云计算安全感——政务云安全实践介绍

问题导读

1、云安全防御架构应具备的基本要求是什么？
2、政务行业需要的云应该具备哪些特点？
3、你如何认为怎样的云服务才是安全的？





用户对云计算缺乏安全感是我们从事云安全工作以来一直从客户角度所获得的一个直观感受，而这种不安全感的产生固然和云计算的多租户的技术特点有关系，但在数据就是生产力的当下，这种不安全感可以进一步解读为对数据上云的安全顾虑。

先简单介绍下阿里云的业务现状。得益于云计算的低成本、高弹性和按需付费模式的产业特点，目前基于阿里云云计算服务所构建的网站用户已达到60多万，这个其中不但有中小网站站长也有各类行业用户，其中行业用户涉及金融、政府、游戏、中小企业、电商等各个领域，考虑到政务行业在中国不但是云计算的推动者也是使用者，今天我将从政务行业用户视角解读下对制约其选择和使用云计算服务的安全困惑以及我们的安全实践。

作为一个云服务商，我们在和政务客户交流中被问的最多的就是云端的数据安全如何保证，用户是否有效隔离，最好每个级别的地方政府、甚至政府里面的每个机构都能给他一个单独的物理空间、物理资源去放他的数据，这种对云端数据安全的要求可能源自于对云计算多租户业务模式的安全顾虑，但这种安全要求到底是不是政务类客户最实际的安全需求呢？我们看一组数据：
根据CNCERT发布的《2013 年我国互联网面临的安全形势和威胁报告》中“第五点、政府网站面临威胁依然严重，地方政府网站成为“重灾区”。报告中的数据显示我国境内被篡改网站数量为 24034 个，这些网站中有90%为省市级以下的地方政府，据CNCER分析这些入侵事件发生一方面是由于地方政府网站存在技术和管理水平有限、网络安全防护能力薄弱、人员和资金投入不足等问题，另一方面是越来越多的有组织高级持续性威胁（APT）攻击事件发生在我国政务类网站上，记得2013年 3 月 20 日，美、韩军事演习期间，韩国多家广播电视台和银行等金融机构遭受历史上最大规模的恶意代码攻击，导致系统瘫痪，引发韩国社会一度混乱。韩国媒体不约而同的把攻击的发起说成是中国干的，后来经过CNCERT的协助调查，才澄清了相关谣言，但是APT攻击带来的攻击目标聚焦、攻击手段隐蔽、攻击规模巨大等特点的确不是每个地方政府靠有限的人力、物力能够应对的。所以如何运用有限的人力、物力防御基于篡改网站数据为目的的安全攻击就是当下电子政务类业务最为迫切的安全需求。

根据我们云平台的安全运营数据，篡改网站数据攻击途径主要有以下两种：
1、 利用Web安全漏洞写入Webshell后门；
2、 通过破解主机管理账户密码实现入侵；

前者我们月均扫描发现高危漏洞近100万、检测出webshell后门10000个以上；后者月均防御密码暴力破解行为10亿次以上。从入侵的途径上可以得出一个结论，真正要有效的防御网站入侵，需要全面部署应用、系统、网络等方面防入侵产品或服务，那传统安全和云安全分别是如何实现上述安全需求呢？



很明显，云安全的解决方案具有低成本和安全运营的优势，但政务行业在面对大规模的复杂模式DDoS攻击和以国家为单位发动的APT攻击面前，安全防御的考量对象就不应该仅仅局限于产品和服务的安全攻防，而更应该补上IT架构这个考量对象。下面以一个实际发生的DDoS流量攻击防御案例来做下说明，如下图所示：


这是今年2月发生在阿里云的典型DDoS攻防案例，19点14分，在这个晚饭时间点，黑客发起DDoS攻击，攻击类型为SYN大包、攻击流量从30Gbps迅速上升到60Gbps，在19点20分黑客察觉攻击无效后变换策略，攻击类型变为SYN小包攻击、攻击流量从200万PPS升到到700万PPS，在19点27分黑客察觉到攻击依然无效后再次变换策略，攻击类型变为CC攻击、攻击流量表现为每秒HTTP请求升到到5万。但依然被我们云安全服务（云盾）自动防御成功。我今天讲这个案例是想请大家注意到当前来自于互联网大流量攻击的特点，因为这样的攻击我们每周就要防御数千起：

