課程教材教材名稱云端運算PAR.ppt

Part4-課程教材 教材名稱:雲(yún)端運算PART4,國立高雄大學(xué)資訊工程學(xué)系 陳建源教授,計劃名稱: 99年度教育部資訊軟體人才培育推廣計畫 跨校資源中心:雲(yún)端計算與服務(wù)/互動多媒體(國立中山大學(xué))課程名稱: 雲(yún)端運算,雲(yún)端資訊安全1,主講人:陳建源,研究室 :法401 Email: .tw,資料來源,雲(yún)端運算使用案例第 4 版,/Cloud_Computing_Use_Cases_Whitepaper-4_0-China_T.Chinese_translation.pdf,由雲(yún)端運算使用案例討論小組製作之白皮書 第 4 版 2010 年 7 月 2 日,1.雲(yún)端運算之安全議題,Outline,法規(guī)： 法規(guī)並不是技術(shù)，但是對於功能的影響甚大，訂定不好的法規(guī)， 將造成安全上無法避免的錯誤。,安全管控： 雲(yún)端供應(yīng)者必須有能力，提供安全管控的技術(shù)，使消費者有足夠的 安全保障。,安全聯(lián)合模式： 雲(yún)端供應(yīng)者建構(gòu)不同的聯(lián)合模式，以落實安全控管。,客戶經(jīng)驗： 列舉一些客戶實力，以了解雲(yún)端安全議題。,2.服務(wù)等級協(xié)議 (SLA) SAL說明雲(yún)端供應(yīng)者與雲(yún)端消費者之間的互動。,1.雲(yún)端運算之安全議題,雲(yún)端運算安全 事實上，雲(yún)端並未帶來新的安全問題，但也無法消除原有 的安全問題，但由於資料集中放置於雲(yún)端主機(jī)，所以雲(yún)端 與過去比較最大差異在於企業(yè)失去對資料的掌控權(quán)。,雲(yún)端運算之安全議題,法規(guī)：法規(guī)並非技術(shù)問題，但法規(guī)所影響的安全要求高於功能要求。,安全管控：雲(yún)端提供的基礎(chǔ)架構(gòu)是否有能力確保安全。,安全聯(lián)合模式：為落實安全管控，需要不同的聯(lián)合模式，雲(yún)端供應(yīng)者應(yīng)透過現(xiàn)有安全標(biāo)準(zhǔn)提供聯(lián)合模式。,法規(guī)：,世界各國政府非常關(guān)切雲(yún)端運算的使用問題，許多政府制定較嚴(yán)格的法律，禁止敏感資料儲存於國外實體伺服器中，違法者將處以重刑，因此任何組織若要落實雲(yún)端運算，且將敏感資料儲存於雲(yún)端中，必須證明雲(yún)端供應(yīng)者並未將該資料儲存在國外的實體伺服器中。 除了政府外，許多知名公司亦制訂相同規(guī)範(fàn)，以落實雲(yún)端安全。,1.雲(yún)端運算之安全議題,安全管控：,1.雲(yún)端運算之安全議題,安全管控：,1.雲(yún)端運算之安全議題,安全管控：,1.雲(yún)端運算之安全議題,安全管控：應(yīng)用於各項管控的部分標(biāo)準(zhǔn),1.雲(yún)端運算之安全議題,安全聯(lián)合模式： 聯(lián)合可以讓多項獨立資源如同單一資源運作，雲(yún)端運算本身即為聯(lián)合資源，故在單一雲(yún)端運算解決方案中，許多資產(chǎn)、身分、配置及其他細(xì)節(jié)必須聯(lián)合，才能發(fā)揮效果。,1.雲(yún)端運算之安全議題,安全聯(lián)合模式：,信任：指雙方在認(rèn)證機(jī)構(gòu)下建立信任關(guān)係的能力，認(rèn)證機(jī)構(gòu)能夠交換憑證（通常為 X.509 憑證），並以此確保資訊安全及建立已簽的安全記號（通常為 SAML），此信任聯(lián)合是所有其他安全聯(lián)合模式的基礎(chǔ)。,身分管理：藉由使用者憑證（帳號、密碼、文件）來證明身分，並回覆符合使用者已簽的安全記號，服務(wù)供應(yīng)者若信任身分供應(yīng)者，對不認(rèn)識的使用者，亦可使用安全記號，開放適當(dāng)權(quán)限給使用者。,1.雲(yún)端運算之安全議題,安全聯(lián)合模式：,使用管理：能夠制定政策（通常為 XACML）檢視安全記號，以管理雲(yún)端資源使用情況，使用資源會受到多個因素掌控，例如限制僅特定角色使用者可使用資源、只能在特定協(xié)定中使用、限制使用時段等。,單一登入/登出：根據(jù)可信任機(jī)構(gòu)憑證匯整登入資訊，由於已認(rèn)證使用者已是特定角色，單一登入功能讓使用者只需登入某一應(yīng)用程式，即可使用其他信任相同機(jī)構(gòu)的其他應(yīng)用程式。單一登出模式亦然，在許多情況下，使用者 若自某一應(yīng)用程式登出，就必須同時登出其他應(yīng)用程式，單一登入模式需以身分管理模式為基礎(chǔ)才能執(zhí)行。,1.雲(yún)端運算之安全議題,安全聯(lián)合模式：,審核及監(jiān)管：紀(jì)錄雲(yún)端內(nèi)活動成為審核及監(jiān)管資料。聯(lián)合審核為必要工作，可確保並記錄活動符合 SLA 及法規(guī)要求。,配置管理：結(jié)合服務(wù)、應(yīng)用程式及虛擬機(jī)器的配置資料，包括使用政策及跨網(wǎng)域授權(quán)資訊。,1.雲(yún)端運算之安全議題,客戶經(jīng)驗-雲(yún)端運算能力：,美國有一家保險公司設(shè)計一套索賠應(yīng)用程式，專門收集被保險人資料及所受損失情況。當(dāng)預(yù)見颶風(fēng)襲擊美國墨西哥灣地區(qū)，可能造成重大財產(chǎn)損失，導(dǎo)致索賠案件大增，也大幅提高企業(yè)資訊科技基礎(chǔ)架構(gòu)負(fù)荷。