遵化市论坛

注册

 

发新话题 回复该主题

实战Practice丨金融行业云上的安全 [复制链接]

1#

本文节选自《金融电子化》年2月刊

作者:恒丰银行科技部?李顺达?张爽?

编者按

本文调研了云服务商所提供的安全服务,并梳理了金融客户在云计算环境下的安全顾虑和行业特殊需求。

背景

随着中小企业上云速度的加快,金融行业出于自身成本、运维效率和资源弹性伸缩的考虑,也准备或逐步向云上的迁移。如果云服务提供商(云SP)不能很好地消除银行客户的顾虑并解决其痛点,双方将无法建立足够的信任,可能会阻碍中小型银行上云的脚步。

相关研究

国内的云服务商呈现出寡头垄断的态势,一是以阿里和腾讯为代表的互联网公司所建设的公有云和金融云,二是各商业银行所建设的金融私有云或行业云。

阿里所建设的公有云规模在国内处于领先地位,同时也提供金融云服务。云SP所提供的安全服务类型虽多,但在非开源软件的隐蔽通道监测、在租户的网络流量镜像防护、在多租户共享的计算或存储资源数据保护等方面,容易引发租户的安全顾虑。

各大银行为代表的金融云,普遍包含了x86和Power架构的融合云环境。其在规模和所提供的服务类别上虽略显单薄,但更针对于金融行业的需求。

保障安全性需要涉及众多的领域,因而使安全市场呈现出碎片化的特点,造成安全服务涵盖的范围广、种类多。很多云平台上的安全服务主要针对大众的共性安全需求而建设,比如DDoS和WAF,然而对于金融客户(特别是银行客户)的特殊顾虑和需求,云SP并未完全覆盖。

金融客户的顾虑

金融行业的业务数据都是真实公民的账务类数据,要严格防范泄露和篡改,对数据的机密性和完整性有最高的要求。如果上云,会有着更多安全方面的顾虑。金融客户的安全顾虑见表1。

金融行业的特殊需求

金融行业的特殊需求如下。

可问责性:应具备全面的操作记录,详细记录操作主体、所执行的动作、最终操作结果和时间。可根据事后的结果追责到动作的发起方。

真实性和不可否认性:所记录的内容需要客观存在,不能以伪造的身份凭证发起对客体的访问。主体对客体的访问、读写、变更一旦发生,主体无法否认所发生的行为。

数据的机密性和完整性分级:数据按照价值或所用的领域进行分级,只有相应权限的人员才可访问数据。

不同安全等级的网络要分区并隔离:一般划分隔离网、外联网、业务网,还可根据等级保护级别再次划分网络区域,不同网络区域应存在硬件防护墙并启用不同的安全策略,防火墙应该异构。

广泛使用密码和加密设备:金融客户广泛使用加密、签名、验签等手段来保护数据和交易。往往用到专用的加密设备或秘钥管理设备。

两类重要主体

在开展针对金融客户的服务设计之前,需要先解决主体的身份标识问题,这是开展审计和可问责性的前提。主体是访问动作的发起方,客体是金融云上的各类资源。本文列举了两类重要的主体,分别是子用户和虚机。

1.子用户的IAAA

金融客户均有一定的规模,往往有自己的身份认证系统,为了不必在云SP的身份管理系统内重建一套账户,云SP应该允许租户侧的身份认证服务器作为主认证服务器。这样身份信息可保存在租户侧,子用户的鉴别由租户侧完成。但是每个子用户的操作权限(可以何种方式访问哪些资源)应与云SP同步,而资源的命名由云SP定义。

子用户的身份在租户侧鉴别后,租户侧的认证系统以发ticket的方式向云SP证明当前租户的身份和权限,由云SP开展访问控制。此种模式可有效解决两套身份认证系统所引起的数据不一致问题,并防范金融客户的组织信息泄露。

