利用委托特权提升云安全性

利用委托特权提升云安全性JimZierick,执行副总裁,BeyondTrustSoftware简介：本文中，作者将讨论促使数据中心迁移到云的一些需求，详细介绍虚拟化在公共和私有云基础架构中的作用，并简要说明云计算的安全性和遵从性含义，了解如何通过“管理性访问”和“特权委托”保护云中的敏感数据。发布日期：2012年2月27日级别：初级原创语言：英文访问情况：8268次浏览评论：0(查看|添加评论-登录)平均分(2个评分)为本文评分虚拟机使得硬件购买及部署与软件部署的分离成为可能，并且可以让企业内交付速度加快10、20甚至30倍。ThomasJ.Bittman，副总裁兼高级分析师，Gartner在当今的经济环境中，许多企业都在努力降低成本，少花钱多办事，同时还要保持竞争力。这就意味着IT部门面临严格的审查，以确保他们能够满足关键业务需求，并以最高效、最合算的方式交付预期的结果。为了克服这些困难，IT组织正日益偏离以设备为中心的IT观点，转向更加专注于应用程序、信息和人员上的云计算特征。云计算是一项正在兴起的技术，它提供了对动态可伸缩和虚拟化IT资源的快速访问，为企业创建轻便、强壮、成本高效、更适合业务目标的IT基础架构带来了新的激动人心的机会。但是，必须先处理好某些跟控制、遵从性和安全性有关的权衡，才能充分发挥这些优势。本文将描述能够促进数据中心向云迁移的一些因素，包括虚拟化在公共云基础架构中的作用，并简要说明云计算的安全性和遵从性含义，了解如何通过“管理性访问”和“特权委托”这两种关键方法保护云中敏感数据。为何迁移到云？为什么企业想要将数据中心迁移到云呢？原因很简单，主要有两个：一是因为虚拟化服务器提供的灵活性，二是较大私有云或公共云的规模经济为当今的计算需求创建了一个更好的经济模式。虚拟化为更好的经济模式提供了起点：在工作负载发生变化时提供更高的服务器和存储硬件利用率：当跨公共云中的业务单位或者跨公共云中的公司共享资源时，会增加规模经济甚至更高的资源利用率，因而您有了一个更低的成本模式。增加了灵活性，可以只为所使用的资源付费，而不会带来大量的固定成本和巨额资本支出，因而IT可以更好地满足很多行业的业务需求。但是，除了简单的经济意义之外，云模型更能提供重大的操作优势。通过缩短配备所需应用程序和工作负载的时间，虚拟化又为更好的操作模式提供了起点。通过让最终用户从物理基础架构的复杂性和配备及管理过程的细节中解脱出来，云模型建立了这些能力，这使得计算跟任何其他业务服务一样容易购买和管理，也为计次服务(measuredservice)和服务水平协议提供度量。除此之外，还为移动或远程用户提高了可靠性和可访问性，云成为一种非常有价值的主张。回页首虚拟化充当促成者尽管云并不是本质上的虚拟化，但是虚拟化是云计算的一个关键组件和主要促成者。虚拟化的服务器和存储器让工作负载变动时的物理硬件利用率更高。在需要时自动转移工作负载的能力增加了可靠性，无需为每个应用程序提供冗余硬件（通常未充分利用）。云提供者建立在虚拟化的经济优势之上；这一点与规模经济及日常系统管理自动化相结合，带来了成本节约，使得基于云的数据中心成为一种经济可行的解决方案或补偿方式。然而，将数据迁移到云的企业必须考虑到虚拟环境管理不当时面临的风险。此外，虚拟化正使得IT部门本身成为企业的一个事实上的服务提供者。通过缩短配备所需应用程序和工作负载的时间，虚拟化又为更好的操作模式提供了起点。通过让最终用户从物理基础架构的复杂性和配备及管理过程的细节中解脱出来，服务器虚拟化“帮助IT在行为上更像一个云提供者，并将企业准备成一个更好的云计算消费者”。（出自GartnerGroup，“ServerVirtualization:OnePathThatLeadstoCloudComputing”，RASCoreResearchNoteG00171730，ThomasJ.Bittman，2009年10月29日。）