1、 攻击类型复杂并且变换速度加快,在上面的案例中13分钟攻击者就变换了3次攻击方式,基于人工响应、再行操作安全设备的方式一定无法保障业务;
2、 CC攻击是攻击者最后的底牌,众说周知CC攻击的防御是一个业界难题,因为不但攻击的发起来自于真实的地址,其恶意访问请求也很难从访问流量中剥离,除了通过网站服务器扩容来和攻击者比拼资源消耗外,还没有很好的方法;
3、 攻击规模大,60Gbps只是我们常态防御中遇到的中等攻击流量,在今年的2月我们还遭遇过160Gbps的大规模攻击,而从未来趋势来看黑客将更多地运用DNS、NTP等协议进行分布式反射放大拒绝服务攻击,能轻易把攻击流量放大几十倍到几百倍,打出几百G的流量耗尽有限的服务器资源,而政务网站现在的主要职能也逐步转移到了服务民生,这就对网站的可用性也提出了很高的要求,而现有能抗100G的防DDoS设备也是非常贵,而攻击者所费的成本可能只有安全设备价格的万分之一。
再说回国家为单位发动的APT攻击,攻击者的攻击目标聚焦一旦聚焦在地方政府的网站上,就可以通过所有的聊天工具、邮件、论坛和线下的社会工程等手段试探、渗透、攻击管理者和IT基础设施,而每种手段孤立的看不但无害而且无法被现有的安全手段检测出来,但组合起来就能达到攻击的目的,这种攻击的特点就是:很难用原来安全防御体系的思维去找到一个可信源。正如赛门铁克信息安全高级副总裁布莱恩·代伊前不久发表关于“杀毒软件已死”的言论,其实也是由于APT攻击被广泛应用,导致各类安全防御产品基于签名的技术模式遇到了挑战,但大数据的运用可以给我们不一样的解决之道,如果我们不再纠结于如何寻找信任源,而是通过大量的防御数据建模和大数据处理能力对信息进行抓取和分析,可能更迅速的识别出早期攻击意图并能实施阻断。
总结以上大规模的复杂模式DDoS攻击和以国家为单位发动的APT攻击特点,我们可以得出云安全防御架构应具备的基本要求:
1、大规模:应具备几百G防御DDoS攻击的清洗能力;
2、低成本:应采用软件分布式+X86服务器架构,摆脱硬件定制、具备弹性扩展能力;
3、高精度:应运用大数据分析技术实现攻击的预警和实时阻断;
4、全方位:应具备应用、系统、网络全面防御能力;
例如阿里云的云安全服务——云盾就完全具备以上特点:
云盾是阿里巴巴完全自主开发、采用软件+X86服务器架构,依托云计算的高弹性扩展和大数据挖掘能力,推出的云安全服务。在网络安全方面具备海量的DDoS攻击全自动防御服务;在系统安全方面:由主机密码防暴力破解、网站后门检测和处理、异地登录提醒共同组成主机入侵防御系统;在应用安全方面采用大数据分析技术构建WEB应用防火墙(WAF)和网站漏洞检测;
以上介绍的还是基于外部攻防的云安全体系构建,但是用户最担心的还是云服务商是否会从内部窃取数据,因此结合政务行业数据敏感的特点和运营实践,我们认为应构建覆盖从数据访问、数据传输、数据存储、数据隔离到数据销毁各环节的云端数据安全基线框架。
数据访问:客户访问云端资源均需通过同公有云隔离的专属控制台进行日常操作和运维,客户身份鉴别均采用口令结合动态令牌的双因素认证,客户同所购买的云服务对应关系采用对称加密对实现身份抗抵赖;客户云端资源访问操作均需通过堡垒机进行并支持实时操作审计。云平台运维人员对政务云的运维操作均需通过数据证书结合动态令牌实现双因素认证,操作权限均需经过多层安全审批并进行命令级规则固化,违规操作实时审计报警。
数据传输:针对用户个人账户数据和云端生产数据两种不同的数据对象,分别从用户端到云端、云端各服务间、云服务到云服务控制系统三个层次进行传输控制。其中个人账户数据从客户端到云端传输均采用ssl加密,从云端各子系统间、云服务到云服务控制系统间均采用程序加密保证客户个人账户数据云端不落地。云端生产数据从用户端到云端传输均只可通过VPN或专线进行,云端存储应采用服务端加密并支持用户自行密钥加密数据后云端存储。
