总第6期
2016年4月刊
Focus    焦点
Focus    焦点
云计算信息系统面临的风险与安全要求
文/丁朝晖
分享

一、 云计算信息系统环境下的安全风险

我们对采用云计算技术的信息系统进行研究,发现在传统环境下的信息系统所面临的安全风险在云计算环境下依然存在,有些风险在云计算环境下有了新的表现形式,另外,在云计算环境中运行的信息系统还面临新的安全风险,这些新增的安全风险主要有如下几种:

1、 利用不安全接口的攻击

攻击者利用非法获取的接口访问密钥,将能够直接访问用户数据,导致敏感数据泄露;通过接口实施注入攻击,可能篡改或者破坏用户数据;通过接口的漏洞,攻击者可绕过虚拟机监视器的安全控制机制,获取到系统管理权限,将给云租户带来无法估计的损失。

2、 云服务中断

云服务基于网络提供服务,当云租户把应用系统迁移到云计算平台后,一旦与云计算平台的网络连接中断或者云计算平台出现故障,造成服务中断,将影响到云租户应用系统的正常运行。

3、 越权、滥用与误操作

云租户的应用系统和业务数据处于云计算环境中,云计算平台的运营管理和运维管理归属于云服务方,运营管理和运维管理等人员的恶意破坏或误操作在一定程度上会造成云租户应用系统的运行中断和数据丢失、篡改或泄露。

4、 滥用云服务

面向公众提供的云服务可向任何人提供计算资源,如果管控不严格,不考虑使用者的目的,很可能被攻击者利用,如通过租用计算资源发动拒绝服务攻击。

5、 利用共享技术漏洞进行的攻击

由于云服务是多租户共享,如果云租户之间的隔离措施失效,一个云租户有可能侵入另一个云租户的环境,或者干扰其他云租户应用系统的运行。而且,很有可能出现专门从事攻击活动的人员绕过隔离措施,干扰、破坏其他云租户应用系统的正常运行。

6、 过度依赖

由于缺乏统一的标准和接口,不同云计算平台上的云租户数据和应用系统难以相互迁移,同样也难以从云计算平台迁移回云租户的数据中心。另外,云服务方出于自身利益考虑,往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高。

7、 数据残留

云租户的大量数据存放在云计算平台上的存储空间中,如果存储空间回收后剩余信息没有完全清除,存储空间再分配给其他云租户使用容易造成数据泄露。

当云租户退出云服务时,由于云服务方没有完全删除云租户的数据,包括备份数据等,带来数据安全风险。

二、 云计算信息系统的等级保护要求

根据云计算环境下的新风险,增加了新的安全要求,适用于云计算环境下的测评对象,在基本要求的基础上,提出云计算扩展安全要求,云计算扩展安全要求以引用的方式涵盖了基本要求的全部内容,以下重点介绍云计算扩展安全要求中与新增安全风险相关的内容。

1、 利用不安全接口的攻击

云计算平台需要提供大量的网络接口和API,保证云计算服务对外接口的安全性十分重要,需要开发过程中完善的安全测试,运行过程中的渗透测试,云服务方应全面审查接口设计模式是否安全,对API中传输的数据进行加密;确保强度足够的用户身份认证与访问控制。

2、 避免云服务被滥用

为了防止滥用云服务,应尽量保证具备较高安全需求的云租户处于较高安全保护强度的区域中,并防止恶意用户使用这个区域的云服务;还应定期检测恶意代码感染的情况,防止恶意代码在虚拟机间的蔓延;检测到云租户对外的攻击行为,并能记录攻击类型、攻击时间、攻击流量;在出口处部署监测系统,对发布到互联网的有害信息进行实时监测和告警、阻断。

3、 防止云服务方的恶意人员越权、滥用与误操作

由于云计算环境下,越权、滥用与误操作不仅存在于云租户的管辖范围内,还有可能存在于云服务方的管辖范围内,因此,在基本要求的基础上,云计算扩展安全要求还包含这些内容:云服务方对云租户业务数据和隐私信息的访问或使用必须经过云租户的授权,授权必须保留相关记录;应避免云服务方的内部人员具备云租户数据库的访问、使用和管理权限;审计信息按照云租户和云服务方责任划分,分别进行收集,并保证在云租户提出需求的时候,云服务方应将自己收集的审计信息与该租户相关的部分提供给该租户。

4、 避免数据残留

对于云计算环境下的新增风险,云计算扩展安全要求中包含这些内容:应保证虚拟机所使用的内存和存储空间回收时得到完全清除;应保证在云服务合约到期时,完整地返还云租户信息,并提供证据证明相关信息均已在云计算平台上清除。

5、 防止过度依赖

在云计算环境下,过度依赖是一个比较严重的风险,如果在选择云服务方不考虑这个风险,在退出云服务或者更换云服务方时就会遇到巨大的阻力,因此在云扩展安全要求中提出应保证云租户业务及数据能移植到其他云计算平台或者迁移到本地信息系统,为了防止云租户的数据由于云服务方的阻扰而无法取回,云租户还应该在本地定期备份其业务数据和应用程序。在安全方面,云租户应要求云服务方提供开放接口,允许接入云租户需要的安全产品,实现云租户的网络之间、安全区域之间、虚拟机之间的网络安全防护,而且根据云租户的业务需求编排安全访问路径。

6、 防止利用共享技术漏洞进行攻击

这个风险也是云计算环境下的新增安全风险,采取隔离的安全措施:保证不同云租户之间网络资源的隔离;保证重要资源池与非重要资源池之间的隔离;保证分配给虚拟机的内存空间仅供其独占访问;保证不同云租户的应用系统及开发平台之间的隔离。在发生资源隔离失效后,应该能及时检测出虚拟机对宿主机资源的异常访问,虚拟机之间的资源异常访问,并进行告警和采取相应的措施。

综上所述,在云计算安全扩展要求中针对云环境下的新增风险给出了具体的要求,不仅可以指导云租户选择适合其自身的云服务,也可以让云服务方更好地为云租户提供服务,同时也给云安全厂商解决云安全问题指明了方向。

关闭