此臨時狀況，該公司決定與公用雲(yún)供應(yīng)者合作，使用虛擬機(jī)器應(yīng)付此大量要求，企業(yè)必須掌控自有系統(tǒng)與雲(yún)端虛擬機(jī)器的使用權(quán)，只限公司合格經(jīng)理人取用，此外，企業(yè)也要安全地將雲(yún)端申請案的資料送回企業(yè)防火牆內(nèi)，而雲(yún)端供應(yīng)者必須確保虛擬機(jī)器一旦關(guān)閉後，應(yīng)用程式與資料記錄會徹底消失。,1.雲(yún)端運算之安全議題,解決客戶問題：,使用公用雲(yún)後，讓企業(yè)能處理異常大增的工作量。臨時透過添購、維護(hù)、供電與冷卻額外系統(tǒng)來處理可能面臨的巨大工作量，並不符合成本效益，採購時效也可能趕不及，該公司內(nèi)部已有運算能力，可應(yīng)付日常維運，故可在所需時間自動增加運算能力。,要求與掌控：,1.雲(yún)端運算之安全議題,聯(lián)合模式：,信任、使用管理、配置管理,角色：,索賠核算員、保險代理人、審核員,安全使用案例經(jīng)驗-雲(yún)端運算能力,客戶經(jīng)驗-雲(yún)端開發(fā)與測試：,網(wǎng)路零售業(yè)者需要開發(fā)一套新的 Web 2.0 店面應(yīng)用程式，但不想增加資訊科技部門與現(xiàn)有資源負(fù)擔(dān)，故選擇一家雲(yún)端供應(yīng)者，提供雲(yún)端開發(fā)環(huán)境，儲存開發(fā)工具及來源碼，由另一家雲(yún)端供應(yīng)者提供測試環(huán)境，讓新應(yīng)用程式可與各種機(jī)器及大量工作互動。 因為運用兩家供應(yīng)者區(qū)隔開發(fā)與測試，故雙方聯(lián)合非常重要。,1.雲(yún)端運算之安全議題,解決客戶問題：,在開發(fā)者眼中，使用雲(yún)端開發(fā)工具後，就不必在每位開發(fā)者的電腦裡安裝、配置及管理工具，工具更新也只需在雲(yún)端主機(jī)進(jìn)行一次，所有開發(fā)者就自動取得同一版本的工具。 產(chǎn)品建置速度顯然加快，大規(guī)模建置工作可運用雲(yún)端供應(yīng)者的基礎(chǔ)架構(gòu)彈性，且在雲(yún)端開發(fā)時，能取用雲(yún)端資料庫裡最新版來源碼。 就測試而言，由於公司從傳統(tǒng)介面轉(zhuǎn)移至 Web 2.0 介面，對伺服器的額外負(fù)擔(dān)無法預(yù)估。相較於靜態(tài)網(wǎng)頁，Web 2.0 介面與伺服器互動更頻繁，故在雲(yún)端測試新應(yīng)用程式時，測試團(tuán)體能計算新介面產(chǎn)生的衝擊。,1.雲(yún)端運算之安全議題,解決客戶問題：,在雲(yún)端進(jìn)行新應(yīng)用程式測試容易許多，若測試團(tuán)隊要求每秒自500 臺不同機(jī)器傳來，以了解應(yīng)用程式的表現(xiàn)，雲(yún)端計算可承受這種試驗，由虛擬機(jī)器模擬不同機(jī)器（作業(yè)系統(tǒng)、版本、協(xié)定等）來測試應(yīng)用程式。若測試團(tuán)隊擬將規(guī)模增至千臺或萬臺機(jī)器，在雲(yún)端測試的成本效能也遠(yuǎn)低於內(nèi)部基礎(chǔ)架構(gòu)測試。,1.雲(yún)端運算之安全議題,要求與掌控：,1.雲(yún)端運算之安全議題,聯(lián)合模式：,信任、身分管理、使用管理、單一登入、審核與監(jiān)管、配置管理,角色：,開發(fā)者、測試者、管理者、審核員,1.雲(yún)端運算之安全議題,客戶經(jīng)驗-儲存在雲(yún)端：,一家金融投資公司將為經(jīng)理人及分公司推出新投資產(chǎn)品，已製作數(shù)段影片，向經(jīng)理人及分公司說明新產(chǎn)品特長，由於影片檔案很大，必須具備隨需應(yīng)變?yōu)g覽方式，故儲存在雲(yún)端可減少企業(yè)基礎(chǔ)架構(gòu)要求，但影片觀看者身分需嚴(yán)格限制，為商業(yè)競爭考量，只有合格經(jīng)理人能觀看影片，更重要的限制是，在產(chǎn)品推出前夕，影片及產(chǎn)品細(xì)節(jié)必須保密。 該公司決定採用公用雲(yún)儲存影片，負(fù)責(zé)安全管控及影片播放，雲(yún)端解決方案必須具備使用存取控制機(jī)制，以落實該公司對影片的安全政策。,1.雲(yún)端運算之安全議題,解決客戶問題：,使用公用雲(yún)儲存服務(wù)後，讓消費者能處理大量資料檔案及頻寬要求，但不會增加資料中心的實體資源。然而，因為政府法規(guī)與組織要求，安全格外重要，公用雲(yún)儲存供應(yīng)者若無法保證監(jiān)管功能，無論效能如何、價格或彈性高低，都不能採用。,1.雲(yún)端運算之安全議題,要求與掌控：,1.雲(yún)端運算之安全議題,聯(lián)合模式：,信任、身分管理、使用管理、審核與監(jiān)管,角色：,影片製作單位、企業(yè)經(jīng)理人、企業(yè)分公司、審核員、法規(guī)單位,1.雲(yún)端運算之安全議題,安全管控與消費者經(jīng)驗的關(guān)係：,1.雲(yún)端運算之安全議題,安全管控與消費者經(jīng)驗的關(guān)係：,1.雲(yún)端運算之安全議題,安全聯(lián)合模式與消費者經(jīng)驗的關(guān)係：,1.雲(yún)端運算之安全議題,2.服務(wù)等級協(xié)議 (SLA),雲(yún)端供應(yīng)者與雲(yún)端消費者之間的關(guān)係必須以服務(wù)等級協(xié)議 (SLA)來加以說明安全服務(wù)措施。