那么，这对数据中心和IT操作意味着什么呢？高度虚拟化的数据中心的第一特征是要管理的服务器数量急剧增加。这种不断增大的规模（服务器从百到千、从千到万地增长）大大增加了数据中心操作的复杂度。更改和配置管理变得更为重要且富有挑战性，并且自动化从一种很好的省钱方式变成了基本需求。由于虚拟环境和云环境中这种额外的复杂性，客户数据被暴露到不只是纯物理环境中存在的安全问题中。IT堆栈中增加的虚拟层在已建立的安全模型中引入了一个新的故障点，并为恶意知情人的入侵增加了一个新的攻击面。Hypervisor层次的任何安全攻击都会发展到危及堆栈中这一层次之上的所有层（从操作系统一直到数据层和应用程序层）的安全性。回页首云数据中心的危险根据IDCEnterprisePanel调查，迁移到云计算环境的企业关心的第一个问题就是安全性（见图1）。图1.安全性是迁移到云中时关注的第一个问题围绕特定应用程序、客户、业务单位、操作和法规遵从性而构建专用IT基础架构所导致的筒仓（silo），通常是企业IT环境规模和复杂性急剧增大的结果。尽管云计算消除了数据中心的传统应用程序筒仓，并为IT组织带来了新级别的灵活性和可伸缩性，但是对多租户计算环境的支持也引入了额外的安全风险，其中最大的潜在危险是数据窃取。尽管安全性对于迁移到云的客户来说是重中之重，但是对于云提供者并不总是那么重要。PonemonInstitute最近一次关于“云计算提供者的安全性”的调查指出，“多半云计算提供者并不认为安全性是他们最重要的职责之一”。另外，“调查对象绝大多数认为，确保他们提供的资源的安全性是云计算用户的职责”。很多云供应商有广泛的操作，提供更多资源和专业知识，来解决虚拟化和云模型中固有的安全难题。尽管云让企业无需操作自己的服务器、存储器、网络和软件，但是它也消除了很多有助于定义和保护企业数据资产的传统物理边界，并引入了新的风险，因为虚拟服务器和移动的虚拟机器取代了物理服务器和防火墙。虚拟化消除了物理服务器之间的隔离，并且不再能够将多个设备清楚地分隔成物理上独立的网络。没有了这种物理隔离和网络隔离，就较难限制系统和网络管理员的访问途径。云环境规模和灵活性的增大，增加了更改和配置管理的复杂度，这使得实现最小特权主体和职责划分更难了。例如，具有虚拟基础架构管理资格的恶意用户可以克隆虚拟机器，以获得对客户机器中包含的所有数据的访问权。他们甚至可以克隆这台虚拟机器，删除该克隆对象，并将删除的镜像安装在您的正常安全监视范围之外。由于云为敏感数据和应用程序制造了千变万化的入侵环节，保护这些资产变得更加困难了。敏感信息不应该放在云中存储或处理而不监视供应商的技术和处理过程，以确保适当级别的信息保护。回页首云计算的主要攻击根据CloudSecurityAlliance的“TopThreatstoCloudComputingv1.0”（2010年3月），以下攻击被认为是云计算的主要安全攻击（不分先后顺序）：滥用和恶毒使用云计算：IaaS提供商利用一种简单、容易、相当开放的注册过程，提供一种无限计算、网络和存储能力的假象。垃圾邮件发送者可以使用这种注册过程达到他们的目的。尽管传统上PaaS提供商最多遭受此类攻击，但是最近有证据表明，这类攻击者也针对IaaS供应商。关注的领域包括密码和密钥破解、DDOS、发动动态攻击点、宿主恶意数据、botnet命令和控件、构建彩虹表和CAPTCHA解析器。不安全的接口和API：云提供者暴露一组软件接口或API，让客户用来管理云服务以及与云服务交互（即配备、管理、编排和监视）。普通云服务的安全性和可用性都依赖于这些基本API的安全性。企业通常依赖这些API来提供增值服务，因而通过API分层增加了复杂性。关注的领域包括身份验证、访问控制、加密和活动监视。恶意知情人：通过单个管理领域下IT服务和消费者的合并，加之提供者的流程和过程缺乏透明度，这一攻击对于云消费者被加强了。关注的领域包括：提供者如何向员工提供物理和虚拟资产的访问权，如何监视这些员工，如何分析和报告政策遵从性。