数据存储:所有用户云端生产数据不论使用何种云服务应采用碎片化分布式离散技术保存,数据被分割成许多数据片段后遵循随机算法分散存储在不同机架上,并且每个数据片段会存储多个副本。云服务控制系统应依据不同客户ID隔离其云端数据,云存储可依据客户对称加密对进行云端存储空间访问权限控制,保证云端存储数据的最小授权访问。
数据隔离:政务云数据隔离应分为物理资源隔离、云端资源隔离两个方面。物理资源隔离方面针对行业监管要求构建政务云专属集群,并采用铁笼包围结合掌纹识别实现同公有云集群物理隔离和访问控制。云端资源隔离方面针对同一物理服务器上的不同虚拟主机可在其生产环节由可云服务器的生产系统依据订单自动给每个用户的云服务器打上标签,不同的用户间通过由数据链路层和网络层访问控制技术组成的安全组进行隔离;采用虚拟化重定向技术(沙盒技术)隔离云平台内承载信息资源的虚拟主机对平台物理资源的直接访问。不同客户的数据库服务通过实例隔离,仅给客户分配实例权限。我们通过二层隔离技术,让不同的用户处于不同的私网。同时,只允许以太网承载白名单中的上层协议如ARP、IPV4,其它的一概禁止。最后为防范云服务器被入侵后成为对外攻击源,我们过滤了ARP、IPV4或者以太网协议的任何欺骗性质的攻击报文,并且对云服务器对外的高危端口的访问速度做了侦测。
数据销毁:政务云应采用高级清零手段在用户要求删除数据或设备在弃置、转售前将其所有数据彻底删除。针对云计算环境下因大量硬盘委外维修或服务器报废可能导致的数据失窃风险,数据中心全面贯彻替换磁盘每盘必消、消磁记录每盘可查、消磁视频每天可溯的标准作业流程,强化磁盘消磁作业视频监控策略,聚焦监控操作的防抵赖性和视频监控记录保存的完整性。
以上介绍了从外部安全攻防和内部数据安全分别如何构建政务云的云安全体系,但作为行业用户要使用云平台,并将关键数据放入云中,就需要对云服务商有所信任。如果构建这样的信任关系?第三方权威认证是很必要的。考虑到政务行业的监管特点,我们认为等保、ISO27001、云安全国际认证(CSA-STAR)分别覆盖了国内、国际、云安全这三个方面的合规安全要求,拿等保来讲云服务商应保证其提供的云服务支撑系统通过公安部信息系统等级保护三级评测;ISO27001方面云服务商提供的云服务不但应将相关的物理基础纳入认证范围,更应将所提供的云服务信息安全管理过程体现在证书上,以便用户从开发、设计、运维和交付个环节验证云服务的安全性;最后重点介绍下云安全国际认证(CSA-STAR),这是一项全新而有针对性的国际专业认证项目,由全球标准奠基者——英国标准协会(bsi)和国际云安全权威组织云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。其以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM的要求,运用成熟度模型和评估方法,对提供和使用云计算的任何组织,综合评估组织云端安全管理和技术能力,最终给出“不合格-铜牌-银牌-金牌”四个级别的独立第三方外审结论。就安全认证来讲也是首度通过引入成熟度评估来实现对云服务商安全管理能力的量化、持续评价,能有助于用户了解各云服务商对照业界最佳实践的具体差距,提升云服务商安全管理的透明度。阿里云已早在去年获得全球首张云安全国际认证(CSA-STAR)金牌,这是bsi向全球云服务商颁发的首张金牌。这也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。
总结下今天分享,政务行业真正需要的云应该具备以下几点:
1、 低成本可弹性扩展架构、高精度的大数据运用技术、大规模DDoS防御能力、全方位的安全服务内容;
2、 云服务具备完整的数据安全保护能力;
3、 全面符合国家、国际、云安全合规要求。
希望通过这次分享,能使各位不但能了解政务行业实际的安全需求、政务云应该如何构建,更能体会到云在安全防御上给广大用户带来的价值。
若非建云、焉知安全;若非安全、焉敢入云。