因為雲(yún)端消費者信任雲(yún)端供應(yīng)者所遞送的若干基礎(chǔ)設(shè)施服務(wù)，因此必須定義這些服務(wù)，以及使用這些服務(wù)的方式。,2.服務(wù)等級協(xié)議 (SLA),何謂 SLA？,SLA 說明了雲(yún)端供應(yīng)者與雲(yún)端消費者之間的互動。 SLA 包含： 供應(yīng)者將實施的一套服務(wù) 每項服務(wù)的完整、具體定義 供應(yīng)者與消費者的責(zé)任 用以判定供應(yīng)者是否信守實施服務(wù)的一套計量方式 一套監(jiān)督服務(wù)的審核機(jī)制 如未符合 SLA 條款時，消費者與供應(yīng)者可執(zhí)行的補(bǔ)救方式 SLA 將如何隨著時間改變,2.服務(wù)等級協(xié)議 (SLA),服務(wù)等級目標(biāo),SLO 以精確、可測量的條款定義出服務(wù)特性。 下列為部分 SLO 的範(fàn)例： 系統(tǒng)不應(yīng)具有 10 個以上的待決要求。 處理要求的時間應(yīng)少於 3 秒。 讀取要求的資料串流應(yīng)於 2 秒內(nèi)啟動。 同一時間至少要有 5 個 OM 執(zhí)行個體是 99.99999% 可用的 ，而且每家供應(yīng)者至少要有三個資料中心都能提供該執(zhí)行個體。,2.服務(wù)等級協(xié)議 (SLA),服務(wù)等級管理,無須監(jiān)督與測量服務(wù)的效能，就能瞭解是否符合 SLA 條款，這是不可能的事。 服務(wù)等級管理就是收集並處理效能資訊的方式。服務(wù)的衡量係基於 SLA 中的服務(wù)等級目標(biāo)。,2.服務(wù)等級協(xié)議 (SLA),SLA 考量事項,1業(yè)務(wù)等級目標(biāo) 2供應(yīng)者與消費者的責(zé)任 3業(yè)務(wù)持續(xù)性與災(zāi)難復(fù)原 4冗餘系統(tǒng) 5維護(hù) 6資料位置 7資料扣押 8供應(yīng)者無法履行義務(wù) 9司法管轄權(quán),2.服務(wù)等級協(xié)議 (SLA),SLA 要求,1安全性 2資料加密 3隱私權(quán) 4資料保留與刪除 5硬體資料清除與銷毀 6符合法規(guī) 7透明度 8認(rèn)證 9關(guān)鍵績效指標(biāo)的術(shù)語 10監(jiān)督 11可審查性,2.服務(wù)等級協(xié)議 (SLA),SLA 要求,12. 計量方式,處理量 服務(wù)回應(yīng)的迅速程度 可靠性 服務(wù)可用的頻率 負(fù)載平衡 出現(xiàn)需靈活應(yīng)變的狀況時 (如啟動或終止新的虛擬機(jī)) 的處理 耐久性 資料遺失的可能性 彈性 固定資源是否有能力無限成長，並載明 (如儲存或頻寬的上限) 限制 線性 系統(tǒng)隨著負(fù)荷量增加時的效能 敏捷 供應(yīng)者隨著消費者的資源負(fù)荷量增減的反應(yīng)速度 自動化 供應(yīng)者無需人力互動而處理要求的比例 客戶服務(wù)回應(yīng)時間 供應(yīng)者回應(yīng)服務(wù)要求的速度，在此意指當(dāng)雲(yún)端的隨需應(yīng)變服務(wù)及自助式服務(wù)等層面出現(xiàn)問題時，所需的人力互動。,2.服務(wù)等級協(xié)議 (SLA),SLA 要求,13. 可用電腦處理的 SLA 14. 人力互動,2.服務(wù)等級協(xié)議 (SLA),SLA 要求與雲(yún)端遞送模式,2.服務(wù)等級協(xié)議 (SLA),SLA 要求與使用案例情況,2.服務(wù)等級協(xié)議 (SLA),SLA 要求與使用案例情況,主講人:陳建源,研究室 :法401 Email: .tw,雲(yún)端資訊安全2,（中央社記者吳佳穎臺北2010年11月26日電）雲(yún)端潮流凸顯資安議題重要性。防毒業(yè)者表示，企業(yè)雖有疑慮，但雲(yún)端依然商機(jī)龐大；雲(yún)端安全聯(lián)盟提供美國政府經(jīng)驗，說明適度區(qū)隔是雲(yún)端資安可行方式-為推動安全的雲(yún)端運算環(huán)境，財團(tuán)法人資訊工業(yè)策進(jìn)會今天舉辦2010國際資訊安全技術(shù)高峰會，邀請國內(nèi)外產(chǎn)研界人士共同討論。 趨勢科技全球研發(fā)長暨亞太區(qū)執(zhí)行副總裁張偉欽表示，目前雖有不少對於雲(yún)端運算資安的疑慮與不信任，但業(yè)界還是出現(xiàn)很多資訊外包託管的雲(yún)端風(fēng)潮，這類市場近年的營收成長30%以上，商機(jī)龐大。,（中央社記者吳佳穎臺北2010年11月26日電） 另外，由於企業(yè)對雲(yún)端信賴度不足，張偉欽預(yù)估還要 5年時間，使用公有雲(yún)服務(wù)才會明顯。但他強(qiáng)調(diào)，防毒產(chǎn)業(yè)要先預(yù)見趨勢，抓緊雲(yún)端潮流，提供因應(yīng)的解決方案。 雲(yún)端安全聯(lián)盟（Cloud Security Alliance，CSA）創(chuàng)辦人馬瑟爾（Tim Mather）說明，企業(yè)進(jìn)入雲(yún)端服務(wù)首重安全評估，如美國政府目前透過雲(yún)端運算處理的大多是沒有機(jī)密性、沒有法律以及財務(wù)敏感的資料，且運作系統(tǒng)和一般雲(yún)端運作分開，適度區(qū)隔的確必要。 中央研究院院士李德財分享臺灣與美國院校的研究成果，以及臺灣學(xué)界未來資安的研究方向，例如臺科大主要研究軟體安全驗證、交大負(fù)責(zé) WiMAX等多重網(wǎng)路環(huán)境安全、成大則專門研究殭屍電腦病毒偵測。