚拟机,防护措施:企业级防病毒软件、虚拟机快照,防护目标:通过在部分Windows服务器上部署企业级杀毒软件,对恶意代码与软件进行查杀,了解主机安全情况,定期对虚拟机进行快照,以便在出现问题后快速进行回滚操作。
防护安全目标
安全巡检
通过客户SOC 或态势感知对“主机安全服务”、“漏洞扫描服务”、“WAF”以及“DDoS高防”等安全产品的日志或告警进行实时监控并检查安全隐患;使用漏洞扫描、渗透测试、SOC等工具定期审计业务平台整体安全状况,并输出相应的安全报告;通过现网安全系统,如DDoS/WAF/主机安全/数据库审计等安全产品,分析溯源安全攻击情况,,并及时清除安全隐患。
应急响应
紧急安全事件发生时,根据应急预案及时实施应急响应操作,保障平台业务稳定;紧急、高危漏洞发布后,第一时间梳理影响范围及修复方案,处理安全威胁;定期进行应急演练不断强化应急处置能力。
权限管理
根据人员岗位变动,实时调整权限管理规则,避免越权事件发生;根据变更计划对变更执行人员的权限实时分配,避免信息泄露、人为操作隐患。
客户的业务部署在运营商的云端环境,通过域名方式访问。
在华为云灾备环境部署数据备份环境,华为云环境和客户业务环境通过Ipsec VPN打通,实现两者之间的通信,以此让灾备环境可以跨云进行备份。
当出现故障时,将业务域名通过修改DNS解析到华为云端,客户访问的业务将会经过华为云端的抗DDOS、WEB应用防火墙(WAF)进行清洗,将DOS流量、针对WEB业务的攻击流量过滤。之后经过LB分发到华为云内部署的备份应用服务器、数据库服务器,从而实现业务的不中断访问,并通过华为云内的一系列云安全服务保证业务安全性。
同时在华为云内部署针对数据库、应用服务器漏洞扫描服务器、数据库加密服务,提供针对主机的安全服务、针对数据的数据库安全服务。
外网边界通过DDoS防御保护业务可用性:由于华为云在外网边界,已经部署了防火墙、DDoS、VPN、IPS等安全设备。因此仅需要对互联网提供的服务进行DDoS的防护。建议采用DDoS流量清洗+DDoS高防联动的方案对所有EIP提供防护,最大限度提高高防IP的使用率,降低在低攻击带宽场景下的业务时延。
内网边界通过NGFW实现安全隔离:由于专线之间不存在大规模的DDoS流量攻击,因此建议在运营商云平台到华为云专线之间增加NGFW来一体化实现包含反病毒,IPS,DLP在内的应用层流量检测和威胁流量阻断。
租户间通过安全组网络隔离:以业务系统为界进行VPC子网隔离,同一应用中不同节点根据节点业务端口进行细粒度划分,最大程度上保证云主机网络安全性。
对外服务业务系统EIP开启WAF防护:使用华为云WAF对客户业务系统进行Web攻击防护,阻断SQL注入、跨站脚本、CSRF、命令注入等攻击行为。为进一步提高WAF策略防护的精确度,建议业务上线初期使用检测不阻断的原则。
Web漏洞扫描实时跟进漏洞信息:使用漏洞扫描系统定期对客户业务系统和主机进行扫描,能够做到实时跟进系统、Web漏洞,及时修复漏洞,即使无法及时修复也可以通过外层防护的方式防止漏洞被利用造成安全问题。
渗透测试验证业务Web漏洞与逻辑问题等:业务系统上线前,组织华为专家团队针对客户云业务系统进行无破坏性渗透测试,通过人工验证的方式验证现网存在的Web漏洞,并出具测试报告给业务团队进行漏洞整改,整改后进行新一轮回归测试,进一步确保业务系统安全性。
