云安全分論壇-云安全與物聯(lián)網(wǎng)安全實踐

云安全聯(lián)盟簡介Cloud安全實踐物聯(lián)網(wǎng)安全實踐IoT安全框架發(fā)布Our

Community1

0

0

,

0

0

0

+8

0

+2

0

0

9個人會員地方分會CSA

FOUNDEDSEATTLE/Bellingham,

WA

//Americas

HEADQUARTERS5

0

0

+

5

0

+SHENZHEN,

China//GCR

HEADQUARTERSBERLIN,

GERMANY

//EMEA

HEADQUARTERS研究工作組企業(yè)會員與政府、研究機構、專業(yè)協(xié)會和行業(yè)建立戰(zhàn)略伙伴關系CSA

research

isFREE!SINGAPORE

//ASIA

PACIFICHEADQUARTERS中科院云計算中心是中國科學院直屬的唯一一個以云計算、大數(shù)據(jù)為核心研發(fā)領域的大型研發(fā)機構，是中國科學院首次與地方政府共建的云計算專業(yè)研發(fā)機構，擁有國內首個完全自主產(chǎn)權的G-cloud云計算平臺，技術處于國內領先地位。SaaSPaaSIaaS私有云

Private混合云

HybridIaaSPaaSSaaS審核監(jiān)督

Audit

&Monitoring身份管理

IdentityManagement數(shù)據(jù)D

ATA消費者責任應用程序

ApplicationConsumer

responsibility數(shù)據(jù)層與開發(fā)平臺Datalayer

&

developmentplatform虛擬機與操作VirtualMachines系統(tǒng)安全&

OS

security供應商責任Providerresponsibility管理程序安全

HypervisorsSecurity網(wǎng)絡與數(shù)據(jù)中心安全Network

&

Data

CenterSecurity物理安全

Physical

Security人工智能區(qū)塊鏈與分布式ICS安全物聯(lián)網(wǎng)云網(wǎng)絡事件分享密鑰管理云組件規(guī)范云控制矩陣手機應用安全云測開放認證框架開放API云安全服務管理隱私水平協(xié)議一致性評價量子安全安全即服務容器與微服務DevSecOps組織架構軟件定義邊界TOP威脅國際標準CVEERP

安全金融服務醫(yī)療保健教育工具和標準思想先驅?

啟動CSA的基礎云安全研究?

2017年7月發(fā)布第四版本?

重要的企業(yè)經(jīng)驗教訓報告下載地址：ht

tps://w

w

?

領域

1:云定義

&架構?

領域

2-5:

云端治理?

企業(yè)風險管理和治理?

合法?

合規(guī)

&審計管理?

信息治理?

領域

6-14:

云端運營?

管理層面和業(yè)務連續(xù)性?

基礎設施安全?

虛擬化和存儲?

事件響應?

應用安全?

數(shù)據(jù)安全和加密?

身份管理?

安全服務?

相關技術?

為云供應鏈風險管理設計最基本的控制框架?

劃定控制所有權（供應商，客戶）?

為云供應商類型的排名提供實用性參考?

能夠作為安全態(tài)勢和遵從態(tài)勢測量的典范?

包括16個控制域，133個控制項?

包含了全球法規(guī)和安全標準與控制項的映射關系：例如：NIST,

ISO27001,COBIT,

PCI,HIPAA

,FISMA,FedRAMP

–mappingsgrowing

virally?

被政府和企業(yè)廣泛應用1.數(shù)據(jù)泄露7.高級持續(xù)性威脅8.數(shù)據(jù)丟失2.被盜用的證書以及身份管理系統(tǒng)3.不安全的程序接口4.系統(tǒng)和App漏洞5.賬號劫持9.不充分的盡職調查10.惡意使用和濫用11.拒絕攻擊服務DoS12.共享技術中的漏洞6.內部惡意人員報告下載地址：ht

tps://w

w

?

最有價值的IT認證2016

–CertificationMagazine?

云安全競爭力的衡量標準?

基于CSA的指南和云控制矩陣?

在線考試?

不斷涌現(xiàn)關于云安全，風險管理和審計的需求第一級----自我評估云廠商在CSA官網(wǎng)注冊并提交自評估報告。第二級----第三方認證由第三方機構進行認證，確保云廠商滿足CSA云安全控制矩陣CCM要求。例如:

CSASTAR和C-STAR認證第三級----持續(xù)監(jiān)控云廠商公布基于CSA云計算信任協(xié)議（TheCloudTrust

Protocol，CTP）的安全監(jiān)控結果，對云服務相關安全要求進行持續(xù)的審計和評估。針對云廠商安全管理的一種嚴格的第三方獨立評估。該評估主要參考GB/T

22080-2008管理體系標準及CSA云控制矩陣（CloudControl

Matrix）的要求，以及29個國標GB/T

22239-2008（信息安全技術—信息系統(tǒng)安全等級保護基本要求）和GB/Z

28828-2012（信息安全技術—公共及商用服務信息系統(tǒng)個人信息保護指南）的相關控制措施?