,資料來源,研究報告 雲(yún)端運算的七大安全威脅 /blog/post/30895717,Top Threats to Cloud Computing /topthreats/csathreats.v1.0.pdf,Security Guidance for Critical Areas of Focus in Cloud Computing,/guidance/csaguide.v2.1.pdf,雲(yún)端安全聯(lián)盟(CSA, Cloud Security Alliance)： 於2009年在美國成立，是一家在雲(yún)端計算環(huán)境下提供安全方案的非營利性組,在這份文件中，將雲(yún)端安全分為兩大領(lǐng)域，分別為治理 (Governance) 與維運 (Operation)，其下各有 5 個與 7 個分類，共計 12 個分類： 治理 (Governance) 1.治理與企業(yè)風(fēng)險管理 (Governance and Enterprise 2.Risk Management) 3.法律與電子資料搜尋 (Legal and Electronic Discovery) 4.法規(guī)遵守與稽核 (Compliance and Audit) 5.資訊生命週期管理 (Information Lifecycle Management) 6.可攜性與互通性 (Portability and Interoperability),Security Guidance for Critical Areas of Focus in Cloud Computing,維運 (Operation) 1.傳統(tǒng)上的安全、業(yè)務(wù)持續(xù)與災(zāi)難復(fù)原 (Traditional Security, Business Continuity, and Disaster Recovery) 2.資料中心維運 (Data Center Operations) 3.事件處理、通知與回復(fù) (Incident Response, Notification, and Remediation) 4.應(yīng)用程式安全 (Application Security) 5.加密與金匙管理 (Encryption and Key Management) 6.身份與存取管理 (Identity and Access Management) 7.虛擬化 (Virtualization),Security Guidance for Critical Areas of Focus in Cloud Computing,治理 (Governance),1.治理與企業(yè)風(fēng)險管理 (Governance and Enterprise Risk Management),健全發(fā)展的資訊安全治理過程,關(guān)切地識別以及實施適當(dāng)?shù)慕M織結(jié)構(gòu)、流程和管制，以維持有效的資訊安全治理、風(fēng)險管理和法規(guī)遵從。 組織在任何雲(yún)部署模型中也應(yīng)保證合理的資訊安全，在資訊供應(yīng)鏈中，主要包含雲(yún)端供應(yīng)商和客戶的雲(yún)端計算服務(wù)以及所支持的第三方供應(yīng)商。,最根本的問題：,治理 (Governance),2.法律與電子資料搜尋 (Legal and Electronic Discovery),在一個組織與其資訊之間的關(guān)係中，雲(yún)端計算創(chuàng)造了新的動力。,治理 (Governance),2.法律與電子資料搜尋 (Legal and Electronic Discovery),功能方面：確定哪些功能和服務(wù)，在雲(yún)端計算具有合法的參與者和利益相關(guān)者。 管轄方面：涉及政府管理方式(法律和法規(guī)影響雲(yún)端計算服務(wù))、利益相關(guān)者和所涉及的資料資產(chǎn)。 合同方面：涉及的合同結(jié)購、條款、條件以及執(zhí)法機(jī)制，使利益相關(guān)者在雲(yún)端計算環(huán)境下，可以解決和管理所遭遇的法律和安全問題 。,最根本的問題：,治理 (Governance),3.法規(guī)遵守與稽核 (Compliance and Audit),針對給定的雲(yún)端服務(wù)之使用的法規(guī)適用性。 明確劃分雲(yún)端客戶及雲(yún)端供應(yīng)商之間需遵守的責(zé)任。 雲(yún)端供應(yīng)商必須有能力生產(chǎn)所需要的證據(jù)以符合規(guī)定。 雲(yún)端客戶的角色可拉近雲(yún)端供應(yīng)商和審計者的差異 。,治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),資料安全的生命週期是不同於資訊的生命週期管理，反映了不同的安全需求。資料安全的生命週期包括六個階段：,治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),資料安全性：機(jī)密性、完整性、可用性、真確性、授權(quán)、認(rèn)證和不可否認(rèn)性。 資料的位置：必須確保儲存資料的位置在合同或SLA ，法規(guī)許可的位置，這些資料包含所有的副本和備份。例如，歐洲聯(lián)盟電子健康記錄所使用“兼容的存儲“的規(guī)定，對於資料所有者和雲(yún)端服務(wù)供應(yīng)商，是一項額外的挑戰(zhàn)。,治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),資料清除：資料必須徹底有效地轉(zhuǎn)移到被視為銷毀 。因此，在雲(yún)中的技術(shù)包含定位資料，刪除 /銷毀資料，移動資料，必須在需要時是可用的。 