数据加密服务保证业务数据保密性、完整性和可用性:华为云KMS可以为OBS(对象存储)、EVS(云硬盘)等服务提供加密功能,用户不需要花费大量成本来保证密钥的保密性、完整性及可用性。KMS还能与CTS集成,审计所有密钥的使用情况,帮助用户满足审计和合规性要求;
数据库安全服务严格控制数据访问权限、保证数据脱敏:数据库安全服务可以为客户业务系统数据库提供数据访问控制、数据脱敏、数据库审计和注入攻击防护等功能,进一步保障数据的安全存储。
态势感知系统掌握云业务整体安全
态势感知应用大数据和AI技术,通过客户网络流量,应用日志数据以及租户部署的WAF,DDoS,主机安全,漏洞扫描等安全产品输出信息,进行动态的系统级整体安全状况分析和展示,及时处理安全告警事件,降低系统级的安全威胁风险。
渗透测试进一步验证业务安全性
渗透测试是除安全产品防护、安全扫描之外,保护客户云业务安全性的重要手段,渗透测试采用黑盒测试的方法,从黑客角度出发,测试客户云业务安全性,除一般的Web漏洞以外还可以针对业务源代码的逻辑漏洞进行验证测试,进一步加强了业务系统的安全保障。
堡垒机细粒度授权保障运维操作规范性
除堡垒机自身特有的审计功能以外,重点对运维人员的操作权限进行细粒度划分,操作权限细分到IP地址和时间,根据应用系统责任人不同划分不同的可操作IP地址,且权限到期自动收回;指令控制方面,严格限制高危操作的执行范围,对影响系统稳定性的操作严格过滤。
安全事件响应
针对上线业务系统将行开展安全巡检,包括日志分析、告警分析、异常流量监控、攻击状态识别、系统漏洞扫描、系统渗透式测试等。主动识别系统可能存在的安全事件,及时知会业务团队,启动问题处理,及时消除安全风险。定期就整体的系统安全性状态进行汇报。
漏洞情报共享
华为自研的全球漏洞系统PSRT,收集全球的软件(含商用以及开源)漏洞,通过版本信息识别可以确认漏洞影响的版本,根据CVSS模型结合具体业务进行漏洞的安全威胁风险性评估,提供漏专业的洞修复建议。漏洞修复以服务可用性为第一优先级,在业务可用的前提下提供风险最小的漏洞修复方案。
业务生命周期管理
安全方案设计
结合企业业务场景,从网络层,应用层,主机层,数据以及管理多个方面进行了安全方案设计,量身定制安全体系,进行网络隔离和账号权限管控,为企业提供全方位的安全性保障
网络隔离
根据业务平面(管理面/业务面)和业务类型两个维度进行细粒度的的子网/安全组划分,通过配置子网ACL/安全组规则实现不同网络分区间的隔离
管理账号权限划分
通过对账户下的子用户按照最小权限原则规划角色,避免误操作以及权限外操作造成的损失
安全监控
- 专业的监控人员人员。
- 专业的监控平台
- 7*24不间断监控
定期对系统进行安全巡检,包括日志分析、告警分析、异常流量监控、攻击状态识别、系统漏洞扫描、系统渗透式测试等。主动识别系统可能存在的安全事件,及时知会业务团队,启动问题处理,及时消除安全风险。
应急响应
- 一旦发生疑似入侵事件,华为云安全专家团队立即进入应急响应流程。
- 华为安全专家在客户授权下对系统账户,计划任务,关键文件等事项的检查并结合华为云米兰达大数据平台排查主机是否被黑客入侵。
- 一旦确认入侵,华为安全专家会立刻采取措施对正在进行的攻击进行处理,阻止黑客的进一步攻击。
- 查找和清理病毒,蠕虫等恶意程序以及WEB站点中的Web shell,挂马等,帮助客户快速恢复业务。
- 分析黑客的入侵手法,尽可能定位入侵原因
- 提供修复建议,进行加固,防止再次入侵
- 撰写安全应急报告
