云安全审计:挑战和新兴方法.md
标题和源头:
- 明确每条资讯的标题和来源,这将帮助您快速识别资讯的主题和信任度。
日期和作者:
- 记录资讯的发布日期和作者,以了解资讯的时效性和作者的背景。
摘要:
- 创建一个简短的摘要,概述资讯的主要内容和观点。这将帮助您快速回顾资讯的核心信息。
关键点和数据:
- 列举资讯中的关键点和重要数据。使用列表或者子标题来组织这些信息,以便于阅读和查找。
图表和图片:
- 如果资讯中包含了有用的图表或图片,考虑将它们保存并插入到您的资讯摘要中。
个人评价和思考:
- 记录您对资讯的看法和思考,包括它如何影响您的项目或职责,以及您可能采取的任何后续行动。
相关链接和参考资料:
- 提供资讯原文的链接,以及任何相关的背景资料或参考资料的链接。
标签和分类:
- 使用标签和分类来组织您的资讯摘要,以便于后期按照主题或类型进行搜索和查找。
后续行动和提醒:
- 如果资讯内容需要您采取某些后续行动,记录这些行动并设置提醒,以确保您不会忘记。
保存和归档:
- 保存您的资讯摘要到适当的文件夹或数字笔记应用程序中,并按照 PARA 方法的分类标准进行归类。
标题和源头
- InfoQ资讯
- 云安全审计:挑战和新兴方法
- Cloud Security Auditing: Challenges and Emerging Approaches
日期和作者
- 2023/11/2
- John Kissell Jungwoo Ryoo
摘要
- 云计算是一种模型,用于实现对可配置计算资源(例如,网络、服务器、存储、应用程序和服务)的共享池的无处不在、方便、按需的网络访问,这些资源可以通过最少的管理工作或服务提供商交互快速配置和发布。1 从本质上讲,云计算可以被描述为使用通过网络提供的计算资源(包括硬件和软件),需要用户和提供商之间的最少交互。
- 云中通常实现三种服务模型:软件即服务 (SaaS)、平台即服务 (PaaS) 和基础架构即服务 (IaaS)。在每一种服务类型中,安全性都是一个重大挑战。安全审核为各种组织提供了清晰且可识别的资源访问跟踪。
- 传统的 IT 审计通常分为两大类:内部审计和外部审计。内部审计是指由组织自己的员工完成的工作,涉及非常具体的组织流程,主要关注优化和风险管理。外部审计从外部视角了解组织满足各种法律法规要求的能力。组织使用传统的 IT 审计来评估诸如授权用户的可用性以及数据存储和传输的完整性和机密性等问题。
- 当组织的 IT 资源迁移到云时会发生什么?由于云计算允许跨大型域的多个用户,因此它暴露了新的安全问题,例如特定于云的信任问题。这些威胁给安全审计带来了新的挑战,但云倡导者正在应对这些威胁。例如,云安全联盟 (CSA) 等组织正在敦促标准化云的可靠性、完整性和可用性审计。
- 在本文中,我们将重点介绍将云安全审计与传统 IT 安全审计实践区分开来的挑战。这些挑战说明了在现有或新兴的安全审计标准中对云安全审计的特殊规定的重要性。
关键点和数据
挑战点
云基础架构是服务组织、云服务提供商 (CSP) 和最终用户之间不断进行三方协商的结果,以确保生产力,同时保持合理的安全性。CSP 应保护数据免受安全威胁,同时允许客户端通过 Internet 服务访问任何地方。此外,客户组织必须验证云计算企业是否有助于实现其业务目标、目的和未来需求。
- 云安全审计必须解决传统 IT 安全审计中通常无法处理的独特问题。最直接和最明显的挑战在于审计师获得足够的云计算知识。有效的云安全审计师必须熟悉云计算术语,并具备云系统构成和交付方法的工作知识。这些知识可确保审计人员关注在云安全审计过程中可能更重要的安全因素,包括
- 透明度;
- 加密;
- 主机托管;
- 以及规模、范围和复杂性
- 云安全审计必须解决传统 IT 安全审计中通常无法处理的独特问题。最直接和最明显的挑战在于审计师获得足够的云计算知识。有效的云安全审计师必须熟悉云计算术语,并具备云系统构成和交付方法的工作知识。这些知识可确保审计人员关注在云安全审计过程中可能更重要的安全因素,包括
透明度
透明度使组织能够更轻松地识别潜在的安全风险和威胁
- 一个好的云安全审计会质疑 CSP 是否在安全控制和最终用户访问之间提供了坚实的 平衡。
- 员工可能需要在家中或出差时访问云。CSP 是否允许此类访问,是否可以阻止其他人冒充合法用户?
- 更重要的是,CSP 是否愿意对其访问控制机制保持透明?