合併其他雲(yún)端客戶的資料：資料- 特別是機(jī)密/敏感資料不得與其他客戶資料混合。當(dāng)在使用，儲存資料時，需要混合或攙和，將是一個挑戰(zhàn)，尤其有關(guān)資料安全和位置。,治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),資料備份和恢復(fù)計劃：雲(yún)端對於資料備份和恢復(fù)計劃，必須即時且有效，以防止資料丟失和破壞。不要假設(shè)雲(yún)端資料一定有備份和可恢復(fù)性。 資料檢索：由於法律制度仍然集中在電子方式檢索，雲(yún)端服務(wù)供應(yīng)商和資料擁有者將著重在合法下的檢索，並確保當(dāng)局要求的所有資料已被檢索。在雲(yún)端環(huán)境下，這個問題是非常困難，也需要管理，技術(shù)和法律控制。,治理 (Governance),4.資訊生命週期管理 (Information Lifecycle Management),資料匯合和推斷：雲(yún)端中的資料，將有資料匯合和推斷的問題，可能導(dǎo)致違反保密的敏感和機(jī)密資訊。因此，必須保證資料的擁有者和利益相關(guān)資料，在保護(hù)下進(jìn)行資料混合或聚合（如醫(yī)療記錄包含姓名和醫(yī)療資訊混合匿名的資料，但含有相同的“交叉領(lǐng)域“）。,治理 (Governance),5.可攜性與互通性 (Portability and Interoperability),續(xù)約的時間內(nèi)，無法接受的成本增加量。 雲(yún)端供應(yīng)者停止經(jīng)營活動。 雲(yún)端供應(yīng)者在無替代方案下，突然關(guān)閉一個或更多使用中的服務(wù)。 無法接受的服務(wù)質(zhì)量下降，如不符合要求的關(guān)鍵性能或無法實現(xiàn)服務(wù)等級協(xié)議（SLAs）。 雲(yún)端供應(yīng)者與客戶的業(yè)務(wù)糾紛。,維運 (Operation),1.傳統(tǒng)上的安全、業(yè)務(wù)持續(xù)與災(zāi)難復(fù)原 (Traditional Security, Business Continuity, and Disaster Recovery),整體累積的知識如傳統(tǒng)的物理安全、業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)難恢復(fù)等，利用雲(yún)端計算是十分洽當(dāng)?shù)摹?維運 (Operation),2.資料中心維運 (Data Center Operations),當(dāng)企業(yè)和消費者的IT服務(wù)轉(zhuǎn)移到雲(yún)中，雲(yún)端計算供應(yīng)商將繼續(xù)增加。而資料中心也出現(xiàn)了類似的增長。 IT資源共享，創(chuàng)造效率和規(guī)模經(jīng)濟(jì) 。,維運 (Operation),3.事件處理、通知與回復(fù) (Incident Response, Notification, and Remediation),當(dāng)安全事故，資料破壞或其他事件發(fā)生時，雲(yún)端計算的特性，難以確定誰主導(dǎo)。標(biāo)準(zhǔn)安全事件響應(yīng)機(jī)制可以用於修改以適應(yīng)變化的需要來共同報告責(zé)任。該域名可提供如何處理這些安全事件。,維運 (Operation),4.應(yīng)用程式安全 (Application Security),雲(yún)環(huán)境中的應(yīng)用都將受到影響，主要影響： 應(yīng)用安全架構(gòu) 軟體開發(fā)生命週期（SDLC） 遵守 工具和服務(wù) 漏洞,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),雲(yún)端客戶和供應(yīng)商必須防止資料遺失和盜竊。 雲(yún)端客戶希望他們的供應(yīng)商對資料進(jìn)行加密，以確保它們安全，無論資料儲存在哪裡，雲(yún)端供應(yīng)商都必需保護(hù)客戶的敏感資料。,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),雲(yún)端環(huán)境是由很多客戶和雲(yún)端供應(yīng)者，而雲(yún)端供應(yīng)者優(yōu)先獲得這些環(huán)境中的資料。 因此機(jī)密資料託管在雲(yún)端必須得到保護(hù)，使用的方法為相結(jié)合的存取控制，合同責(zé)任，加密。 其中，加密是提供最低限度的安全，可避免雲(yún)端供應(yīng)者檢測操作失誤。,Encryption for Confidentiality and Integrity,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),加密於網(wǎng)路上傳輸?shù)馁Y料：目前最需要加密的網(wǎng)路上資料，如信用卡號碼，通行碼和私密金匙。 雖然雲(yún)端服務(wù)供應(yīng)商的網(wǎng)路可能比傳統(tǒng)網(wǎng)路更安全性，但是雲(yún)端資料是由許多不同的組件，和不同的組織所共享。 因此，重要的是要如何保護(hù)這些敏感資訊在傳輸過程中不被竊取，同樣的需求也必須在SaaS，PaaS和IaaS環(huán)境中實現(xiàn)。,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),靜態(tài)資料之加密：儲存的加密資料，即密文，可以防止惡意的雲(yún)端服務(wù)供應(yīng)商或惡意合租以及對某些類型的應(yīng)用濫用。