2.虚机的身份标识

虚机的身份可以分为网络标识和应用层标识。网络标识可通过IP和MAC地址。应用层的标识可通过用户名或数字证书。

(1)以MAC和IP作为虚机标识的前提条件。虚拟化环境下,IP和MAC是云SP可复用的资源,需要加以特殊的保护后才能作为身份标识。前提条件如下:虚机和物理机所发送的数据包的源MAC和源IP地址必须为本机绑定的地址;对于虚机和物理机,即便将网卡置于混杂模式,也只能收到目的MAC和IP地址为本机的数据包,以及部分广播数据包;一个虚拟网卡只能绑定一个MAC和IP,不能绑定多个;在同一个VPC内,不能存在重复的MAC和IP;同一租户的多个VPC内,不宜使用重复的IP。

(2)应用层的身份标识。应用层的通信往往使用用户名作为身份标识。此处的用户名是应用层审计的重要数据项,除了做到唯一,还应做到防伪。租户应该有自己的虚机命名规范,并建立用户名与虚机IP的函数关系。建议使用SSL数字证书作为应用层身份标识,并使用SSL/TLS来传输数据,最好启用双向认证。

3.虚机的访问控制

(1)带内端口的访问控制。对外开放的端口是网络环境下虚机的主要攻击面。虚机的管理端口、控制端口和后门端口是操纵虚机的重要通道。各类通道均要采取严格的访问控制,并追踪动作的发起方。管理端口是使用SSH或RDP等标准管理协议的端口,权限最大;控制端口只能使用虚机的部分功能,一般是通过API来调用或提供Web界面来使用部分功能,可类比于网络设备中的控制平面;后门端口一般是不被虚机管理者知道且被攻击者利用的端口,可全面管控系统。为了保障可追责性,需要完整记录哪个主体在何时登录了哪类端口以及相应的端口号;为了保障真实性,要确保不能使用伪造的身份登录系统;为了保障不可否认性,对重要端口的访问应使用秘钥对的方式。

管理端口要确保访问者(人、进程或者其他系统)身份的真实性,要禁用基于用户名和密码的方式登录,应通过秘钥对的方式登录。通过堡垒机来统一登录虚机,堡垒机内配置每个IP所对应的秘钥对。堡垒机具备完善的操作审计功能,这为可问责性奠定了基础。

控制端口访问源一般相应固定,主要来自于调用者或远程控制中心,可通过防火墙或安全组策略限制访问源的网络地址,以防范非授权访问。

对于后门端口,可以从预防和检测两个方面入手。默认拒绝管理、控制和业务端口之外端口的访问。另外通过分析租户内的网络流量,如分析TCP和UDP的连接信息,以检测到异常访问,从而发现后门端口。部分高级后门端口,复用周知端口,或者利用ICMP来传递数据,对于此类情况,可借助IDS来检测。

以上的访问控制措施,是为了对不同安全级别的端口采取相应级别的安全措施,从而减小虚机的受攻击面,提升整体的安全性。

(2)带外端口的访问控制。从hypervisor到虚机还存在一条带外控制通道,此通道不需IP和ssh协议即可访问。此通道一般由云SP控制,不暴露给租户。要防范此类访问,只能先控制宿主机的访问,防范从宿主机到虚机的访问。云租户应该尽量得到宿主机的完全控制权。

金融行业云的安全策略和服务设计

强身份标识、鉴别和访问控制是保障金融行业云安全的基础,有了这样的基础,云SP才可针对金融客户的顾虑和特性,设计解决其痛点的服务。

1.针对金融客户顾虑和需求的相应安全策略

针对金融客户的顾虑和特性,首先确定以下的相应安全策略,见表2。

2.安全策略相对应的安全服务

安全服务是安全策略的实现,是将同类型租户的共性需求提取出来,以减少不同组织的重复开发和建设,从而提高效率。

当今主流的云平台上,普遍提供了堡垒机、VPN、DdoS防护、WAF、漏洞扫描服务、主机安全服务,结合前面的分析,还需引入资产管理服务、账号系统对接服务、专用宿主机和物理隔离服务、VPC内流量输出服务、秘钥管理服务、便捷加密服务、数字证书签发和维护服务。比如对于“资产管理服务”,其可根据资产的价值对资产进行分类和组织,资产包括虚机、对象存储、数据资产等,允许用户对资产价值进行量化,从而为后期的风险评估奠定基础。需要说明的是,资产管理服务不是云SP所提供的Web管理控制台,两者的维度不同,前者

分享 转发
TOP
发新话题 回复该主题