安全和規(guī)模效益?

更及時的發(fā)布更新與有效的默認安全配置規(guī)模越大，實施安全控制的成本越低?

安全導致市場差異化通過默認加固的鏡像模板管理安全基線比傳統(tǒng)修補模式更及時的發(fā)布更新標準化的安全管理接口安全性成為云消費者的首要考慮事項?

快速智能的資源伸縮?大型云提供者的安全管理能力可以通過標準接口對外開放資源伸縮使安全防御措施也具備彈性?

審計和取證?

審計和SL

A促進更好的風險管理需要量化SL

A中各種風險場景的處罰以及安全漏洞對聲譽的可能影響，激發(fā)更為嚴格的內部審計和風險評估程序虛擬鏡像取證減少停機時間更具成本效益的云日志存儲?

資源集中的優(yōu)勢每單位資源更便宜的物理邊界限制和物理訪問控制需求調研什么系統(tǒng)要上云，涉及哪些數(shù)據(jù)、密級如何、是結構化數(shù)據(jù)還是非結構化數(shù)據(jù)、數(shù)據(jù)量有多大，系統(tǒng)對環(huán)境及硬件資源的要求是什么（CPU、內存、網(wǎng)絡、I/O的要求都是什么樣的，分別需要多少資源），業(yè)務系統(tǒng)的SLA要求都是什么……廠商選型廠商規(guī)模與技術實力、公開的故障與歷史可用性、廠商整體經(jīng)營風險、廠商的安全合規(guī)狀況、標桿客戶、業(yè)界口碑、互換性與可移植性（廠商瑣定的風險）、是否可以協(xié)商合同（包括SLA、保密協(xié)議等）……傳統(tǒng)企業(yè)安全：基于防火墻的邊界防御?

Firewall防火墻?

IDS

入侵檢測?

IPS

入侵防護?

…行業(yè)趨勢

—

變革變革1：云/移動/IoT等新技術出現(xiàn)讓企業(yè)數(shù)據(jù)不再局限

變革2：APT攻擊、勒索病毒等黑客技術的演進以及WIFI/5G在墻內，傳統(tǒng)安全邊界在瓦解等無線方式接入，讓企業(yè)內網(wǎng)不再100%安全防火墻等邊界防御設備WIFI/5G接入移動、IoT內網(wǎng)服務器企業(yè)應用移動、IoT

…行業(yè)趨勢

—

變革企業(yè)安全無法再100%依賴防火墻，國際云安全聯(lián)盟CSA定義了萬物互聯(lián)代的網(wǎng)絡安全模型Software-Defined-Perimeter(SDP)

軟件定義邊界SDP有效防止十大安全威脅*1.

數(shù)據(jù)泄露SDP入選《

2017年11大信息安全技術》

，《

2018最應投入的10大安全項目》，《網(wǎng)絡服務隔離指南》：“到2021年底，60%的企業(yè)將用SDP取代VPN”2.

弱身份、密碼與訪問管理3.

不安全的界面

和API

接口4.

系統(tǒng)和應用程序漏洞5.

賬號劫持2018年納斯達克上市的硅谷獨角獸，專攻SDP產(chǎn)品，市值已超過60億美金6.

內部惡意人員威脅7.

高級持續(xù)威脅攻擊（APTS）8.

數(shù)據(jù)丟失國外眾多老牌安全產(chǎn)商、CDN產(chǎn)商、電信運營商都推出自己的SDP產(chǎn)品9.

DDoS拒絕服務連續(xù)4年舉辦SDP黑客破解大賽，無人攻破10.

共享技術問題*

來自云安全聯(lián)盟CSA白皮書《SDP

for

IaaS》SDP

—

CSA技術創(chuàng)新安全思路的轉變傳統(tǒng)安全：攻防SDP安全：隱身挑戰(zhàn)：你永遠不知道敵人明天是否有更高級的武器優(yōu)勢：敵人無法攻擊看不見的目標防彈衣SDP

—

CSA技術創(chuàng)新基于零信任(Zero-Trust)安全理念的軟件定義邊界(SDP)的安全模型SDP使用場景SDP核心優(yōu)勢SDP安全模型架構圖網(wǎng)絡隱身

