北大国信云计算安全实验室主任章恒跟我们分享一下”云计算安全风险研究与测评实践”。
章恒:各位来宾下午好!今天下午公安部李明博士给大家介绍了国家层面云计算安全方面的一些要求,接着阿里、百度、京东介绍了云计算安全方面的解决方案和流程,是否做到这些就安全了呢?是否安全自己说了不算,下面国家测评团队出场做一些事情。
北大国信云计算安全实验室是由北京大学和国家信息中心联合创办的一个实验室,国家信息中心在信息安全方面做了大量的工作,包括测评、风险评估等等,积累了大量的实践经验,而北京大学在云计算安全方面也积累了大量的研究成果,我们经过前期接触、磨合,成立这样一个实验室,其主要目的也是为了在咱们国家云计算安全测评方面能够达到领先水平。另外一个目的,国家在云计算安全方面或在信息安全方面的人才是急缺的,也正好是我们这个实验室建立的目的、初衷,北大国信云计算安全实验室有攻防实训平台,可以在这个平台上进行实战演练,为社会、为企业输送信息安全方面的人才。
北大国信云计算安全实验室的LOGO从上半部分代表Cloud,下面C代表computer,中间S是security,整个LOGO像一个阴阳太极图案,表达了中国太极功夫对像云这种飘浮不定的控制力。
云计算及安全发展现状
2015年中国云计算发展调查报告-公有云。如图代表IAAS应用,绿色代表SAAS应用,中间代表PAAS应用。从2002-2015年上半年,SAAS的应用比较多,IAAS应用增长比较快,PAAS应用占比较少,而且发展也不是太迅猛。如图对我们用户调查结果,大部分用户习惯把自己业务往云计算平台上迁移,只有少量用户是在减少或不清楚。如图用户所关心的方面,如是否有比较优化的安全策略,是否有听过第三方安全测评等等亿,用户关心产品是否经过第三方安全和质量测评是他们关心的最主要的一个方面。安全性已经成为用户选择服务提供商最主要的因素,服务价格、服务稳定性、品牌知名度相对于服务安全性方面用户考虑更多。
2015中国云计算发展调查报告-私有云。企业在私有云上承载的主要系统,企业信息管理系统占的比重相比较高。
如图,2014年统计结果,企业用户对于云计算核心关注度方面主要集中在几个方面:数据安全、隐私保护、系统稳定性、可移植性和可用性方面,政府用户对于云计算核心关注度方面更多考虑数据安全、是否有相关技术标准、合规性。
专利分布。目前大部分核心专利被国外所掌握,确切地说专利是异步是被美国所垄断,各种云计算和云安全方面的专利美国现有占有97%,而其他国家占比较低。专利布局方面,大部分专利都集中在传统IT企业,如微软、IBM、思科等传统的IT巨头。在国内的浪潮、华为、阿里等也是我们国家专利主要申请人。
国外相关标准。这里不做详细一一介绍,会后大家有兴趣可以看相应PPT。
国内相关标准。因为我们国家电信行业在云计算安全方面比较领先,相关标准制定早一些,他们相对比较成熟。安标委有两个主要的标准是去年刚拿了标准号,GB/T31167-2014,GB/T31168-2014,这两个标准是去年拿到标准化的,之前也经过一段时间征求意见。
等保方面有三个标准在指定过程中,云计算安全要求、云计算测评要求、云计算安全技术要求。这三个标准形成征求意见稿,正在准备对外公布。
中央网信办前几天发布了《关于加强党政部门云计算服务网络安全管理的意见》,腾讯、京东等都是被审查的对象。
云计算环境安全风险场景
管理方面。
机房放在境外,对系统中存在的违规信息无法取证和采取控制措施;
云服务方对云租户业务数据和隐私信息的非授权访问可能导致用户信息的泄露和被云服务方滥用;云服务商所雇佣的员工个人可能窃取或斜路数据信息;
未经云租户授权的情况下,对云租户的数据进行备份,制作虚拟机镜像和快照,分析系统运行过程中产生的审计数据、监控信息等,均会造成云租户信息斜路或被滥用;
单一厂商提供所有安全产品,如出现漏洞,可能会影响很大。云服务商往往对使用自己或单一来源的安全产品(安全厂商),我们认为也存在一定安全风险,所以对于用户来说,可以给他们一个选择自己安全产品或安全服务的权利;
没有约定云服务商和云租户的权限与责任,如果责任不明确的话就会导致出现问题责任划分不清,如果造成故障的话,会给云服务商或云租户相应的借口,这也是导致不安全的风险点;
未约定服务终止责任,导致云租户信息没有完整的返还。云平台上用户信息大量释放以后,没有完全清零或没有完全清楚掉;
云租户不能及时知晓云服务商相关的安全事件或威胁,对系统安全状况不知情,云租户不能确认安全措施的有效性。
技术方面。
攻击者在云环境下可访问其他租户的虚拟网络设备,虚拟网络接口等共享网络资源,过量占用设备硬件资源或网络带宽;