靜態(tài)資料加密是常見的IaaS環(huán)境內(nèi)，使用各種供應(yīng)商和第三方工具。在PaaS環(huán)境的靜態(tài)資料加密一般比較複雜，需要供應(yīng)商提供儀器或特殊定制。在SaaS環(huán)境的靜態(tài)資料加密，並不能由雲(yún)端客戶直接執(zhí)行，需要要求他們的供應(yīng)商代為執(zhí)行。,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),備份資料的加密：這可以防止濫用備用媒體的遺失或被盜。 顯然地，理想的情況下，雲(yún)端服務(wù)供應(yīng)商可以實現(xiàn)。 然而，作為雲(yún)端客戶的資料擁有者，必須驗證這種加密的責(zé)任，所以必須考慮基礎(chǔ)設(shè)施來進(jìn)行加密處理。,Encryption for Confidentiality and Integrity,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),保謢私密金匙儲存：私密金匙之儲存本身必須得到保護(hù)，就像任何其他敏感資料。他們必須得到保護(hù)，儲存，傳輸，並備份。私密金匙之儲存不當(dāng)，可危及所有加密的資料。 存取私密金匙：存取私密金匙必須限制在特別需要個別私密金匙之個體。還應(yīng)該有政策來管理這些私密金匙之儲存 (它使用分離的角色，以幫助存取控制);即私密金匙的給定者與儲存者是不同的。,金匙管理,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),私密金匙備份和可恢復(fù)性：私密金匙損失必然意味著喪失這些金匙保護(hù)的資料。雖然破壞資料是一種有效的方法，意外遺失保護(hù)關(guān)鍵資料金匙任務(wù)將是毀滅性的一個災(zāi)難，因而安全的備份和恢復(fù)解決方案必須得到執(zhí)行。,金匙管理,維運 (Operation),5.加密與金匙管理 (Encryption and Key Management),在雲(yún)端中有幾個標(biāo)準(zhǔn)和準(zhǔn)則適用於私密金匙管理。 OASIS的私密金匙管理互操作協(xié)議（KMIP）是一種新興的標(biāo)準(zhǔn)互操作私密金匙管理。在IEEE1619.3標(biāo)準(zhǔn)涵蓋了儲存加密和私密金匙管理，特別是當(dāng)它們涉及到儲存的IaaS。,金匙管理,維運 (Operation),6.身份與存取管理 (Identity and Access Management),至今身份管理與存取控制仍然是企業(yè)應(yīng)用面臨的最大挑戰(zhàn)。 基於雲(yún)端的身份和存取控制管理（IAM） 身份供應(yīng)/取消供應(yīng) 認(rèn)證 聯(lián)合制度 授權(quán)管理和客戶配置文件,cloud-based Identity and Access Management (IAM),維運 (Operation),6.身份與存取管理 (Identity and Access Management),身份供應(yīng)：其中一個主要挑戰(zhàn)，是組織所採用雲(yún)端計算服務(wù)是安全的，更能即時管理登機(jī)（供應(yīng)）和非寄宿制（取消供應(yīng)）的雲(yún)端客戶。此外，投資的企業(yè)，對客戶的管理流程在企業(yè)內(nèi)部將尋求擴(kuò)大這些流程以實現(xiàn)雲(yún)端服務(wù)。,基於雲(yún)端的身份和存取控制管理（IAM）,維運 (Operation),6.身份與存取管理 (Identity and Access Management),驗證：當(dāng)組織開始利用雲(yún)端計算服務(wù)時，客戶在一個值得信賴的認(rèn)證和管理的方式是一個重要條件。組織必須有能力處理認(rèn)證相關(guān)的挑戰(zhàn)，如憑證管理，強(qiáng)大的身份驗證（通常定義為多因子認(rèn)證），委託認(rèn)證，信任和管理所有類型的雲(yún)端服務(wù)。,基於雲(yún)端的身份和存取控制管理（IAM）,維運 (Operation),6.身份與存取管理 (Identity and Access Management),聯(lián)合：在雲(yún)端計算環(huán)境中，聯(lián)合身份管理扮演著重要的作用，使企業(yè)以雲(yún)端服務(wù)的組織所選擇的身份雲(yún)端供應(yīng)者（IDP）來驗證他們的客戶。在這種情況下，交換身份屬性之間的服務(wù)供應(yīng)商（SP）和 IdP 的安全的方式也是一個重要的要求。,基於雲(yún)端的身份和存取控制管理（IAM）,維運 (Operation),6.身份與存取管理 (Identity and Access Management),授權(quán)與客戶檔案管理：要求為客戶配置文件和存取控制策略取決於客戶是否以自己的名義行事（如消費者）或作為一個組織的成員（如雇主，大學(xué)，醫(yī)院，或其他企業(yè)）。存取控制的要求，包括建立信任的環(huán)境中的SPI客戶配置文件和政策資訊，用它來控制訪問內(nèi)部的雲(yún)端服務(wù)，並以一個可審核的方式來進(jìn)行。,基於雲(yún)端的身份和存取控制管理（IAM）,維運 (Operation),7.虛擬化 (Virtualization),能夠提供多租戶雲(yún)端服務(wù)，基礎(chǔ)設(shè)施，平臺或軟體之能力，往往是建構(gòu)於提供某種形式的虛擬化技術(shù)之能力來完成。 