1、 攻击类型复杂并且变换速度加快，在上面的案例中13分钟攻击者就变换了3次攻击方式，基于人工响应、再行操作安全设备的方式一定无法保障业务；

2、 CC攻击是攻击者最后的底牌，众说周知CC攻击的防御是一个业界难题，因为不但攻击的发起来自于真实的地址，其恶意访问请求也很难从访问流量中剥离，除了通过网站服务器扩容来和攻击者比拼资源消耗外，还没有很好的方法；

3、 攻击规模大，60Gbps只是我们常态防御中遇到的中等攻击流量，在今年的2月我们还遭遇过160Gbps的大规模攻击，而从未来趋势来看黑客将更多地运用DNS、NTP等协议进行分布式反射放大拒绝服务攻击，能轻易把攻击流量放大几十倍到几百倍，打出几百G的流量耗尽有限的服务器资源，而政务网站现在的主要职能也逐步转移到了服务民生，这就对网站的可用性也提出了很高的要求，而现有能抗100G的防DDoS设备也是非常贵，而攻击者所费的成本可能只有安全设备价格的万分之一。

再说回国家为单位发动的APT攻击，攻击者的攻击目标聚焦一旦聚焦在地方政府的网站上，就可以通过所有的聊天工具、邮件、论坛和线下的社会工程等手段试探、渗透、攻击管理者和IT基础设施，而每种手段孤立的看不但无害而且无法被现有的安全手段检测出来，但组合起来就能达到攻击的目的，这种攻击的特点就是：很难用原来安全防御体系的思维去找到一个可信源。正如赛门铁克信息安全高级副总裁布莱恩·代伊前不久发表关于“杀毒软件已死”的言论，其实也是由于APT攻击被广泛应用，导致各类安全防御产品基于签名的技术模式遇到了挑战，但大数据的运用可以给我们不一样的解决之道，如果我们不再纠结于如何寻找信任源，而是通过大量的防御数据建模和大数据处理能力对信息进行抓取和分析，可能更迅速的识别出早期攻击意图并能实施阻断。

总结以上大规模的复杂模式DDoS攻击和以国家为单位发动的APT攻击特点，我们可以得出云安全防御架构应具备的基本要求：
1、 大规模：应具备几百G防御DDoS攻击的清洗能力；
2、 低成本：应采用软件分布式+X86服务器架构，摆脱硬件定制、具备弹性扩展能力；
3、 高精度：应运用大数据分析技术实现攻击的预警和实时阻断；
4、 全方位：应具备应用、系统、网络全面防御能力；

例如阿里云的云安全服务——云盾就完全具备以上特点：

云盾是阿里巴巴完全自主开发、采用软件+X86服务器架构，依托云计算的高弹性扩展和大数据挖掘能力，推出的云安全服务。在网络安全方面具备海量的DDoS攻击全自动防御服务；在系统安全方面：由主机密码防暴力破解、网站后门检测和处理、异地登录提醒共同组成主机入侵防御系统；在应用安全方面采用大数据分析技术构建WEB应用防火墙（WAF）和网站漏洞检测；

以上介绍的还是基于外部攻防的云安全体系构建，但是用户最担心的还是云服务商是否会从内部窃取数据，因此结合政务行业数据敏感的特点和运营实践，我们认为应构建覆盖从数据访问、数据传输、数据存储、数据隔离到数据销毁各环节的云端数据安全基线框架。



数据访问：客户访问云端资源均需通过同公有云隔离的专属控制台进行日常操作和运维，客户身份鉴别均采用口令结合动态令牌的双因素认证，客户同所购买的云服务对应关系采用对称加密对实现身份抗抵赖；客户云端资源访问操作均需通过堡垒机进行并支持实时操作审计。云平台运维人员对政务云的运维操作均需通过数据证书结合动态令牌实现双因素认证，操作权限均需经过多层安全审批并进行命令级规则固化，违规操作实时审计报警。

数据传输：针对用户个人账户数据和云端生产数据两种不同的数据对象，分别从用户端到云端、云端各服务间、云服务到云服务控制系统三个层次进行传输控制。其中个人账户数据从客户端到云端传输均采用ssl加密，从云端各子系统间、云服务到云服务控制系统间均采用程序加密保证客户个人账户数据云端不落地。云端生产数据从用户端到云端传输均只可通过VPN或专线进行，云端存储应采用服务端加密并支持用户自行密钥加密数据后云端存储。