- 需要披露的细节
- 客户端需要知道谁在处理数据,知道数据在系统上的确切位置。
- 数据隐私、数据安全、匿名、电信容量、责任、可靠性和政府监控的透明度
- 关键企业系统的未报告后门可能会对组织造成毁灭性的损害
- 一个好的云安全审计会质疑 CSP 是否在安全控制和最终用户访问之间提供了坚实的 平衡。
加密
客户端可以在将其所有数据发送到云提供商之前在内部加密,但这种方法会带来系统管理员滥用其权限的风险。将加密留给 CSP 也不是万无一失的:其存储系统的漏洞也可能意味着其加密和解密工具的漏洞。
传统 IT 基础设施问题
数据加密和数据访问哪个更重要?如果整个数据池都是静态加密的,组织如何在不解密所有数据的情况下快速有效地查询数据?由于其繁重的计算要求,加密可能并不总是最有效的解决方案。只有在不经常访问敏感数据(例如,存档的工资单信息)的情况下,静态加密才成为可行的选择。
云基础架构问题
- 静态数据是否应该加密?默认情况下,CSP 通常提供加密(例如 Amazon 的简单存储服务 (S3),这可能会导致双重加密(一次由 CSU 加密,一次由 CSP 加密)。相比之下,亚马逊的弹性计算云服务默认不提供加密,由客户自行决定。第三方服务(如 CipherCloud)允许客户端在将数据发送到 CSP 之前对数据进行加密。传输中的数据通常使用安全套接字层等技术进行加密。假设 CSU 仅依赖 CSP 进行加密,它必须允许 CSP 控制其加密和解密机制,并有权访问其存储的所有数据(例如 S3)。
- 这不是一种安全的做法,因为如果云的一部分受到损害,所有加密数据也可能受到损害。因此,更希望在 CSP 无法触及的地方进行加密和解密。但是,加密和解密云存储数据是否值得在云之外使用额外的计算资源?可能,但完全同态加密方面较新的创新允许加密查询搜索加密文本,而无需搜索引擎解密。4 这种类型的加密有可能解决传统 IT 和云基础设施中静态加密数据的安全问题
- 努力达到隐私的平衡:审计师希望对他们的查询保密,而被审计组织希望保护其所有加密数据的隐私。审计员可以访问组织的数据以完成他们的工作; 他们有权访问,但不能复制或删除任何内容。
- CSP 可能不愿意或无法披露某些加密信息,即使在审核情况下也是如此。为了帮助缓解这一特定于云的问题,支付卡行业 (PCI) 数据安全标准 (DSS) 云特别兴趣小组 (SIG) 强烈建议加密密钥和加密算法信息“独立于云服务进行存储和管理”。
主机托管
云计算的核心优势是多个用户组织可以共享一个服务组织的物理系统。虽然这是一种很好的降低成本的方法,但共享技术基础设施也会导致同样严重的安全问题。至关重要的是,CSP 必须防止用户系统获得对物理硬件的管理访问权限,以防止滥用服务和访问其他客户的数据。
IaaS 经常遇到此问题; 为了解决这个问题,CSP 求助于将虚拟机 (VM) 与物理计算硬件隔离开来的虚拟机管理程序。目前使用的虚拟机管理程序示例包括 Xen(开源),VMWare(专有),Microsoft 的虚拟服务器,基于内核的虚拟机(KVM),IBM 的 PowerVM 以及许多其他包含 Intel 和 AMD 架构的虚拟机。安全审计问题就是由这种情况引起的:在云系统中组织或建立虚拟机管理程序的方法有无数种,每种方法都有自己的优点、缺点和优先级。
CSP 不仅要平衡虚拟机管理程序和托管系统的业务需求,还要平衡安全问题。尽管显然需要对托管的结构和安全性进行标准化,但尚无官方标准。甚至 PCI DSS 也没有列出有关这些不断发展的问题的专门标准。但是,PCI DSS Cloud SIG 为多租户制定了一些建议。5 它提供了三个示例云分段环境:用于每个客户端的持卡人数据的传统独立服务器、专用于每个客户端及其持卡人数据的虚拟化服务器,以及在单独的逻辑分区和单独的数据库管理映像中运行的应用程序,这些应用程序不共享磁盘存储等资源。
考虑到云-虚拟机管理程序的众多组合和不同程度的云采用,对云系统的 PCI DSS 式评估必须包括对所有 CSP 的单独检查。为了强调适当的托管安全性的重要性,PCI DSS Cloud SIG 发布了以下关于多租户的声明:“如果没有充分的分段,共享基础设施的所有客户端以及 CSP 都需要被验证为 PCI-DSS 合规性,以便确保任何一个客户端符合环境的合规性。
规模、范围和复杂性
规模增加:
- 由于一台物理机上通常托管多个虚拟机,导致需要审核的主机数量大大增加,可能使 IT 人员和审计人员感到压力很大。