如果虛擬機(jī)（VM）技術(shù)被用在基礎(chǔ)設(shè)施雲(yún)端服務(wù)，那麼我們必須注意條塊分割和硬化的VM系統(tǒng)。 管理虛擬操作系統(tǒng)的現(xiàn)行做法，”預(yù)設(shè)提供安全流程”是較為缺少的。,以虛擬化為基礎(chǔ)的雲(yún)端環(huán)境繼承所有以往所面臨的資安問題,個人端： 惡意程式、垃圾郵件、不當(dāng)廣告、網(wǎng)路釣魚 主機(jī)端： 惡意程式、殭屍電腦、阻斷式攻擊、社交攻 擊、中間人攻擊、SSL漏洞與實作缺失,雲(yún)端新興安全問題,因此，雲(yún)端環(huán)境的安全威脅程度更大。如何強(qiáng)化原來的安全措施在雲(yún)端環(huán)境中更顯重要,散戶型駭客可以很方便地租用相同 的運算環(huán)境來測試並挖掘其弱點,組織型駭客可以自建雲(yún)端或利用雲(yún)端 從事BotNet攻擊與密碼破解,虛擬環(huán)境上,虛擬平臺弱點,共享資源風(fēng)險,虛擬機(jī)器移轉(zhuǎn) 與備份管理,跨虛擬主機(jī)攻 擊(Inter-VM),雲(yún)端新興安全問題,雲(yún)端新興安全問題,CSA (Cloud Security Alliance) 在 (2010 年 3 月) 初發(fā)布了一份研究報告，標(biāo)題是 “Top Threats to Cloud Computing V1.0”，列出了目前雲(yún)端運算所遭遇的七大安全威脅,此一威脅主要是針對雲(yún)端運算服務(wù)的供應(yīng)者而言。雲(yún)端運算服務(wù)供應(yīng)商 (尤其是 IaaS 與 PaaS 供應(yīng)商) 為了降低使用的門檻，通常並不會要求使用者必須經(jīng)過嚴(yán)格的資料審查過程就可以直接使用其所其提供的資源，有些服務(wù)供應(yīng)商甚至提供免費使用的功能或試用期。這些做法雖然可以有效推廣雲(yún)端運算的業(yè)務(wù)，卻也容易成為有心分子利用的管道。事實上，已經(jīng)有包含殭屍網(wǎng)路、木馬程式下載在內(nèi)的惡意程式運行於雲(yún)端運算的系統(tǒng)內(nèi)。,1.濫用或利用雲(yún)端運算進(jìn)行非法的行為 (Abuse and Nefarious Use of Cloud Computing),雲(yún)端運算的七大安全威脅,IaaS的產(chǎn)品已經(jīng)舉辦了宙斯的殭屍網(wǎng)路，InfoStealer木馬，和下載的Microsoft Office和Adobe PDF漏洞。 此外，殭屍網(wǎng)路已經(jīng)使用的IaaS服務(wù)器的命令和控制功能。垃圾郵件仍然是一個問題 -作為防禦措施，整個街區(qū)的IaaS的網(wǎng)路地址已公開黑名單。,1.濫用或利用雲(yún)端運算進(jìn)行非法的行為 (Abuse and Nefarious Use of Cloud Computing),範(fàn)例,雲(yún)端運算的七大安全威脅,整治 初始登記，並嚴(yán)格驗證過程。 增強(qiáng)信用卡欺詐監(jiān)控和協(xié)調(diào)。 全面反思的客戶網(wǎng)路流量。 在自己的網(wǎng)路區(qū)塊監(jiān)控公共黑名單。,1.濫用或利用雲(yún)端運算進(jìn)行非法的行為 (Abuse and Nefarious Use of Cloud Computing),雲(yún)端運算的七大安全威脅,使用者透過使用者介面或是 APIs 與雲(yún)端運算服務(wù)進(jìn)行互動，因此這些介面與 APIs 是否安全直接影響到雲(yún)端運算服務(wù)本身的安全性。像是使用者介面的驗證與授權(quán)功能是否安全，APIs 的相依性與安全性，都是必須特別注意的地方。此外，如果有使用第三方的加值服務(wù)，這些服務(wù)的介面與 APIs 的安全性也必須一併加以考量。,2.不安全的介面與 APIs (Insecure Interface and APIs),雲(yún)端運算的七大安全威脅,Anonymous access and/or reusable tokens or passwords, clear-text authentication or transmission of content, inflexible access controls or improper authorizations, limited monitoring and logging capabilities, unknown service or API dependencies.,2.不安全的介面與 APIs (Insecure Interface and APIs),雲(yún)端運算的七大安全威脅,範(fàn)例,1.分析雲(yún)端供應(yīng)商的介面之安全性模型。 2.實施協(xié)力加密傳輸以確保強(qiáng)認(rèn)證和存取控制。 3.了解相關(guān)的API依賴鏈。,2.不安全的介面與 APIs (Insecure Interface and APIs),雲(yún)端運算的七大安全威脅,整治,3.惡意的內(nèi)部人員 (Malicious Insiders) 內(nèi)部人員所造成的問題，這幾年來已經(jīng)成為許多組織關(guān)注的重點，採用雲(yún)端運算將會讓內(nèi)部人員所產(chǎn)生的問題更形嚴(yán)重。一個最主要的因素在於使用者無法得知雲(yún)端運算服務(wù)供應(yīng)商如何規(guī)範(fàn)與管理內(nèi)部員工，甚至連招聘的條件與流程也屬於非公開的資訊。以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。