没有足够的边界访问控制措施,租户之间、租户的应用系统之间会产生安全风险;
在发生虚拟机迁移时,安全策略没有随之迁移,导致安全风险;
身份认证,云服务商或云的客户端本身存在相应安全风险,如果云客户端或云终端被控制,也会对云服务平台造成一定影响;
安全审计,目前应该要求云服务商要提供能够接入第三方审计的接口,如果没有相应审计制度的话,对云租户的服务和保护也是存在相应隐患,事后责任无法认定、无法追查。
云计算环境下风险场景非常多,在这里不能一一给大家介绍,大家有兴趣的话可以会后看PPT。
在进行测评标准研究时,最主要的来源是要做调研,通过调研过程中发现目前虚拟化所带来的安全问题还是用户考虑一个主要方面,也是我们在做测评时考虑的一个主要问题。我们在做客户调研时把用户所关心的问题做了罗列,我们做相应安全测评或做相应标准制定时,都会对这些用户关心的安全问题做相应考虑。
虚拟化安全问题:网络资源虚拟化、存储资源虚拟化、计算资源虚拟化。从虚拟化角度来看云平台:节点硬件、网络物理层、虚拟网络层、网络协议、硬件虚拟、操作系统、平台、提供计算、存储资源池、云计算服务提供。我们在测评过程中主要按照这种风险点给大家做相应测评,我们考虑系统脆弱性时,考虑系统所面临威胁时,也是按照这样一个层次架构给大家做相应的测评。
截止到2014年12月底虚拟化平台漏洞统计,主要针对VMware、XEN、KVM。
漏洞成因分类分为虚拟机层面、硬件层面、网络层面。
VMware漏洞简介,牵涉到具体细节问题,没有必要在这个大会上向大家做详细介绍,都是可以在网上或相应工作看到这样一些漏洞。
前面介绍比较多的都是大家对于漏洞的分析,另外一个我们认为在云环境下主要的风险点在于隐蔽信道,隐蔽信道其实很简单,我们看过谍战片,地下组织窗台上放了一个花盆代表安全,不放花盆代表威胁,这个花盆就是一个隐蔽信道。在云计算环境下,对于CPU负载的占用,对于共享内存泄露的分析,都是我们隐蔽信道的来源。在实验室对隐蔽信道分析方面做了大量的分析工作,形成了一些研究成果。
测评工具。
检查表单及集成测评工具。
针对虚拟化的安全检查及评估系统。这个漏洞库来源不是大一的,是来源于VMware,虚拟产品本身发布的漏洞,还有来源于中国漏洞信息库提供的漏洞库,还有我们测试产品自己发现的漏洞。
面向智能终端APP的用户隐私安全检测工具。我们认为终端安全也是云计算、云服务安全的一个延伸,如果终端不安全的话,也会对云服务平台安全造成一定的影响。
面向云计算环境的安全审计系统。我们主要针对于云管理平台、虚拟化管理软件,比如像迁移、资源分配、虚拟机的调度,通过后台大量数据分析、合规性分析,认为它什么样的操作是危险的、异常的,都会通过安全审计系统分析出来。
云计算环境等级保护和风险评估测评工具。在我们国家相关标准前提下做的一个测评工具。
北大国信云计算安全实验室构建基于云计算环境的安全检查与评估服务平台。平台最下层搭建了异构的云环境,在异构的云环境上是评测平台,有相应的评测工具来做相应工作。在这个评测平台上面是业务管理平台,将来大家如果想对自己云平台或云服务进行检测,我们就要提供相应的业务管理接口与大家进行对接。上面是主要的一些服务内容,企业的应用系统或方案如果在上线之前没有完全把握或没有经过验证测试的话,可以拿到我们这个平台上进行验证测试,我们会根据我们的工具、根据我们在云计算测试方面的积累,给大家出一个详细检测的报告或一个说明。
APP虚拟化平台检测工具。有打分、解决方案等其他相关信息。
针对虚拟化漏洞平台简单的渗透,这个漏洞是CVE-2013-1662。
测试环境是Ubuntu 14.04下的VMware Workstation,版本号为:9.0.1 build-894247。
我们先构建了一个二进制文件,对它进行了编译,然后打开终端,将桌面的路径添加劳改系统的PATH环境变量中,执行”VMware mount-L”命令,可以成功将/etc/shadow文件cat出来,而终端中单独运行”cat/etc/shadow”命令是不能成功的。
北大国信云计算安全实验室在云计算安全检测方面的研究,另外是增进云计算方面一些安全人才的培养,普通高校毕业生在走向社会或刚毕业时对相关检测并没有相应的手段,或者大家想练这个技术到网上去练,这个行为也是违法的,我们这个平台给大家提供了一个环境来进行相应实战训练,为企业提供更好信息安全方面的实战人才,不懂得攻击手段就没办法进行相应防御。所以我们主要目的还是在防御,而不是在攻击。另外培训完成以后会给大家发相应培训证书,会提供信息安全攻防技术人员和信息安全攻防专家的培训证书,欢迎大家都来参加我们培训。谢谢大家!