云提供者的雇用标准和惯例也会是一个关注方面。共享的技术漏洞：IaaS供应商通过共享基础架构以可伸缩的方式交付服务；组成该基础架构的组件可能并不被设计成为多租户体系结构提供强大的隔离属性。虚拟化hypervisor被用于调解客户OS和物理计算资源之间的访问，但是即使hypervisor也具有缺陷，让客户OS能够获得不适当级别的对底层平台的控制或影响。关注的领域包括计算、存储和网络安全性实施和监视。数据丢失/泄漏：由于风险与挑战很多并且二者相互促进（由于云环境体系结构或操作上的特征，这些风险和挑战要么是云所特有的，要么在云中更危险一些），数据泄漏的攻击在云中增多了。关注的领域包括不进行备份的记录删除或更改、取消记录与较大上下文的链接、编码密钥丢失和未经授权的部门获得对敏感数据的访问权。账户或服务劫持：云增加了一种新的攻击；账户或服务实例可能成为攻击者的新目标。关注的领域包括网络仿冒、欺诈、软件漏洞利用和经常重复使用的凭据和密码。用于访问云供应商管理的hypervisor/VMM层的管理工具必须受到严格控制，以保持高度的安全性。企业必须仔细分析业务和安全需求，并且必须评估安全特性和云服务水平的深度及可靠性。恶意知情人对企业的影响是相当大的，假定他们的访问级别和能力足以入侵企业和资产的话。品牌损害、财务影响和生产力丧失只是恶意知情人影响操作的其中几种方式。由于企业采用云服务，所以人的因素显得尤为重要。因此，云服务的消费者一定要明白提供者在采取什么措施检测和防御恶意知情人攻击。出自CloudSecurityAlliance，“TopThreatstoCloudComputingv1.0”，2010年3月。那么，为什么客户需求和供应商优先考虑的问题似乎挂不上钩呢？一部分原因可能是，云安全性本质上是一种共同的职责。我们定义和实现安全性的方式主要是由遵从性驱动的。但是，尽管框架从COBIT到PCI有很多，但是遵从性标准也不是非常清晰，给每个审计人员做出不同的解释留下足够的空间。根据Ponemon调查，云提供者“至少要自信有能力限制特权用户对敏感数据的访问”。至少缺乏这种自信的部分原因可以确切地归因于，对特权访问和适当控制缺乏清晰的定义。这种提供者流程和过程的透明度缺乏（比如说它的员工是怎么被授予物理和虚拟资产访问权的），使得防止数据窃取更为困难。来自众多客户的重要数据的汇集为不道德的系统管理员以及基于互联网的恶意攻击者的攻击呈现了一个有吸引力的目标，因而应该提高对特权用户访问的关注。想要使用云并需要以安全和遵从的方式实现它的企业将需要考虑由谁负责哪些工作：云供应商需要做好自己的份内工作，即提供一个良好的安全技术基础，比如说防火墙、反病毒和反流氓软件、数据动态加密、补丁管理和日志管理。云消费者也需要做好自己的工作，即使用云供应商提供的这个基础，保证操作的安全并确保具有适当的政策和流程。因此，这导致人员情况复杂—云中共享的职责以及特权用户的特殊情况。供应商优先考虑事项将与其客户的优先考虑事项配套。当今，对于大多数云用户来说，这些优先考虑事项是减少成本、工作负载和部署时间，同时提供新级别的可伸缩性。这些优先考虑事项有一些与保证适当安全性所需的时间和资源是矛盾的。但是，如果客户有某项安全要求并表示愿意为之付费，那么供应商将义无反顾地提供其所需的安全性。PonemonInstitute最近一个关于“云计算提供者的安全性”的报告显示，“尽管安全性当今还很少作为云的一个真正的服务提供给消费者，但在我们调查中，大约三分之一的云提供者都认为这类解决方案是未来两年新的收入来源。”只有客户提供重视、资金和服务水平需求来实现出色而又安全的流程，为供应商制定一个好的业务决策，潜在收益才能完全实现。这需要安全团队投入更多的精力，并且公司允许安全性影响采购决策并坚持定期报告安全流程和服务水平协议。想要云供应商足够安全以保护其公司敏感数据的企业需要强调安全性，提出自己的需求，监视控制，要求