更何況以雲(yún)端運算的業(yè)務(wù)性質(zhì)而言，絕對是有心分子眼中的肥魚，所以內(nèi)部惡意員工的比例應(yīng)當(dāng)會比一般組織來的更高。,雲(yún)端運算的七大安全威脅,3.惡意的內(nèi)部人員 (Malicious Insiders),無,雲(yún)端運算的七大安全威脅,範(fàn)例,3.惡意的內(nèi)部人員 (Malicious Insiders),1.嚴(yán)格執(zhí)行的供應(yīng)鏈管理和進(jìn)行全面評估。 2.指定的人力資源需求如同一部分法律合同。 3.整體的資訊安全和管理方法，以及法規(guī)遵從，報告需要透明化。 4.確定安全的違規(guī)通知流程。,雲(yún)端運算的七大安全威脅,整治,4.共享環(huán)境所造成的議題 (Shared Technology Issues) 雖然使用雲(yún)端運算的服務(wù) (尤其是 IaaS) 時使用者好像擁有獨立的環(huán)境，但是這些環(huán)境都是從共享的實體環(huán)境中透過虛擬化的技術(shù)所產(chǎn)生出來的。這些虛擬化的平臺能否將不同的使用者進(jìn)行有效地隔離，以避免彼此之間相互干擾其服務(wù)的正常運算，甚至是避免彼此之間可以存取對方的資源，對雲(yún)端運算的安全來說是一個嚴(yán)格的挑戰(zhàn)。,雲(yún)端運算的七大安全威脅,4.共享環(huán)境所造成的議題 (Shared Technology Issues),Joanna Rutkowskas Red and Blue Pill exploits Kortchinksys CloudBurst presentations,雲(yún)端運算的七大安全威脅,範(fàn)例,4.共享環(huán)境所造成的議題 (Shared Technology Issues),1.實施最佳安全的安裝/配置。 2.監(jiān)測環(huán)境的改變。 3.促進(jìn)強(qiáng)有力的認(rèn)證和存取控制管理和操作。 4.強(qiáng)制服務(wù)等級協(xié)議的漏洞修補(bǔ)和修復(fù)。 5.進(jìn)行漏洞掃描和配置審核。,雲(yún)端運算的七大安全威脅,整治,5.資料遺失或外洩 (Data Loss or Leakage) 資料遺失與外洩對於一個組織的影響不只在於實際上的金錢損失，更在於如企業(yè)形象之類的無形損失。雲(yún)端運算因為其特定的緣故，使得資料遺失或外洩的議題面臨更加嚴(yán)峻的考驗。包含是否擁有足夠的 AAA (驗證、授權(quán)、稽核)、是否採用適當(dāng)且足夠的加密技術(shù)、資料持續(xù)性的需求、如何安全地刪除資料、災(zāi)難復(fù)原、甚至是司法管轄的問題，都是必須認(rèn)真加以考量的問題。,雲(yún)端運算的七大安全威脅,5.資料遺失或外洩 (Data Loss or Leakage),沒有足夠的驗證，授權(quán)和審計（AAA）的控制; 使用加密和軟體金匙不一致; 操作失誤; 處理挑戰(zhàn); 風(fēng)險的關(guān)聯(lián); 司法和政治問題; 資料中心的可靠性; 災(zāi)難恢復(fù)。,雲(yún)端運算的七大安全威脅,範(fàn)例,5.資料遺失或外洩 (Data Loss or Leakage),1.實施強(qiáng)有力的API存取控制。 2.在傳輸過程中，加密和保護(hù)資料完整性。 3. 在設(shè)計和運作期間，分析資料保護(hù)程度。 4.實施強(qiáng)私密金匙產(chǎn)生，儲存和管理。 5.合同制定指定供應(yīng)商提供備份和保留策略。,雲(yún)端運算的七大安全威脅,整治,6.帳號或服務(wù)被竊取 (Account or Service Hijacking) 儘管帳號或服務(wù)被竊取的問題由來已久，但是這類問題對於雲(yún)端運算來說更具威脅性。首先因為雲(yún)端運算不像傳統(tǒng)的 IT 架構(gòu)般擁有實體的東西，因此一旦帳號或服務(wù)被竊取後，除非有其他的方式加以證明，否則惡意分子可以完全取代原先使用者的身分。在傳統(tǒng)的 IT 環(huán)境中，因為使用者至少還擁有硬體的控制權(quán)，所以即使發(fā)生帳號或服務(wù)的竊取行為，使用者還是可以進(jìn)行一些事後的補(bǔ)救措施，但是這些補(bǔ)救措施在雲(yún)端運算的架構(gòu)下可能無法執(zhí)行。此外，對於那些公開的雲(yún)端運算服務(wù)而言，直接暴露於網(wǎng)際網(wǎng)路上也讓這些竊取行為更加容易發(fā)生。,雲(yún)端運算的七大安全威脅,6.帳號或服務(wù)被竊取 (Account or Service Hijacking),無,雲(yún)端運算的七大安全威脅,範(fàn)例,6.帳號或服務(wù)被竊取 (Account or Service Hijacking),1.客戶和服務(wù)之間禁止共享帳戶憑據(jù)。 2.在可能的情況下，利用強(qiáng)大的雙因素認(rèn)證技術(shù)。 3.採用主動監(jiān)測，以發(fā)現(xiàn)未經(jīng)授權(quán)的活動。 4.了解雲(yún)端服務(wù)供應(yīng)商的安全政策和SLA。,雲(yún)端運算的七大安全威脅,整治,7.未知的風(fēng)險模型 (Unknown Risk Profile) 如我在前面所述，以安全的角度來說，”未知”絕對不是一種幸福，而是一種芒刺在背的威脅。以雲(yún)端運算來說，不管是 IaaS、PaaS、SaaS 都是將服務(wù)包裝成一個使用者不需了解也無法了解的系統(tǒng)，讓使用者專注於如何”使用”該系統(tǒng)。