数据存储：所有用户云端生产数据不论使用何种云服务应采用碎片化分布式离散技术保存，数据被分割成许多数据片段后遵循随机算法分散存储在不同机架上，并且每个数据片段会存储多个副本。云服务控制系统应依据不同客户ID隔离其云端数据，云存储可依据客户对称加密对进行云端存储空间访问权限控制，保证云端存储数据的最小授权访问。

数据隔离：政务云数据隔离应分为物理资源隔离、云端资源隔离两个方面。物理资源隔离方面针对行业监管要求构建政务云专属集群，并采用铁笼包围结合掌纹识别实现同公有云集群物理隔离和访问控制。云端资源隔离方面针对同一物理服务器上的不同虚拟主机可在其生产环节由可云服务器的生产系统依据订单自动给每个用户的云服务器打上标签，不同的用户间通过由数据链路层和网络层访问控制技术组成的安全组进行隔离；采用虚拟化重定向技术（沙盒技术）隔离云平台内承载信息资源的虚拟主机对平台物理资源的直接访问。不同客户的数据库服务通过实例隔离，仅给客户分配实例权限。我们通过二层隔离技术，让不同的用户处于不同的私网。同时，只允许以太网承载白名单中的上层协议如ARP、IPV4，其它的一概禁止。最后为防范云服务器被入侵后成为对外攻击源，我们过滤了ARP、IPV4或者以太网协议的任何欺骗性质的攻击报文，并且对云服务器对外的高危端口的访问速度做了侦测。

数据销毁：政务云应采用高级清零手段在用户要求删除数据或设备在弃置、转售前将其所有数据彻底删除。针对云计算环境下因大量硬盘委外维修或服务器报废可能导致的数据失窃风险，数据中心全面贯彻替换磁盘每盘必消、消磁记录每盘可查、消磁视频每天可溯的标准作业流程，强化磁盘消磁作业视频监控策略，聚焦监控操作的防抵赖性和视频监控记录保存的完整性。

以上介绍了从外部安全攻防和内部数据安全分别如何构建政务云的云安全体系，但作为行业用户要使用云平台，并将关键数据放入云中，就需要对云服务商有所信任。如果构建这样的信任关系？第三方权威认证是很必要的。考虑到政务行业的监管特点，我们认为等保、ISO27001、云安全国际认证（CSA-STAR）分别覆盖了国内、国际、云安全这三个方面的合规安全要求，拿等保来讲云服务商应保证其提供的云服务支撑系统通过公安部信息系统等级保护三级评测；ISO27001方面云服务商提供的云服务不但应将相关的物理基础纳入认证范围，更应将所提供的云服务信息安全管理过程体现在证书上，以便用户从开发、设计、运维和交付个环节验证云服务的安全性；最后重点介绍下云安全国际认证（CSA-STAR），这是一项全新而有针对性的国际专业认证项目，由全球标准奠基者——英国标准协会（bsi）和国际云安全权威组织云安全联盟（CSA）联合推出，旨在应对与云安全相关的特定问题。其以ISO/IEC 27001认证为基础，结合云端安全控制矩阵CCM的要求，运用成熟度模型和评估方法，对提供和使用云计算的任何组织，综合评估组织云端安全管理和技术能力，最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。就安全认证来讲也是首度通过引入成熟度评估来实现对云服务商安全管理能力的量化、持续评价，能有助于用户了解各云服务商对照业界最佳实践的具体差距，提升云服务商安全管理的透明度。阿里云已早在去年获得全球首张云安全国际认证（CSA-STAR）金牌，这是bsi向全球云服务商颁发的首张金牌。这也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。

总结下今天分享，政务行业真正需要的云应该具备以下几点：
1、 低成本可弹性扩展架构、高精度的大数据运用技术、大规模DDoS防御能力、全方位的安全服务内容；
2、 云服务具备完整的数据安全保护能力；
3、 全面符合国家、国际、云安全合规要求。

希望通过这次分享，能使各位不但能了解政务行业实际的安全需求、政务云应该如何构建，更能体会到云在安全防御上给广大用户带来的价值。

若非建云、焉知安全；若非安全、焉敢入云。