Information

Hiding2.管控平臺SDPfor

IoTSDPfor

IaaSSDPfor

HTTPSDPforEnterprise…隱藏服務器地址、端口，使之不被掃描發(fā)現(xiàn)3.應用網(wǎng)關預驗證

Pre-authentication在連接服務器之前，先驗證用戶和設備的合法性1.客戶端預授權

Pre-authorization云服務器用戶只能看到被授權訪問的應用（最小權限原則）應用級的訪問準入

Application

Layer

Access內網(wǎng)/DMZ

服務器用戶只有應用層的訪問權限，無網(wǎng)絡級的訪問擴展性

Extensibility基于標準協(xié)議，可以方便與其它安全系統(tǒng)集成SDP

—

CSA技術創(chuàng)新Google

BeyondCorp：基于SDP的安全辦公平臺美國國防部與中情局的實踐美

國

國

防

部

在

《

Department

of

Defense

GlobalInformation

Grid

Architectural

Vision》信息化架構指南中提出，所有敏感信息

的訪問必須嚴格遵守“needto

know”（最小權限原則）的信息安

全原則。而SDP可以有效實施該原則。/beyondcorp/BeyondCorp

一開始是

Google

內部的一項舉措，旨在讓每個員工都能在

不借助

VPN

的情況下通過零信任的網(wǎng)絡工作，如今它已融入大部分

Google

員工的日常工作。

BeyondCorp通過將訪問權限控制措施從網(wǎng)絡

邊界轉移至具體的設備，讓員工可以更安全地在任何地點工作，而不必借

助于傳統(tǒng)的

VPN。2009年Google內網(wǎng)遭受了代號為“極光行動”

的APT攻擊，推動Google

重新搭建整體安全架構，從而誕生了BeyondCorp項目。自2012年Google開始在內部實施BeyondCorp，共發(fā)表了6篇相關的論文。美國中情局的前CTO、著名安全專家Bob

Flores是國際云安全聯(lián)盟SDP標準工作組的聯(lián)席主席./working-groups/software-defined-perimeter/SDP

—

國外成功案例Forrester

:

安全是IoT發(fā)展的關鍵Vint

Cerf,

互聯(lián)網(wǎng)之父，谷歌首席布道師“讓我們保持萬物互聯(lián)，同時保證互聯(lián)系統(tǒng)的安全與可靠性。”大部份IoT技術仍然在生存及成長階段，標準和安全是成功的關鍵因素。IoT安全技術仍然在創(chuàng)建階段，沒有成熟的產(chǎn)品。Adi

Shamir@FC‘2016:

“物聯(lián)網(wǎng)將是安全大災難."Bruce

Schneier：現(xiàn)在大多數(shù)的“物”都是不安全的，有可能變成監(jiān)視工具，要解決這問題會很困難…

物聯(lián)網(wǎng)安全不能由市場經(jīng)濟原則驅動，政府要扮演主要角色，成立跨部門標準規(guī)范組織制定相應的安全規(guī)范.Ross

Anderson（劍橋大學）：物聯(lián)網(wǎng)安全不單純是一個技術問題，而是牽涉到心理學、道德、法律、保險等多方面的問題，安全工程將會很復雜，Safety將在未來一段時間比隱私更重要。偷聽和偽造身份資源耗盡社會工程攻擊MITM（中間人攻擊）、重放攻擊、偽造證電池消耗、通信信道DoS攻擊網(wǎng)絡釣魚、偽Wi-Fi熱點、APT書僵尸網(wǎng)絡DDoS物聯(lián)網(wǎng)信息流模型數(shù)據(jù)收集數(shù)據(jù)傳輸數(shù)據(jù)分析和決策指令傳輸實施操作功能擴展攻擊硬件注入

側信道攻擊代碼注入、重用

暴力破解攻擊偽基站、路由器和固件差分功耗分析（DPA）攻擊、時間差攻擊、故障注入、電磁分析攻擊（EMA）緩沖區(qū)溢出、后門、ROP（返回導向編程）、DOP字典攻擊、彩虹表海量物聯(lián)網(wǎng)設備感染病毒形成僵尸網(wǎng)

智能網(wǎng)聯(lián)車遭受遠程攻擊，不但威脅

智能電網(wǎng)、工業(yè)物聯(lián)網(wǎng)等關鍵基礎設施面絡，發(fā)起美國史上最大規(guī)模DDoS攻擊

車輛信息安全，更直接威脅人身安全

臨黑客組織定點攻擊，造成巨大經(jīng)濟損失1、遠程無線攻入車載HMI2、多個漏洞提權，root權限登陸CID和IC上3、連接到CAN總線，任意車身和行車控制1、黑客通過釣魚郵件，植入惡意代碼2、橫向滲