- 通过标准化(例如,使用经过安全验证的主虚拟机映像),可以使审计过程变得更为顺畅和快速,尽管云计算元素的规模较大。
审计范围变化:
- 云计算引入了新的技术类型,例如虚拟机管理程序、虚拟交换机和虚拟防火墙,这些都需要被包括在审计的范围内。
- 共置问题可能导致虚拟机之间的隔离漏洞,使得 CSU 对其虚拟机与其他组织(包括竞争对手)的虚拟机相邻感到不安。
系统复杂性增加:
- 由于规模和范围的增加,系统的复杂性也随之增加,需要分配比传统 IT 审计更多的时间和资源来应对这种复杂性。
多地区数据中心的合规性挑战:
- CSP 能够将组织的数据和信息存储在位于多个国家/地区的数据中心,每个国家/地区都有不同的法律和法规,这对云安全审计员来说是一个挑战。
- 客户组织的合规性要求不再受 CSU 物理位置的约束,审计人员需要确定 CSP 存储 CSU 数据和信息的位置,同时考虑由于多租户环境导致的托管增加了物理数据和信息存储位置的重要性。
通过以上分析,可以看出云计算环境相比传统 IT 环境在审计方面带来了更多的挑战和考量,需要更多的资源和技术来确保安全和合规。
需要考虑的领域
云计算提供了大量可以在任何地方访问的服务。但是,不同领域的某些业务领域会有各自不同的需求。数据类型也可能因域而异,为确保数据安全而强制执行的法律和法规要求也可能有所不同。因此,一刀切的审计可能无法满足专业审计应有的所有需求。领域定制审计是理想的解决方案。
医疗
医疗领域拥有高度敏感和机密的信息,但必须允许审计员、患者、药房和其他机构(如医院)访问。无论是在法律上还是在道德上,复杂的身份验证方法对于医疗云都尤为重要。任何违规行为都可能给医疗机构及其患者造成巨大损失。
从法律上讲,医疗领域被要求达到非常高的标准,一旦发生违规,将面临巨额的补偿和惩罚性成本。
银行
银行拥有大量与用户全天候从各种设备访问服务相关的流量。银行不仅必须不断更新信息,还必须确保这些信息的安全,并可供所有想要访问的客户使用。
尽管完美的安全性是不可能的,但安全系统必须能够抵御和响应违规行为,尤其是当数十亿美元和大量银行账户面临风险时。相对较大的银行云面临的一个大问题是确保客户信息不会被盗或出售。我们认为,保障措施需要是双重的。首先,存储在云中的数据应该被加密。其次,对它的访问应受到网上银行客户端设置的权限的限制。
对在本地(或银行总部)存储数据的银行进行传统的 IT 审计通常不需要担心其他银行会访问数据。但是,当多个银行机构使用相同的云基础设施时,存在额外的风险,包括竞争对手无意中访问银行数据的可能性。此外,一家银行的安全漏洞可能会导致其他银行的账户被破坏。
政府
审计的三个关键领域是操作可见性、变更控制流程和事件响应。运营可见性要求 CSP 向机构提交自动数据馈送以及系统性能的定期证据和年度报告。更改控制过程限制了 CSP 进行可能影响 FedRAMP 要求的策略更改的能力。最后,事件响应处理云系统中可能出现的新风险或漏洞,并在发生违规时保护政府信息免遭泄露。例如,如果攻击危及政府计算机并导致军事机密泄露,事件响应团队应立即阻止信息泄露并防止任何进一步的损害。
新兴方法
关于云安全审计标准化的三个主要思想流派。
- 一种信念是,我们根本不需要新的标准。由于大多数传统的 IT 审计标准在设计上都是技术中立的,因此现有标准仍然具有相关性。审计师负责自行开发他们在云计算方面的专业知识,并通过简单地这样做来获得见解。
- 另一派思想是保持众所周知的 IT 安全审计标准的技术中立性,但用特定于云的信息来补充它们,例如,在进行典型的云安全审计时要寻找或避免什么。
- 最后,一些受访者希望开发一个全新的标准,专门用于云安全审计。
在我们看来,补充方法是一个很好的折衷方案
ISO 27000 系列是使用最广泛的 IT 安全审计标准之一,但是,对于使用云的组织,ISO 27001 和 ISO 27002 只能提供有限的支持。在撰写本文时,ISO 正在开发一种新的特定于云的安全标准——ISO/国际电工委员会 (IEC) 27017——来解决这个问题
图表和图片
个人评价和思考
这篇资讯明确对云计算等概念进行准确的描述,这些是理解这篇资讯内容的前提; 对论题进行了清晰的描述,这是理解的思路; 对各重点难点关键点既有整体性概述,也有独立的讨论,做到了面面俱到。里面的事例非常典型,对安全方面的理解很深,一针见血地提出问题的本质。最后对解决问题也进行了概要描述,虽然不充足,但也提供了一个解决问题的思路和方向。